張宏斌,王曉磊,趙云龍
(1.中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所,北京 100083; 2.國(guó)家工業(yè)信息安全發(fā)展研究中心,北京 100040)
當(dāng)前工控系統(tǒng)在軍工、電力、石油、軌道等行業(yè)大規(guī)模使用,呈現(xiàn)快速發(fā)展的態(tài)勢(shì),超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵生產(chǎn)活動(dòng)需要依靠工業(yè)信息化來(lái)實(shí)現(xiàn)自動(dòng)化[1],工控系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分。然而隨著網(wǎng)絡(luò)信息技術(shù)在工業(yè)領(lǐng)域的大規(guī)模應(yīng)用,尤其是工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的實(shí)施,越來(lái)越多的工控網(wǎng)絡(luò)安全問(wèn)題暴露出來(lái),也成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。
近年來(lái)不斷爆發(fā)的如2015年“烏克蘭電網(wǎng)攻擊”、2016年“Mirai病毒”、2017年“WannaCry勒索病毒”,2019年“委內(nèi)瑞拉大停電”等事件表明,工控網(wǎng)絡(luò)安全事件仍然層出不窮,攻擊范圍有不斷擴(kuò)大的趨勢(shì)。面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)已經(jīng)無(wú)法有效應(yīng)對(duì)目的更加明確、手段更加多樣、能力不斷增強(qiáng)的網(wǎng)絡(luò)攻擊。本文針對(duì)當(dāng)前工控網(wǎng)絡(luò)所面臨的問(wèn)題,提出一種工控網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)與框架,并分析研究工控網(wǎng)絡(luò)的整體安全防護(hù)體系,為有效應(yīng)對(duì)動(dòng)態(tài)變化威脅、隱蔽性未知攻擊、工控安全綜合風(fēng)險(xiǎn)提供參考。
在工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展趨勢(shì)下,工業(yè)終端設(shè)備從封閉逐步走向開(kāi)放,尤其是云計(jì)算、大數(shù)據(jù)等新技術(shù)的應(yīng)用,打破傳統(tǒng)物理隔離常規(guī),增加了工業(yè)處理流程的開(kāi)放性和不確定性,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)一步集中和放大。
國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施采用的國(guó)內(nèi)外工控系統(tǒng)和產(chǎn)品都可能存在已知或未知的后門(mén)、漏洞和缺陷,同時(shí)一些關(guān)鍵系統(tǒng)、高端裝備仍然依賴于國(guó)外產(chǎn)品,重大故障的維護(hù)都有廠商參與,有些留有遠(yuǎn)程訪問(wèn)端口,有可能來(lái)帶一定的安全隱患[2]??傊?dāng)前工控核心設(shè)備產(chǎn)品、關(guān)鍵系統(tǒng)自身安全性有待提升,以有效應(yīng)對(duì)開(kāi)放互聯(lián)背景下的高強(qiáng)度網(wǎng)絡(luò)威脅。
當(dāng)前工控網(wǎng)絡(luò)安全防護(hù)主要有兩種情況:一是大量工控設(shè)備、系統(tǒng)處于“裸奔”狀態(tài),無(wú)統(tǒng)一安全防護(hù)方案。多數(shù)基礎(chǔ)軟件、智能化設(shè)備安全可靠程度低,部分設(shè)備更新?lián)Q代慢、處理能力有限,在設(shè)計(jì)之初沒(méi)有進(jìn)行安全方面的預(yù)置,同時(shí)安全防護(hù)手段采用默認(rèn)配置的方式仍然普遍存在;二是工控網(wǎng)絡(luò)安全防護(hù)手段有限,能力不足。工控網(wǎng)絡(luò)部署安全防護(hù)設(shè)備大多還是基于傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)模式,安全防護(hù)能力有限,如防火墻基于IP、端口進(jìn)行攔截,缺乏對(duì)內(nèi)容進(jìn)行深度的分析,入侵檢測(cè)基于攻擊特征檢測(cè)、誤報(bào)率高,容易被繞過(guò),安全網(wǎng)關(guān)基于IP、URL等黑名單進(jìn)行控制,無(wú)法檢測(cè)未知內(nèi)容;殺毒軟件基于代碼指紋進(jìn)行檢測(cè),缺乏動(dòng)態(tài)行為深度分析,無(wú)法識(shí)別未知惡意代碼[3]。總之,工控網(wǎng)絡(luò)缺乏有效的安全防護(hù)體系,無(wú)法應(yīng)對(duì)隱蔽性攻擊。
