工控網(wǎng)絡(luò)安全檢測(cè)與防護(hù)體系研究*

張宏斌，王曉磊，趙云龍

(1.中國(guó)電子信息產(chǎn)業(yè)集團(tuán)有限公司第六研究所，北京 100083； 2.國(guó)家工業(yè)信息安全發(fā)展研究中心，北京 100040)

0 引言

當(dāng)前工控系統(tǒng)在軍工、電力、石油、軌道等行業(yè)大規(guī)模使用，呈現(xiàn)快速發(fā)展的態(tài)勢(shì)，超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵生產(chǎn)活動(dòng)需要依靠工業(yè)信息化來(lái)實(shí)現(xiàn)自動(dòng)化[1]，工控系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分。然而隨著網(wǎng)絡(luò)信息技術(shù)在工業(yè)領(lǐng)域的大規(guī)模應(yīng)用，尤其是工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能等新技術(shù)的實(shí)施，越來(lái)越多的工控網(wǎng)絡(luò)安全問(wèn)題暴露出來(lái)，也成為網(wǎng)絡(luò)攻擊的重點(diǎn)目標(biāo)。

近年來(lái)不斷爆發(fā)的如2015年“烏克蘭電網(wǎng)攻擊”、2016年“Mirai病毒”、2017年“WannaCry勒索病毒”，2019年“委內(nèi)瑞拉大停電”等事件表明，工控網(wǎng)絡(luò)安全事件仍然層出不窮，攻擊范圍有不斷擴(kuò)大的趨勢(shì)。面對(duì)嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)已經(jīng)無(wú)法有效應(yīng)對(duì)目的更加明確、手段更加多樣、能力不斷增強(qiáng)的網(wǎng)絡(luò)攻擊。本文針對(duì)當(dāng)前工控網(wǎng)絡(luò)所面臨的問(wèn)題，提出一種工控網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)與框架，并分析研究工控網(wǎng)絡(luò)的整體安全防護(hù)體系，為有效應(yīng)對(duì)動(dòng)態(tài)變化威脅、隱蔽性未知攻擊、工控安全綜合風(fēng)險(xiǎn)提供參考。

1 工控網(wǎng)絡(luò)面臨的主要問(wèn)題

1.1 開(kāi)放互聯(lián)需求增強(qiáng)，關(guān)鍵系統(tǒng)安全有待提升

在工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展趨勢(shì)下，工業(yè)終端設(shè)備從封閉逐步走向開(kāi)放，尤其是云計(jì)算、大數(shù)據(jù)等新技術(shù)的應(yīng)用，打破傳統(tǒng)物理隔離常規(guī)，增加了工業(yè)處理流程的開(kāi)放性和不確定性，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)進(jìn)一步集中和放大。

國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施采用的國(guó)內(nèi)外工控系統(tǒng)和產(chǎn)品都可能存在已知或未知的后門(mén)、漏洞和缺陷，同時(shí)一些關(guān)鍵系統(tǒng)、高端裝備仍然依賴于國(guó)外產(chǎn)品，重大故障的維護(hù)都有廠商參與，有些留有遠(yuǎn)程訪問(wèn)端口，有可能來(lái)帶一定的安全隱患[2]?？傊?dāng)前工控核心設(shè)備產(chǎn)品、關(guān)鍵系統(tǒng)自身安全性有待提升，以有效應(yīng)對(duì)開(kāi)放互聯(lián)背景下的高強(qiáng)度網(wǎng)絡(luò)威脅。

