今日頭條
官方微信
官方抖音
案例頻道摘要:兩化融合、工業(yè)互聯(lián)網(wǎng)等技術(shù)的發(fā)展,在提高企業(yè)生產(chǎn)和管理效率的同時(shí),也使得生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全面臨著嚴(yán)峻的考驗(yàn)。本文著重介紹智能工業(yè)防火墻、智能機(jī)器學(xué)習(xí)、深度數(shù)據(jù)包解析、特征匹配、黑白名單結(jié)合、工業(yè)級(jí)硬件等新技術(shù),以及智能工業(yè)防火墻在實(shí)際生產(chǎn)中的應(yīng)用模式。
關(guān)鍵詞:工控網(wǎng)絡(luò);網(wǎng)絡(luò)安全;工業(yè)防火墻;深度包解析;特征匹配;白名單
Abstract: With the development of integration between information technology and industrialization and the industrial Internet, the efficiency of production and management have been improved, which in turns, makes the security network a severe challenge.
This paper mainly introduces intelligent industrial firewall, intelligent machine learning, deep packet analysis, feature matching, black and white list combination, industrial hardware, as well as the application mode of intelligent industrial firewall in actual production.
Key words: Industrial control network; Network security; Industrial firewall; Deep packet analysis; Feature matching; White list
1 引言
工業(yè)控制系統(tǒng)是SCADA、DCS、PLC等多種類型控制系統(tǒng)的總稱 [1] ,被廣泛應(yīng)用于核設(shè)施、電子、航空航天、汽車、冶金、石油化工、電力、先進(jìn)制造等國(guó)家關(guān)鍵基礎(chǔ)設(shè)施之中。而工控網(wǎng)絡(luò)在設(shè)計(jì)之初只注重實(shí)時(shí)性而忽略了一些安全設(shè)計(jì),使得工控網(wǎng)絡(luò)自身的網(wǎng)絡(luò)安全問(wèn)題越來(lái)越多地突顯出來(lái) [2、3] ,例如操作系統(tǒng)版本老舊、無(wú)法更新補(bǔ)丁、通信協(xié)議無(wú)加密認(rèn)證、使用默認(rèn)的密碼、設(shè)備廠商遠(yuǎn)程維護(hù)等。
防火墻的標(biāo)準(zhǔn)定義 [4] 是部署于不同安全域之間,具備網(wǎng)絡(luò)層訪問(wèn)控制及過(guò)濾功能,并具備應(yīng)用層協(xié)議分析、控制及內(nèi)容檢測(cè)等功能,因此防火墻是工業(yè)控制系統(tǒng)區(qū)域有效隔離的設(shè)備。傳統(tǒng)的防火墻無(wú)法識(shí)別工業(yè)現(xiàn)場(chǎng)協(xié)議、無(wú)法深度解析工業(yè)控制業(yè)務(wù)數(shù)據(jù)、無(wú)法適應(yīng)工業(yè)現(xiàn)場(chǎng)的惡劣工作環(huán)境,從而在工業(yè)控制網(wǎng)絡(luò)中的應(yīng)用過(guò)程中出現(xiàn)各種問(wèn)題,所以亟需一款能夠滿足工業(yè)現(xiàn)場(chǎng)實(shí)時(shí)性、可靠性,能夠深度識(shí)別控制業(yè)務(wù)的防火墻產(chǎn)品,實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)與外部其他網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同業(yè)務(wù)的邊界隔離和訪問(wèn)控制。
