今日頭條
官方微信
官方抖音
資訊頻道摘要:當前工控網絡安全審計產品的總體技術實施思路基本側重于指令級審計、參數閾值級審計、工控協議審計、環境級審計、行為級審計等方面,這種傳統的思路應用于不同的實際工業環境下時顯示出一些不足之處。具體表現在不同的行業都有各自不同于其它行業的獨特工藝,脫離不同行業的控制工藝以及實際工業流程的傳
統審計顯得深度不夠,其實際的審計效果也很難真實、精準地滿足用戶需求。
基于工業流程分析的工控安全審計的技術實現的核心是將基于控制工藝的控制業務流程融入安全審計產品的技術策略中,在具體的技術實現上需要將重點的工藝控制要求進行梳理和匯總,提供給工控網絡安全審計產品的設計人員,設計人員結合匯總的工藝要求和對協議的深度解析,定制化的進行工控網絡安全審計產品攻擊告警規則庫的更新,制定與實際應用環境的控制工藝深度融合的定制化的規則庫。
1 工控安全現狀
現代工業控制企業的控制系統不僅包括生產和控制系統,同時還包括市場分析、財務計劃、生產管理及質量控制等信息管理系統,信息化和工業化的兩化融合已經成為大勢所趨,這意味著工業控制系統越來越走向開放和互聯,現階段生產控制系統與管理信息系統的互聯已經成為ICS的基本架構,工業控制系統與外界完全隔離幾乎成為不可能。另外,維護用的移動設備或移動電腦也打破了系統與外界的隔離,打開了網絡安全風險之門。另外,根據監測統計數據發現,截止到2017年11月,全球范圍內暴露在互聯網上的工控系統及設備數量已超過10萬個,相比2016年年底上升43%。
自2010年以來,工業信息安全事件呈現逐年上升的趨勢,特別是2015年以來,每年發生的安全事件數量接近300起;關鍵制造、通信、能源、供水和市政設施是安全事件發生較多的前五個行業。
與上述嚴峻的安全形勢相對應的,由于黑客大會、白帽社區、開源社區的出現,獲得工控系統的攻擊方法越來越容易,大量工控系統軟硬件設備的安全漏洞及利用方法可通過公開或半公開的渠道獲得,這些都極大地降低了針對工控網絡攻擊的難度。
2 工控安全審計產品簡介
2.1 工控安全審計產品的必要性
工控安全審計系統,是通過對工業控制系統網絡中實際通信流量進行采集,并基于對工業控制協議(如OPC Classic、Modbus TCP、IEC60870-5-104、DNP3、S7等)的通信報文進行深度解析,通過實時動態分析、數據流監控、網絡行為審計等技術,快速識別工業控制網絡中存在的異常行為,實現實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播的行為并實時報警,同時詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,為工業控制系統的安全事故調查提供堅實的基礎。鑒于上述原因,工控安全審計產品已經成為現階段工業控制系統信息安全防護的一個非常重要的組成部分。
工控安全審計產品專門針對工業控制網絡的信息安全進行審計。它采用旁路部署,對工業生產過程“零風險”。如圖1所示。
圖1 工控安全審計產品
2.2 工控安全審計產品基本功能匯總
工控安全審計產品實現的基本功能,可以匯總為以下基本的核心功能:
(1)網絡實時流量審計:不間斷地采集并實時監測網絡數據流量,發現異常時實時告警(可監測網絡風暴、ARP攻擊等網絡事件)。
(2)異常數據告警:基于對工控協議的深度數據包解析,通過自學習算法建立正常通信行為基線,然后對工控網絡中實際采集的工控協議數據包的解析結果與正常行為基線進行比較,當實際行為偏離正常行為基線時實施報警。
