重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)建設(shè)研究

熊道琦，梁猛，阮濤

（浙江齊安信息科技有限公司，浙江 杭州 310051）

0 引言

隨著自動(dòng)化、計(jì)算機(jī)及互聯(lián)網(wǎng)等技術(shù)的飛速發(fā)展，工業(yè)控制系統(tǒng)已逐步形成了管理與控制的一體化，工控系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，信息化與工業(yè)化深度融合使工業(yè)控制系統(tǒng)處于開(kāi)放狀態(tài)，不再是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)，其接入的范圍不僅僅局限在工控網(wǎng)絡(luò)，已擴(kuò)展到了互聯(lián)網(wǎng)，因而面臨著來(lái)自互聯(lián)網(wǎng)的信息安全威脅。

1 工控網(wǎng)絡(luò)安全現(xiàn)狀

目前，許多關(guān)鍵性基礎(chǔ)設(shè)施的控制系統(tǒng)很少有防范突發(fā)事故或惡意攻擊的保護(hù)措施，工控系統(tǒng)信息安全問(wèn)題日益突出，導(dǎo)致一些事故輕易發(fā)生；此外，給黑客的攻擊及病毒的入侵提供了可乘之機(jī)，從俄羅斯黑客入侵美國(guó)電網(wǎng)，到伊朗核電站因電腦遭病毒侵襲而癱瘓，安全事件頻頻發(fā)生。這一切，暴露出工業(yè)控制系統(tǒng)在安全防護(hù)方面的嚴(yán)重不足，同時(shí)給人們敲響了工業(yè)控制系統(tǒng)信息安全警鐘——工控系統(tǒng)已是國(guó)家安全戰(zhàn)略的重要組成部分，一旦工控系統(tǒng)中的數(shù)據(jù)信息及控制指令被攻擊者竊取篡改破壞，將對(duì)工業(yè)生產(chǎn)和國(guó)家經(jīng)濟(jì)安全帶來(lái)重大安全風(fēng)險(xiǎn)[1]。

因此，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》[2]、《省級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)建設(shè)指南》和《“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動(dòng)計(jì)劃（2021-2023年）》[3]等法規(guī)和政策的實(shí)施已勢(shì)在必行，對(duì)工業(yè)生產(chǎn)控制系統(tǒng)與管理系統(tǒng)進(jìn)行安全防護(hù)已迫在眉捷，必須盡快建立安全防護(hù)體系以滿(mǎn)足國(guó)家信息安全的戰(zhàn)略需要。

2 工控現(xiàn)場(chǎng)安全防護(hù)必要性

從“震網(wǎng)”病毒到“Havex”，從“BlackEnergy”到“勒索”病毒，針對(duì)工業(yè)控制網(wǎng)絡(luò)，尤其對(duì)關(guān)鍵基礎(chǔ)設(shè)施的直接攻擊、信息竊取和勒索事件等工控網(wǎng)絡(luò)安全事件層出不窮。隨著工業(yè)控制系統(tǒng)的信息化程度會(huì)迅速逐步提高，針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊將成為一種常態(tài)，工業(yè)控制系統(tǒng)的信息安全將會(huì)得到前所未有的高度關(guān)注。

傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品無(wú)法適用于工業(yè)控制網(wǎng)絡(luò)，原因有很多，諸如：工控網(wǎng)絡(luò)首先要保證可用性，不可采取犧牲可用性的安全監(jiān)測(cè)手段；工控網(wǎng)絡(luò)無(wú)法接受“漏報(bào)”和“誤報(bào)”；傳統(tǒng)安全產(chǎn)品無(wú)法識(shí)別工控協(xié)議，尤其是眾多的私有協(xié)議；工控網(wǎng)絡(luò)內(nèi)的所有產(chǎn)品升級(jí)的頻次普遍偏低，需要頻繁升級(jí)的安全產(chǎn)品難以適用。