2 信息系統(tǒng)與工業(yè)控制系統(tǒng)的區(qū)別
當(dāng)前信息安全的通常意義是指辦公和互聯(lián)網(wǎng)網(wǎng)絡(luò)的信息安全,其安全性目標(biāo)體現(xiàn)在信息的保密性、安全性和完整性三方面;而工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的目標(biāo)是保證工業(yè)控制系統(tǒng)長(zhǎng)時(shí)間、無(wú)間斷地穩(wěn)定、可靠、精確地運(yùn)行,和信息安全相比,工控網(wǎng)絡(luò)自身的特殊技術(shù)特點(diǎn)決定了工控網(wǎng)絡(luò)的安全防護(hù)不能簡(jiǎn)單沿用已有的信息安全技術(shù)。
工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的本質(zhì)區(qū)別 [5、6] 主要體現(xiàn)在:
(1)網(wǎng)絡(luò)通訊協(xié)議不同。信息網(wǎng)絡(luò)通信協(xié)議常見(jiàn)的如tfp,http,telnet等協(xié)議,而工業(yè)控制網(wǎng)絡(luò)采用工業(yè)控制系統(tǒng)特有的協(xié)議,例如Modbus、OPC、IEC-104、DNP3、PROFINET等,大多數(shù)是為了提高效率與可靠性而設(shè)計(jì),而放棄了安全特性如認(rèn)證和加密等,從而可能讓有漏洞的協(xié)議暴露于攻擊之下。
(2)工控網(wǎng)絡(luò)相對(duì)信息系統(tǒng)對(duì)穩(wěn)定性要求高。大多數(shù)工控系統(tǒng)需要連續(xù)不間斷工作,某些情況下正在生產(chǎn)的產(chǎn)品或正在使用的設(shè)備比信息更加重要,因此在系統(tǒng)自動(dòng)化生產(chǎn)過(guò)程中非預(yù)期的斷電、停機(jī)開(kāi)機(jī)操作,會(huì)影響到生產(chǎn)。
(3)系統(tǒng)運(yùn)行軟硬件環(huán)境不同,工控系統(tǒng)在使用壽命的設(shè)計(jì)上比信息系統(tǒng)長(zhǎng)得多,導(dǎo)致其運(yùn)行環(huán)境相對(duì)落后于當(dāng)前主流的信息技術(shù)。同時(shí),由于工控系統(tǒng)的更新代價(jià)高,所以現(xiàn)場(chǎng)還在沿用舊的操作系統(tǒng),甚至是微軟不再維護(hù)的Windows XP操作系統(tǒng)。
(4)工控系統(tǒng)更新代價(jià)高,無(wú)法像辦公網(wǎng)或互聯(lián)網(wǎng)通過(guò)打補(bǔ)丁來(lái)封堵安全缺陷,任何環(huán)節(jié)的升級(jí)失敗或出錯(cuò)將造成整個(gè)工控系統(tǒng)的不可用,給工業(yè)生產(chǎn)帶來(lái)巨大的損失。
(5)工控網(wǎng)絡(luò)不同于互聯(lián)網(wǎng)和辦公網(wǎng),其網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)流行為對(duì)控制信號(hào)的傳輸時(shí)延、傳輸可靠性、傳輸穩(wěn)定性要求非常高,數(shù)據(jù)丟失、延遲、亂序傳輸?shù)榷紝⒔o控制系統(tǒng)帶來(lái)嚴(yán)重的問(wèn)題。
