摘要：兩化融合、工業(yè)互聯(lián)網(wǎng)等技術(shù)的發(fā)展，在提高企業(yè)生產(chǎn)和管理效率的同時(shí)，也使得生產(chǎn)網(wǎng)的網(wǎng)絡(luò )安全面臨著(zhù)嚴峻的考驗。本文著(zhù)重介紹智能工業(yè)防火墻、智能機器學(xué)習、深度數據包解析、特征匹配、黑白名單結合、工業(yè)級硬件等新技術(shù)，以及智能工業(yè)防火墻在實(shí)際生產(chǎn)中的應用模式。
關(guān)鍵詞：工控網(wǎng)絡(luò )；網(wǎng)絡(luò )安全；工業(yè)防火墻；深度包解析；特征匹配；白名單
Abstract: With the development of integration between information technology and industrialization and the industrial Internet, the efficiency of production and management have been improved, which in turns, makes the security network a severe challenge.
This paper mainly introduces intelligent industrial firewall, intelligent machine learning, deep packet analysis, feature matching, black and white list combination, industrial hardware, as well as the application mode of intelligent industrial firewall in actual production.
Key words: Industrial control network; Network security; Industrial firewall; Deep packet analysis; Feature matching; White list
1　引言
工業(yè)控制系統是SCADA、DCS、PLC等多種類(lèi)型控制系統的總稱(chēng) [1] ，被廣泛應用于核設施、電子、航空航天、汽車(chē)、冶金、石油化工、電力、先進(jìn)制造等國家關(guān)鍵基礎設施之中。而工控網(wǎng)絡(luò )在設計之初只注重實(shí)時(shí)性而忽略了一些安全設計，使得工控網(wǎng)絡(luò )自身的網(wǎng)絡(luò )安全問(wèn)題越來(lái)越多地突顯出來(lái) [2、3] ，例如操作系統版本老舊、無(wú)法更新補丁、通信協(xié)議無(wú)加密認證、使用默認的密碼、設備廠(chǎng)商遠程維護等。
 
    防火墻的標準定義 [4] 是部署于不同安全域之間，具備網(wǎng)絡(luò )層訪(fǎng)問(wèn)控制及過(guò)濾功能，并具備應用層協(xié)議分析、控制及內容檢測等功能，因此防火墻是工業(yè)控制系統區域有效隔離的設備。傳統的防火墻無(wú)法識別工業(yè)現場(chǎng)協(xié)議、無(wú)法深度解析工業(yè)控制業(yè)務(wù)數據、無(wú)法適應工業(yè)現場(chǎng)的惡劣工作環(huán)境，從而在工業(yè)控制網(wǎng)絡(luò )中的應用過(guò)程中出現各種問(wèn)題，所以亟需一款能夠滿(mǎn)足工業(yè)現場(chǎng)實(shí)時(shí)性、可靠性，能夠深度識別控制業(yè)務(wù)的防火墻產(chǎn)品，實(shí)現工業(yè)控制網(wǎng)絡(luò )與外部其他網(wǎng)絡(luò )，工業(yè)控制網(wǎng)絡(luò )內部不同業(yè)務(wù)的邊界隔離和訪(fǎng)問(wèn)控制。

2　信息系統與工業(yè)控制系統的區別
