今日頭條
官方微信
官方抖音
資訊頻道摘要:當(dāng)前工控網(wǎng)絡(luò)安全審計產(chǎn)品的總體技術(shù)實施思路基本側(cè)重于指令級審計、參數(shù)閾值級審計、工控協(xié)議審計、環(huán)境級審計、行為級審計等方面,這種傳統(tǒng)的思路應(yīng)用于不同的實際工業(yè)環(huán)境下時顯示出一些不足之處。具體表現(xiàn)在不同的行業(yè)都有各自不同于其它行業(yè)的獨特工藝,脫離不同行業(yè)的控制工藝以及實際工業(yè)流程的傳
統(tǒng)審計顯得深度不夠,其實際的審計效果也很難真實、精準(zhǔn)地滿足用戶需求。
基于工業(yè)流程分析的工控安全審計的技術(shù)實現(xiàn)的核心是將基于控制工藝的控制業(yè)務(wù)流程融入安全審計產(chǎn)品的技術(shù)策略中,在具體的技術(shù)實現(xiàn)上需要將重點的工藝控制要求進(jìn)行梳理和匯總,提供給工控網(wǎng)絡(luò)安全審計產(chǎn)品的設(shè)計人員,設(shè)計人員結(jié)合匯總的工藝要求和對協(xié)議的深度解析,定制化的進(jìn)行工控網(wǎng)絡(luò)安全審計產(chǎn)品攻擊告警規(guī)則庫的更新,制定與實際應(yīng)用環(huán)境的控制工藝深度融合的定制化的規(guī)則庫。
1 工控安全現(xiàn)狀
現(xiàn)代工業(yè)控制企業(yè)的控制系統(tǒng)不僅包括生產(chǎn)和控制系統(tǒng),同時還包括市場分析、財務(wù)計劃、生產(chǎn)管理及質(zhì)量控制等信息管理系統(tǒng),信息化和工業(yè)化的兩化融合已經(jīng)成為大勢所趨,這意味著工業(yè)控制系統(tǒng)越來越走向開放和互聯(lián),現(xiàn)階段生產(chǎn)控制系統(tǒng)與管理信息系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構(gòu),工業(yè)控制系統(tǒng)與外界完全隔離幾乎成為不可能。另外,維護(hù)用的移動設(shè)備或移動電腦也打破了系統(tǒng)與外界的隔離,打開了網(wǎng)絡(luò)安全風(fēng)險之門。另外,根據(jù)監(jiān)測統(tǒng)計數(shù)據(jù)發(fā)現(xiàn),截止到2017年11月,全球范圍內(nèi)暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)及設(shè)備數(shù)量已超過10萬個,相比2016年年底上升43%。
自2010年以來,工業(yè)信息安全事件呈現(xiàn)逐年上升的趨勢,特別是2015年以來,每年發(fā)生的安全事件數(shù)量接近300起;關(guān)鍵制造、通信、能源、供水和市政設(shè)施是安全事件發(fā)生較多的前五個行業(yè)。
與上述嚴(yán)峻的安全形勢相對應(yīng)的,由于黑客大會、白帽社區(qū)、開源社區(qū)的出現(xiàn),獲得工控系統(tǒng)的攻擊方法越來越容易,大量工控系統(tǒng)軟硬件設(shè)備的安全漏洞及利用方法可通過公開或半公開的渠道獲得,這些都極大地降低了針對工控網(wǎng)絡(luò)攻擊的難度。
2 工控安全審計產(chǎn)品簡介
2.1 工控安全審計產(chǎn)品的必要性
工控安全審計系統(tǒng),是通過對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中實際通信流量進(jìn)行采集,并基于對工業(yè)控制協(xié)議(如OPC Classic、Modbus TCP、IEC60870-5-104、DNP3、S7等)的通信報文進(jìn)行深度解析,通過實時動態(tài)分析、數(shù)據(jù)流監(jiān)控、網(wǎng)絡(luò)行為審計等技術(shù),快速識別工業(yè)控制網(wǎng)絡(luò)中存在的異常行為,實現(xiàn)實時檢測針對工業(yè)協(xié)議的網(wǎng)絡(luò)攻擊、用戶誤操作、用戶違規(guī)操作、非法設(shè)備接入以及蠕蟲、病毒等惡意軟件的傳播的行為并實時報警,同時詳實記錄一切網(wǎng)絡(luò)通信行為,包括指令級的工業(yè)控制協(xié)議通信記錄,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供堅實的基礎(chǔ)。鑒于上述原因,工控安全審計產(chǎn)品已經(jīng)成為現(xiàn)階段工業(yè)控制系統(tǒng)信息安全防護(hù)的一個非常重要的組成部分。