工控安全主要是指工控網(wǎng)絡(luò)和系統(tǒng)的運(yùn)行安全,防范來(lái)自內(nèi)部或外部的網(wǎng)絡(luò)攻擊,而要保證工控系統(tǒng)的整體安全,則必須要制定相應(yīng)的防護(hù)策略、落實(shí)相關(guān)的安全管理規(guī)范,以有效避免或應(yīng)對(duì)網(wǎng)絡(luò)攻擊帶來(lái)的危害。然而,當(dāng)前我國(guó)制造企業(yè)工控網(wǎng)絡(luò)系統(tǒng)防護(hù)與管理在安全防護(hù)策略、安全架構(gòu)與設(shè)計(jì)、生產(chǎn)制造全流程管理、安全審計(jì)與災(zāi)難備份、安全培訓(xùn)等方面相對(duì)脆弱,多數(shù)單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案未建立或不完善,態(tài)勢(shì)監(jiān)測(cè)預(yù)警機(jī)制不健全,網(wǎng)絡(luò)安全應(yīng)急處置能力較弱,安全管理制度有待提高[4]。
2工控網(wǎng)絡(luò)安全監(jiān)測(cè)
針對(duì)工控網(wǎng)絡(luò)所面臨的主要問(wèn)題,需要研究工控網(wǎng)絡(luò)安全檢測(cè)技術(shù)與方法,以發(fā)現(xiàn)內(nèi)嵌網(wǎng)絡(luò)安全威脅和有效應(yīng)對(duì)隱蔽性攻擊,確保工控網(wǎng)絡(luò)各層基礎(chǔ)設(shè)備、數(shù)據(jù)資源的安全。同時(shí)要構(gòu)建工控協(xié)議解析庫(kù),完善安全事件特征庫(kù),豐富網(wǎng)絡(luò)攻擊知識(shí)庫(kù),對(duì)多環(huán)境、多業(yè)務(wù)流量進(jìn)行深度分析、識(shí)別、發(fā)現(xiàn)、追蹤、評(píng)估,形成工控網(wǎng)絡(luò)監(jiān)測(cè)體系,有效提升工控網(wǎng)絡(luò)安全技術(shù)監(jiān)管能力[5]。
工控網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)主要包括工控協(xié)議精準(zhǔn)解析與分析技術(shù)、異常行為與關(guān)鍵事件檢測(cè)技術(shù)、攻擊知識(shí)庫(kù)構(gòu)建與自動(dòng)學(xué)習(xí)技術(shù)、攻擊數(shù)據(jù)溯源取證技術(shù)等。
(1)工控協(xié)議精準(zhǔn)解析與分析技術(shù)
由于工控協(xié)議大都為私有協(xié)議,要實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)測(cè)與分析,工控協(xié)議的精準(zhǔn)解析是基礎(chǔ)。通過(guò)系統(tǒng)分析工控協(xié)議,提取協(xié)議關(guān)鍵字段等,形成協(xié)議特征庫(kù),構(gòu)建工控協(xié)議字典,覆蓋Siemens S7、Modbus、IEC104、Fins、Ethernet/IP等主流工控協(xié)議,從而支持對(duì)相關(guān)工控設(shè)備、流量的精準(zhǔn)識(shí)別。
(2)異常行為與關(guān)鍵事件檢測(cè)技術(shù)
為解決工控網(wǎng)絡(luò)內(nèi)部操作不正規(guī)問(wèn)題,有效避免生產(chǎn)事故,需研究工控異常行為與關(guān)鍵事件監(jiān)測(cè)技術(shù),支持對(duì)TCP/IP協(xié)議、工控指令、網(wǎng)絡(luò)會(huì)話等異常行為進(jìn)行檢測(cè),實(shí)現(xiàn)對(duì)用戶誤操作、用戶違規(guī)操作(如PLC下裝、組態(tài)變更、指令變更、程序異常退出)、越權(quán)訪問(wèn)等關(guān)鍵事件進(jìn)行實(shí)時(shí)監(jiān)控。