1.2 安全防護(hù)能力差，無(wú)法有效應(yīng)對(duì)隱蔽性攻擊

當(dāng)前工控網(wǎng)絡(luò)安全防護(hù)主要有兩種情況：一是大量工控設(shè)備、系統(tǒng)處于“裸奔”狀態(tài)，無(wú)統(tǒng)一安全防護(hù)方案。多數(shù)基礎(chǔ)軟件、智能化設(shè)備安全可靠程度低，部分設(shè)備更新?lián)Q代慢、處理能力有限，在設(shè)計(jì)之初沒(méi)有進(jìn)行安全方面的預(yù)置，同時(shí)安全防護(hù)手段采用默認(rèn)配置的方式仍然普遍存在；二是工控網(wǎng)絡(luò)安全防護(hù)手段有限，能力不足。工控網(wǎng)絡(luò)部署安全防護(hù)設(shè)備大多還是基于傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)模式，安全防護(hù)能力有限，如防火墻基于IP、端口進(jìn)行攔截，缺乏對(duì)內(nèi)容進(jìn)行深度的分析，入侵檢測(cè)基于攻擊特征檢測(cè)、誤報(bào)率高，容易被繞過(guò)，安全網(wǎng)關(guān)基于IP、URL等黑名單進(jìn)行控制，無(wú)法檢測(cè)未知內(nèi)容；殺毒軟件基于代碼指紋進(jìn)行檢測(cè)，缺乏動(dòng)態(tài)行為深度分析，無(wú)法識(shí)別未知惡意代碼[3]。總之，工控網(wǎng)絡(luò)缺乏有效的安全防護(hù)體系，無(wú)法應(yīng)對(duì)隱蔽性攻擊。

1.3 應(yīng)急處置能力弱，安全管理制度有待提高

工控安全主要是指工控網(wǎng)絡(luò)和系統(tǒng)的運(yùn)行安全，防范來(lái)自內(nèi)部或外部的網(wǎng)絡(luò)攻擊，而要保證工控系統(tǒng)的整體安全，則必須要制定相應(yīng)的防護(hù)策略、落實(shí)相關(guān)的安全管理規(guī)范，以有效避免或應(yīng)對(duì)網(wǎng)絡(luò)攻擊帶來(lái)的危害。然而，當(dāng)前我國(guó)制造企業(yè)工控網(wǎng)絡(luò)系統(tǒng)防護(hù)與管理在安全防護(hù)策略、安全架構(gòu)與設(shè)計(jì)、生產(chǎn)制造全流程管理、安全審計(jì)與災(zāi)難備份、安全培訓(xùn)等方面相對(duì)脆弱，多數(shù)單位網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案未建立或不完善，態(tài)勢(shì)監(jiān)測(cè)預(yù)警機(jī)制不健全，網(wǎng)絡(luò)安全應(yīng)急處置能力較弱，安全管理制度有待提高[4]。

2工控網(wǎng)絡(luò)安全監(jiān)測(cè)

針對(duì)工控網(wǎng)絡(luò)所面臨的主要問(wèn)題，需要研究工控網(wǎng)絡(luò)安全檢測(cè)技術(shù)與方法，以發(fā)現(xiàn)內(nèi)嵌網(wǎng)絡(luò)安全威脅和有效應(yīng)對(duì)隱蔽性攻擊，確保工控網(wǎng)絡(luò)各層基礎(chǔ)設(shè)備、數(shù)據(jù)資源的安全。同時(shí)要構(gòu)建工控協(xié)議解析庫(kù)，完善安全事件特征庫(kù)，豐富網(wǎng)絡(luò)攻擊知識(shí)庫(kù)，對(duì)多環(huán)境、多業(yè)務(wù)流量進(jìn)行深度分析、識(shí)別、發(fā)現(xiàn)、追蹤、評(píng)估，形成工控網(wǎng)絡(luò)監(jiān)測(cè)體系，有效提升工控網(wǎng)絡(luò)安全技術(shù)監(jiān)管能力[5]。

2.1 工控網(wǎng)絡(luò)安全監(jiān)測(cè)相關(guān)技術(shù)

工控網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)主要包括工控協(xié)議精準(zhǔn)解析與分析技術(shù)、異常行為與關(guān)鍵事件檢測(cè)技術(shù)、攻擊知識(shí)庫(kù)構(gòu)建與自動(dòng)學(xué)習(xí)技術(shù)、攻擊數(shù)據(jù)溯源取證技術(shù)等。

