重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺建設(shè)研究

熊道琦，梁猛，阮濤

（浙江齊安信息科技有限公司，浙江 杭州 310051）

0 引言

隨著自動化、計(jì)算機(jī)及互聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展，工業(yè)控制系統(tǒng)已逐步形成了管理與控制的一體化，工控系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，信息化與工業(yè)化深度融合使工業(yè)控制系統(tǒng)處于開放狀態(tài)，不再是一個獨(dú)立運(yùn)行的系統(tǒng)，其接入的范圍不僅僅局限在工控網(wǎng)絡(luò)，已擴(kuò)展到了互聯(lián)網(wǎng)，因而面臨著來自互聯(lián)網(wǎng)的信息安全威脅。

1 工控網(wǎng)絡(luò)安全現(xiàn)狀

目前，許多關(guān)鍵性基礎(chǔ)設(shè)施的控制系統(tǒng)很少有防范突發(fā)事故或惡意攻擊的保護(hù)措施，工控系統(tǒng)信息安全問題日益突出，導(dǎo)致一些事故輕易發(fā)生；此外，給黑客的攻擊及病毒的入侵提供了可乘之機(jī)，從俄羅斯黑客入侵美國電網(wǎng)，到伊朗核電站因電腦遭病毒侵襲而癱瘓，安全事件頻頻發(fā)生。這一切，暴露出工業(yè)控制系統(tǒng)在安全防護(hù)方面的嚴(yán)重不足，同時給人們敲響了工業(yè)控制系統(tǒng)信息安全警鐘——工控系統(tǒng)已是國家安全戰(zhàn)略的重要組成部分，一旦工控系統(tǒng)中的數(shù)據(jù)信息及控制指令被攻擊者竊取篡改破壞，將對工業(yè)生產(chǎn)和國家經(jīng)濟(jì)安全帶來重大安全風(fēng)險(xiǎn)[1]。

因此，《中華人民共和國網(wǎng)絡(luò)安全法》[2]、《省級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺建設(shè)指南》和《“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動計(jì)劃（2021-2023年）》[3]等法規(guī)和政策的實(shí)施已勢在必行，對工業(yè)生產(chǎn)控制系統(tǒng)與管理系統(tǒng)進(jìn)行安全防護(hù)已迫在眉捷，必須盡快建立安全防護(hù)體系以滿足國家信息安全的戰(zhàn)略需要。

2 工控現(xiàn)場安全防護(hù)必要性

從“震網(wǎng)”病毒到“Havex”，從“BlackEnergy”到“勒索”病毒，針對工業(yè)控制網(wǎng)絡(luò)，尤其對關(guān)鍵基礎(chǔ)設(shè)施的直接攻擊、信息竊取和勒索事件等工控網(wǎng)絡(luò)安全事件層出不窮。隨著工業(yè)控制系統(tǒng)的信息化程度會迅速逐步提高，針對工業(yè)控制網(wǎng)絡(luò)的攻擊將成為一種常態(tài)，工業(yè)控制系統(tǒng)的信息安全將會得到前所未有的高度關(guān)注。

傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品無法適用于工業(yè)控制網(wǎng)絡(luò)，原因有很多，諸如：工控網(wǎng)絡(luò)首先要保證可用性，不可采取犧牲可用性的安全監(jiān)測手段；工控網(wǎng)絡(luò)無法接受“漏報(bào)”和“誤報(bào)”；傳統(tǒng)安全產(chǎn)品無法識別工控協(xié)議，尤其是眾多的私有協(xié)議；工控網(wǎng)絡(luò)內(nèi)的所有產(chǎn)品升級的頻次普遍偏低，需要頻繁升級的安全產(chǎn)品難以適用。

IT領(lǐng)域的入侵檢測和審計(jì)產(chǎn)品也無法滿足工控網(wǎng)絡(luò)安全的需要，但入侵檢測和安全審計(jì)是非常必要的安全技術(shù)手段。

因此，重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺的建設(shè)，可減少或避免工業(yè)企業(yè)的受到攻擊或破壞，有效保障工業(yè)企業(yè)的正常運(yùn)行，為工控系統(tǒng)的入侵檢測和安全審計(jì)提供了有力的技術(shù)保障。同時，對工業(yè)企業(yè)的發(fā)展也起到積極作用。

3 研究技術(shù)路線

在重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺建設(shè)中，分重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺端（簡稱“平臺端”）和重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺設(shè)備端（簡稱“設(shè)備端”）同步開展監(jiān)測，采集安全相關(guān)數(shù)據(jù)，分析安全風(fēng)險(xiǎn)，二者有機(jī)互補(bǔ)、統(tǒng)籌推進(jìn)，企業(yè)側(cè)設(shè)備端采取旁路接入的布署方式，不影響企業(yè)日常生產(chǎn)經(jīng)營。