IT領(lǐng)域的入侵檢測(cè)和審計(jì)產(chǎn)品也無(wú)法滿(mǎn)足工控網(wǎng)絡(luò)安全的需要，但入侵檢測(cè)和安全審計(jì)是非常必要的安全技術(shù)手段。

因此，重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)的建設(shè)，可減少或避免工業(yè)企業(yè)的受到攻擊或破壞，有效保障工業(yè)企業(yè)的正常運(yùn)行，為工控系統(tǒng)的入侵檢測(cè)和安全審計(jì)提供了有力的技術(shù)保障。同時(shí)，對(duì)工業(yè)企業(yè)的發(fā)展也起到積極作用。

3 研究技術(shù)路線

在重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)建設(shè)中，分重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)端（簡(jiǎn)稱(chēng)“平臺(tái)端”）和重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)設(shè)備端（簡(jiǎn)稱(chēng)“設(shè)備端”）同步開(kāi)展監(jiān)測(cè)，采集安全相關(guān)數(shù)據(jù)，分析安全風(fēng)險(xiǎn)，二者有機(jī)互補(bǔ)、統(tǒng)籌推進(jìn)，企業(yè)側(cè)設(shè)備端采取旁路接入的布署方式，不影響企業(yè)日常生產(chǎn)經(jīng)營(yíng)。

設(shè)備端能夠?qū)崟r(shí)監(jiān)測(cè)工控網(wǎng)絡(luò)的狀態(tài)，檢測(cè)工控網(wǎng)絡(luò)中入侵行為，也能根據(jù)用戶(hù)定義的審計(jì)策略，追蹤工控網(wǎng)絡(luò)安全事件，它能對(duì)工控網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行留存。

設(shè)備端的相關(guān)數(shù)據(jù)，采用4G加密單向上傳和離線導(dǎo)出文件并上報(bào)至平臺(tái)端兩種方式。

平臺(tái)端針對(duì)工控企業(yè)的設(shè)備端流量、通信協(xié)議和安全事件進(jìn)行遠(yuǎn)程監(jiān)測(cè)，對(duì)上報(bào)的網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)進(jìn)行分析處理，管理人員可遠(yuǎn)程監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行情況，有效管理工業(yè)網(wǎng)絡(luò)穩(wěn)定運(yùn)行。

圖1 應(yīng)用場(chǎng)景示意圖

4 主要研究?jī)?nèi)容

4.1 主要研究工作

重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)端以企業(yè)側(cè)設(shè)備端上報(bào)的安全事件和流量信息為核心的數(shù)據(jù)平臺(tái)，負(fù)責(zé)完成數(shù)據(jù)采集、存儲(chǔ)、二次處理、數(shù)據(jù)分析和生成報(bào)告等工作。在各重點(diǎn)工業(yè)企業(yè)工業(yè)控制系統(tǒng)核心交換機(jī)或網(wǎng)絡(luò)邊界交換機(jī)位置，只旁路方式布署一臺(tái)設(shè)備端，通過(guò)設(shè)備端內(nèi)置的4G模塊，可以將安全事件數(shù)據(jù)加密后單向上報(bào)至平臺(tái)端，或是通過(guò)手動(dòng)導(dǎo)出數(shù)據(jù)并上傳至平臺(tái)端。

4.2 平臺(tái)端研究?jī)?nèi)容

圖2 平臺(tái)端系統(tǒng)架構(gòu)圖

平臺(tái)端應(yīng)涵蓋數(shù)據(jù)接口、數(shù)據(jù)處理、綜合展示與數(shù)據(jù)上報(bào)四個(gè)部分核心功能。

數(shù)據(jù)接口：數(shù)據(jù)接口包括通過(guò)4G無(wú)線接口和離線數(shù)據(jù)上傳接口，采集匯總終端設(shè)備事件信息，并通過(guò)數(shù)據(jù)加解密措施，將數(shù)據(jù)上傳至數(shù)據(jù)處理層。數(shù)據(jù)接口層還包括終端管理接口，完成設(shè)備端的遠(yuǎn)程管理。