(1)工控協(xié)議精準(zhǔn)解析與分析技術(shù)

由于工控協(xié)議大都為私有協(xié)議，要實(shí)現(xiàn)網(wǎng)絡(luò)安全監(jiān)測(cè)與分析，工控協(xié)議的精準(zhǔn)解析是基礎(chǔ)。通過(guò)系統(tǒng)分析工控協(xié)議，提取協(xié)議關(guān)鍵字段等，形成協(xié)議特征庫(kù)，構(gòu)建工控協(xié)議字典，覆蓋Siemens S7、Modbus、IEC104、Fins、Ethernet/IP等主流工控協(xié)議，從而支持對(duì)相關(guān)工控設(shè)備、流量的精準(zhǔn)識(shí)別。

(2)異常行為與關(guān)鍵事件檢測(cè)技術(shù)

為解決工控網(wǎng)絡(luò)內(nèi)部操作不正規(guī)問(wèn)題，有效避免生產(chǎn)事故，需研究工控異常行為與關(guān)鍵事件監(jiān)測(cè)技術(shù)，支持對(duì)TCP/IP協(xié)議、工控指令、網(wǎng)絡(luò)會(huì)話等異常行為進(jìn)行檢測(cè)，實(shí)現(xiàn)對(duì)用戶誤操作、用戶違規(guī)操作(如PLC下裝、組態(tài)變更、指令變更、程序異常退出)、越權(quán)訪問(wèn)等關(guān)鍵事件進(jìn)行實(shí)時(shí)監(jiān)控。

(3)攻擊知識(shí)庫(kù)構(gòu)建及自動(dòng)學(xué)習(xí)技術(shù)

為了對(duì)流量數(shù)據(jù)進(jìn)行有效識(shí)別，需要建立攻擊知識(shí)庫(kù)，包括漏洞庫(kù)、威脅情報(bào)庫(kù)、惡意行為庫(kù)、協(xié)議識(shí)別規(guī)則庫(kù)、安全規(guī)則庫(kù)、危害等級(jí)評(píng)價(jià)庫(kù)等，通過(guò)構(gòu)建并依據(jù)知識(shí)庫(kù)對(duì)流量進(jìn)行監(jiān)測(cè)，統(tǒng)計(jì)分析網(wǎng)絡(luò)行為，構(gòu)建網(wǎng)絡(luò)關(guān)系拓?fù)洌故居脩?、?yīng)用、資源等分布情況，利用知識(shí)庫(kù)龐大的規(guī)則體系識(shí)別高頻網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)掃描探測(cè)、控件漏洞攻擊、Web應(yīng)用攻擊等。

根據(jù)工控網(wǎng)絡(luò)安全的特點(diǎn)建立機(jī)器學(xué)習(xí)引擎，基于現(xiàn)有知識(shí)庫(kù)，在海量數(shù)據(jù)中自動(dòng)學(xué)習(xí)提取新的規(guī)則與特征，并不斷將新的知識(shí)填充到知識(shí)庫(kù)中，指導(dǎo)提高攻擊檢測(cè)的深度與廣度。

(4)攻擊數(shù)據(jù)溯源取證技術(shù)

當(dāng)發(fā)生網(wǎng)絡(luò)攻擊后，需要對(duì)流量數(shù)據(jù)進(jìn)行過(guò)濾提取和精細(xì)關(guān)聯(lián)分析，確定流量的來(lái)源、應(yīng)用類(lèi)型、傳輸目的，存儲(chǔ)記錄關(guān)鍵數(shù)據(jù)特征，包括時(shí)間、源地址、源端口、目的端口等信息。利用攻擊知識(shí)庫(kù)數(shù)據(jù)，一是發(fā)現(xiàn)追蹤內(nèi)部網(wǎng)絡(luò)攻擊情況，定位事件故障，溯源攻擊發(fā)起位置與過(guò)程；二是精確分析外部網(wǎng)絡(luò)攻擊行為，進(jìn)行分析溯源。通過(guò)攻擊溯源取證技術(shù)，豐富網(wǎng)絡(luò)安全攻擊庫(kù)，制定調(diào)整相應(yīng)的保護(hù)策略，確保工控生產(chǎn)、調(diào)度、管理等網(wǎng)絡(luò)和底層基礎(chǔ)設(shè)備的安全。