(6)現(xiàn)場(chǎng)運(yùn)行的自然環(huán)境不同。工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場(chǎng)環(huán)境惡劣,如需要在野外零下幾十度的低溫、潮濕、高原、鹽霧等環(huán)境中正常運(yùn)行,而IT信息系統(tǒng)通常在恒溫、恒濕的機(jī)房中。
由于上述工控網(wǎng)絡(luò)和辦公互聯(lián)網(wǎng)的本質(zhì)區(qū)別決定了基于辦公網(wǎng)和互聯(lián)網(wǎng)設(shè)計(jì)的傳統(tǒng)IT防火墻無(wú)法有效地保護(hù)工控網(wǎng)絡(luò)的安全。
3 智能工業(yè)防火墻新技術(shù)分析
3.1 技術(shù)背景
智能工業(yè)防火墻的核心使命是實(shí)現(xiàn)工業(yè)控制網(wǎng)絡(luò)與外部其他網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同業(yè)務(wù)的邊界隔離和訪問(wèn)控制。然而對(duì)于智能工業(yè)防火墻的使用,大部分業(yè)主還是存在多方面的擔(dān)心的,主要體現(xiàn)在串行接入、攔截重要指令、影響正常生產(chǎn)等方面。工業(yè)控制系統(tǒng)由于對(duì)實(shí)時(shí)性和穩(wěn)定性的要求高,所以首先其硬件上的可靠性和穩(wěn)定性必須保證,適應(yīng)工業(yè)特殊環(huán)境,其次,智能工業(yè)防火墻必須支持工業(yè)協(xié)議的深度解析功能,如支持對(duì)Modbus TCP、OPC、IEC-104、DNP3、PROFINET等工業(yè)協(xié)議的深度解析,甚至包括協(xié)議的指令級(jí)別、寄存器級(jí)別、值域級(jí)別,實(shí)現(xiàn)對(duì)協(xié)議通信內(nèi)容的深度解析、過(guò)濾、阻斷、報(bào)警、審計(jì)等各類功能。
不僅如此,智能工業(yè)防火墻的部署方式和工作方式必須靈活,在實(shí)現(xiàn)安全防護(hù)的同時(shí)不影響正常生產(chǎn)。
3.2 技術(shù)原理
基于以上的需求,智能工業(yè)防火墻應(yīng)運(yùn)而生,軟件層面上智能工業(yè)防火墻技術(shù)融合智能機(jī)器學(xué)習(xí)技術(shù) [7] 、深度數(shù)據(jù)包解析技術(shù)、特征匹配技術(shù) [8] ,實(shí)現(xiàn)對(duì)多種工控網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的檢查、過(guò)濾、報(bào)警、阻斷。既實(shí)現(xiàn)基于工業(yè)漏洞庫(kù)的黑名單被動(dòng)防御功能,又實(shí)現(xiàn)基于智能機(jī)器學(xué)習(xí)引擎的白名單主動(dòng)防御功能。硬件層面上,智能工業(yè)防火墻技術(shù)強(qiáng)調(diào)具有全封閉、無(wú)風(fēng)扇、多電源冗余、硬件加密等適用工業(yè)環(huán)境的特點(diǎn),確保達(dá)到工業(yè)級(jí)
可靠性和穩(wěn)定性要求。
(1) 智能機(jī)器學(xué)習(xí)技術(shù)
智能學(xué)習(xí)技術(shù)包括監(jiān)督式學(xué)習(xí)(Supervisedlearning)技術(shù)和非監(jiān)督式學(xué)習(xí)(UnsupervisedLearning)技術(shù),應(yīng)用于工業(yè)環(huán)境的智能機(jī)器學(xué)習(xí)技術(shù)需要實(shí)現(xiàn)自動(dòng)收集、分析和學(xué)習(xí)系統(tǒng)正常運(yùn)行狀態(tài)下的數(shù)據(jù)行為,并在此基礎(chǔ)上智能提取用戶節(jié)點(diǎn)的行為特征,自動(dòng)生成容易理解的操作規(guī)則和白名單,實(shí)現(xiàn)自動(dòng)化特征規(guī)則的提取和生成,對(duì)規(guī)則以外的異常數(shù)據(jù)和操作行為進(jìn)行告警或限制。圖1簡(jiǎn)單介紹了非監(jiān)督式學(xué)習(xí)和監(jiān)督式學(xué)習(xí)的工作原理,以及綜合二者優(yōu)點(diǎn)的智能機(jī)器學(xué)習(xí)引擎技術(shù)的工作原理。
