今日頭條
官方微信
官方抖音
資訊頻道鄒春明 公安部第三研究所,上海網絡與信息安全測評工程技術研究中心
1 引言
工業控制系統廣泛應用于能源、交通、水利、公共事業和智能制造等行業和領域,這些系統一旦遭到破壞,可能嚴重危害國家安全、國計民生及公共利益,很大部分均屬于關鍵信息基礎設施的范疇。對其運行安全,在《網絡安全法》中也提出了明確的要求,運營者需采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,日志留存不少于六個月。同時,工信部發布的《工業控制系統信息安全防護指南》中也提出需在工業控制網絡部署網絡安全監測設備,及時發現、報告并處理網絡攻擊或異常行為。另外,工業控制系統運營者從系統安全來說,也有必要通過審計監控措施,及時發現網絡中的異常行為,進行安全防護,也能在安全事件發生后,做必要的追溯分析。因此,無論是法律法規的合規要求,還是自身的安全防護需要,都有必要對工業控制網絡進行審計監控。
2 工控系統信息安全現狀
2.1 工控系統安全現狀
早期工控系統相對孤立,運行專有控制協議,使用專門硬件和軟件,因此在設計之初就很少考慮信息安全問題。比如工控協議基本都是采用明文方式傳輸,并且缺少身份認證的支持,這在IT安全領域是絕對無法接受的。工控設備主要關注的也是功能安全,系統集成時注重的是可用性、穩定性及可靠性,往往把信息安全放到次要位置。隨著互聯網的發展,兩化融合的推進,工控系統與互聯網的信息交互變得非常必要,這就把原來通過物理隔離而隱藏在系統中的風險、漏洞暴露出來,同時也會引入新的風險。
工控系統的生命周期通常比較長,整個系統進行完全的更新是不現實的。這就有必要采取技術措施對工控系統進行安全防護。最基本的防護措施至少包括以下幾個方面:首先,是邊界防護,需要采取嚴格的訪問控制措施,對包括外部邊界、內部層級和區域邊界的防護;第二,是人機交互設備的防護,主要是針對計算機設備,防止引入惡意程序及非授權的操作;第三,采取全面的審計監控措施,及時發現系統的任何異常情況。當然,為保障整個系統的安全,物理安全及運維管理安全也是必不可少的。
2.2 與IT系統的區別
工控系統在下層主要采用硬接線方式,其上層使用的還是工業以太網,與傳統的IT網絡具有一定的相似性。但由于各自系統在業務功能上存在較大差異,因此在審計監控需求上也存在較大的不同。
可用性要求方面,工控系統對可用性要求非常高,不允許外部設備對系統產生任何干擾;性能要求方面,對網絡的實時性要求很高,而對吞吐量要求相對較低;通信協議方面,IT系統主要采用TCP/IP協議,應用層協議也具有統一規范。工控系統除了少量的標準協議,如ModBusTCP等,大量采用廠商的私有協議,而在通信內容上,工控系統相對比較簡單,無外乎數字量、模擬量的輸入監測和輸出控制。
由于兩者存在較大差別,使得傳統的IT審計產品無法應用在工業控制系統。首先,傳統IT審計產品無法識別工控協議的應用層元素;其次,IT系統中審計,除了流量鏡像方式審計外,也可能以串接方式進行審計,串接方式在工控系統難于接受,會對通信帶來額外的延時,設備的故障也會影響系統可用性;第三,傳統IT審計產品的高性能在工控系統中無太大必要。
2.3 工控審計監控產品現狀
隨著對工控系統信息安全的關注,用戶有了對工控系統進行審計監控的需求。2014年,市場上就出現了針對工控系統的審計類產品,近幾年的產品數量更是有著大幅增長。目前這類產品主要還是黑名單技術,即對能夠識別的協議進行分析審計,其它通信則不處理,能夠記錄通信的五元組及工控協議通訊的應用層內容,如操作類型、操作對象、操作值等。但目前這類產品還普遍存在一些不足之處。首先,對工控協議支持的數量相對有限;其次,大多還是偏重于提取通訊的相關內容,而對其所做的自動分析較少;還有就是對不能識別的內容可能存在潛在風險的通訊都是直接忽略。
