基于MSEM的工業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)研究

張 帥 孟慶森

北京啟明星辰信息安全技術(shù)有限公司 北京 100193

引言

工業(yè)控制網(wǎng)絡(luò)由最初的分散型控制系統(tǒng)，后來(lái)逐漸演變成以現(xiàn)場(chǎng)總線技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)。由于沒(méi)有通行標(biāo)準(zhǔn)，很多廠商推出了私有的現(xiàn)場(chǎng)總線標(biāo)準(zhǔn)，形成了所謂的“自動(dòng)化孤島”，不符合現(xiàn)代企業(yè)對(duì)數(shù)據(jù)通信的要求。隨著以太網(wǎng)進(jìn)入工業(yè)領(lǐng)域，形成工業(yè)以太網(wǎng)，使得企業(yè)實(shí)現(xiàn)從現(xiàn)場(chǎng)設(shè)備層到管理層間全面的無(wú)縫信息集成，并提供了開(kāi)放的基礎(chǔ)構(gòu)架。

工業(yè)以太網(wǎng)具有開(kāi)放、低成本和易組網(wǎng)等優(yōu)勢(shì)，解決了工業(yè)網(wǎng)絡(luò)中設(shè)備兼容性、互操作性和信息的流通性等問(wèn)題。但是由于管理網(wǎng)和生產(chǎn)網(wǎng)的融合，使得傳統(tǒng)的網(wǎng)絡(luò)安全威脅逐漸遷入到工業(yè)控制網(wǎng)絡(luò)中，尤其針對(duì)工業(yè)控制系統(tǒng)的高級(jí)持續(xù)性的攻擊方式(Advance Persistent Threat，APT)引發(fā)了一系列震驚世界的工業(yè)網(wǎng)絡(luò)安全事件，標(biāo)志著網(wǎng)絡(luò)安全威脅從“開(kāi)放”的互聯(lián)網(wǎng)已經(jīng)進(jìn)入到原本“封閉”的工控網(wǎng)。據(jù)統(tǒng)計(jì)超過(guò)80%涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)，因此國(guó)家已經(jīng)把工業(yè)控制系統(tǒng)安全作為國(guó)家安全戰(zhàn)略的重要組成部分。

本文首先完成了面向工業(yè)系統(tǒng)安全相關(guān)的研究綜述，同時(shí)對(duì)工業(yè)網(wǎng)絡(luò)的脆弱性和相應(yīng)威脅進(jìn)行了分析；其次基于對(duì)工業(yè)系統(tǒng)網(wǎng)絡(luò)安全需求的研究，提出了基于MSEM的工業(yè)網(wǎng)絡(luò)安全防護(hù)模型。最后在該模型理論支撐下，完成了基于協(xié)同防御架構(gòu)工業(yè)安全防護(hù)系統(tǒng)。

1 相關(guān)研究

國(guó)外工業(yè)網(wǎng)絡(luò)安全相關(guān)研究起步較早，在學(xué)術(shù)領(lǐng)域，Eric J.Byres自2000年以來(lái)陸續(xù)發(fā)表了關(guān)于工業(yè)系統(tǒng)安全的一系列論文，分析工業(yè)空間安全威脅[1]，利用攻擊樹(shù)理論詳細(xì)分析工業(yè)SCADA系統(tǒng)的脆弱性[2]，并設(shè)計(jì)了面向工業(yè)控制系統(tǒng)的安全網(wǎng)絡(luò)[3-4]；同時(shí)他于2009年創(chuàng)立了Tofino公司，致力于開(kāi)發(fā)工業(yè)網(wǎng)絡(luò)安全產(chǎn)品，其中包括工業(yè)防火墻和工業(yè)VPN[5]等。Dzung提出工業(yè)通信系統(tǒng)中的安全解決方案包括工業(yè)VPN等[6]，Igure分析了SCADA系統(tǒng)中如何實(shí)現(xiàn)安全防護(hù)[7]，Walters分析了在工業(yè)無(wú)線傳感器網(wǎng)絡(luò)中的安全解決方案[8]。在安全標(biāo)準(zhǔn)方面，美國(guó)早在2007年就推出工業(yè)安全指南[9]。在安全產(chǎn)品方面，國(guó)外公司具有一定的領(lǐng)先優(yōu)勢(shì)，Tofino公司以工業(yè)防火墻產(chǎn)品為主，Innominate公司主要開(kāi)發(fā)工業(yè)VPN[10]產(chǎn)品，Industrial defender主要側(cè)重工業(yè)安全審計(jì)產(chǎn)品[11]，SIEMENS推出基于縱深防御的安全防護(hù)系統(tǒng)[12]。

