今日頭條
官方微信
官方抖音
資訊頻道鄒春明 公安部第三研究所,上海網(wǎng)絡(luò)與信息安全測(cè)評(píng)工程技術(shù)研究中心
1 引言
工業(yè)控制系統(tǒng)廣泛應(yīng)用于能源、交通、水利、公共事業(yè)和智能制造等行業(yè)和領(lǐng)域,這些系統(tǒng)一旦遭到破壞,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生及公共利益,很大部分均屬于關(guān)鍵信息基礎(chǔ)設(shè)施的范疇。對(duì)其運(yùn)行安全,在《網(wǎng)絡(luò)安全法》中也提出了明確的要求,運(yùn)營(yíng)者需采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,日志留存不少于六個(gè)月。同時(shí),工信部發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中也提出需在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備,及時(shí)發(fā)現(xiàn)、報(bào)告并處理網(wǎng)絡(luò)攻擊或異常行為。另外,工業(yè)控制系統(tǒng)運(yùn)營(yíng)者從系統(tǒng)安全來說,也有必要通過審計(jì)監(jiān)控措施,及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為,進(jìn)行安全防護(hù),也能在安全事件發(fā)生后,做必要的追溯分析。因此,無論是法律法規(guī)的合規(guī)要求,還是自身的安全防護(hù)需要,都有必要對(duì)工業(yè)控制網(wǎng)絡(luò)進(jìn)行審計(jì)監(jiān)控。
2 工控系統(tǒng)信息安全現(xiàn)狀
2.1 工控系統(tǒng)安全現(xiàn)狀
早期工控系統(tǒng)相對(duì)孤立,運(yùn)行專有控制協(xié)議,使用專門硬件和軟件,因此在設(shè)計(jì)之初就很少考慮信息安全問題。比如工控協(xié)議基本都是采用明文方式傳輸,并且缺少身份認(rèn)證的支持,這在IT安全領(lǐng)域是絕對(duì)無法接受的。工控設(shè)備主要關(guān)注的也是功能安全,系統(tǒng)集成時(shí)注重的是可用性、穩(wěn)定性及可靠性,往往把信息安全放到次要位置。隨著互聯(lián)網(wǎng)的發(fā)展,兩化融合的推進(jìn),工控系統(tǒng)與互聯(lián)網(wǎng)的信息交互變得非常必要,這就把原來通過物理隔離而隱藏在系統(tǒng)中的風(fēng)險(xiǎn)、漏洞暴露出來,同時(shí)也會(huì)引入新的風(fēng)險(xiǎn)。
工控系統(tǒng)的生命周期通常比較長(zhǎng),整個(gè)系統(tǒng)進(jìn)行完全的更新是不現(xiàn)實(shí)的。這就有必要采取技術(shù)措施對(duì)工控系統(tǒng)進(jìn)行安全防護(hù)。最基本的防護(hù)措施至少包括以下幾個(gè)方面:首先,是邊界防護(hù),需要采取嚴(yán)格的訪問控制措施,對(duì)包括外部邊界、內(nèi)部層級(jí)和區(qū)域邊界的防護(hù);第二,是人機(jī)交互設(shè)備的防護(hù),主要是針對(duì)計(jì)算機(jī)設(shè)備,防止引入惡意程序及非授權(quán)的操作;第三,采取全面的審計(jì)監(jiān)控措施,及時(shí)發(fā)現(xiàn)系統(tǒng)的任何異常情況。當(dāng)然,為保障整個(gè)系統(tǒng)的安全,物理安全及運(yùn)維管理安全也是必不可少的。
2.2 與IT系統(tǒng)的區(qū)別
工控系統(tǒng)在下層主要采用硬接線方式,其上層使用的還是工業(yè)以太網(wǎng),與傳統(tǒng)的IT網(wǎng)絡(luò)具有一定的相似性。但由于各自系統(tǒng)在業(yè)務(wù)功能上存在較大差異,因此在審計(jì)監(jiān)控需求上也存在較大的不同。
可用性要求方面,工控系統(tǒng)對(duì)可用性要求非常高,不允許外部設(shè)備對(duì)系統(tǒng)產(chǎn)生任何干擾;性能要求方面,對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性要求很高,而對(duì)吞吐量要求相對(duì)較低;通信協(xié)議方面,IT系統(tǒng)主要采用TCP/IP協(xié)議,應(yīng)用層協(xié)議也具有統(tǒng)一規(guī)范。工控系統(tǒng)除了少量的標(biāo)準(zhǔn)協(xié)議,如ModBusTCP等,大量采用廠商的私有協(xié)議,而在通信內(nèi)容上,工控系統(tǒng)相對(duì)比較簡(jiǎn)單,無外乎數(shù)字量、模擬量的輸入監(jiān)測(cè)和輸出控制。