設(shè)備端能夠?qū)崟r監(jiān)測工控網(wǎng)絡(luò)的狀態(tài)，檢測工控網(wǎng)絡(luò)中入侵行為，也能根據(jù)用戶定義的審計(jì)策略，追蹤工控網(wǎng)絡(luò)安全事件，它能對工控網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行留存。

設(shè)備端的相關(guān)數(shù)據(jù)，采用4G加密單向上傳和離線導(dǎo)出文件并上報(bào)至平臺端兩種方式。

平臺端針對工控企業(yè)的設(shè)備端流量、通信協(xié)議和安全事件進(jìn)行遠(yuǎn)程監(jiān)測，對上報(bào)的網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)進(jìn)行分析處理，管理人員可遠(yuǎn)程監(jiān)測網(wǎng)絡(luò)運(yùn)行情況，有效管理工業(yè)網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

圖1 應(yīng)用場景示意圖

4 主要研究內(nèi)容

4.1 主要研究工作

重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺端以企業(yè)側(cè)設(shè)備端上報(bào)的安全事件和流量信息為核心的數(shù)據(jù)平臺，負(fù)責(zé)完成數(shù)據(jù)采集、存儲、二次處理、數(shù)據(jù)分析和生成報(bào)告等工作。在各重點(diǎn)工業(yè)企業(yè)工業(yè)控制系統(tǒng)核心交換機(jī)或網(wǎng)絡(luò)邊界交換機(jī)位置，只旁路方式布署一臺設(shè)備端，通過設(shè)備端內(nèi)置的4G模塊，可以將安全事件數(shù)據(jù)加密后單向上報(bào)至平臺端，或是通過手動導(dǎo)出數(shù)據(jù)并上傳至平臺端。

4.2 平臺端研究內(nèi)容

圖2 平臺端系統(tǒng)架構(gòu)圖

平臺端應(yīng)涵蓋數(shù)據(jù)接口、數(shù)據(jù)處理、綜合展示與數(shù)據(jù)上報(bào)四個部分核心功能。

數(shù)據(jù)接口：數(shù)據(jù)接口包括通過4G無線接口和離線數(shù)據(jù)上傳接口，采集匯總終端設(shè)備事件信息，并通過數(shù)據(jù)加解密措施，將數(shù)據(jù)上傳至數(shù)據(jù)處理層。數(shù)據(jù)接口層還包括終端管理接口，完成設(shè)備端的遠(yuǎn)程管理。

數(shù)據(jù)處理：數(shù)據(jù)處理包括對終端采集的數(shù)據(jù)進(jìn)行解析、清洗，處理、歸集、安全存儲，數(shù)據(jù)處理層為平臺側(cè)的主要功能。

綜合展示：綜合展示層通過本地存儲的地理位置信息與終端設(shè)備布署的企業(yè)信息，對安全狀態(tài)進(jìn)行綜合化的展示，并通過事件數(shù)據(jù)檢索與事件管理，有效甄別通報(bào)重要安全事件，通過周期性生成安全報(bào)告，降低平臺運(yùn)維工作量。

數(shù)據(jù)上報(bào)接口：主要完成在線監(jiān)測平臺的數(shù)據(jù)統(tǒng)一匯總，將數(shù)據(jù)轉(zhuǎn)換成《工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺 國家級-省級接口規(guī)范》要求的數(shù)據(jù)格式，并進(jìn)行加密，按要求的周期，將數(shù)據(jù)上報(bào)至上級平臺。

4.3 設(shè)備端研究內(nèi)容

在工業(yè)企業(yè)生產(chǎn)網(wǎng)的核心節(jié)點(diǎn)布署設(shè)備端，通過分光、鏡像等采集網(wǎng)絡(luò)流量原始數(shù)據(jù)，通過加密接口對接企業(yè)安全事件信息，解析成網(wǎng)絡(luò)攻擊事件和異常違規(guī)行為事件。通過布署重點(diǎn)工業(yè)企業(yè)測設(shè)備端，完成工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)側(cè)流量和日志等信息采集的要求。

圖3 設(shè)備端系統(tǒng)架構(gòu)圖

布署在工業(yè)企業(yè)的設(shè)備端應(yīng)涵蓋數(shù)據(jù)采集層、安全事件信息與對外接口三部分核心功能。

數(shù)據(jù)采集層：通過旁路鏡像的方式，完成對工業(yè)控制系統(tǒng)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處流量的采集工作。