(3)通信行為追溯:對獲取的網絡通信數據包進行全方位的記錄,并支持對記錄進行回溯,支持生成
所有網絡行為的審計日志記錄,為工業控制系統的安全事故調查提供詳實的依據。
3 工控安全審計的技術實現
基于對現階段大多數的工控安全審計產品功能實現的實際調研,匯總現階段相關產品的主要技術實現如下:
3.1 指令級審計
針對工控協議中核心的功能指令進行指令級審計,審計內容包括:非法指令碼審計,與可能的攻擊有關聯關系的指令碼審計,與特定行為事件有關聯關系的指令碼審計,基于頻數統計分析的異常指令碼審計等指令級審計。
3.2 參數閾值級審計
針對工控協議中數據字段區的實現讀或寫功能指令的數據值進行參數閾值級審計,審計內容包括:數據值是否超過設定的上限值或下限值審計,數據值是否偏離歷史均值超過設定的最大偏差范圍的審計等參數閾值級審計。
3.3 工控協議審計
審計通信協議違規端口,畸形協議報文審計(包括不符合協議規約規定格式的工業控制協議報文、異常的控制命令、異常的控制點位、異常的控制值等),協議攜帶數據異常審計(包括整體報文數據攜帶異常和數據區數據攜帶異常)等基于工控協議的審計。
3.4 環境級審計
IP無流量事件審計,工控網絡內工控協議流量分析審計,出現未知設備審計,原有存活設備丟失審計,IP地址和MAC地址綁定變化審計,設備之間的訪問關系變更審計,基于五元組的異常審計,基于時間段流量閾值審計,發現郵箱服務(識別郵箱服務器),發現FTP訪問(識別FTP服務器),發現Telnet訪問,發現Http訪問(源IP、MAC地址,目的URL)等環境相關的變更審計。
3.5 行為級審計
關鍵行為事件審計,包括數據采集行為,組態變更行為、應用程序下載、控制指令下發行為,負載變更行為等行為級事件審計。
4 基于業務審計的工控安全審計的必要性
在冶金行業,一座高爐會配置多座熱風爐交替進行燃燒和送風控制。當一座熱風爐送風一段時間后,輸出的熱風溫度滿足不了高爐所需的風溫時,需要進行熱風爐換爐操作,將另外一座已經燃燒好的熱風爐投入送風狀態,而后再將原送風的熱風爐轉為燃燒作業,燃燒好后改為燜爐狀態等待下一次換爐操作,因此熱風爐有燃燒、燜爐、送風3種工作狀態。假設一座高爐配置了三座熱風爐,那么一般情況下采用 “兩燒
一送”的工作方式。如圖2所示。
圖2 熱風爐
在高爐熱風爐控制過程中,熱風爐換爐控制和熱風爐燃燒控制是兩個重要的控制過程,其中換爐控制主要包含燃燒轉送風和送風轉燃燒兩個不同的控制階段,這兩個換爐階段的具體控制工藝要求是:
燃燒轉送風:關煤氣調節閥→關煤氣閥→關助燃空氣調節閥→關燃燒閥→關助燃閥→開支管放散閥及蒸汽閥→關煙道閥→開冷風旁通閥(充壓)待爐內壓力充滿后→開熱風閥→開冷風閥→關冷風旁通閥。
送風轉燃燒:關冷風閥→關熱風閥→開廢氣閥,待放凈廢氣后→開煙道閥→關廢氣閥→關支管放散閥及蒸汽閥→開助燃空氣閥→開燃燒閥→開煤氣閥→開助燃空氣調節閥→調節煤氣與空氣配比。
熱風爐燃燒控制方面主要的控制工藝要求是在燃燒控制初期應盡量加大煤氣量和空氣量,實現快速燒爐,使爐頂溫度盡快達到規定值,爐頂溫度達到規定值后應加大空氣量來保持爐頂溫不在上升,使爐子中、下部溫度上升,擴大蓄熱量,滿足高爐的需要。
(1)孤立的指令正常,但組合起來構成行為異常