數(shù)據(jù)處理：數(shù)據(jù)處理包括對(duì)終端采集的數(shù)據(jù)進(jìn)行解析、清洗，處理、歸集、安全存儲(chǔ)，數(shù)據(jù)處理層為平臺(tái)側(cè)的主要功能。

綜合展示：綜合展示層通過(guò)本地存儲(chǔ)的地理位置信息與終端設(shè)備布署的企業(yè)信息，對(duì)安全狀態(tài)進(jìn)行綜合化的展示，并通過(guò)事件數(shù)據(jù)檢索與事件管理，有效甄別通報(bào)重要安全事件，通過(guò)周期性生成安全報(bào)告，降低平臺(tái)運(yùn)維工作量。

數(shù)據(jù)上報(bào)接口：主要完成在線監(jiān)測(cè)平臺(tái)的數(shù)據(jù)統(tǒng)一匯總，將數(shù)據(jù)轉(zhuǎn)換成《工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái) 國(guó)家級(jí)-省級(jí)接口規(guī)范》要求的數(shù)據(jù)格式，并進(jìn)行加密，按要求的周期，將數(shù)據(jù)上報(bào)至上級(jí)平臺(tái)。

4.3 設(shè)備端研究?jī)?nèi)容

在工業(yè)企業(yè)生產(chǎn)網(wǎng)的核心節(jié)點(diǎn)布署設(shè)備端，通過(guò)分光、鏡像等采集網(wǎng)絡(luò)流量原始數(shù)據(jù)，通過(guò)加密接口對(duì)接企業(yè)安全事件信息，解析成網(wǎng)絡(luò)攻擊事件和異常違規(guī)行為事件。通過(guò)布署重點(diǎn)工業(yè)企業(yè)測(cè)設(shè)備端，完成工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)側(cè)流量和日志等信息采集的要求。

圖3 設(shè)備端系統(tǒng)架構(gòu)圖

布署在工業(yè)企業(yè)的設(shè)備端應(yīng)涵蓋數(shù)據(jù)采集層、安全事件信息與對(duì)外接口三部分核心功能。

數(shù)據(jù)采集層：通過(guò)旁路鏡像的方式，完成對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)處流量的采集工作。

安全事件信息：通過(guò)學(xué)習(xí)系統(tǒng)正常狀態(tài)的通信行為，形成設(shè)備端新的安全規(guī)則，并通過(guò)內(nèi)置的威脅特征庫(kù)與黑名單規(guī)則，對(duì)采集的流量進(jìn)行分析，并通過(guò)流量特征分析與行為特征分析，發(fā)現(xiàn)系統(tǒng)內(nèi)異常行為。

對(duì)外接口：包括設(shè)備端4G無(wú)線接口、離線數(shù)據(jù)導(dǎo)出接口、遠(yuǎn)程管理接口、本地管理接口、本地審計(jì)接口。

5 關(guān)鍵技術(shù)

5.1 準(zhǔn)確識(shí)別入侵行為

利用自有的工控威脅知識(shí)庫(kù)建立檢測(cè)規(guī)則，準(zhǔn)確識(shí)別漏洞利用攻擊和惡意代碼攻擊等入侵行為。

5.2 精準(zhǔn)識(shí)別與深度分析

精準(zhǔn)識(shí)別OPC、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7等主流工控協(xié)議，可深度分析生產(chǎn)環(huán)境中的控制指令、參數(shù)等信息。

5.3 網(wǎng)絡(luò)狀態(tài)實(shí)時(shí)監(jiān)測(cè)

實(shí)時(shí)監(jiān)測(cè)工控網(wǎng)絡(luò)的運(yùn)行狀態(tài)，自動(dòng)學(xué)習(xí)通信規(guī)則，建立可信行為基線，對(duì)網(wǎng)絡(luò)中的異常指令和行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)和告警。