由于兩者存在較大差別,使得傳統(tǒng)的IT審計(jì)產(chǎn)品無法應(yīng)用在工業(yè)控制系統(tǒng)。首先,傳統(tǒng)IT審計(jì)產(chǎn)品無法識(shí)別工控協(xié)議的應(yīng)用層元素;其次,IT系統(tǒng)中審計(jì),除了流量鏡像方式審計(jì)外,也可能以串接方式進(jìn)行審計(jì),串接方式在工控系統(tǒng)難于接受,會(huì)對(duì)通信帶來額外的延時(shí),設(shè)備的故障也會(huì)影響系統(tǒng)可用性;第三,傳統(tǒng)IT審計(jì)產(chǎn)品的高性能在工控系統(tǒng)中無太大必要。
2.3 工控審計(jì)監(jiān)控產(chǎn)品現(xiàn)狀
隨著對(duì)工控系統(tǒng)信息安全的關(guān)注,用戶有了對(duì)工控系統(tǒng)進(jìn)行審計(jì)監(jiān)控的需求。2014年,市場(chǎng)上就出現(xiàn)了針對(duì)工控系統(tǒng)的審計(jì)類產(chǎn)品,近幾年的產(chǎn)品數(shù)量更是有著大幅增長(zhǎng)。目前這類產(chǎn)品主要還是黑名單技術(shù),即對(duì)能夠識(shí)別的協(xié)議進(jìn)行分析審計(jì),其它通信則不處理,能夠記錄通信的五元組及工控協(xié)議通訊的應(yīng)用層內(nèi)容,如操作類型、操作對(duì)象、操作值等。但目前這類產(chǎn)品還普遍存在一些不足之處。首先,對(duì)工控協(xié)議支持的數(shù)量相對(duì)有限;其次,大多還是偏重于提取通訊的相關(guān)內(nèi)容,而對(duì)其所做的自動(dòng)分析較少;還有就是對(duì)不能識(shí)別的內(nèi)容可能存在潛在風(fēng)險(xiǎn)的通訊都是直接忽略。
2.4 工控審計(jì)需求
由于工控系統(tǒng)與IT系統(tǒng)存在較大差異,其對(duì)系統(tǒng)網(wǎng)絡(luò)審計(jì)也有著不同的需求。在部署上,需采取鏡像監(jiān)聽方式,并保證監(jiān)聽網(wǎng)卡不能主動(dòng)外發(fā)數(shù)據(jù)包,有些大型的系統(tǒng),橫向上會(huì)有多個(gè)區(qū)域,這就需要審計(jì)產(chǎn)品能夠支持分布式部署,在此模式下,如果數(shù)據(jù)采集引擎部署在工業(yè)現(xiàn)場(chǎng),采集引擎硬件需要具有良好的環(huán)境適應(yīng)性,如溫濕度、抗震、電磁兼容等,為了產(chǎn)品的可靠性,通常也需要采用無風(fēng)扇自然散熱的方式。工控系統(tǒng)的安全,要求整個(gè)網(wǎng)絡(luò)通信可知可控,這就要求工控審計(jì)產(chǎn)品對(duì)所有流量進(jìn)行全面分析處理,對(duì)于無法確定為正常的通信內(nèi)容均應(yīng)視為異常通信,可能存在潛在的風(fēng)險(xiǎn)。實(shí)現(xiàn)對(duì)異常/攻擊事件的溯源分析(事后),及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為并告警(事中)。
3 基于白名單的審計(jì)監(jiān)控研究
3.1 白名單技術(shù)分析
采用基于規(guī)則匹配技術(shù)實(shí)現(xiàn)的安全功能,要么以黑名單方式,要么以白名單方式。黑名單方式,主要規(guī)則匹配的內(nèi)容認(rèn)為是惡意的,對(duì)其它內(nèi)容不做處理,如入侵檢測(cè)系統(tǒng)、殺毒軟件主要采用此方式;白名單方式,主要是規(guī)則匹配的內(nèi)容認(rèn)為是無害或能夠允許的,而其它內(nèi)容均認(rèn)為是異常或不可信。