國(guó)內(nèi)相關(guān)研究相對(duì)較少，工業(yè)和信息化部發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》[13]，強(qiáng)調(diào)加強(qiáng)工業(yè)信息安全的重要性、緊迫性，并明確重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理要求。學(xué)術(shù)方面，包括構(gòu)建基于區(qū)域安全的DMZ模型[14]、針對(duì)工業(yè)網(wǎng)絡(luò)安全服務(wù)框架的研究[15]、面向工業(yè)網(wǎng)絡(luò)的可靠性分析[16]等。從安全產(chǎn)品來(lái)看，啟明星辰開(kāi)發(fā)了工業(yè)安全網(wǎng)閘、防火墻和工業(yè)終端防護(hù)等產(chǎn)品。海天煒業(yè)、30衛(wèi)士和中科網(wǎng)威等廠商均推出工業(yè)防火墻，力控華康推出工業(yè)安全網(wǎng)閘等。

2 工業(yè)網(wǎng)絡(luò)安全需求分析

傳統(tǒng)的信息系統(tǒng)對(duì)可用性、完整性和保密性的安全需求優(yōu)先級(jí)依次升高，其中保密性是優(yōu)先級(jí)最高的安全需求。而工業(yè)嚴(yán)苛的現(xiàn)場(chǎng)環(huán)境以及工業(yè)生產(chǎn)需求決定了工業(yè)系統(tǒng)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性和可用性要求最高，因此工業(yè)系統(tǒng)安全需求分析以及系統(tǒng)防護(hù)方案以可用性為首要參考標(biāo)準(zhǔn)。

工業(yè)控制系統(tǒng)的脆弱性主要集中在以下兩點(diǎn)，同時(shí)也由此帶來(lái)了相應(yīng)的安全威脅和安全需求，具體分析如下。

1) 工控網(wǎng)絡(luò)互連互通帶來(lái)的脆弱性。工業(yè)以太網(wǎng)在提高信息互連的同時(shí)，包括通過(guò)基于OPC(OLE for Process Control，用于過(guò)程控制的OLE)的工業(yè)數(shù)據(jù)交換、基于FTP協(xié)議的DNC(Distributed Numerical Control，分布式數(shù)控)網(wǎng)絡(luò)的指令傳遞等，使傳統(tǒng)安全威脅很快滲透到工業(yè)網(wǎng)絡(luò)中。而原本封閉的工控網(wǎng)絡(luò)早期并沒(méi)有考慮相應(yīng)的安全防護(hù)措施，包括缺失的數(shù)據(jù)通信加密、數(shù)據(jù)流及控制流的訪問(wèn)控制、用戶認(rèn)證機(jī)制、無(wú)線安全連接和安全審計(jì)監(jiān)控等。而同時(shí)由于大量的廠家或協(xié)會(huì)公布了工控協(xié)議的實(shí)現(xiàn)細(xì)節(jié)和標(biāo)準(zhǔn)(如modbus、hse、ethernet/ip)，使得攻擊者可以深入挖掘其中的漏洞，并借此展開(kāi)攻擊。本節(jié)通過(guò)對(duì)工業(yè)網(wǎng)絡(luò)的互連互通進(jìn)行分析，進(jìn)而得到其網(wǎng)絡(luò)防護(hù)安全需求。