高爐熱風爐控制中的換爐控制會涉及到多個閥門的控制,所有這些閥門必須要按照規定的順序動作,孤立地來看,關閉燃燒閥和打開送風閥均是正常的操作,但是如果它們之間的動作的先后順序發生改變時,其結果就完全不同。在燃燒轉送風控制階段,如果出現在各燃燒閥沒有全關的情況下就開啟與送風相關的閥門,那么對熱風爐的控制將會是危險的。現階段的安全審計產品在進行安全審計時沒有將上述工藝業務流程中有關相關閥門的動作順序的因素考慮進去。如果能將上述的工藝要求融合進審計規則的制定,進行相關性建模,將很好地避免業務危險情形發生時的漏報。
(2)孤立的數值正常,但組合起來構成的行為異常
在熱風爐換爐時,由于沖壓不當或換爐操作失誤等多種原因可能造成風壓波動,但是風壓波動范圍必須小于5kPa,一旦出現風壓波動超過范圍的情形,會對熱風爐控制產生較嚴重的影響。常規的安全審計產品,只要風壓的絕對值不超過風壓設定的上限值或下限值,均會視為正常而不會告警輸出。如果孤立地看數值正常的參數的數值變化率并沒有超過工藝規定的數值,但是該情形發生在特定的控制階段時,對熱風爐控制會產生較嚴重的影響。如果將工藝業務流程中有關這種涉及正常數據的特定組合違背控制工藝要求的因素考慮進去的話,那么實際中真的發生了上面描述的情形時審計系統就會告警,避免出現嚴重的漏報。
(3)關鍵工藝參數設置違反工藝要求
高爐熱風爐控制中,在燒爐階段的控制原則是:在燒爐初期應盡量加大煤氣量和空氣量,實現快速燒爐,使爐頂溫度盡快達到規定值,爐頂溫度達到規定值后,應加大空氣量來保持爐頂溫度不再上升,使爐子中、下部溫度上升,擴大蓄熱量,滿足高爐的需要。如果在爐頂溫度已經達到規定值的情況下依然嘗試提高爐頂溫度的行為,對于熱風爐的控制而言是危險的,是需要審計系統告警提示的。但是常規的基于工控協議解析的審計系統只會單純地判斷設定值是否超限,因為它沒有考慮相關的工藝信息,也就不知道要判斷兩個合理的設定值在特定的工藝環境下是否合理,因而會出現漏報。
5 基于業務審計的工控安全審計具體技術實現設想
基于業務審計的工控安全審計的技術實現的核心是分析業務流程,圍繞業務安全來強化審計產品的監測核心點和核心指標。設計人員結合匯總的工藝要求和對協議的深度解析,定制化地進行工控網絡安全審計產品攻擊告警規則庫的更新,制定與實際應用環境的控制工藝深度融合的定制化的規則庫,具體實現步驟可簡單概括為以下幾個步驟:
5.1 實現變量地址到工藝變量表述的轉換
工控安全審計產品必須輸出與現場實際工藝深度融合的告警信息,而要實現這個目標,首要的基本前提是必須將從采集的工控網絡真實數據包中直接解析到的變量地址翻譯成實際控制工藝中對應的工藝變量表述后使用到審計產品的告警信息中,例如:將保持寄存器地址400001翻譯成1#熱風爐爐溫,寄存器00001翻譯成1#熱風爐燃燒閥關閉命令,應用于告警信息中。
5.2 梳理工控業務流程并匯總關鍵工藝控制要求
現場的工藝專家提供支持和配合,由工藝專家將重點的工藝控制要求進行梳理和匯總,由工控網絡安全審計產品的設計人員結合實現方式選擇工藝控制流程監控核心點和核心指標。
5.3 生成告警規則庫
安全審計產品的設計人員依據步驟5.2匯總的工藝控制要求,定制化的編制工控網絡安全審計產品攻擊告警規則庫。同時設計人員可以以操作界面的形式提供在線的根據工藝要求變更的靈活的添加和刪除告警規則庫的功能。
參考文獻:
[1] 北京網藤科技有限公司. 網藤工控安全審計系統產品白皮書[Z].
[2] 肖建榮. 工業控制系統信息安全[M]. 2015.
摘自《工業控制系統信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號