IT系統(tǒng)中通信非常復(fù)雜,各設(shè)備之間的網(wǎng)狀通信、設(shè)備上各應(yīng)用程序與外部及互聯(lián)網(wǎng)往往都有復(fù)雜的通訊內(nèi)容,無論是網(wǎng)絡(luò)層還是應(yīng)用層。這就使得IT系統(tǒng)中的網(wǎng)絡(luò)審計(jì)無法采用白名單技術(shù),通常只能夠?qū)徲?jì)到通信的五元組信息,以及能夠識(shí)別的部分協(xié)議類型及應(yīng)用層內(nèi)容,而且對(duì)應(yīng)用層內(nèi)容審計(jì)得過多又可能侵犯?jìng)€(gè)人隱私,如郵件內(nèi)容、即時(shí)聊天內(nèi)容等。而工控系統(tǒng)中通信相對(duì)簡(jiǎn)單,一個(gè)完整的流程下來,基本上能夠覆蓋各類通信行為,而且通信內(nèi)容上不會(huì)變幻不定。另外,工控系統(tǒng)中的通訊協(xié)議通常都是明文方式。再加上工控系統(tǒng)安全對(duì)穩(wěn)定可靠、可知可控的需求,這使得以白名單方式進(jìn)行審計(jì)成為可能。
3.2 網(wǎng)絡(luò)層白名單分析
要進(jìn)行網(wǎng)絡(luò)層的白名單分析,前提是具備相應(yīng)的白名單規(guī)則。首先是資產(chǎn)白名單,通過設(shè)定IP、MAC地址清單,若監(jiān)測(cè)到系統(tǒng)中出現(xiàn)了清單之外的源IP或MAC地址,說明有非法設(shè)備接入。其次,工控系統(tǒng)中各設(shè)備所開放的服務(wù)端口是可知的,哪些設(shè)備需要訪問這些服務(wù)也是能夠確定的,這就可以生成類似防火墻包過濾策略的五元組規(guī)則,源IP、源端口,目的IP、目的端口及傳輸層協(xié)議類型。當(dāng)然,由于通信過程中,源端口通常為隨機(jī)生成,該要素可以忽略。通過提取網(wǎng)絡(luò)會(huì)話中的源IP,目的IP和目的端口,傳輸層協(xié)議,與設(shè)定規(guī)則進(jìn)行比對(duì),就至少能夠識(shí)別出以下異常行為:如來自工程師站/操作員站主機(jī)之外設(shè)備訪問控制器,可能就是潛在的攻擊探測(cè);若存在非控制器IP與控制器遠(yuǎn)程通信模塊進(jìn)行通信,無論其應(yīng)用層協(xié)議是否合規(guī),可能就是直接的協(xié)議攻擊。
3.3 應(yīng)用層白名單分析
同樣,對(duì)應(yīng)用層通信進(jìn)行白名單分析,也需要應(yīng)用層通信的白名單規(guī)則。各工控協(xié)議應(yīng)用層內(nèi)容都有一套協(xié)議規(guī)約,所有的通信均應(yīng)遵循此規(guī)約。應(yīng)用層通信內(nèi)容要素主要包括:操作類型,如讀取、寫入操作;操作對(duì)象,如I/O點(diǎn)位地址;操作值等。正常的工藝流程下,I/O點(diǎn)位地址清單應(yīng)是明確的,對(duì)各I/O點(diǎn)的操作類型、操作值范圍也均是明確的。這就可以基于以上要素形成應(yīng)用層基本的白名單規(guī)則。進(jìn)一步來說,可基于各操作的先后次序、時(shí)間間隔等要素生成更細(xì)致的白名單規(guī)則。通過提取工控協(xié)議中相應(yīng)的要素并進(jìn)行記錄,然后與白名單規(guī)則進(jìn)行比對(duì)分析,識(shí)別其中異常行為。如越限值的操作、非授權(quán)的點(diǎn)位操作等,這些都可能會(huì)帶來嚴(yán)重的后果。
3.4 其它必要的審計(jì)分析技術(shù)
學(xué)習(xí)功能:對(duì)于規(guī)模較小的系統(tǒng)來說,可以通過人工方式設(shè)定較為準(zhǔn)確的白名單規(guī)則。但對(duì)于規(guī)模較大的系統(tǒng),設(shè)備數(shù)據(jù)多、監(jiān)控的點(diǎn)位多時(shí),人工就很難配置出完善的白名單規(guī)則,這就需要審計(jì)產(chǎn)品一定的學(xué)習(xí)功能。通過一個(gè)或多個(gè)完整的工藝流程后,自動(dòng)學(xué)習(xí)生成基礎(chǔ)的白名單規(guī)則庫,在此基礎(chǔ)上,通過人工的調(diào)整完善。并通過后續(xù)的試運(yùn)行,排除可能出現(xiàn)的誤報(bào)行為,最終形成較為完善的白名單規(guī)則庫,來對(duì)事件進(jìn)行分析。
黑名單分析技術(shù):基于白名單的審計(jì)分析,能夠識(shí)別出不合規(guī)的異常事件,但對(duì)于不同的異常事件,可能有不同的危害程度,這主要依靠黑名單分析技術(shù),通過設(shè)定一個(gè)規(guī)則集,并設(shè)定其危害等級(jí),出現(xiàn)匹配的事件時(shí),進(jìn)行相應(yīng)級(jí)別的告警。例如,高鐵設(shè)計(jì)時(shí)速為300km/h,速度超過設(shè)計(jì)速度的10%可能就是中危事件,超過20%可能就是高危事件,那么就可以對(duì)速度監(jiān)測(cè)數(shù)據(jù)分別設(shè)置中危、高危分析規(guī)則。