典型工控網(wǎng)是由三層網(wǎng)絡(luò)組成(如圖1所示)，包括管理層、監(jiān)控層和設(shè)備層。

①管理層是傳統(tǒng)的辦公網(wǎng)。其中包括管理信息系統(tǒng)，通過(guò)此系統(tǒng)可以獲取下層網(wǎng)絡(luò)的生產(chǎn)信息和數(shù)據(jù)，使管理者及時(shí)了解和掌握生產(chǎn)工藝各流程的運(yùn)行狀況和工藝參數(shù)的變化，實(shí)現(xiàn)對(duì)工藝的過(guò)程監(jiān)視與控制。②監(jiān)控層主要功能是對(duì)下層設(shè)備層進(jìn)行全面監(jiān)控和維護(hù)。③設(shè)備層是生產(chǎn)的核心，它通過(guò)相應(yīng)的指令對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行控制，完成生產(chǎn)任務(wù)。其中硬件主要包括PLC、RTU和Controller等。除此之外還包括運(yùn)維設(shè)備(如HMI、工程師站等控制計(jì)算機(jī))，實(shí)現(xiàn)功能包括組態(tài)下層PLC上傳信息、顯示組態(tài)畫(huà)面、對(duì)PLC進(jìn)行程序的編制、更改任務(wù)等，主要通過(guò)軟件實(shí)現(xiàn)，包括上位組態(tài)軟件和應(yīng)用軟件等。通過(guò)對(duì)工業(yè)網(wǎng)絡(luò)的理解，以及對(duì)工業(yè)網(wǎng)絡(luò)的安全威脅遷入點(diǎn)(如圖2所示)的分析，即可得到相應(yīng)的安全防護(hù)需求(如表1所示)。

圖1 工業(yè)網(wǎng)絡(luò)組成與劃分示意圖

2) 工業(yè)控制系統(tǒng)平臺(tái)自身的脆弱性。由于工業(yè)網(wǎng)絡(luò)早期是封閉的，系統(tǒng)在最初設(shè)計(jì)時(shí)，并沒(méi)有把其自身的安全性作為主要考慮目標(biāo)。同時(shí)工業(yè)系統(tǒng)對(duì)穩(wěn)定性要求非常高，企業(yè)即使發(fā)現(xiàn)了系統(tǒng)組件的漏洞，也很少或很難對(duì)系統(tǒng)進(jìn)行升級(jí)。因此平臺(tái)的自身脆弱性是目前工業(yè)控制系統(tǒng)所面臨的嚴(yán)峻挑戰(zhàn)。

生產(chǎn)設(shè)備硬件的漏洞是指控制系統(tǒng)中的PLC/RTU等設(shè)備往往都存在的嚴(yán)重漏洞，這些漏洞可以直接被黑客(如震網(wǎng)病毒)利用破壞生產(chǎn)網(wǎng)絡(luò)。無(wú)論是國(guó)外的SIMENS、Schneider等工業(yè)巨頭還是國(guó)內(nèi)的三維力控、亞控科技等廠商都公布了大量的關(guān)于設(shè)備硬件的漏洞。

圖2 工業(yè)網(wǎng)絡(luò)安全威脅遷入點(diǎn)示意圖

表1 工業(yè)網(wǎng)絡(luò)安全需求列表

系統(tǒng)平臺(tái)軟件包括設(shè)備操作系統(tǒng)、組態(tài)軟件和管理系統(tǒng)等。漏洞分類從操作系統(tǒng)上來(lái)看，很多工程師站、服務(wù)器、HMI，同時(shí)包括一些嵌入式的設(shè)備都采用Windows XP系統(tǒng)，那么微軟停止XP安全漏洞的更新將會(huì)給工控系統(tǒng)帶來(lái)更大風(fēng)險(xiǎn)隱患，同時(shí)其它一些嵌入式系統(tǒng)也存在很多漏洞；從組態(tài)軟件和管理系統(tǒng)看，它們可以直接控制生產(chǎn)設(shè)備，因此其漏洞也會(huì)直接威脅到工控網(wǎng)絡(luò)中的設(shè)備，如亞控公司的組態(tài)王(KingView)軟件曾曝出存在嚴(yán)重漏洞等。