當前信息安全的通常意義是指辦公和互聯(lián)網(wǎng)網(wǎng)絡(luò )的信息安全，其安全性目標體現在信息的保密性、安全性和完整性三方面；而工業(yè)控制系統網(wǎng)絡(luò )安全的目標是保證工業(yè)控制系統長(cháng)時(shí)間、無(wú)間斷地穩定、可靠、精確地運行，和信息安全相比，工控網(wǎng)絡(luò )自身的特殊技術(shù)特點(diǎn)決定了工控網(wǎng)絡(luò )的安全防護不能簡(jiǎn)單沿用已有的信息安全技術(shù)。
   工控網(wǎng)絡(luò )和信息網(wǎng)絡(luò )的本質(zhì)區別 [5、6] 主要體現在：
（1）網(wǎng)絡(luò )通訊協(xié)議不同。信息網(wǎng)絡(luò )通信協(xié)議常見(jiàn)的如tfp，http，telnet等協(xié)議，而工業(yè)控制網(wǎng)絡(luò )采用工業(yè)控制系統特有的協(xié)議，例如Modbus、OPC、IEC-104、DNP3、PROFINET等，大多數是為了提高效率與可靠性而設計，而放棄了安全特性如認證和加密等，從而可能讓有漏洞的協(xié)議暴露于攻擊之下。
（2）工控網(wǎng)絡(luò )相對信息系統對穩定性要求高。大多數工控系統需要連續不間斷工作，某些情況下正在生產(chǎn)的產(chǎn)品或正在使用的設備比信息更加重要，因此在系統自動(dòng)化生產(chǎn)過(guò)程中非預期的斷電、停機開(kāi)機操作，會(huì )影響到生產(chǎn)。
（3）系統運行軟硬件環(huán)境不同，工控系統在使用壽命的設計上比信息系統長(cháng)得多，導致其運行環(huán)境相對落后于當前主流的信息技術(shù)。同時(shí)，由于工控系統的更新代價(jià)高，所以現場(chǎng)還在沿用舊的操作系統，甚至是微軟不再維護的Windows XP操作系統。
（4）工控系統更新代價(jià)高，無(wú)法像辦公網(wǎng)或互聯(lián)網(wǎng)通過(guò)打補丁來(lái)封堵安全缺陷，任何環(huán)節的升級失敗或出錯將造成整個(gè)工控系統的不可用，給工業(yè)生產(chǎn)帶來(lái)巨大的損失。
（5）工控網(wǎng)絡(luò )不同于互聯(lián)網(wǎng)和辦公網(wǎng)，其網(wǎng)絡(luò )結構和網(wǎng)絡(luò )流行為對控制信號的傳輸時(shí)延、傳輸可靠性、傳輸穩定性要求非常高，數據丟失、延遲、亂序傳輸等都將給控制系統帶來(lái)嚴重的問(wèn)題。
（6）現場(chǎng)運行的自然環(huán)境不同。工業(yè)控制系統的工業(yè)現場(chǎng)環(huán)境惡劣，如需要在野外零下幾十度的低溫、潮濕、高原、鹽霧等環(huán)境中正常運行，而IT信息系統通常在恒溫、恒濕的機房中。
由于上述工控網(wǎng)絡(luò )和辦公互聯(lián)網(wǎng)的本質(zhì)區別決定了基于辦公網(wǎng)和互聯(lián)網(wǎng)設計的傳統IT防火墻無(wú)法有效地保護工控網(wǎng)絡(luò )的安全。
3　智能工業(yè)防火墻新技術(shù)分析
3.1　技術(shù)背景
智能工業(yè)防火墻的核心使命是實(shí)現工業(yè)控制網(wǎng)絡(luò )與外部其他網(wǎng)絡(luò )，工業(yè)控制網(wǎng)絡(luò )內部不同業(yè)務(wù)的邊界隔離和訪(fǎng)問(wèn)控制。然而對于智能工業(yè)防火墻的使用，大部分業(yè)主還是存在多方面的擔心的，主要體現在串行接入、攔截重要指令、影響正常生產(chǎn)等方面。工業(yè)控制系統由于對實(shí)時(shí)性和穩定性的要求高，所以首先其硬件上的可靠性和穩定性必須保證，適應工業(yè)特殊環(huán)境，其次，智能工業(yè)防火墻必須支持工業(yè)協(xié)議的深度解析功能，如支持對Modbus TCP、OPC、IEC-104、DNP3、PROFINET等工業(yè)協(xié)議的深度解析，甚至包括協(xié)議的指令級別、寄存器級別、值域級別，實(shí)現對協(xié)議通信內容的深度解析、過(guò)濾、阻斷、報警、審計等各類(lèi)功能。
