今日頭條
官方微信
官方抖音
資訊頻道1 工業控制系統安全的問題與挑戰
工業控制系統如SCADA系統、DCS系統和PLC等目前已廣泛應用于工業、能源、交通、水利以及市政等國家關鍵基礎設施領域,是工業自動化的核心中樞神經。近年來,隨著工業化和信息化融合的深度和廣度不斷加強,工業信息化的程度不斷加大,工業設備與互聯網的互聯互通面積就不斷增大,互聯網的惡意攻擊也就隨之而來。2010年第一款針對工控系統的病毒——震網病毒出現;2013年的斯諾登事件把網絡安全上升到了國家安全的高度;2015年底烏克蘭電網遭受攻擊,導致數百萬人在黑暗中渡過圣誕節。2016年以來接連發生了以色列電力系統被入侵、俄羅斯黑客公開發布“SCADA Pass”工控軟硬件設備默認密碼清單等一系列工控安全事件,工控安全警鐘已經敲響。
為保障工業控制系統的信息安全,2011年9月工業和信息化部專門發文《關于加強工業控制系統信息安全管理的通知》(工信部協[2011]451號),強調加強工業信息安全的重要性、緊迫性,并明確了重點領域工業控制系統信息安全的管理要求。如何對工業控制系統進行有效的安全防護,并滿足行業監管機構的要求,成為大多數行業用戶迫切需要解決的問題。
針對來自外部的網絡攻擊、移動介質擺渡攻擊以及系統內部人員可能的誤操作、違規操作或惡意破壞性操作等安全風險,很有必要對工控網絡的訪問行為、協議內容、操作指令等進行監控與審計,對高風險和異常行為進行識別和告警。
2 工控網絡異常感知系統中應用的異常檢測技術
睿航至臻公司研發的工控網絡異常感知系統作為一種安全預警產品,能夠在安全事件發生之前,對網絡中的異常行為、異常流量、惡意代碼、錯誤參數與指令進行預警,從而避免安全事件的發生,將工控系統的安全風險降到最低。
工控網絡異常感知系統以時間、空間和特征為基礎,對網絡流量和網絡行為進行多維度、細粒度的分析,通過工業視圖和網絡拓撲視圖相結合的雙視圖監控機制(如圖1所示),可同時對工業過程情況和網絡通訊指令及行為進行監控,呈現工控系統流量和行為,實現網絡連接拓撲結構和網絡運行狀況的可視化,并進行對比分析,為對不符合業務流程的行為進行檢測及APT攻擊研判提供有力支撐。
圖1 雙視圖監控
2.1 網絡行為異常檢測技術
工控網絡異常感知系統以工控系統設備資產為基礎,以基于工業控制系統深度分析技術為核心,智能學習網絡業務行為,自動為網絡合規業務行為安全建模,實現對網絡行為和業務操作的合規檢測,從而從合規的角度保證客戶網絡的業務安全。對可疑網絡行為進行實時監控,全量存儲,多層次、多角度的關聯分析和比對分析,以發現違規行為,挖掘安全威脅源頭。如違規的私自接入和外聯、違規的內網非法連接、攻擊產生的虛假IP發現、可疑主機發現和異常的網絡流量發現等。
(1)工控資產設備異常檢測技術
主動和被動相結合的設備精準識別和拓撲自動發現技術,對工控資產及網絡進行實時監控,并建立IP資產基線。系統可對非法設備的接入及時發現并報警。同時,通過異常行為分析技術,進一步核對資產設備的IP地址網絡信息、活躍狀態、協議流量分布、應用信息、會話信息等信息。
(2)工控系統網絡秩序異常檢測技術
通過靈活的黑白灰策略配置和自學習技術,系統可智能梳理業務系統各個資產間的訪問關系,自動生成業務訪問拓撲圖,形成業務訪問行為關系基線,能夠從業務行為的關系、方向、頻率、時間不同維度,來分析判斷業務訪問行為是否異常。通過采用黑、白、灰名單機制,判定某個流行為是否合規。
(3)網絡端口通信異常檢測技術
當報文采集單元的某個有流量的網絡端口在指定時間內沒有收到任何流量,系統能夠對網絡端口通信超時(中斷)進行預警。
(4)基于協議深度識別的網絡行為分析技術
系統可以對工控協議進行深度內容解析和識別,對協議中的工控指令和用戶行為進行細粒度抽取,與業務和工藝過程進行關聯,并進行對比分析,從而有效支撐對不符合業務流程的行為進行檢測。
2.2 網絡流量異常檢測技術
工控網絡異常感知系統提供網絡流量異常檢測功能,可以按照特定場景的連接頻次變化、上下行流量變化,動態分析出當前時刻網絡流量的正常運行態勢,并通過與實時流量進行對比,判斷出當前流量的走勢是否異常。通過圖形化的流量實時運行曲線,實現工控系統實時流量與異常流量的可視化。
(1)網絡線路流量與速率異常檢測技術
基于時間,按照同比和環比,系統可對網絡流量的速率進行統計分析、查看、預警,并統計線路的總計流量、最大速率、平均速率、最大利用率和平均利用率。
(2)網絡資產設備流量與速率異常檢測技術
基于地址和端口,按照歷史流量基線,系統可對網絡流量統計分析、查看、預警,并統計資產設備的總計流量、最大速率、平均速率、最大利用率和平均利用率。
(3)網絡協議流量與速率異常檢測技術
基于應用層、傳輸層、網絡層協議對上下行流量進行分析、查看、預警,系統能夠統計協議的總流量、總數據包個數、上下行流量、數據包及其占比。如應用層的GOOSE、MMS、SSH、HTTPS等,傳輸層的TCP和UDP,網絡層的IP、ICMP等。