智能機(jī)器學(xué)習(xí)技術(shù)通過(guò)分析用戶網(wǎng)絡(luò)數(shù)據(jù),發(fā)現(xiàn)設(shè)備和網(wǎng)絡(luò)協(xié)議之間的邏輯關(guān)系和相似程度,在此基礎(chǔ)上自動(dòng)優(yōu)化學(xué)習(xí)到的規(guī)則和策略,并且根據(jù)網(wǎng)絡(luò)拓?fù)涞膶?shí)際情況與環(huán)境,自動(dòng)組合出適用的新規(guī)則和策略。當(dāng)策略和規(guī)則之間存在相互沖突和異常時(shí),綜合分析并調(diào)整規(guī)則和策略之間的匹配程度,同時(shí)自動(dòng)部署最優(yōu)化規(guī)則到不同的智能工業(yè)防火墻。
(2) 深度數(shù)據(jù)包解析技術(shù)
對(duì)各大主流工業(yè)控制協(xié)議深入解析,識(shí)別出協(xié)議中的各種要素及協(xié)議所承載的業(yè)務(wù)內(nèi)容,并對(duì)這些數(shù)據(jù)進(jìn)行快速解析,以還原其原始通信信息。根據(jù)解析后的原始信息,檢測(cè)其中是否包含威脅以及敏感內(nèi)容。對(duì)不同行業(yè)的工控系統(tǒng),采取相應(yīng)針對(duì)性的數(shù)據(jù)包探測(cè)機(jī)制和解析策略。在遵循工業(yè)控制系統(tǒng)可用性與完整性的基礎(chǔ)上,檢測(cè)出數(shù)據(jù)包的有效內(nèi)容特征、負(fù)載和可用匹配信息,進(jìn)而生成白名單。例如:針對(duì)Modbus協(xié)議中的操作碼、設(shè)備地址、寄存器范圍和讀寫(xiě)屬性等進(jìn)行檢查,更能精準(zhǔn)地判斷出非法操作、異常事件、外部攻擊。同時(shí)結(jié)合基于對(duì)已知的工控軟件漏洞、控制器漏洞、操作系統(tǒng)漏洞、Exploit-kit特征、Shellcode特征、蠕蟲(chóng)木馬的通訊特征、僵尸網(wǎng)絡(luò)的C&C通訊特征等黑名單防護(hù)簽名庫(kù),根據(jù)系統(tǒng)的重要性制定相應(yīng)的安全策略,如選擇阻斷還是告警的方式。
(3) 特征匹配技術(shù)
特征匹配技術(shù)以深度數(shù)據(jù)包解析技術(shù)為基礎(chǔ),并結(jié)合智能機(jī)器學(xué)習(xí)技術(shù),實(shí)現(xiàn)數(shù)據(jù)包特征匹配功能。結(jié)合工業(yè)控制網(wǎng)絡(luò)系統(tǒng)對(duì)于實(shí)時(shí)性的要求,特征匹配技術(shù)能夠自動(dòng)最小化策略更改和部署過(guò)程中的更新延時(shí),并且能在無(wú)需重啟的情況下,實(shí)時(shí)在線完成特征規(guī)則的更改與部署。通過(guò)高效的比對(duì)分析和算法,大幅度避免特征匹配引擎執(zhí)行過(guò)程中對(duì)于重復(fù)數(shù)據(jù)包的解析匹配,有效提升特征匹配引擎性能,為滿足工業(yè)控制網(wǎng)絡(luò)對(duì)實(shí)時(shí)性和可靠性的特殊要求提供技術(shù)保障。由于工業(yè)協(xié)議的不統(tǒng)一,故存在多種變種,所以智能工業(yè)防火墻同時(shí)為用戶提供高度開(kāi)放的第三方開(kāi)發(fā)者工具包,滿足企業(yè)自身內(nèi)部功能應(yīng)用的開(kāi)發(fā)需求。