不僅如此，智能工業(yè)防火墻的部署方式和工作方式必須靈活，在實(shí)現安全防護的同時(shí)不影響正常生產(chǎn)。
3.2　技術(shù)原理
基于以上的需求，智能工業(yè)防火墻應運而生，軟件層面上智能工業(yè)防火墻技術(shù)融合智能機器學(xué)習技術(shù) [7] 、深度數據包解析技術(shù)、特征匹配技術(shù) [8] ，實(shí)現對多種工控網(wǎng)絡(luò )協(xié)議數據的檢查、過(guò)濾、報警、阻斷。既實(shí)現基于工業(yè)漏洞庫的黑名單被動(dòng)防御功能，又實(shí)現基于智能機器學(xué)習引擎的白名單主動(dòng)防御功能。硬件層面上，智能工業(yè)防火墻技術(shù)強調具有全封閉、無(wú)風(fēng)扇、多電源冗余、硬件加密等適用工業(yè)環(huán)境的特點(diǎn)，確保達到工業(yè)級
可靠性和穩定性要求。
（1） 智能機器學(xué)習技術(shù)
智能學(xué)習技術(shù)包括監督式學(xué)習（Supervisedlearning）技術(shù)和非監督式學(xué)習（UnsupervisedLearning）技術(shù)，應用于工業(yè)環(huán)境的智能機器學(xué)習技術(shù)需要實(shí)現自動(dòng)收集、分析和學(xué)習系統正常運行狀態(tài)下的數據行為，并在此基礎上智能提取用戶(hù)節點(diǎn)的行為特征，自動(dòng)生成容易理解的操作規則和白名單，實(shí)現自動(dòng)化特征規則的提取和生成，對規則以外的異常數據和操作行為進(jìn)行告警或限制。圖1簡(jiǎn)單介紹了非監督式學(xué)習和監督式學(xué)習的工作原理，以及綜合二者優(yōu)點(diǎn)的智能機器學(xué)習引擎技術(shù)的工作原理。

智能機器學(xué)習技術(shù)通過(guò)分析用戶(hù)網(wǎng)絡(luò )數據，發(fā)現設備和網(wǎng)絡(luò )協(xié)議之間的邏輯關(guān)系和相似程度，在此基礎上自動(dòng)優(yōu)化學(xué)習到的規則和策略，并且根據網(wǎng)絡(luò )拓撲的實(shí)際情況與環(huán)境，自動(dòng)組合出適用的新規則和策略。當策略和規則之間存在相互沖突和異常時(shí)，綜合分析并調整規則和策略之間的匹配程度，同時(shí)自動(dòng)部署最優(yōu)化規則到不同的智能工業(yè)防火墻。
（2） 深度數據包解析技術(shù)
對各大主流工業(yè)控制協(xié)議深入解析，識別出協(xié)議中的各種要素及協(xié)議所承載的業(yè)務(wù)內容，并對這些數據進(jìn)行快速解析，以還原其原始通信信息。根據解析后的原始信息，檢測其中是否包含威脅以及敏感內容。對不同行業(yè)的工控系統，采取相應針對性的數據包探測機制和解析策略。在遵循工業(yè)控制系統可用性與完整性的基礎上，檢測出數據包的有效內容特征、負載和可用匹配信息，進(jìn)而生成白名單。例如：針對Modbus協(xié)議中的操作碼、設備地址、寄存器范圍和讀寫(xiě)屬性等進(jìn)行檢查，更能精準地判斷出非法操作、異常事件、外部攻擊。同時(shí)結合基于對已知的工控軟件漏洞、控制器漏洞、操作系統漏洞、Exploit-kit特征、Shellcode特征、蠕蟲(chóng)木馬的通訊特征、僵尸網(wǎng)絡(luò )的C&C通訊特征等黑名單防護簽名庫，根據系統的重要性制定相應的安全策略，如選擇阻斷還是告警的方式。

（3） 特征匹配技術(shù)