3 工業(yè)網(wǎng)絡(luò)攻擊分析

工業(yè)網(wǎng)絡(luò)中的攻擊更多地體現(xiàn)出APT的攻擊方式(如“震網(wǎng)”病毒、“火焰”病毒等)。攻擊者有目的大規(guī)模搜集目標(biāo)對(duì)象的漏洞，并長(zhǎng)期持續(xù)利用各種攻擊手段對(duì)目標(biāo)實(shí)施滲透攻擊，直到攻陷系統(tǒng)為止。

如圖3所示，紅色路徑和藍(lán)色路徑各代表著一些典型攻擊路徑，黑客通過(guò)漏洞來(lái)攻占某臺(tái)服務(wù)器或者工程師站，以此為支點(diǎn)(Pivoting)逐漸滲透到過(guò)程控制網(wǎng)絡(luò)中。相應(yīng)可能攻擊路徑描述如下。

圖3 工業(yè)網(wǎng)絡(luò)攻擊路徑與數(shù)據(jù)流圖

1)攻擊歷史數(shù)據(jù)站(Historian)，然后可以摧毀企業(yè)的健康和安全記錄，修改工廠的狀態(tài)報(bào)表，或以此支點(diǎn)攻擊下一目標(biāo)。2)攻擊HMI，使得工廠處于盲人狀態(tài)；修改控制參數(shù)損害設(shè)備，或以此支點(diǎn)攻擊下一目標(biāo)。3)攻擊應(yīng)用服務(wù)器，篡改顯示現(xiàn)場(chǎng)設(shè)備運(yùn)行狀態(tài)畫(huà)面，阻止同步現(xiàn)場(chǎng)數(shù)據(jù)，篡改數(shù)據(jù)庫(kù)等，或以此支點(diǎn)攻擊下一目標(biāo)。4)攻擊工程師站(EWS)，刪除已經(jīng)設(shè)置好的安全邏輯，盜取PLC代碼，篡改PLC邏輯，或以此支點(diǎn)攻擊下一目標(biāo)。5)攻擊PLC，寫(xiě)任意內(nèi)存破壞PLC。

4 MSEM安全防護(hù)模型

通過(guò)對(duì)典型的工業(yè)入侵路徑和數(shù)據(jù)流的分析，工業(yè)網(wǎng)絡(luò)是一個(gè)典型的多級(jí)、多點(diǎn)滲透進(jìn)攻的載體，同時(shí)結(jié)合上一節(jié)針對(duì)工業(yè)網(wǎng)絡(luò)聯(lián)通性和平臺(tái)自身脆弱性的分析，發(fā)現(xiàn)要實(shí)現(xiàn)工控系統(tǒng)的安全防護(hù)，必須要采用分布式協(xié)同防御的安全體系。本文提出基于MSEM的安全防護(hù)模型(如圖4所示)，將工業(yè)網(wǎng)絡(luò)分為實(shí)體對(duì)象(entity object)、安全對(duì)象(security object)和管理對(duì)象(manager object)。

圖4 協(xié)同防御模型

1) 實(shí)體對(duì)象：指工業(yè)網(wǎng)絡(luò)中的設(shè)備實(shí)體(被檢測(cè)實(shí)體)。實(shí)體間通過(guò)消息傳遞來(lái)完成工業(yè)生產(chǎn)任務(wù)，是模型監(jiān)控的對(duì)象。工業(yè)控制系統(tǒng)在上線調(diào)試完成后，正常運(yùn)轉(zhuǎn)時(shí)所下發(fā)的指令和采集的數(shù)據(jù)相較于傳統(tǒng)的信息系統(tǒng)來(lái)說(shuō)更加固定和可控，是一個(gè)相對(duì)穩(wěn)定的小集合。因此模型通過(guò)對(duì)實(shí)體對(duì)象信息的全局監(jiān)控來(lái)為協(xié)同防御提供依據(jù)。設(shè)備實(shí)體在應(yīng)用中具體是指包括HMI、工程師站、PLC和RTU等在內(nèi)的工業(yè)系統(tǒng)組件；消息主要包括控制算法、受控變量、操作變量和現(xiàn)場(chǎng)數(shù)據(jù)等。