2.4 工控審計需求
由于工控系統與IT系統存在較大差異,其對系統網絡審計也有著不同的需求。在部署上,需采取鏡像監聽方式,并保證監聽網卡不能主動外發數據包,有些大型的系統,橫向上會有多個區域,這就需要審計產品能夠支持分布式部署,在此模式下,如果數據采集引擎部署在工業現場,采集引擎硬件需要具有良好的環境適應性,如溫濕度、抗震、電磁兼容等,為了產品的可靠性,通常也需要采用無風扇自然散熱的方式。工控系統的安全,要求整個網絡通信可知可控,這就要求工控審計產品對所有流量進行全面分析處理,對于無法確定為正常的通信內容均應視為異常通信,可能存在潛在的風險。實現對異常/攻擊事件的溯源分析(事后),及時發現網絡中的異常行為并告警(事中)。
3 基于白名單的審計監控研究
3.1 白名單技術分析
采用基于規則匹配技術實現的安全功能,要么以黑名單方式,要么以白名單方式。黑名單方式,主要規則匹配的內容認為是惡意的,對其它內容不做處理,如入侵檢測系統、殺毒軟件主要采用此方式;白名單方式,主要是規則匹配的內容認為是無害或能夠允許的,而其它內容均認為是異常或不可信。
IT系統中通信非常復雜,各設備之間的網狀通信、設備上各應用程序與外部及互聯網往往都有復雜的通訊內容,無論是網絡層還是應用層。這就使得IT系統中的網絡審計無法采用白名單技術,通常只能夠審計到通信的五元組信息,以及能夠識別的部分協議類型及應用層內容,而且對應用層內容審計得過多又可能侵犯個人隱私,如郵件內容、即時聊天內容等。而工控系統中通信相對簡單,一個完整的流程下來,基本上能夠覆蓋各類通信行為,而且通信內容上不會變幻不定。另外,工控系統中的通訊協議通常都是明文方式。再加上工控系統安全對穩定可靠、可知可控的需求,這使得以白名單方式進行審計成為可能。
3.2 網絡層白名單分析
要進行網絡層的白名單分析,前提是具備相應的白名單規則。首先是資產白名單,通過設定IP、MAC地址清單,若監測到系統中出現了清單之外的源IP或MAC地址,說明有非法設備接入。其次,工控系統中各設備所開放的服務端口是可知的,哪些設備需要訪問這些服務也是能夠確定的,這就可以生成類似防火墻包過濾策略的五元組規則,源IP、源端口,目的IP、目的端口及傳輸層協議類型。當然,由于通信過程中,源端口通常為隨機生成,該要素可以忽略。通過提取網絡會話中的源IP,目的IP和目的端口,傳輸層協議,與設定規則進行比對,就至少能夠識別出以下異常行為:如來自工程師站/操作員站主機之外設備訪問控制器,可能就是潛在的攻擊探測;若存在非控制器IP與控制器遠程通信模塊進行通信,無論其應用層協議是否合規,可能就是直接的協議攻擊。
3.3 應用層白名單分析
同樣,對應用層通信進行白名單分析,也需要應用層通信的白名單規則。各工控協議應用層內容都有一套協議規約,所有的通信均應遵循此規約。應用層通信內容要素主要包括:操作類型,如讀取、寫入操作;操作對象,如I/O點位地址;操作值等。正常的工藝流程下,I/O點位地址清單應是明確的,對各I/O點的操作類型、操作值范圍也均是明確的。這就可以基于以上要素形成應用層基本的白名單規則。進一步來說,可基于各操作的先后次序、時間間隔等要素生成更細致的白名單規則。通過提取工控協議中相應的要素并進行記錄,然后與白名單規則進行比對分析,識別其中異常行為。如越限值的操作、非授權的點位操作等,這些都可能會帶來嚴重的后果。
3.4 其它必要的審計分析技術