特征匹配技術(shù)以深度數據包解析技術(shù)為基礎，并結合智能機器學(xué)習技術(shù)，實(shí)現數據包特征匹配功能。結合工業(yè)控制網(wǎng)絡(luò )系統對于實(shí)時(shí)性的要求，特征匹配技術(shù)能夠自動(dòng)最小化策略更改和部署過(guò)程中的更新延時(shí)，并且能在無(wú)需重啟的情況下，實(shí)時(shí)在線(xiàn)完成特征規則的更改與部署。通過(guò)高效的比對分析和算法，大幅度避免特征匹配引擎執行過(guò)程中對于重復數據包的解析匹配，有效提升特征匹配引擎性能，為滿(mǎn)足工業(yè)控制網(wǎng)絡(luò )對實(shí)時(shí)性和可靠性的特殊要求提供技術(shù)保障。由于工業(yè)協(xié)議的不統一，故存在多種變種，所以智能工業(yè)防火墻同時(shí)為用戶(hù)提供高度開(kāi)放的第三方開(kāi)發(fā)者工具包，滿(mǎn)足企業(yè)自身內部功能應用的開(kāi)發(fā)需求。
（4） 黑白名單相結合的防御技術(shù)
基于工業(yè)漏洞庫實(shí)現黑白單入侵防御功能，所有的已知工業(yè)設備和網(wǎng)絡(luò )漏洞均列入黑名單，入侵防御功能通過(guò)分析、匹配、判斷工控網(wǎng)絡(luò )行為，對符合漏洞庫的異常數據和行為進(jìn)行阻斷或告警，從而避免工業(yè)控制網(wǎng)絡(luò )受到已知漏洞的破壞。
白名單通過(guò)機器智能學(xué)習引擎技術(shù)自動(dòng)生成，也可以添加用戶(hù)自定義的工控網(wǎng)絡(luò )正常行為，與網(wǎng)絡(luò )中的實(shí)時(shí)傳輸數據進(jìn)行比較、匹配、判斷。如果發(fā)現其用戶(hù)節點(diǎn)的行為不符合白名單中的行為特征，將會(huì )對此行為進(jìn)行阻斷或告警，以此避免工業(yè)控制網(wǎng)絡(luò )受到未知漏洞威脅，同時(shí)阻止誤操作帶來(lái)的危害。
（5） 嚴苛的工業(yè)級硬件技術(shù)
為保障工業(yè)控制系統的可用性，智能工業(yè)防火墻支持硬件Bypass能力。當檢測到設備掉電、軟件宕機等異常情況時(shí)觸發(fā)旁通功能，以保障業(yè)務(wù)通信的可用性，而無(wú)需擔心斷網(wǎng)和停車(chē)。同時(shí)為了適應環(huán)境嚴苛的生產(chǎn)現場(chǎng)，智能工業(yè)防火墻采用無(wú)風(fēng)扇設計、導軌式安裝，并支持低功耗、防塵防輻射等。
3.3　應用場(chǎng)景

工業(yè)企業(yè)的生產(chǎn)控制網(wǎng)絡(luò )，不允許任何來(lái)自外部不可信的連接或流量接入到內部網(wǎng)絡(luò )，僅允許內部生產(chǎn)數據根據約定的協(xié)議、內容和發(fā)送周期，發(fā)送給生產(chǎn)管理區，管理層進(jìn)行相應的數據提取和分析決策。一般組成的網(wǎng)絡(luò )架構如圖3所示 [9] 。
針對圖3中的網(wǎng)絡(luò )架構，可以在生產(chǎn)控制區和生產(chǎn)管理區之間采用智能工業(yè)防火墻技術(shù)，針對特定的工業(yè)協(xié)議進(jìn)行訪(fǎng)問(wèn)控制，阻斷互聯(lián)網(wǎng)通用協(xié)議進(jìn)入到生產(chǎn)控制網(wǎng)，阻斷針對工業(yè)控制系統漏洞進(jìn)行的滲透攻擊，僅允許生產(chǎn)管理區需要的數據從生產(chǎn)控制區外發(fā)。
4　總結與展望
在當前智能制造新形勢下，安全問(wèn)題不斷增多與惡化，對智能工業(yè)防火墻提出了更高要求。雖然智能工業(yè)防火墻采用了多種適應工業(yè)控制系統特殊環(huán)境的網(wǎng)絡(luò )安全技術(shù)，但是需要更多的實(shí)踐才能更好地去迭代促進(jìn)產(chǎn)品的成熟，為了真正發(fā)揮智能工業(yè)防火墻安全防護作用，需要企業(yè)用戶(hù)、工業(yè)控制系統集成商、工藝專(zhuān)家、網(wǎng)絡(luò )安全廠(chǎng)家等各方面的力量?jì)?yōu)勢互補，促進(jìn)智能工業(yè)防火墻的應用越來(lái)越成熟。

摘自《自動(dòng)化博覽》2018年5月刊