工控安全審計產(chǎn)品專門針對工業(yè)控制網(wǎng)絡(luò)的信息安全進(jìn)行審計。它采用旁路部署,對工業(yè)生產(chǎn)過程“零風(fēng)險”。如圖1所示。
圖1 工控安全審計產(chǎn)品
2.2 工控安全審計產(chǎn)品基本功能匯總
工控安全審計產(chǎn)品實現(xiàn)的基本功能,可以匯總為以下基本的核心功能:
(1)網(wǎng)絡(luò)實時流量審計:不間斷地采集并實時監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)流量,發(fā)現(xiàn)異常時實時告警(可監(jiān)測網(wǎng)絡(luò)風(fēng)暴、ARP攻擊等網(wǎng)絡(luò)事件)。
(2)異常數(shù)據(jù)告警:基于對工控協(xié)議的深度數(shù)據(jù)包解析,通過自學(xué)習(xí)算法建立正常通信行為基線,然后對工控網(wǎng)絡(luò)中實際采集的工控協(xié)議數(shù)據(jù)包的解析結(jié)果與正常行為基線進(jìn)行比較,當(dāng)實際行為偏離正常行為基線時實施報警。
(3)通信行為追溯:對獲取的網(wǎng)絡(luò)通信數(shù)據(jù)包進(jìn)行全方位的記錄,并支持對記錄進(jìn)行回溯,支持生成
所有網(wǎng)絡(luò)行為的審計日志記錄,為工業(yè)控制系統(tǒng)的安全事故調(diào)查提供詳實的依據(jù)。
3 工控安全審計的技術(shù)實現(xiàn)
基于對現(xiàn)階段大多數(shù)的工控安全審計產(chǎn)品功能實現(xiàn)的實際調(diào)研,匯總現(xiàn)階段相關(guān)產(chǎn)品的主要技術(shù)實現(xiàn)如下:
3.1 指令級審計
針對工控協(xié)議中核心的功能指令進(jìn)行指令級審計,審計內(nèi)容包括:非法指令碼審計,與可能的攻擊有關(guān)聯(lián)關(guān)系的指令碼審計,與特定行為事件有關(guān)聯(lián)關(guān)系的指令碼審計,基于頻數(shù)統(tǒng)計分析的異常指令碼審計等指令級審計。
3.2 參數(shù)閾值級審計
針對工控協(xié)議中數(shù)據(jù)字段區(qū)的實現(xiàn)讀或?qū)懝δ苤噶畹臄?shù)據(jù)值進(jìn)行參數(shù)閾值級審計,審計內(nèi)容包括:數(shù)據(jù)值是否超過設(shè)定的上限值或下限值審計,數(shù)據(jù)值是否偏離歷史均值超過設(shè)定的最大偏差范圍的審計等參數(shù)閾值級審計。
3.3 工控協(xié)議審計
審計通信協(xié)議違規(guī)端口,畸形協(xié)議報文審計(包括不符合協(xié)議規(guī)約規(guī)定格式的工業(yè)控制協(xié)議報文、異常的控制命令、異常的控制點位、異常的控制值等),協(xié)議攜帶數(shù)據(jù)異常審計(包括整體報文數(shù)據(jù)攜帶異常和數(shù)據(jù)區(qū)數(shù)據(jù)攜帶異常)等基于工控協(xié)議的審計。
3.4 環(huán)境級審計
IP無流量事件審計,工控網(wǎng)絡(luò)內(nèi)工控協(xié)議流量分析審計,出現(xiàn)未知設(shè)備審計,原有存活設(shè)備丟失審計,IP地址和MAC地址綁定變化審計,設(shè)備之間的訪問關(guān)系變更審計,基于五元組的異常審計,基于時間段流量閾值審計,發(fā)現(xiàn)郵箱服務(wù)(識別郵箱服務(wù)器),發(fā)現(xiàn)FTP訪問(識別FTP服務(wù)器),發(fā)現(xiàn)Telnet訪問,發(fā)現(xiàn)Http訪問(源IP、MAC地址,目的URL)等環(huán)境相關(guān)的變更審計。