(3)攻擊知識(shí)庫(kù)構(gòu)建及自動(dòng)學(xué)習(xí)技術(shù)
為了對(duì)流量數(shù)據(jù)進(jìn)行有效識(shí)別,需要建立攻擊知識(shí)庫(kù),包括漏洞庫(kù)、威脅情報(bào)庫(kù)、惡意行為庫(kù)、協(xié)議識(shí)別規(guī)則庫(kù)、安全規(guī)則庫(kù)、危害等級(jí)評(píng)價(jià)庫(kù)等,通過(guò)構(gòu)建并依據(jù)知識(shí)庫(kù)對(duì)流量進(jìn)行監(jiān)測(cè),統(tǒng)計(jì)分析網(wǎng)絡(luò)行為,構(gòu)建網(wǎng)絡(luò)關(guān)系拓?fù)洌故居脩?、?yīng)用、資源等分布情況,利用知識(shí)庫(kù)龐大的規(guī)則體系識(shí)別高頻網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)掃描探測(cè)、控件漏洞攻擊、Web應(yīng)用攻擊等。
根據(jù)工控網(wǎng)絡(luò)安全的特點(diǎn)建立機(jī)器學(xué)習(xí)引擎,基于現(xiàn)有知識(shí)庫(kù),在海量數(shù)據(jù)中自動(dòng)學(xué)習(xí)提取新的規(guī)則與特征,并不斷將新的知識(shí)填充到知識(shí)庫(kù)中,指導(dǎo)提高攻擊檢測(cè)的深度與廣度。
(4)攻擊數(shù)據(jù)溯源取證技術(shù)
當(dāng)發(fā)生網(wǎng)絡(luò)攻擊后,需要對(duì)流量數(shù)據(jù)進(jìn)行過(guò)濾提取和精細(xì)關(guān)聯(lián)分析,確定流量的來(lái)源、應(yīng)用類(lèi)型、傳輸目的,存儲(chǔ)記錄關(guān)鍵數(shù)據(jù)特征,包括時(shí)間、源地址、源端口、目的端口等信息。利用攻擊知識(shí)庫(kù)數(shù)據(jù),一是發(fā)現(xiàn)追蹤內(nèi)部網(wǎng)絡(luò)攻擊情況,定位事件故障,溯源攻擊發(fā)起位置與過(guò)程;二是精確分析外部網(wǎng)絡(luò)攻擊行為,進(jìn)行分析溯源。通過(guò)攻擊溯源取證技術(shù),豐富網(wǎng)絡(luò)安全攻擊庫(kù),制定調(diào)整相應(yīng)的保護(hù)策略,確保工控生產(chǎn)、調(diào)度、管理等網(wǎng)絡(luò)和底層基礎(chǔ)設(shè)備的安全。
工控網(wǎng)絡(luò)一般進(jìn)行分區(qū)管理,主要包括企業(yè)管理區(qū)和生產(chǎn)調(diào)度區(qū),如圖1所示。企業(yè)管理區(qū)內(nèi)分外網(wǎng)和內(nèi)網(wǎng)兩部分,外網(wǎng)應(yīng)當(dāng)設(shè)立安全控制策略,進(jìn)行邊界數(shù)據(jù)包過(guò)濾、惡意代碼防范、非法外聯(lián)和入侵行為探測(cè),加強(qiáng)網(wǎng)絡(luò)邊界的審計(jì)和防護(hù);內(nèi)網(wǎng)管理應(yīng)當(dāng)設(shè)立安全管控中心,對(duì)內(nèi)網(wǎng)的系統(tǒng)(例如OA系統(tǒng)、郵件系統(tǒng)、門(mén)戶網(wǎng)站等)進(jìn)行統(tǒng)一認(rèn)證、安全存儲(chǔ)、漏洞檢測(cè)、病毒查殺等。生產(chǎn)調(diào)度區(qū)主要包括生產(chǎn)管理層、過(guò)程控制層、現(xiàn)場(chǎng)控制層、設(shè)備層。生產(chǎn)管理層負(fù)責(zé)生產(chǎn)任務(wù)的數(shù)據(jù)管理、計(jì)劃安排、設(shè)計(jì)存儲(chǔ)等;過(guò)程控制層、現(xiàn)場(chǎng)控制層是對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行過(guò)程控制和實(shí)時(shí)控制。生產(chǎn)調(diào)度區(qū)各層都應(yīng)做好對(duì)應(yīng)的漏洞檢測(cè)、入侵檢測(cè)、病毒防護(hù),保護(hù)好相關(guān)工控?cái)?shù)據(jù)流,防止網(wǎng)絡(luò)攻擊行為的發(fā)生,以及對(duì)反常行為進(jìn)行預(yù)警報(bào)告。