平臺(tái)端依托設(shè)備端上報(bào)的安全事件和流量信息，實(shí)時(shí)掌握各地區(qū)的網(wǎng)絡(luò)安全事件和及時(shí)了解設(shè)備端流量情況，為重點(diǎn)工業(yè)企業(yè)提供安全防護(hù)建議。

5.4 審計(jì)數(shù)據(jù)安全留存

用戶(hù)自定義留存工控網(wǎng)絡(luò)日志數(shù)據(jù)，符合政策法規(guī)的相關(guān)規(guī)定，同時(shí)為還原事故真相提供了有效的技術(shù)手段。

6 應(yīng)用范圍

重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)的設(shè)備端適用于SCADA、DCS、PCS和PLC等工業(yè)控制系統(tǒng)，可以被廣泛的應(yīng)用到石油石化、天然氣、電力、智能制造、水利、鐵路、城市軌道交通、城市市政以及其他與國(guó)計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)，為行業(yè)客戶(hù)的工業(yè)控制系統(tǒng)提供適當(dāng)?shù)陌踩O(jiān)測(cè)與審計(jì)服務(wù)。

圖4 工業(yè)現(xiàn)場(chǎng)部署示意圖

7 產(chǎn)品價(jià)值

7.1 及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)

設(shè)備端實(shí)時(shí)對(duì)工控網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，通過(guò)內(nèi)置的工控威脅庫(kù)，能最大限度的識(shí)別已知的攻擊行為；通過(guò)布署策略，能及時(shí)發(fā)現(xiàn)不合規(guī)的行為，對(duì)發(fā)現(xiàn)潛在的未知威脅提供了有效的技術(shù)手段，并提供合理化安全建議。

7.2 審計(jì)數(shù)據(jù)安全留存

對(duì)工控網(wǎng)絡(luò)的原始數(shù)據(jù)進(jìn)行安全存儲(chǔ)，符合政策法規(guī)相關(guān)規(guī)定，及相關(guān)審計(jì)要求，審計(jì)數(shù)據(jù)留存時(shí)間不少于六個(gè)月。

7.3 為安全事故調(diào)查取證提供技術(shù)手段

對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審計(jì)和分析，為還原事故真相提供了有效的技術(shù)手段。解決企業(yè)網(wǎng)絡(luò)監(jiān)控和安全防護(hù)等難題，實(shí)現(xiàn)科學(xué)管理。

7.4 協(xié)助監(jiān)管部門(mén)提升監(jiān)管效能

對(duì)工控企業(yè)的設(shè)備端流量、通信協(xié)議和安全事件進(jìn)行遠(yuǎn)程監(jiān)測(cè)，對(duì)上報(bào)的網(wǎng)絡(luò)監(jiān)測(cè)數(shù)據(jù)進(jìn)行分析處理，管理人員可遠(yuǎn)程監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行情況，有效管理工業(yè)網(wǎng)絡(luò)穩(wěn)定運(yùn)行，協(xié)助監(jiān)管部門(mén)逐步提升網(wǎng)絡(luò)安全監(jiān)管效能。

8 經(jīng)濟(jì)效益

8.1 經(jīng)濟(jì)效益分析

（1）保障企業(yè)安全提升效益。重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)實(shí)時(shí)對(duì)工控網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，通過(guò)內(nèi)置的工控威脅庫(kù)，能最大限度的識(shí)別已知的攻擊行為；通過(guò)布署策略，能及時(shí)發(fā)現(xiàn)不合規(guī)的行為，對(duì)發(fā)現(xiàn)潛在的未知威脅提供了有效的技術(shù)手段，實(shí)時(shí)的告警和響應(yīng)能及時(shí)告知用戶(hù)工控系統(tǒng)中存在的安全風(fēng)險(xiǎn)。為企業(yè)提供深層次的安全服務(wù),協(xié)助工控企業(yè)進(jìn)行安全加固，減少安全事故帶來(lái)的損失，提升企業(yè)效益。