(4) 黑白名單相結(jié)合的防御技術(shù)
基于工業(yè)漏洞庫(kù)實(shí)現(xiàn)黑白單入侵防御功能,所有的已知工業(yè)設(shè)備和網(wǎng)絡(luò)漏洞均列入黑名單,入侵防御功能通過(guò)分析、匹配、判斷工控網(wǎng)絡(luò)行為,對(duì)符合漏洞庫(kù)的異常數(shù)據(jù)和行為進(jìn)行阻斷或告警,從而避免工業(yè)控制網(wǎng)絡(luò)受到已知漏洞的破壞。
白名單通過(guò)機(jī)器智能學(xué)習(xí)引擎技術(shù)自動(dòng)生成,也可以添加用戶自定義的工控網(wǎng)絡(luò)正常行為,與網(wǎng)絡(luò)中的實(shí)時(shí)傳輸數(shù)據(jù)進(jìn)行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點(diǎn)的行為不符合白名單中的行為特征,將會(huì)對(duì)此行為進(jìn)行阻斷或告警,以此避免工業(yè)控制網(wǎng)絡(luò)受到未知漏洞威脅,同時(shí)阻止誤操作帶來(lái)的危害。
(5) 嚴(yán)苛的工業(yè)級(jí)硬件技術(shù)
為保障工業(yè)控制系統(tǒng)的可用性,智能工業(yè)防火墻支持硬件Bypass能力。當(dāng)檢測(cè)到設(shè)備掉電、軟件宕機(jī)等異常情況時(shí)觸發(fā)旁通功能,以保障業(yè)務(wù)通信的可用性,而無(wú)需擔(dān)心斷網(wǎng)和停車。同時(shí)為了適應(yīng)環(huán)境嚴(yán)苛的生產(chǎn)現(xiàn)場(chǎng),智能工業(yè)防火墻采用無(wú)風(fēng)扇設(shè)計(jì)、導(dǎo)軌式安裝,并支持低功耗、防塵防輻射等。
3.3 應(yīng)用場(chǎng)景
工業(yè)企業(yè)的生產(chǎn)控制網(wǎng)絡(luò),不允許任何來(lái)自外部不可信的連接或流量接入到內(nèi)部網(wǎng)絡(luò),僅允許內(nèi)部生產(chǎn)數(shù)據(jù)根據(jù)約定的協(xié)議、內(nèi)容和發(fā)送周期,發(fā)送給生產(chǎn)管理區(qū),管理層進(jìn)行相應(yīng)的數(shù)據(jù)提取和分析決策。一般組成的網(wǎng)絡(luò)架構(gòu)如圖3所示 [9] 。
針對(duì)圖3中的網(wǎng)絡(luò)架構(gòu),可以在生產(chǎn)控制區(qū)和生產(chǎn)管理區(qū)之間采用智能工業(yè)防火墻技術(shù),針對(duì)特定的工業(yè)協(xié)議進(jìn)行訪問(wèn)控制,阻斷互聯(lián)網(wǎng)通用協(xié)議進(jìn)入到生產(chǎn)控制網(wǎng),阻斷針對(duì)工業(yè)控制系統(tǒng)漏洞進(jìn)行的滲透攻擊,僅允許生產(chǎn)管理區(qū)需要的數(shù)據(jù)從生產(chǎn)控制區(qū)外發(fā)。
4 總結(jié)與展望
在當(dāng)前智能制造新形勢(shì)下,安全問(wèn)題不斷增多與惡化,對(duì)智能工業(yè)防火墻提出了更高要求。雖然智能工業(yè)防火墻采用了多種適應(yīng)工業(yè)控制系統(tǒng)特殊環(huán)境的網(wǎng)絡(luò)安全技術(shù),但是需要更多的實(shí)踐才能更好地去迭代促進(jìn)產(chǎn)品的成熟,為了真正發(fā)揮智能工業(yè)防火墻安全防護(hù)作用,需要企業(yè)用戶、工業(yè)控制系統(tǒng)集成商、工藝專家、網(wǎng)絡(luò)安全廠家等各方面的力量?jī)?yōu)勢(shì)互補(bǔ),促進(jìn)智能工業(yè)防火墻的應(yīng)用越來(lái)越成熟。
摘自《自動(dòng)化博覽》2018年5月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)