2.2 工控網(wǎng)絡(luò)安全監(jiān)測(cè)防護(hù)部署

工控網(wǎng)絡(luò)一般進(jìn)行分區(qū)管理，主要包括企業(yè)管理區(qū)和生產(chǎn)調(diào)度區(qū)，如圖1所示。企業(yè)管理區(qū)內(nèi)分外網(wǎng)和內(nèi)網(wǎng)兩部分，外網(wǎng)應(yīng)當(dāng)設(shè)立安全控制策略，進(jìn)行邊界數(shù)據(jù)包過(guò)濾、惡意代碼防范、非法外聯(lián)和入侵行為探測(cè)，加強(qiáng)網(wǎng)絡(luò)邊界的審計(jì)和防護(hù)；內(nèi)網(wǎng)管理應(yīng)當(dāng)設(shè)立安全管控中心，對(duì)內(nèi)網(wǎng)的系統(tǒng)(例如OA系統(tǒng)、郵件系統(tǒng)、門(mén)戶網(wǎng)站等)進(jìn)行統(tǒng)一認(rèn)證、安全存儲(chǔ)、漏洞檢測(cè)、病毒查殺等。生產(chǎn)調(diào)度區(qū)主要包括生產(chǎn)管理層、過(guò)程控制層、現(xiàn)場(chǎng)控制層、設(shè)備層。生產(chǎn)管理層負(fù)責(zé)生產(chǎn)任務(wù)的數(shù)據(jù)管理、計(jì)劃安排、設(shè)計(jì)存儲(chǔ)等；過(guò)程控制層、現(xiàn)場(chǎng)控制層是對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行過(guò)程控制和實(shí)時(shí)控制。生產(chǎn)調(diào)度區(qū)各層都應(yīng)做好對(duì)應(yīng)的漏洞檢測(cè)、入侵檢測(cè)、病毒防護(hù)，保護(hù)好相關(guān)工控?cái)?shù)據(jù)流，防止網(wǎng)絡(luò)攻擊行為的發(fā)生，以及對(duì)反常行為進(jìn)行預(yù)警報(bào)告。

圖1 工控安全監(jiān)測(cè)防護(hù)部署示意圖

為保證工控網(wǎng)絡(luò)系統(tǒng)正常生產(chǎn)、穩(wěn)定運(yùn)行，工控網(wǎng)絡(luò)各分區(qū)間應(yīng)部署網(wǎng)絡(luò)隔離裝置，以保證分區(qū)的交互安全，同時(shí)部署增加工控網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，以對(duì)整體網(wǎng)絡(luò)行為進(jìn)行全生命周期監(jiān)測(cè)、存儲(chǔ)和分析，形成網(wǎng)絡(luò)安全實(shí)時(shí)態(tài)勢(shì)感知，以有效應(yīng)對(duì)隱蔽性威脅。工控網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)有工控探針和互聯(lián)網(wǎng)探針，一般將工控探針?lè)植际讲渴鹩谏a(chǎn)調(diào)度區(qū)各層匯聚交換機(jī)上，通過(guò)鏡像流量實(shí)現(xiàn)對(duì)各層鏈路利用率、業(yè)務(wù)分部情況、服務(wù)帶寬占用等進(jìn)行監(jiān)測(cè)，通過(guò)構(gòu)建攻擊知識(shí)庫(kù)實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)惡意行為的誘捕、存儲(chǔ)、分析，對(duì)不正當(dāng)行為進(jìn)行關(guān)鍵工控事件檢測(cè)，最后由工控安全監(jiān)測(cè)評(píng)估系統(tǒng)匯總、分析后給出監(jiān)測(cè)報(bào)告；將互聯(lián)網(wǎng)探針部署在互聯(lián)網(wǎng)出入口，對(duì)來(lái)自外部區(qū)域的探測(cè)、攻擊行為進(jìn)行監(jiān)測(cè)和分析，必要時(shí)進(jìn)行反制[6]。