2) 安全對(duì)象：指工業(yè)網(wǎng)絡(luò)中的安全防護(hù)對(duì)象。該對(duì)象被部署在系統(tǒng)中的各個(gè)檢測(cè)點(diǎn)，通過(guò)截獲實(shí)體對(duì)象之間的消息，并依據(jù)管理對(duì)象發(fā)布的策略，對(duì)消息內(nèi)容進(jìn)行檢測(cè)，執(zhí)行分布式防御任務(wù)。同時(shí)將可疑信息及執(zhí)行路徑發(fā)送到管理對(duì)象，由管理對(duì)象執(zhí)行認(rèn)證以及協(xié)同防御策略下發(fā)。具體是指包括安全網(wǎng)關(guān)、數(shù)據(jù)采集和主機(jī)防護(hù)在內(nèi)的安全產(chǎn)品等。

3) 管理對(duì)象：工業(yè)網(wǎng)絡(luò)更多是多點(diǎn)滲透和高級(jí)持續(xù)性攻擊行為，因此要求管理對(duì)象具有分布式協(xié)同防御能力，通過(guò)場(chǎng)景檢測(cè)器，對(duì)整個(gè)系統(tǒng)中的安全威脅進(jìn)行分析和行為認(rèn)證，并協(xié)調(diào)多個(gè)安全對(duì)象對(duì)實(shí)體對(duì)象進(jìn)行防護(hù)。具體是指綜合預(yù)警聯(lián)動(dòng)平臺(tái)。

模型的運(yùn)行機(jī)制包括以下幾個(gè)方面。1)各個(gè)安全對(duì)象開(kāi)啟學(xué)習(xí)模式，由管理員完成合法操作，并采集實(shí)體對(duì)象之間的消息通信，數(shù)據(jù)提交管理對(duì)象，并建立正常的通信和應(yīng)用場(chǎng)景。在完成學(xué)習(xí)后，整個(gè)系統(tǒng)可以上線運(yùn)行。2)當(dāng)實(shí)際運(yùn)行時(shí)，由各個(gè)安全對(duì)象采集實(shí)體的相關(guān)信息，當(dāng)某個(gè)安全對(duì)象發(fā)現(xiàn)異常時(shí)，提交問(wèn)題Q(ti)給管理中心，由管理中心將問(wèn)題進(jìn)行模擬執(zhí)行或者于特征中心進(jìn)行比對(duì)，對(duì)問(wèn)題進(jìn)行解答，獲得該問(wèn)題的可疑度S(ti)。3)將S(ti)和設(shè)定的臨界值進(jìn)行比較，如果超過(guò)臨界值，由管理對(duì)象觸發(fā)協(xié)同防御。

模型的優(yōu)勢(shì)如下所示。1)動(dòng)態(tài)開(kāi)放性，實(shí)體對(duì)象能動(dòng)態(tài)地加入和退出模型，體現(xiàn)了開(kāi)放性；安全對(duì)象能動(dòng)態(tài)綁定實(shí)體檢測(cè)對(duì)象；管理對(duì)象可以通過(guò)規(guī)則驅(qū)動(dòng)改變安全結(jié)構(gòu)和策略。2)防御協(xié)同性，通過(guò)管理中心對(duì)安全事件的綜合分析，制定綜合防御方案，可以有效提高工業(yè)網(wǎng)絡(luò)的安全防護(hù)能力。

5 工業(yè)網(wǎng)絡(luò)安全協(xié)同防御系統(tǒng)的實(shí)現(xiàn)

本文在MSEM安全防護(hù)模型的基礎(chǔ)上實(shí)現(xiàn)了基于協(xié)同防御架構(gòu)的工業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)(架構(gòu)圖見(jiàn)圖5，組成示意圖見(jiàn)圖6)。