關(guān)聯(lián)分析技術(shù):有些時(shí)候,盡管從單個(gè)事件來看屬正常事件或者低危事件,但不同的事件以某種特定的方式同時(shí)出現(xiàn)時(shí),就可能是高危事件了。比如,端口掃描、系統(tǒng)登錄失敗,這應(yīng)該都屬于低危的事件,但是如果先出現(xiàn)端口掃描事件,接著就出現(xiàn)登錄失敗事件,這很可能就是高危的惡意攻擊事件。通過關(guān)聯(lián)分析技術(shù)是能夠非常有效地挖掘出安全事件,但它主要還是通過人工設(shè)定分析規(guī)則來實(shí)現(xiàn),這對(duì)規(guī)則設(shè)定的要求較高。
3.5 網(wǎng)絡(luò)報(bào)文分析流程
對(duì)于審計(jì)產(chǎn)品來說,網(wǎng)絡(luò)報(bào)文的分析是其基礎(chǔ),包括網(wǎng)絡(luò)層的內(nèi)容,如MAC、IP、傳輸層協(xié)議類型、端口等,應(yīng)用層的內(nèi)容,如操作類型、操作對(duì)象、操作值等參數(shù)。總體分析流程如圖1所示。
網(wǎng)絡(luò)報(bào)文分析流程圖
首先通過網(wǎng)絡(luò)層白名單規(guī)則對(duì)報(bào)文進(jìn)行分析,在此期間,需要排除部分無實(shí)質(zhì)應(yīng)用內(nèi)容的報(bào)文,如ARP、ICMP報(bào)文,但不是直接丟棄,也需要對(duì)報(bào)文數(shù)量進(jìn)行統(tǒng)計(jì),是否出現(xiàn)異常的報(bào)文風(fēng)暴等,這就可以得到網(wǎng)絡(luò)層正常事件、網(wǎng)絡(luò)層異常事件。對(duì)于網(wǎng)絡(luò)層異常事件,需進(jìn)一步通過應(yīng)用/網(wǎng)絡(luò)黑名單規(guī)則進(jìn)行分析,可以得到惡意事件和普通的異常事件,這類惡意事件如來自非工程師站、操作員站的設(shè)備篡改控制器指令等。對(duì)于網(wǎng)絡(luò)層屬于正常的事件,也需要深入分析,先通過應(yīng)用層白名單規(guī)則進(jìn)行分析,若匹配,則屬于正常事件,其它均屬于應(yīng)用層異常事件,再通過應(yīng)用黑名單規(guī)則進(jìn)行分析,可以得到諸如越限值操作、異常協(xié)議攻擊等事件。
通過上述的分析,可以得到正常事件、網(wǎng)絡(luò)層的惡意事件和異常事件、應(yīng)用層的惡意事件和異常事件。最后可通過統(tǒng)計(jì)分析、關(guān)聯(lián)分析等分析技術(shù)進(jìn)行綜合分析,得到確定的惡意事件。從而實(shí)現(xiàn)工控系統(tǒng)全面的審計(jì)監(jiān)控。
4 總結(jié)與展望
由于工控系統(tǒng)的特點(diǎn)及安全需求,使得基于白名單技術(shù)的安全審計(jì)在工控系統(tǒng)審計(jì)中具備了基礎(chǔ)條件,也是工控系統(tǒng)安全審計(jì)所必要的。因此,國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求》的編制,也是基于此思路來編寫的。工控審計(jì)類產(chǎn)品重點(diǎn)不在于記錄下各類通信行為,而是在于后續(xù)的分析,這也是難點(diǎn)所在。隨著這類產(chǎn)品的發(fā)展,分析技術(shù)必將進(jìn)一步成熟和完善。
作者簡(jiǎn)介
鄒春明(1979-),男,湖南衡陽人,高級(jí)測(cè)評(píng)師,碩士,現(xiàn)就職于公安部第三研究所,主要研究方向?yàn)樾畔踩?/p>
參考文獻(xiàn):
[1] NIST-SP800-82-2011. Guide to Industrial Control Systems (ICS) Security[S].
[2] 袁勝. “白環(huán)境”下的工控安全[J].中國(guó)信息安全, 2016 (4) : 74 - 75.
[3] GA/T 695-2014 . 信息安全技術(shù) 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)通信審計(jì)產(chǎn)品安全技術(shù)要求[S].
摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯工控安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)