1.引言
工控安全监测与审计系统,是通过对流量进行分析,专门针对工业控制网络的信息安全审计系统。它采用旁路部署,对工业生产过程“零风险”,基于对工业控制协议(如IEC104、S7、DNP3、ModbusTCP、OPC等)的通信报文进行深度解析(DPI,DeepPacketInspection),能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。
2 国内外工控网络安全现状
2.1 国外工控网络安全概况
生产网络中工业控制系统的信息安全脆弱性主要是缺乏认证、缺乏授权和缺乏加密。针对工业控制系统网络安全风险,以及工业控制系统与传统的信息系统安全需求的不同,欧美等发达国家开展了一系列针对制造业中工业控制系统的前期研究,包括政策、技术、标准等。其中美、英、法、德、俄等50余国家发布网络安全战略,把网络空间安全提升到了国家安全战略高度。各国在法规体系、军事机构部署、搭建国家级的工控网络攻防实验室等方面都加大了力量。
2.2 国内工控网络安全概况
在中国,由于工控系统广泛存在于钢铁、电力、石化、交通、市政以及关键制造业等涉及国计民生的重要行业中,其重要性不言而喻。因此,工控安全问题在国内已被上升到国家安全战略的高度,国家的政策、标准也正在逐步的制定、完善的过程中。2014年2月27日国家主席习近平直接领导的中央网络安全和信息化领导小组宣告成立。2014年4月17日,“工业控制系统信息安全产业联盟”由国家主管部门、工控系统厂商、信息安全厂商以及行业用户的24家单位共同发起。2014年9月27日,信安委成立能源工作组,针对能源行业中的信息安全问题开展相关研究和服务工作。2014年12月2日,《工业控制系统信息安全》(2个部分)被国家质量监督检验检疫总局、国家标准化管理委员会批准为推荐性国家标准。
3 浅析工控网络安全主要技术发展趋势
工业控制系统设计需要兼顾应用场景与控制管理等多方面因素,以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下,有效的工控系统隐患分析、系统安全测试、系统风险预警和系统故障诊断是很多工业控制系统所迫切解决的问题。目前国内外工业控制系统网络安全国内外相关主要技术发展趋势包括:
3.1 基于可用性的最小威胁容忍建模和异常行为仿真技术
许多重要的国际研究机构都在研究容忍入侵技术或异常行为仿真技术。其研究目标可以概括为三点:一是基于有潜在安全缺陷的部件来构建入侵容忍系统;二是表征入侵容忍机制的性能特征;三是对入侵容忍机制进行评估验证。该计划提供了构建异常行为仿真系统的基础技术并帮助美国国防部掌握信息控制权。
3.2 工业控制系统隐患分析技术
工业控制系统隐患分析技术主要针对操作系统、应用软件、网络协议、使用管理不当等问题。由美国马里兰州哥伦比亚的研究机构TenableNetworkSecurity发布的Nessus被认为是目前全世界最多人使用的系统隐患分析软件。总共有超过75000个机构使用Nessus作为扫描该机构系统隐患分析软件。我国有关科研机构与相关企业也高度重视信息安全中的隐患分析研究,中国科学院国家网络入侵防范中心对威胁的分类也有自己的研究成果,他们根据威胁分类建立了操作威胁隐患数据库,并把这个数据库应用于主动防御系统、安全扫描和威胁检测等领域。
3.3 工业控制系统安全测试技术
根据美国CERT协作中心的统计数据表明计算机病毒、黑客行为、内部泄密、外部泄密、信息丢失、电子谍报、信息战等各种是威胁因素,都会给工控系统的安全带来了严峻挑战,所以工业控制系统安全测试技术主要面向这些问题。由于目前针对工控系统的安全防护存在一些问题,所以对工控系统安全检测技术提出了更高的需求。工控系统安全检测工具由于其优于防火墙的一些特性使得它在工业控制系统中的应用前景比较光明,一些困难的技术问题随着安全技术的整体发展会逐步解决,在将来的工业控制系统安全应用中有望得到重视和发展。
3.4 工业控制系统威胁检测与风险预警技术
根据安全威胁分析方法,针对工业控制系统的特征进行总结,揭示出适用于工业控制系统的安全结构和常规策略。威胁是一种潜在的安全危害。在工业控制网络环境中,威胁是多种多样的如系统中硬件和软件的缺陷、未授权的连接、未授权的流量分析等,所以威胁检测与风险预警技术非常重要。
3.5 工业控制系统故障诊断技术