圖1 工控安全監(jiān)測(cè)防護(hù)部署示意圖
為保證工控網(wǎng)絡(luò)系統(tǒng)正常生產(chǎn)、穩(wěn)定運(yùn)行,工控網(wǎng)絡(luò)各分區(qū)間應(yīng)部署網(wǎng)絡(luò)隔離裝置,以保證分區(qū)的交互安全,同時(shí)部署增加工控網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng),以對(duì)整體網(wǎng)絡(luò)行為進(jìn)行全生命周期監(jiān)測(cè)、存儲(chǔ)和分析,形成網(wǎng)絡(luò)安全實(shí)時(shí)態(tài)勢(shì)感知,以有效應(yīng)對(duì)隱蔽性威脅。工控網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)有工控探針和互聯(lián)網(wǎng)探針,一般將工控探針?lè)植际讲渴鹩谏a(chǎn)調(diào)度區(qū)各層匯聚交換機(jī)上,通過(guò)鏡像流量實(shí)現(xiàn)對(duì)各層鏈路利用率、業(yè)務(wù)分部情況、服務(wù)帶寬占用等進(jìn)行監(jiān)測(cè),通過(guò)構(gòu)建攻擊知識(shí)庫(kù)實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)惡意行為的誘捕、存儲(chǔ)、分析,對(duì)不正當(dāng)行為進(jìn)行關(guān)鍵工控事件檢測(cè),最后由工控安全監(jiān)測(cè)評(píng)估系統(tǒng)匯總、分析后給出監(jiān)測(cè)報(bào)告;將互聯(lián)網(wǎng)探針部署在互聯(lián)網(wǎng)出入口,對(duì)來(lái)自外部區(qū)域的探測(cè)、攻擊行為進(jìn)行監(jiān)測(cè)和分析,必要時(shí)進(jìn)行反制[6]。
(1)防護(hù)原則
工控網(wǎng)絡(luò)安全防護(hù)堅(jiān)持分級(jí)領(lǐng)導(dǎo)、落實(shí)責(zé)任;堅(jiān)持同步規(guī)劃、同步建設(shè)、同步使用;堅(jiān)持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行;堅(jiān)持分區(qū)管理、重點(diǎn)保護(hù);堅(jiān)持安全監(jiān)測(cè)、及時(shí)上報(bào);堅(jiān)持誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé),充分發(fā)揮各方力量維護(hù)工控網(wǎng)絡(luò)安全。
(2)防護(hù)建設(shè)目標(biāo)
工控網(wǎng)絡(luò)安全防護(hù)建設(shè)目標(biāo)應(yīng)該是建立一個(gè)深度安全防護(hù)體系,保障工控網(wǎng)絡(luò)全生命周期安全可控,在技術(shù)上可以實(shí)現(xiàn)對(duì)工控協(xié)議指紋識(shí)別和無(wú)損探測(cè),感知工控網(wǎng)絡(luò)中設(shè)備并形成網(wǎng)絡(luò)拓?fù)?,能夠?qū)Ω鲗泳W(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)和預(yù)警,及時(shí)發(fā)現(xiàn)、追蹤工控網(wǎng)絡(luò)中存在的安全威脅,集中呈現(xiàn)整個(gè)工控網(wǎng)絡(luò)安全態(tài)勢(shì),提升網(wǎng)絡(luò)安全事件預(yù)警與處置能力;在管理上從監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、安全防護(hù)、監(jiān)督檢查等方面建立對(duì)應(yīng)的安全管理機(jī)制,保證工控網(wǎng)絡(luò)安全相關(guān)制度、要求、責(zé)任落實(shí)到位。
工控網(wǎng)絡(luò)安全防護(hù)應(yīng)涵蓋網(wǎng)絡(luò)系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、維護(hù)四個(gè)過(guò)程,從本質(zhì)安全、技術(shù)防護(hù)、標(biāo)準(zhǔn)規(guī)范、管理制度、運(yùn)行管控五個(gè)方面進(jìn)行綜合考慮。建立綜合的網(wǎng)絡(luò)安全防護(hù)體系,持續(xù)作用于整個(gè)工控網(wǎng)絡(luò)的安全防護(hù)生命周期中,在維護(hù)運(yùn)行效率和安全生產(chǎn)間找到平衡點(diǎn),保障企業(yè)安全高效的開(kāi)展生產(chǎn)活動(dòng)[7-8]。