安全事件信息：通過學(xué)習(xí)系統(tǒng)正常狀態(tài)的通信行為，形成設(shè)備端新的安全規(guī)則，并通過內(nèi)置的威脅特征庫與黑名單規(guī)則，對采集的流量進(jìn)行分析，并通過流量特征分析與行為特征分析，發(fā)現(xiàn)系統(tǒng)內(nèi)異常行為。

對外接口：包括設(shè)備端4G無線接口、離線數(shù)據(jù)導(dǎo)出接口、遠(yuǎn)程管理接口、本地管理接口、本地審計(jì)接口。

5 關(guān)鍵技術(shù)

5.1 準(zhǔn)確識別入侵行為

利用自有的工控威脅知識庫建立檢測規(guī)則，準(zhǔn)確識別漏洞利用攻擊和惡意代碼攻擊等入侵行為。

5.2 精準(zhǔn)識別與深度分析

精準(zhǔn)識別OPC、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7等主流工控協(xié)議，可深度分析生產(chǎn)環(huán)境中的控制指令、參數(shù)等信息。

5.3 網(wǎng)絡(luò)狀態(tài)實(shí)時監(jiān)測

實(shí)時監(jiān)測工控網(wǎng)絡(luò)的運(yùn)行狀態(tài)，自動學(xué)習(xí)通信規(guī)則，建立可信行為基線，對網(wǎng)絡(luò)中的異常指令和行為進(jìn)行實(shí)時監(jiān)測和告警。

平臺端依托設(shè)備端上報(bào)的安全事件和流量信息，實(shí)時掌握各地區(qū)的網(wǎng)絡(luò)安全事件和及時了解設(shè)備端流量情況，為重點(diǎn)工業(yè)企業(yè)提供安全防護(hù)建議。

5.4 審計(jì)數(shù)據(jù)安全留存

用戶自定義留存工控網(wǎng)絡(luò)日志數(shù)據(jù)，符合政策法規(guī)的相關(guān)規(guī)定，同時為還原事故真相提供了有效的技術(shù)手段。

6 應(yīng)用范圍

重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺的設(shè)備端適用于SCADA、DCS、PCS和PLC等工業(yè)控制系統(tǒng)，可以被廣泛的應(yīng)用到石油石化、天然氣、電力、智能制造、水利、鐵路、城市軌道交通、城市市政以及其他與國計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)，為行業(yè)客戶的工業(yè)控制系統(tǒng)提供適當(dāng)?shù)陌踩O(jiān)測與審計(jì)服務(wù)。

圖4 工業(yè)現(xiàn)場部署示意圖

7 產(chǎn)品價(jià)值

7.1 及時發(fā)現(xiàn)安全風(fēng)險(xiǎn)

設(shè)備端實(shí)時對工控網(wǎng)絡(luò)進(jìn)行監(jiān)測，通過內(nèi)置的工控威脅庫，能最大限度的識別已知的攻擊行為；通過布署策略，能及時發(fā)現(xiàn)不合規(guī)的行為，對發(fā)現(xiàn)潛在的未知威脅提供了有效的技術(shù)手段，并提供合理化安全建議。

7.2 審計(jì)數(shù)據(jù)安全留存

對工控網(wǎng)絡(luò)的原始數(shù)據(jù)進(jìn)行安全存儲，符合政策法規(guī)相關(guān)規(guī)定，及相關(guān)審計(jì)要求，審計(jì)數(shù)據(jù)留存時間不少于六個月。

7.3 為安全事故調(diào)查取證提供技術(shù)手段

對工控網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審計(jì)和分析，為還原事故真相提供了有效的技術(shù)手段。解決企業(yè)網(wǎng)絡(luò)監(jiān)控和安全防護(hù)等難題，實(shí)現(xiàn)科學(xué)管理。

7.4 協(xié)助監(jiān)管部門提升監(jiān)管效能

對工控企業(yè)的設(shè)備端流量、通信協(xié)議和安全事件進(jìn)行遠(yuǎn)程監(jiān)測，對上報(bào)的網(wǎng)絡(luò)監(jiān)測數(shù)據(jù)進(jìn)行分析處理，管理人員可遠(yuǎn)程監(jiān)測網(wǎng)絡(luò)運(yùn)行情況，有效管理工業(yè)網(wǎng)絡(luò)穩(wěn)定運(yùn)行，協(xié)助監(jiān)管部門逐步提升網(wǎng)絡(luò)安全監(jiān)管效能。