3 工控網(wǎng)安全防護(hù)體系思考

3.1 防護(hù)原則與目標(biāo)

(1)防護(hù)原則

工控網(wǎng)絡(luò)安全防護(hù)堅(jiān)持分級(jí)領(lǐng)導(dǎo)、落實(shí)責(zé)任；堅(jiān)持同步規(guī)劃、同步建設(shè)、同步使用；堅(jiān)持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行；堅(jiān)持分區(qū)管理、重點(diǎn)保護(hù)；堅(jiān)持安全監(jiān)測(cè)、及時(shí)上報(bào)；堅(jiān)持誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)，充分發(fā)揮各方力量維護(hù)工控網(wǎng)絡(luò)安全。

(2)防護(hù)建設(shè)目標(biāo)

工控網(wǎng)絡(luò)安全防護(hù)建設(shè)目標(biāo)應(yīng)該是建立一個(gè)深度安全防護(hù)體系，保障工控網(wǎng)絡(luò)全生命周期安全可控，在技術(shù)上可以實(shí)現(xiàn)對(duì)工控協(xié)議指紋識(shí)別和無(wú)損探測(cè)，感知工控網(wǎng)絡(luò)中設(shè)備并形成網(wǎng)絡(luò)拓?fù)?，能夠?qū)Ω鲗泳W(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)和預(yù)警，及時(shí)發(fā)現(xiàn)、追蹤工控網(wǎng)絡(luò)中存在的安全威脅，集中呈現(xiàn)整個(gè)工控網(wǎng)絡(luò)安全態(tài)勢(shì)，提升網(wǎng)絡(luò)安全事件預(yù)警與處置能力；在管理上從監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)、安全防護(hù)、監(jiān)督檢查等方面建立對(duì)應(yīng)的安全管理機(jī)制，保證工控網(wǎng)絡(luò)安全相關(guān)制度、要求、責(zé)任落實(shí)到位。

3.2 防護(hù)體系框架研究

工控網(wǎng)絡(luò)安全防護(hù)應(yīng)涵蓋網(wǎng)絡(luò)系統(tǒng)規(guī)劃、建設(shè)、運(yùn)行、維護(hù)四個(gè)過(guò)程，從本質(zhì)安全、技術(shù)防護(hù)、標(biāo)準(zhǔn)規(guī)范、管理制度、運(yùn)行管控五個(gè)方面進(jìn)行綜合考慮。建立綜合的網(wǎng)絡(luò)安全防護(hù)體系，持續(xù)作用于整個(gè)工控網(wǎng)絡(luò)的安全防護(hù)生命周期中，在維護(hù)運(yùn)行效率和安全生產(chǎn)間找到平衡點(diǎn)，保障企業(yè)安全高效的開(kāi)展生產(chǎn)活動(dòng)[7-8]。

在技術(shù)防護(hù)上要從應(yīng)用、主機(jī)、控制器、網(wǎng)絡(luò)等層面考慮采用訪問(wèn)控制、加密、安全審計(jì)等手段，建立縱深技術(shù)防護(hù)機(jī)制，在縱向上保證分層監(jiān)測(cè)、安全隔離；在橫向上保證分區(qū)管控、重點(diǎn)防護(hù)。在標(biāo)準(zhǔn)規(guī)范上要從基礎(chǔ)、技術(shù)體制、測(cè)試評(píng)估和管理等方面建立相應(yīng)標(biāo)準(zhǔn)，為工控網(wǎng)絡(luò)安全規(guī)劃、建設(shè)、管理、運(yùn)維、質(zhì)量、評(píng)估、測(cè)試、服務(wù)等方面提供統(tǒng)一、科學(xué)的標(biāo)準(zhǔn)規(guī)范[9]。