系統能夠對告警和各種可視化圖標中信息進行下鉆,對流量進行追溯,直至對原始pcap報文下載進行人工分析,為事后取證、責任落實提供依據。同時,通過流行為和安全事件進行交叉關聯分析技術,系統可發現更深層次的入侵和違規,并精細化事件優先級。
2.3 網絡惡意代碼檢測技術
工控網絡異常感知系統能夠對病毒、蠕蟲、木馬、DDoS、掃描、SQL注入、XSS、緩沖區溢出、欺騙劫持等含有惡意代碼的攻擊行為進行安全檢測,惡意代碼特征庫中包含3000多條惡意代碼特征條目,能夠精準地發現電力工控系統中出現的惡意代碼攻擊行為。
系統能夠針對工業控制系統PLC、DCS等控制設備漏洞攻擊行為進行識別和預警;能夠對工業控制系統中的HMI、SCADA應用軟件漏洞攻擊行為進行識別和預警;能夠對工業控制系統中常用的工控協議,如Modbus、OPC、IEC、PROFINET等工控協議的漏洞攻擊行為進行識別和預警。
2.4 工控報文異常檢測技術
工控通信網絡報文已經成為智能設備間信息交互和共享的主要方式,網絡報文的發送端、接收端及通信網絡異常或故障均可能導致電力系統重大事故,因此需要將網絡報文進行有效監視、記錄、解析,還原為對工控系統動作行為,監視工控系統的網絡系統的健康狀態、分析和預警網絡安全故障,提前發現通信網絡的薄弱環節和故障設備,預防電力系統事故的發生,保障電力工控系統的安全可靠運行。
(1)工控協議的DPI深度解析技術
系統通過DPI深度解析技術可對Modbus、OPC、IEC104、IEC61850等工業通信協議進行解析。
(2)工控網絡報文異常檢測技術
系統通過對網絡報文序列異常與內容異常檢測,分析電力工控系統網絡與功能的異常預警。
(3)工控系統配置與網絡行為檢測技術
工控系統設備根據自身的配置發送數據,工控網絡異常感知系統一旦檢測到設備網絡行為與配置不一致,便進行預警。
2.5 工控系統安全建模技術
工控網絡異常感知系統自動學習工控系統的業務行為,包括網絡秩序、流量大小、資產設備、工控指令與參數,建立工控系統所在環境的白名單安全模型,一旦出現非白名單的行為與內容,進行安全預警。
(1)行為列表建模
對關鍵路徑、關鍵資源的業務訪問鏈路、協議、流量、時間等進行實時監控,具備行為列表功能,可按有連接無數據、廣播包、行為的合規狀態等特殊條件對列表內容進行篩選,可在訪問行為的基礎上制定檢測策略,可對訪問行為進行源目的IP、源目的端口和協議等字段進行聚類分析。
(2)行為拓撲建模
對關鍵路徑、關鍵資源的業務訪問鏈路、協議、流量、時間等進行實時拓撲展示,拓撲節點可以下鉆,拓撲節點和拓撲連線可以表示網絡流量和流速的大小,可以按IP地址、合規狀態、流量和流速等條件進行交互式地查詢過濾。
(3)資產分析建模
對資產會話數量、資產總體數量、新發現資產告警、資產活躍情況、資產告警和分布進行總體分析。
(4)業務分析建模
以業務系統為維度,可自定義需要關注的應用,進行可視化拓撲展現,支持流量、流速和訪問關系的呈現。
3 工控網絡異常感知系統客戶價值
3.1 及時發現網絡攻擊,減少系統停機時間
工控網絡異常感知系統能夠實時檢測出針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播并實時報警,幫助客戶及時采取應對措施,減少系統停車時間。
3.2 為安全事故的調查,提供詳實的數據支持
工控網絡異常感知系統能夠詳實記錄一切網絡通信行為,包括指令級的工業控制協議通信記錄,并且提供了簡便易用的回溯功能,為工業控制系統的安全事故調查提供了堅實的基礎和手段,改變以往工業控制系統出了安全事故無法取證、調查無從下手的被動局面。
3.3 通過網絡通信可視化,提高工控網絡運維效率
工控網絡異常感知系統通過將工控網絡的通信行為可視化,并提供友好的用戶界面,人性化的統計報表,極大地提高了企業工控網絡管理的效率,使企業工控網絡管理簡單易行,從而降低工控網絡的運維成本。
4 結束語
工控網絡異常感知系統采用網絡拓撲和工業過程監控的雙視圖監控,能夠實時檢測針對工業協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意攻擊并給出實時報警,同時詳實、準確記錄工業控制網絡中發生的各種行為和操作,為事后分析、問題查找和事故追責等提供記錄和依據。工控網絡異常感知系統是專門針對工業控制網絡的信息安全監控與異常檢測系統,可應用于電力、石油石化、精密制造、軌道交通等多個行業。
作者簡介:
張曄,男,現任北京睿航至臻科技有限公司能源事業部總經理,兼任工業控制系統信息安全產業聯盟專家委員會委員,有18年信息安全從業經驗。主要成果:發明了 “現場運維審計與管理系統”和“動態安全保障體系模型”,發表過如《工業控制系統安全體系架構與管理平臺》、《論信息系統安全“四化”建設》、《信息安全動態保障體系建設探討》、《工控系統安全理念與解決方案》、《生產企業信息系統安全技術指引》等二十幾篇論文或文章,其中《信息系統等級保護安全設計方案》榮獲國家信息安全標準優秀應用案例獎。
摘自《自動化博覽》2019年4月刊
北京市公安局海淀分局備案號:11010802023656號