（2）避免工業(yè)企業(yè)重復(fù)安全建設(shè)。重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)設(shè)備端設(shè)備布署于重要工業(yè)企業(yè)網(wǎng)絡(luò)關(guān)鍵階段處，滿(mǎn)足工信部《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中“安全監(jiān)測(cè)與應(yīng)急預(yù)案演練”要求，又滿(mǎn)足GB/T22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》安全區(qū)域邊界中“安全審計(jì)相關(guān)要求”相關(guān)要求。通過(guò)布署單個(gè)設(shè)備，滿(mǎn)足企業(yè)對(duì)于國(guó)家多個(gè)安全標(biāo)準(zhǔn)體系要求，避免了安全系統(tǒng)的重復(fù)建設(shè)，降低企業(yè)安全運(yùn)維難度，從多方面降低了企業(yè)的經(jīng)營(yíng)成本。

8.2 社會(huì)效益分析

助力省級(jí)態(tài)勢(shì)感知平臺(tái)建設(shè)。通過(guò)建設(shè)重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)，可對(duì)浙江省重要工業(yè)企業(yè)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，掌握布署設(shè)備端設(shè)備重要工業(yè)企業(yè)運(yùn)行狀況和安全風(fēng)險(xiǎn)，為省級(jí)態(tài)勢(shì)感知平臺(tái)掌握當(dāng)前區(qū)域的網(wǎng)絡(luò)安全形勢(shì)、安全問(wèn)題與各工業(yè)企業(yè)的安全水平提供數(shù)據(jù)支撐，便于宏觀把握區(qū)域工業(yè)互聯(lián)網(wǎng)安全狀態(tài)，做到區(qū)域安全建設(shè)心中有數(shù)，依據(jù)真實(shí)的感知數(shù)據(jù)，可驅(qū)動(dòng)今后制定對(duì)應(yīng)的有效決策，有針對(duì)性地研判預(yù)警，減低省內(nèi)工業(yè)企業(yè)工控網(wǎng)絡(luò)安全事件發(fā)生的概率，指導(dǎo)企業(yè)安全規(guī)劃與建設(shè)，從而逐漸提升本省工業(yè)企業(yè)整體安全水平。

9 結(jié)語(yǔ)

建設(shè)重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)，需有強(qiáng)有力的研發(fā)能力、數(shù)據(jù)分析能力、產(chǎn)品迭代更新和產(chǎn)品質(zhì)量保證；需針對(duì)工業(yè)現(xiàn)場(chǎng)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)測(cè)、審計(jì)和預(yù)警，幫助企業(yè)實(shí)現(xiàn)對(duì)生產(chǎn)網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)的全面安全監(jiān)測(cè)，解決企業(yè)生產(chǎn)網(wǎng)絡(luò)遇到的網(wǎng)絡(luò)監(jiān)控和安全等難題，逐步實(shí)現(xiàn)全省范圍內(nèi)重要工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知。

重點(diǎn)工業(yè)企業(yè)安全監(jiān)測(cè)平臺(tái)的建設(shè)需要具備以下基本功能特點(diǎn)：

準(zhǔn)確識(shí)別漏洞利用攻擊和惡意代碼攻擊等入侵行為；

精準(zhǔn)識(shí)別OPC、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7等主流工控協(xié)議，可深度分析生產(chǎn)環(huán)境中的控制指令、參數(shù)等信息；

對(duì)工控網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行審計(jì)和分析，為安全事故調(diào)查取證提供技術(shù)手段；

設(shè)備端內(nèi)置4G模塊，可以將安全事件數(shù)據(jù)加密后上報(bào)到平臺(tái)端；

平臺(tái)端提供數(shù)據(jù)上報(bào)接口，完成平臺(tái)端的數(shù)據(jù)統(tǒng)一匯總，將數(shù)據(jù)轉(zhuǎn)換成國(guó)家級(jí)/省級(jí)接口規(guī)范要求的數(shù)據(jù)格式，并進(jìn)行加密，按照上報(bào)周期，將數(shù)據(jù)上報(bào)至省級(jí)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)。