在管理制度上應(yīng)當(dāng)從治理、管理、執(zhí)行、監(jiān)督檢查等方面來(lái)考慮，政府方面要建立完善網(wǎng)絡(luò)安全組織管理體系，明確相關(guān)政策與制度，定期組織網(wǎng)絡(luò)安全培訓(xùn)、應(yīng)急演練、監(jiān)督檢查等，企業(yè)要設(shè)立專(zhuān)門(mén)的網(wǎng)絡(luò)安全管理機(jī)構(gòu)，并明確各部門(mén)的網(wǎng)絡(luò)安全職責(zé)與責(zé)任人，保證網(wǎng)絡(luò)安全相關(guān)要求執(zhí)行到底，同時(shí)要建立完善的制度體系，從安全組織、安全策略、生產(chǎn)管理、供應(yīng)鏈管理等方面考慮，實(shí)現(xiàn)工控資產(chǎn)可見(jiàn)、可管、可控，不斷規(guī)范企業(yè)各項(xiàng)工作流程，保障生產(chǎn)制造活動(dòng)有序進(jìn)行。在運(yùn)行管控上，要注重過(guò)程安全，以預(yù)防、監(jiān)測(cè)、響應(yīng)為主線，建立整個(gè)工控網(wǎng)絡(luò)運(yùn)行管理和防護(hù)體系，做到網(wǎng)絡(luò)安全威脅的提前預(yù)警，網(wǎng)絡(luò)攻擊流量的監(jiān)測(cè)追蹤，網(wǎng)絡(luò)安全事件的及時(shí)決策與響應(yīng)，保障運(yùn)行管理通暢，形成綜合安全態(tài)勢(shì)，保證整個(gè)工控網(wǎng)絡(luò)安全綜合可控。

工控網(wǎng)絡(luò)安全防護(hù)體系需要關(guān)注本質(zhì)安全，應(yīng)保證關(guān)鍵系統(tǒng)、核心芯片、專(zhuān)用軟件、處理器、數(shù)據(jù)庫(kù)等基礎(chǔ)產(chǎn)品安全可靠，在基礎(chǔ)軟硬件的供應(yīng)鏈層面，在滿足建設(shè)要求的條件下，主動(dòng)選擇安全可靠程度更高的產(chǎn)品，夯實(shí)防護(hù)體系基礎(chǔ)。

工控網(wǎng)絡(luò)安全防護(hù)體系如圖2所示。

圖2 工控網(wǎng)絡(luò)安全防護(hù)體系框架

4 結(jié)論

工控網(wǎng)絡(luò)攻擊具有嚴(yán)組織、高隱蔽、強(qiáng)持續(xù)的特點(diǎn)，而且技術(shù)手段層出不窮，尤其是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施的工控網(wǎng)絡(luò)和系統(tǒng)，一旦出現(xiàn)問(wèn)題，會(huì)對(duì)國(guó)家安全和經(jīng)濟(jì)社會(huì)發(fā)展帶來(lái)巨大威脅。本文分析了工控網(wǎng)絡(luò)安全面臨的問(wèn)題，提出工控網(wǎng)絡(luò)安全監(jiān)測(cè)的相關(guān)技術(shù)和防護(hù)部署模式，并對(duì)整個(gè)網(wǎng)絡(luò)安全防護(hù)體系進(jìn)行思考，希望將安全防護(hù)注入整個(gè)工控網(wǎng)絡(luò)設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)的全生命周期里，制定嚴(yán)格的標(biāo)準(zhǔn)規(guī)范，保障生產(chǎn)制造活動(dòng)高效率、高安全、高可靠。