3.5 行為級審計
關(guān)鍵行為事件審計,包括數(shù)據(jù)采集行為,組態(tài)變更行為、應(yīng)用程序下載、控制指令下發(fā)行為,負(fù)載變更行為等行為級事件審計。
4 基于業(yè)務(wù)審計的工控安全審計的必要性
在冶金行業(yè),一座高爐會配置多座熱風(fēng)爐交替進(jìn)行燃燒和送風(fēng)控制。當(dāng)一座熱風(fēng)爐送風(fēng)一段時間后,輸出的熱風(fēng)溫度滿足不了高爐所需的風(fēng)溫時,需要進(jìn)行熱風(fēng)爐換爐操作,將另外一座已經(jīng)燃燒好的熱風(fēng)爐投入送風(fēng)狀態(tài),而后再將原送風(fēng)的熱風(fēng)爐轉(zhuǎn)為燃燒作業(yè),燃燒好后改為燜爐狀態(tài)等待下一次換爐操作,因此熱風(fēng)爐有燃燒、燜爐、送風(fēng)3種工作狀態(tài)。假設(shè)一座高爐配置了三座熱風(fēng)爐,那么一般情況下采用 “兩燒
一送”的工作方式。如圖2所示。
圖2 熱風(fēng)爐
在高爐熱風(fēng)爐控制過程中,熱風(fēng)爐換爐控制和熱風(fēng)爐燃燒控制是兩個重要的控制過程,其中換爐控制主要包含燃燒轉(zhuǎn)送風(fēng)和送風(fēng)轉(zhuǎn)燃燒兩個不同的控制階段,這兩個換爐階段的具體控制工藝要求是:
燃燒轉(zhuǎn)送風(fēng):關(guān)煤氣調(diào)節(jié)閥→關(guān)煤氣閥→關(guān)助燃空氣調(diào)節(jié)閥→關(guān)燃燒閥→關(guān)助燃閥→開支管放散閥及蒸汽閥→關(guān)煙道閥→開冷風(fēng)旁通閥(充壓)待爐內(nèi)壓力充滿后→開熱風(fēng)閥→開冷風(fēng)閥→關(guān)冷風(fēng)旁通閥。
送風(fēng)轉(zhuǎn)燃燒:關(guān)冷風(fēng)閥→關(guān)熱風(fēng)閥→開廢氣閥,待放凈廢氣后→開煙道閥→關(guān)廢氣閥→關(guān)支管放散閥及蒸汽閥→開助燃空氣閥→開燃燒閥→開煤氣閥→開助燃空氣調(diào)節(jié)閥→調(diào)節(jié)煤氣與空氣配比。
熱風(fēng)爐燃燒控制方面主要的控制工藝要求是在燃燒控制初期應(yīng)盡量加大煤氣量和空氣量,實現(xiàn)快速燒爐,使?fàn)t頂溫度盡快達(dá)到規(guī)定值,爐頂溫度達(dá)到規(guī)定值后應(yīng)加大空氣量來保持爐頂溫不在上升,使?fàn)t子中、下部溫度上升,擴大蓄熱量,滿足高爐的需要。
(1)孤立的指令正常,但組合起來構(gòu)成行為異常
高爐熱風(fēng)爐控制中的換爐控制會涉及到多個閥門的控制,所有這些閥門必須要按照規(guī)定的順序動作,孤立地來看,關(guān)閉燃燒閥和打開送風(fēng)閥均是正常的操作,但是如果它們之間的動作的先后順序發(fā)生改變時,其結(jié)果就完全不同。在燃燒轉(zhuǎn)送風(fēng)控制階段,如果出現(xiàn)在各燃燒閥沒有全關(guān)的情況下就開啟與送風(fēng)相關(guān)的閥門,那么對熱風(fēng)爐的控制將會是危險的。現(xiàn)階段的安全審計產(chǎn)品在進(jìn)行安全審計時沒有將上述工藝業(yè)務(wù)流程中有關(guān)相關(guān)閥門的動作順序的因素考慮進(jìn)去。如果能將上述的工藝要求融合進(jìn)審計規(guī)則的制定,進(jìn)行相關(guān)性建模,將很好地避免業(yè)務(wù)危險情形發(fā)生時的漏報。
(2)孤立的數(shù)值正常,但組合起來構(gòu)成的行為異常