在技術(shù)防護(hù)上要從應(yīng)用、主機(jī)、控制器、網(wǎng)絡(luò)等層面考慮采用訪問(wèn)控制、加密、安全審計(jì)等手段,建立縱深技術(shù)防護(hù)機(jī)制,在縱向上保證分層監(jiān)測(cè)、安全隔離;在橫向上保證分區(qū)管控、重點(diǎn)防護(hù)。在標(biāo)準(zhǔn)規(guī)范上要從基礎(chǔ)、技術(shù)體制、測(cè)試評(píng)估和管理等方面建立相應(yīng)標(biāo)準(zhǔn),為工控網(wǎng)絡(luò)安全規(guī)劃、建設(shè)、管理、運(yùn)維、質(zhì)量、評(píng)估、測(cè)試、服務(wù)等方面提供統(tǒng)一、科學(xué)的標(biāo)準(zhǔn)規(guī)范[9]。
在管理制度上應(yīng)當(dāng)從治理、管理、執(zhí)行、監(jiān)督檢查等方面來(lái)考慮,政府方面要建立完善網(wǎng)絡(luò)安全組織管理體系,明確相關(guān)政策與制度,定期組織網(wǎng)絡(luò)安全培訓(xùn)、應(yīng)急演練、監(jiān)督檢查等,企業(yè)要設(shè)立專(zhuān)門(mén)的網(wǎng)絡(luò)安全管理機(jī)構(gòu),并明確各部門(mén)的網(wǎng)絡(luò)安全職責(zé)與責(zé)任人,保證網(wǎng)絡(luò)安全相關(guān)要求執(zhí)行到底,同時(shí)要建立完善的制度體系,從安全組織、安全策略、生產(chǎn)管理、供應(yīng)鏈管理等方面考慮,實(shí)現(xiàn)工控資產(chǎn)可見(jiàn)、可管、可控,不斷規(guī)范企業(yè)各項(xiàng)工作流程,保障生產(chǎn)制造活動(dòng)有序進(jìn)行。在運(yùn)行管控上,要注重過(guò)程安全,以預(yù)防、監(jiān)測(cè)、響應(yīng)為主線,建立整個(gè)工控網(wǎng)絡(luò)運(yùn)行管理和防護(hù)體系,做到網(wǎng)絡(luò)安全威脅的提前預(yù)警,網(wǎng)絡(luò)攻擊流量的監(jiān)測(cè)追蹤,網(wǎng)絡(luò)安全事件的及時(shí)決策與響應(yīng),保障運(yùn)行管理通暢,形成綜合安全態(tài)勢(shì),保證整個(gè)工控網(wǎng)絡(luò)安全綜合可控。
工控網(wǎng)絡(luò)安全防護(hù)體系需要關(guān)注本質(zhì)安全,應(yīng)保證關(guān)鍵系統(tǒng)、核心芯片、專(zhuān)用軟件、處理器、數(shù)據(jù)庫(kù)等基礎(chǔ)產(chǎn)品安全可靠,在基礎(chǔ)軟硬件的供應(yīng)鏈層面,在滿足建設(shè)要求的條件下,主動(dòng)選擇安全可靠程度更高的產(chǎn)品,夯實(shí)防護(hù)體系基礎(chǔ)。
工控網(wǎng)絡(luò)安全防護(hù)體系如圖2所示。
圖2 工控網(wǎng)絡(luò)安全防護(hù)體系框架
工控網(wǎng)絡(luò)攻擊具有嚴(yán)組織、高隱蔽、強(qiáng)持續(xù)的特點(diǎn),而且技術(shù)手段層出不窮,尤其是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)和系統(tǒng),一旦出現(xiàn)問(wèn)題,會(huì)對(duì)國(guó)家安全和經(jīng)濟(jì)社會(huì)發(fā)展帶來(lái)巨大威脅。本文分析了工控網(wǎng)絡(luò)安全面臨的問(wèn)題,提出工控網(wǎng)絡(luò)安全監(jiān)測(cè)的相關(guān)技術(shù)和防護(hù)部署模式,并對(duì)整個(gè)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行思考,希望將安全防護(hù)注入整個(gè)工控網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)的全生命周期里,制定嚴(yán)格的標(biāo)準(zhǔn)規(guī)范,保障生產(chǎn)制造活動(dòng)高效率、高安全、高可靠。