圖5 防護(hù)系統(tǒng)架構(gòu)圖

圖6 協(xié)同防御系統(tǒng)組成示意圖

防護(hù)系統(tǒng)的安全對(duì)象部署在多個(gè)安全檢測(cè)點(diǎn)，分別由網(wǎng)絡(luò)防護(hù)安全對(duì)象和主機(jī)防護(hù)安全對(duì)象構(gòu)成。網(wǎng)絡(luò)防護(hù)安全對(duì)象主要是指工業(yè)網(wǎng)絡(luò)安全網(wǎng)關(guān)，具備工業(yè)網(wǎng)絡(luò)數(shù)據(jù)DPI(Deep Packet Inspection，深度包檢測(cè))、入侵防護(hù)、工業(yè)協(xié)議訪問(wèn)控制、審計(jì)和預(yù)警等功能，通過(guò)該對(duì)象可以分布式防御工業(yè)網(wǎng)絡(luò)連通性所帶來(lái)的安全威脅。主機(jī)防護(hù)安全對(duì)象具備工控系統(tǒng)多級(jí)代碼完整性檢查、主機(jī)監(jiān)控、主機(jī)控制和主機(jī)審計(jì)功能，通過(guò)該對(duì)象可以有效防御工業(yè)系統(tǒng)平臺(tái)自身脆弱性所帶來(lái)的安全威脅。

防護(hù)系統(tǒng)的管理對(duì)象由綜合預(yù)警聯(lián)動(dòng)平臺(tái)構(gòu)成，通過(guò)集中收集實(shí)體對(duì)象之間的消息通信、主機(jī)防護(hù)安全對(duì)象的基線變化情況以及網(wǎng)絡(luò)防護(hù)安全對(duì)象的異常檢測(cè)情況來(lái)進(jìn)行綜合分析，同時(shí)根據(jù)威脅級(jí)別，協(xié)調(diào)不同的安全對(duì)象對(duì)實(shí)體對(duì)象進(jìn)行立體防護(hù)。流程示例如下。

1) 綜合預(yù)警聯(lián)動(dòng)平臺(tái)不斷收集實(shí)體對(duì)象的信息、安全對(duì)象的日志和審計(jì)信息，通過(guò)不斷積累，逐漸建立起正?；€和防御場(chǎng)景。

2) 觸發(fā)協(xié)同防御分析的可能性：①如當(dāng)某個(gè)主機(jī)防護(hù)安全對(duì)象檢測(cè)到某臺(tái)工程師站的代碼與中心服務(wù)器運(yùn)行代碼不一致，會(huì)將異常發(fā)到預(yù)警平臺(tái)，觸發(fā)協(xié)同防御分析；②當(dāng)某個(gè)網(wǎng)絡(luò)防護(hù)安全對(duì)象檢測(cè)到有入侵事件；③當(dāng)主機(jī)監(jiān)控發(fā)現(xiàn)有核心文件被篡改、當(dāng)網(wǎng)絡(luò)邊界突然有流量遞增等。

3) 防護(hù)系統(tǒng)還預(yù)置多種安全協(xié)同防御觸發(fā)機(jī)制，以上只是典型的觸發(fā)點(diǎn)。

4) 綜合預(yù)警聯(lián)動(dòng)平臺(tái)收到安全威脅后，通過(guò)觸發(fā)的安全威脅數(shù)據(jù)和安全基線進(jìn)行對(duì)比，得到安全威脅指數(shù)，當(dāng)安全威脅指數(shù)超過(guò)預(yù)設(shè)值后，就會(huì)觸發(fā)協(xié)同防御。