在熱風(fēng)爐換爐時,由于沖壓不當(dāng)或換爐操作失誤等多種原因可能造成風(fēng)壓波動,但是風(fēng)壓波動范圍必須小于5kPa,一旦出現(xiàn)風(fēng)壓波動超過范圍的情形,會對熱風(fēng)爐控制產(chǎn)生較嚴(yán)重的影響。常規(guī)的安全審計產(chǎn)品,只要風(fēng)壓的絕對值不超過風(fēng)壓設(shè)定的上限值或下限值,均會視為正常而不會告警輸出。如果孤立地看數(shù)值正常的參數(shù)的數(shù)值變化率并沒有超過工藝規(guī)定的數(shù)值,但是該情形發(fā)生在特定的控制階段時,對熱風(fēng)爐控制會產(chǎn)生較嚴(yán)重的影響。如果將工藝業(yè)務(wù)流程中有關(guān)這種涉及正常數(shù)據(jù)的特定組合違背控制工藝要求的因素考慮進(jìn)去的話,那么實際中真的發(fā)生了上面描述的情形時審計系統(tǒng)就會告警,避免出現(xiàn)嚴(yán)重的漏報。
(3)關(guān)鍵工藝參數(shù)設(shè)置違反工藝要求
高爐熱風(fēng)爐控制中,在燒爐階段的控制原則是:在燒爐初期應(yīng)盡量加大煤氣量和空氣量,實現(xiàn)快速燒爐,使?fàn)t頂溫度盡快達(dá)到規(guī)定值,爐頂溫度達(dá)到規(guī)定值后,應(yīng)加大空氣量來保持爐頂溫度不再上升,使?fàn)t子中、下部溫度上升,擴大蓄熱量,滿足高爐的需要。如果在爐頂溫度已經(jīng)達(dá)到規(guī)定值的情況下依然嘗試提高爐頂溫度的行為,對于熱風(fēng)爐的控制而言是危險的,是需要審計系統(tǒng)告警提示的。但是常規(guī)的基于工控協(xié)議解析的審計系統(tǒng)只會單純地判斷設(shè)定值是否超限,因為它沒有考慮相關(guān)的工藝信息,也就不知道要判斷兩個合理的設(shè)定值在特定的工藝環(huán)境下是否合理,因而會出現(xiàn)漏報。
5 基于業(yè)務(wù)審計的工控安全審計具體技術(shù)實現(xiàn)設(shè)想
基于業(yè)務(wù)審計的工控安全審計的技術(shù)實現(xiàn)的核心是分析業(yè)務(wù)流程,圍繞業(yè)務(wù)安全來強化審計產(chǎn)品的監(jiān)測核心點和核心指標(biāo)。設(shè)計人員結(jié)合匯總的工藝要求和對協(xié)議的深度解析,定制化地進(jìn)行工控網(wǎng)絡(luò)安全審計產(chǎn)品攻擊告警規(guī)則庫的更新,制定與實際應(yīng)用環(huán)境的控制工藝深度融合的定制化的規(guī)則庫,具體實現(xiàn)步驟可簡單概括為以下幾個步驟:
5.1 實現(xiàn)變量地址到工藝變量表述的轉(zhuǎn)換
工控安全審計產(chǎn)品必須輸出與現(xiàn)場實際工藝深度融合的告警信息,而要實現(xiàn)這個目標(biāo),首要的基本前提是必須將從采集的工控網(wǎng)絡(luò)真實數(shù)據(jù)包中直接解析到的變量地址翻譯成實際控制工藝中對應(yīng)的工藝變量表述后使用到審計產(chǎn)品的告警信息中,例如:將保持寄存器地址400001翻譯成1#熱風(fēng)爐爐溫,寄存器00001翻譯成1#熱風(fēng)爐燃燒閥關(guān)閉命令,應(yīng)用于告警信息中。
5.2 梳理工控業(yè)務(wù)流程并匯總關(guān)鍵工藝控制要求
現(xiàn)場的工藝專家提供支持和配合,由工藝專家將重點的工藝控制要求進(jìn)行梳理和匯總,由工控網(wǎng)絡(luò)安全審計產(chǎn)品的設(shè)計人員結(jié)合實現(xiàn)方式選擇工藝控制流程監(jiān)控核心點和核心指標(biāo)。
5.3 生成告警規(guī)則庫
安全審計產(chǎn)品的設(shè)計人員依據(jù)步驟5.2匯總的工藝控制要求,定制化的編制工控網(wǎng)絡(luò)安全審計產(chǎn)品攻擊告警規(guī)則庫。同時設(shè)計人員可以以操作界面的形式提供在線的根據(jù)工藝要求變更的靈活的添加和刪除告警規(guī)則庫的功能。
參考文獻(xiàn):
[1] 北京網(wǎng)藤科技有限公司. 網(wǎng)藤工控安全審計系統(tǒng)產(chǎn)品白皮書[Z].
[2] 肖建榮. 工業(yè)控制系統(tǒng)信息安全[M]. 2015.
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第五輯)》
北京市公安局海淀分局備案號:11010802023656號