學習功能:對于規模較小的系統來說,可以通過人工方式設定較為準確的白名單規則。但對于規模較大的系統,設備數據多、監控的點位多時,人工就很難配置出完善的白名單規則,這就需要審計產品一定的學習功能。通過一個或多個完整的工藝流程后,自動學習生成基礎的白名單規則庫,在此基礎上,通過人工的調整完善。并通過后續的試運行,排除可能出現的誤報行為,最終形成較為完善的白名單規則庫,來對事件進行分析。
黑名單分析技術:基于白名單的審計分析,能夠識別出不合規的異常事件,但對于不同的異常事件,可能有不同的危害程度,這主要依靠黑名單分析技術,通過設定一個規則集,并設定其危害等級,出現匹配的事件時,進行相應級別的告警。例如,高鐵設計時速為300km/h,速度超過設計速度的10%可能就是中危事件,超過20%可能就是高危事件,那么就可以對速度監測數據分別設置中危、高危分析規則。
關聯分析技術:有些時候,盡管從單個事件來看屬正常事件或者低危事件,但不同的事件以某種特定的方式同時出現時,就可能是高危事件了。比如,端口掃描、系統登錄失敗,這應該都屬于低危的事件,但是如果先出現端口掃描事件,接著就出現登錄失敗事件,這很可能就是高危的惡意攻擊事件。通過關聯分析技術是能夠非常有效地挖掘出安全事件,但它主要還是通過人工設定分析規則來實現,這對規則設定的要求較高。
3.5 網絡報文分析流程
對于審計產品來說,網絡報文的分析是其基礎,包括網絡層的內容,如MAC、IP、傳輸層協議類型、端口等,應用層的內容,如操作類型、操作對象、操作值等參數。總體分析流程如圖1所示。
網絡報文分析流程圖
首先通過網絡層白名單規則對報文進行分析,在此期間,需要排除部分無實質應用內容的報文,如ARP、ICMP報文,但不是直接丟棄,也需要對報文數量進行統計,是否出現異常的報文風暴等,這就可以得到網絡層正常事件、網絡層異常事件。對于網絡層異常事件,需進一步通過應用/網絡黑名單規則進行分析,可以得到惡意事件和普通的異常事件,這類惡意事件如來自非工程師站、操作員站的設備篡改控制器指令等。對于網絡層屬于正常的事件,也需要深入分析,先通過應用層白名單規則進行分析,若匹配,則屬于正常事件,其它均屬于應用層異常事件,再通過應用黑名單規則進行分析,可以得到諸如越限值操作、異常協議攻擊等事件。
通過上述的分析,可以得到正常事件、網絡層的惡意事件和異常事件、應用層的惡意事件和異常事件。最后可通過統計分析、關聯分析等分析技術進行綜合分析,得到確定的惡意事件。從而實現工控系統全面的審計監控。
4 總結與展望
由于工控系統的特點及安全需求,使得基于白名單技術的安全審計在工控系統審計中具備了基礎條件,也是工控系統安全審計所必要的。因此,國家標準《信息安全技術 工業控制系統網絡審計產品安全技術要求》的編制,也是基于此思路來編寫的。工控審計類產品重點不在于記錄下各類通信行為,而是在于后續的分析,這也是難點所在。隨著這類產品的發展,分析技術必將進一步成熟和完善。
作者簡介
鄒春明(1979-),男,湖南衡陽人,高級測評師,碩士,現就職于公安部第三研究所,主要研究方向為信息安全。
參考文獻:
[1] NIST-SP800-82-2011. Guide to Industrial Control Systems (ICS) Security[S].
[2] 袁勝. “白環境”下的工控安全[J].中國信息安全, 2016 (4) : 74 - 75.
[3] GA/T 695-2014 . 信息安全技術 工業控制系統網絡通信審計產品安全技術要求[S].
摘自《工業控制系統信息安全》專刊第四輯工控安全
北京市公安局海淀分局備案號:11010802023656號