5) 預(yù)警平臺(tái)會(huì)將安全威脅影響到的安全區(qū)域進(jìn)行隔離，同時(shí)針對(duì)核心設(shè)備層中的PLC等進(jìn)行只讀保護(hù)，在不中斷安全生產(chǎn)的情況下，及時(shí)進(jìn)行安全預(yù)警，避免發(fā)生設(shè)備層的停車(chē)；及時(shí)將整體分析結(jié)果反饋給管理員，由管理員進(jìn)行排查，解決問(wèn)題后，恢復(fù)正常生產(chǎn)模式，并不斷學(xué)習(xí)，增加安全基線的模型組成數(shù)據(jù)。

6 關(guān)鍵技術(shù)

6.1 工業(yè)協(xié)議深度包過(guò)濾技術(shù)

安全對(duì)象中核心的技術(shù)是工業(yè)協(xié)議深度包過(guò)濾技術(shù)，只有深入理解工業(yè)網(wǎng)絡(luò)數(shù)據(jù)，才能真正判斷出安全威脅。本系統(tǒng)支持50種以上被廣泛應(yīng)用的工業(yè)協(xié)議的深度解析功能，并根據(jù)協(xié)議的不同字段實(shí)現(xiàn)了如讀寫(xiě)控制和參數(shù)預(yù)警等功能。

系統(tǒng)實(shí)現(xiàn)了工業(yè)報(bào)文的識(shí)別引擎，可以快速自定義和增加工業(yè)協(xié)議的特征。協(xié)議識(shí)別引擎由協(xié)議特征狀態(tài)樹(shù)和識(shí)別參數(shù)構(gòu)成，如圖7所示。

圖7 工控協(xié)議特別識(shí)別樹(shù)結(jié)構(gòu)

通過(guò)現(xiàn)場(chǎng)和仿真環(huán)境，對(duì)不同協(xié)議的報(bào)文特征進(jìn)行深入分析和大量試驗(yàn)，本文完成了工業(yè)協(xié)議報(bào)文特征庫(kù)的建立，并實(shí)現(xiàn)了工業(yè)協(xié)議的完整性檢查，以O(shè)PC協(xié)議的報(bào)文特征為例，說(shuō)明如下。OPC通過(guò)端口135進(jìn)行協(xié)商，協(xié)商出動(dòng)態(tài)端口，然后通過(guò)數(shù)據(jù)連接進(jìn)行通訊。OPC的動(dòng)態(tài)端口存在于激活操作的響應(yīng)報(bào)文中StringBinding數(shù)組中。

除了可以識(shí)別工業(yè)協(xié)議外，防護(hù)系統(tǒng)還實(shí)現(xiàn)了工業(yè)協(xié)議的完整性檢查功能，同樣以O(shè)PC為例：OPC協(xié)議在連接創(chuàng)建后，會(huì)進(jìn)行一個(gè)協(xié)商過(guò)程，分為Bind、Bind_ack和AUTH3的過(guò)程。如果會(huì)話流不符合完整性檢查的規(guī)則，系統(tǒng)就會(huì)預(yù)警。

6.2 工業(yè)協(xié)議數(shù)據(jù)快速I(mǎi)/O框架

工業(yè)網(wǎng)絡(luò)產(chǎn)品與傳統(tǒng)信息系統(tǒng)在實(shí)時(shí)性上要求不同，工業(yè)網(wǎng)絡(luò)產(chǎn)品最核心的性能指標(biāo)就是實(shí)時(shí)性。工業(yè)網(wǎng)絡(luò)特點(diǎn)體現(xiàn)在：1)信息長(zhǎng)度?。?)周期與非周期信息同時(shí)存在，正常工作狀態(tài)下，周期性信息(如過(guò)程測(cè)量與控制信息、監(jiān)控信息等)較多，而非周期信息(如突發(fā)事件報(bào)警、程序上下載)較少；3)信息流有明顯的方向性；4)測(cè)量控制信息的傳送有一定次序。

本文工業(yè)協(xié)議的解析在用戶空間，通過(guò)基于NetMap[10]快速報(bào)文I/O框架，有效提高了工業(yè)協(xié)議的解析處理性能，滿足了工業(yè)對(duì)實(shí)時(shí)性的嚴(yán)苛要求。

7 實(shí)驗(yàn)