随着工业控制系统的自动化水平和复杂程度越来越高,产生故障或失效的可能性增大,一旦出现故障,影响很大。美国是最早开展故障诊断技术研究的国家,美国宇航远程故障诊断项目就是利用远程网络系统在异地对远程的现场设备进行监测、分析和管理,并根据测试数据进行故障诊断和预测预警。随着设备的微型化、自动化和复杂化,设备的故障诊断越来越困难,人们在考虑应用人工智能方法的同时,应用分布式技术、网络通信技术进行远程故障诊断成为了故障诊断发展的一个主要方向。
4 工控网络安全监测与审计系统研究
工控网络安全监测与审计保护系统的研究主要涵盖安全威胁管理技术、智能机器学习引擎技术、深度包解析引擎技术、漏洞挖掘根源分析和保护策略研发验证等技术,确保工控行业生产网络工业控制系统从调度到底层基础设备的安全。将工控行业生产网络工业控制系统网络整体连通性作为分析对象,利用先进的风险计算模型,得出所有联通路径的风险等级,进而对网络结构设计的安全隐患进行深度挖掘。利用对多种网络数据的深度协议解析和处理引擎,解读流量数据,将抽象流量转换为具体行为方式,实现网络行为可视化。同时通过科学的对比算法将审计对象与基线数据智能对比,全面审计网络异常行为。通过将白名单中安全的网络数据和行为的特征,与网络中的数据和行为进行提取、匹配、判断,将行为不符合白名单中的安全数据和行为特征进行阻断和告警,最终通过产品化实现在工控行业生产网络工业控制系统网络安全平台部署,并提供边界、终端的安全防护、主机防护、综合预警与审计等。工控网络安全监测与审计系统产品部署如图1所示:
工控网络安全监测与审计系统主要内容如下:
1)威胁管理技术
可以精确定位全网脆弱节点并进行威胁分析。包括安全性分区、全网攻击路径分析、网络结构安全性分析、网络行为分析、业务流程安全性分析、安全漏洞匹配,对工业控制网络执行全面安全分析,并提供专业威胁评估报告。实现将工业控制网络信息(网络拓扑、设备信息、设备运行日志等)录入威胁管理平台,设备即可根据录入信息进行威胁管理。
2)监测审计技术
基于对ModBus、OPC、IEC-104、MMS、NDP3、S7、Profinet等协议的深度解析和机器学习,形成不同工控行业的核心白名单进行访问控制;黑名单机制,并且基于对已知的工控软件漏洞、PLC漏洞、操作系统漏洞等黑名单机制,通过旁路接入,快速识别出系统中存在的非法操作、异常事件、外部攻击并实时告警,并对网络中存在的所有活动提供行为审计、内容审计,生成完整记录便于事件追溯。
3)漏洞检测挖掘技术
采用已知漏洞检测和未知漏洞模糊测试的方法,对工业控制设备(例如PLC)、工业控制系统(例如DCS,SCADA)、工业控制网络中的安全保护设备(例如工控防火墙,网关),以及工控软件进行全面自动化检测和漏洞挖掘。
4)边界、区域及终端防护技术
基于对ModBus、OPC、IEC-104、MMS、NDP3、S7、Profinet等协议的深度解析和机器学习,形成不同工控行业的核心白名单进行访问控制;黑名单机制,并且基于对已知的工控软件漏洞、PLC漏洞、操作系统漏洞等黑名单机制,对多种工控网络协议数据进行检查、过滤、报警、阻断,识别出综合监控系统等网络中由于恶意入侵、系统故障、人员误操作所引起的异常控制行为和非法数据包,及时对其进行告警和阻断,并能为后续的安全威胁排查提供依据,对各类安全威胁实施监控,快速直观地了解工控行业生产网络工控网络安全状况,实现全网安全防护。同时防护数据会实时的传输到安全监管中心进行汇总和处理。
5)主机防护技术
监控工控主机的进程状态、网络端口状态、USB端口状态,以白名单的技术方式,全方位地保护主机的资源使用。根据白名单的配置,禁止非法进程的运行,禁止非法网络端口的打开与服务,禁止非法USB设备的接入,从而切断病毒和木马的传播与破坏路径。
6)数采隔离防护技术
可以解决数据采集过程中进行数据交换时遇到的安全难题,对网络边界通讯的数据进行协议检查,只允许专有协议数据通过,实现通讯可控;对通讯数据进行深度包解析,结合智能学习引擎,对异常数据进行隔离;在控制系统各个边界部署隔离设备,使整个系统成为一个相对独立的安全区域,阻止网络病毒在控制系统网络和外部网络之间的传播;对网络异常的数据和行为进行实时报警,并具有事件记录功能,以便进行分析决策。
5 结论
总之,工业设备高危漏洞,外国设备后门,高级持续性威胁(APT),工业网络病毒以及无线技术应用的风险是工控行业生产网络、工业控制网络安全现实存在的五大威胁。目前国内面对这些威胁缺乏相关的产品、技术、标准以及有效的解决方案,因此工控行业信息安全技术研究势在必行、刻不容缓,多方向的研究将推动工控行业信息安全基础建设,提升工控行业的信息安全预警能力、信息安全保障能力、信息安全检测能力、信息安全应急能力和信息安全恢复能力。