8 經(jīng)濟(jì)效益

8.1 經(jīng)濟(jì)效益分析

（1）保障企業(yè)安全提升效益。重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺實(shí)時對工控網(wǎng)絡(luò)進(jìn)行監(jiān)測，通過內(nèi)置的工控威脅庫，能最大限度的識別已知的攻擊行為；通過布署策略，能及時發(fā)現(xiàn)不合規(guī)的行為，對發(fā)現(xiàn)潛在的未知威脅提供了有效的技術(shù)手段，實(shí)時的告警和響應(yīng)能及時告知用戶工控系統(tǒng)中存在的安全風(fēng)險(xiǎn)。為企業(yè)提供深層次的安全服務(wù),協(xié)助工控企業(yè)進(jìn)行安全加固，減少安全事故帶來的損失，提升企業(yè)效益。

（2）避免工業(yè)企業(yè)重復(fù)安全建設(shè)。重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺設(shè)備端設(shè)備布署于重要工業(yè)企業(yè)網(wǎng)絡(luò)關(guān)鍵階段處，滿足工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中“安全監(jiān)測與應(yīng)急預(yù)案演練”要求，又滿足GB/T22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》安全區(qū)域邊界中“安全審計(jì)相關(guān)要求”相關(guān)要求。通過布署單個設(shè)備，滿足企業(yè)對于國家多個安全標(biāo)準(zhǔn)體系要求，避免了安全系統(tǒng)的重復(fù)建設(shè)，降低企業(yè)安全運(yùn)維難度，從多方面降低了企業(yè)的經(jīng)營成本。

8.2 社會效益分析

助力省級態(tài)勢感知平臺建設(shè)。通過建設(shè)重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺，可對浙江省重要工業(yè)企業(yè)進(jìn)行實(shí)時監(jiān)測，掌握布署設(shè)備端設(shè)備重要工業(yè)企業(yè)運(yùn)行狀況和安全風(fēng)險(xiǎn)，為省級態(tài)勢感知平臺掌握當(dāng)前區(qū)域的網(wǎng)絡(luò)安全形勢、安全問題與各工業(yè)企業(yè)的安全水平提供數(shù)據(jù)支撐，便于宏觀把握區(qū)域工業(yè)互聯(lián)網(wǎng)安全狀態(tài)，做到區(qū)域安全建設(shè)心中有數(shù)，依據(jù)真實(shí)的感知數(shù)據(jù)，可驅(qū)動今后制定對應(yīng)的有效決策，有針對性地研判預(yù)警，減低省內(nèi)工業(yè)企業(yè)工控網(wǎng)絡(luò)安全事件發(fā)生的概率，指導(dǎo)企業(yè)安全規(guī)劃與建設(shè)，從而逐漸提升本省工業(yè)企業(yè)整體安全水平。

9 結(jié)語

建設(shè)重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺，需有強(qiáng)有力的研發(fā)能力、數(shù)據(jù)分析能力、產(chǎn)品迭代更新和產(chǎn)品質(zhì)量保證；需針對工業(yè)現(xiàn)場的網(wǎng)絡(luò)流量進(jìn)行監(jiān)測、審計(jì)和預(yù)警，幫助企業(yè)實(shí)現(xiàn)對生產(chǎn)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的全面安全監(jiān)測，解決企業(yè)生產(chǎn)網(wǎng)絡(luò)遇到的網(wǎng)絡(luò)監(jiān)控和安全等難題，逐步實(shí)現(xiàn)全省范圍內(nèi)重要工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知。

重點(diǎn)工業(yè)企業(yè)安全監(jiān)測平臺的建設(shè)需要具備以下基本功能特點(diǎn)：

準(zhǔn)確識別漏洞利用攻擊和惡意代碼攻擊等入侵行為；

精準(zhǔn)識別OPC、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7等主流工控協(xié)議，可深度分析生產(chǎn)環(huán)境中的控制指令、參數(shù)等信息；

對工控網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審計(jì)和分析，為安全事故調(diào)查取證提供技術(shù)手段；

設(shè)備端內(nèi)置4G模塊，可以將安全事件數(shù)據(jù)加密后上報(bào)到平臺端；

平臺端提供數(shù)據(jù)上報(bào)接口，完成平臺端的數(shù)據(jù)統(tǒng)一匯總，將數(shù)據(jù)轉(zhuǎn)換成國家級/省級接口規(guī)范要求的數(shù)據(jù)格式，并進(jìn)行加密，按照上報(bào)周期，將數(shù)據(jù)上報(bào)至省級工業(yè)互聯(lián)網(wǎng)安全監(jiān)測與態(tài)勢感知平臺。