在實(shí)驗(yàn)中，本文總結(jié)了典型的10種工業(yè)安全攻擊樹(shù)，共實(shí)現(xiàn)了50種攻擊路徑。本文選取了其中一個(gè)攻擊樹(shù)和9條攻擊路徑[2]，如圖8所示。

圖8 SCADA攻擊樹(shù)

經(jīng)過(guò)測(cè)試，系統(tǒng)安全預(yù)警41例，預(yù)警成功率達(dá)到82%；協(xié)同防護(hù)成功34例，防護(hù)成功率達(dá)到68%。漏報(bào)3例，漏報(bào)率6%；誤報(bào)2例，誤報(bào)率4%。

8 總結(jié)

本文在研究工控安全威脅需求的基礎(chǔ)上，提出基于MSEM的工業(yè)網(wǎng)絡(luò)安全防護(hù)模型，并在此基礎(chǔ)上實(shí)現(xiàn)了分布式的工業(yè)安全防御系統(tǒng)，通過(guò)對(duì)系統(tǒng)關(guān)鍵技術(shù)的研究，經(jīng)過(guò)實(shí)際測(cè)試，系統(tǒng)達(dá)到較好的防護(hù)水平。但系統(tǒng)還有很大提升的空間，需要繼續(xù)研究以提升系統(tǒng)的成功防護(hù)率。

參考文獻(xiàn)

[1]Byres Eric,Justin Lowe.The myths and facts behind cyber security risks for industrial control systems[C].Proceedings of the VDE Congress,2004

[2]Byres E J,Franz M,Miller D.The use of attack trees in assessing vulnerabilities in SCADA systems[C].Proceedings of the International Infrastructure Survivability Workshop,2004

[3]Byres E J.Designing secure networks for process control[J].Industry Applications Magazine,IEEE.2000,6(5): 33-39

[4]Creery A,Byres E J.Industrial cybersecurity for power system and SCADA networks[C]//Petroleum and Chemical Industry Conference,2005

[5]Joe S,Byres E.High Security Integration Using OPC[EB/OL].[2015-01-07].http://www.iceweb.com.au/sis/HighSecurityIntegrationUsingOPC.pdf

[6]Dacfey D,Naedele M,Von Hoff T P,et al.Security for industrial communication systems[J].Proceedings of the IEEE,2005,93(6):1152-1177

[7]Igure V M,Laughter S A,Williams R D.Security issues in SCADA networks[J].Computers &Security 2006,25(7):498-506

[8]Walters J P,Liang Z Q,Shi W S,et al.Wireless sensor network security:A survey[M]//Xiao Y.Security in distributed,grid,mobile,and pervasive computing.Auerbach publications,CRC Press

[9]Stouffer K,Falco J,Scarfone K.Guide to industrial control systems (ICS)security[S].NIST Special Publication 800-82,2007

[10]Innominate mGuard[EB/OL].[2015-01-07].http://www.innominate.com/data/downloads/manuals/handbuch_mguard_420_de.pdf

[11]Industrial defender[EB/OL].[2015-01-07].http://id.lockheedmartin.com/

[12]SIEMENS[EB/OL].[2015-01-07].http://www.industry.siemens.com/topics/global/en/industrial-security/pages/Default.aspx

[13]中華人民共和國(guó)工業(yè)和信息化部.關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知[S]

[14]王浩,吳中福,王平.工業(yè)控制網(wǎng)絡(luò)安全模型研究[J].計(jì)算機(jī)科學(xué),2007,34(5):96-98

[15]蘭昆,饒志宏,唐林,等.工業(yè)SCADA系統(tǒng)網(wǎng)絡(luò)的安全服務(wù)框架研究[J].信息安全與通信保密,2010(3):47-49

[16]車(chē)勇,黃之初.面向網(wǎng)絡(luò)的過(guò)程工業(yè)安全與可靠性分析及實(shí)現(xiàn)[J].中國(guó)安全科學(xué)學(xué)報(bào),2007,17(7):162-166