鄒春明 公安部第三研究所，上海網(wǎng)絡(luò )與信息安全測評工程技術(shù)研究中心

1　引言

工業(yè)控制系統廣泛應用于能源、交通、水利、公共事業(yè)和智能制造等行業(yè)和領(lǐng)域，這些系統一旦遭到破壞，可能?chē)乐匚：野踩?、國計民生及公共利益，很大部分均屬于關(guān)鍵信息基礎設施的范疇。對其運行安全，在《網(wǎng)絡(luò )安全法》中也提出了明確的要求，運營(yíng)者需采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施，日志留存不少于六個(gè)月。同時(shí)，工信部發(fā)布的《工業(yè)控制系統信息安全防護指南》中也提出需在工業(yè)控制網(wǎng)絡(luò )部署網(wǎng)絡(luò )安全監測設備，及時(shí)發(fā)現、報告并處理網(wǎng)絡(luò )攻擊或異常行為。另外，工業(yè)控制系統運營(yíng)者從系統安全來(lái)說(shuō)，也有必要通過(guò)審計監控措施，及時(shí)發(fā)現網(wǎng)絡(luò )中的異常行為，進(jìn)行安全防護，也能在安全事件發(fā)生后，做必要的追溯分析。因此，無(wú)論是法律法規的合規要求，還是自身的安全防護需要，都有必要對工業(yè)控制網(wǎng)絡(luò )進(jìn)行審計監控。

2　工控系統信息安全現狀

2.1 工控系統安全現狀

早期工控系統相對孤立，運行專(zhuān)有控制協(xié)議，使用專(zhuān)門(mén)硬件和軟件，因此在設計之初就很少考慮信息安全問(wèn)題。比如工控協(xié)議基本都是采用明文方式傳輸，并且缺少身份認證的支持，這在IT安全領(lǐng)域是絕對無(wú)法接受的。工控設備主要關(guān)注的也是功能安全，系統集成時(shí)注重的是可用性、穩定性及可靠性，往往把信息安全放到次要位置。隨著(zhù)互聯(lián)網(wǎng)的發(fā)展，兩化融合的推進(jìn)，工控系統與互聯(lián)網(wǎng)的信息交互變得非常必要，這就把原來(lái)通過(guò)物理隔離而隱藏在系統中的風(fēng)險、漏洞暴露出來(lái)，同時(shí)也會(huì )引入新的風(fēng)險。

工控系統的生命周期通常比較長(cháng)，整個(gè)系統進(jìn)行完全的更新是不現實(shí)的。這就有必要采取技術(shù)措施對工控系統進(jìn)行安全防護。最基本的防護措施至少包括以下幾個(gè)方面：首先，是邊界防護，需要采取嚴格的訪(fǎng)問(wèn)控制措施，對包括外部邊界、內部層級和區域邊界的防護；第二，是人機交互設備的防護，主要是針對計算機設備，防止引入惡意程序及非授權的操作；第三，采取全面的審計監控措施，及時(shí)發(fā)現系統的任何異常情況。當然，為保障整個(gè)系統的安全，物理安全及運維管理安全也是必不可少的。

2.2　與IT系統的區別

工控系統在下層主要采用硬接線(xiàn)方式，其上層使用的還是工業(yè)以太網(wǎng)，與傳統的IT網(wǎng)絡(luò )具有一定的相似性。但由于各自系統在業(yè)務(wù)功能上存在較大差異，因此在審計監控需求上也存在較大的不同。

可用性要求方面，工控系統對可用性要求非常高，不允許外部設備對系統產(chǎn)生任何干擾；性能要求方面，對網(wǎng)絡(luò )的實(shí)時(shí)性要求很高，而對吞吐量要求相對較低；通信協(xié)議方面，IT系統主要采用TCP/IP協(xié)議，應用層協(xié)議也具有統一規范。工控系統除了少量的標準協(xié)議，如ModBusTCP等，大量采用廠(chǎng)商的私有協(xié)議，而在通信內容上，工控系統相對比較簡(jiǎn)單，無(wú)外乎數字量、模擬量的輸入監測和輸出控制。

由于兩者存在較大差別，使得傳統的IT審計產(chǎn)品無(wú)法應用在工業(yè)控制系統。首先，傳統IT審計產(chǎn)品無(wú)法識別工控協(xié)議的應用層元素；其次，IT系統中審計，除了流量鏡像方式審計外，也可能以串接方式進(jìn)行審計，串接方式在工控系統難于接受，會(huì )對通信帶來(lái)額外的延時(shí)，設備的故障也會(huì )影響系統可用性；第三，傳統IT審計產(chǎn)品的高性能在工控系統中無(wú)太大必要。

2.3 工控審計監控產(chǎn)品現狀

隨著(zhù)對工控系統信息安全的關(guān)注，用戶(hù)有了對工控系統進(jìn)行審計監控的需求。2014年，市場(chǎng)上就出現了針對工控系統的審計類(lèi)產(chǎn)品，近幾年的產(chǎn)品數量更是有著(zhù)大幅增長(cháng)。目前這類(lèi)產(chǎn)品主要還是黑名單技術(shù)，即對能夠識別的協(xié)議進(jìn)行分析審計，其它通信則不處理，能夠記錄通信的五元組及工控協(xié)議通訊的應用層內容，如操作類(lèi)型、操作對象、操作值等。但目前這類(lèi)產(chǎn)品還普遍存在一些不足之處。首先，對工控協(xié)議支持的數量相對有限；其次，大多還是偏重于提取通訊的相關(guān)內容，而對其所做的自動(dòng)分析較少；還有就是對不能識別的內容可能存在潛在風(fēng)險的通訊都是直接忽略。

2.4 工控審計需求

由于工控系統與IT系統存在較大差異，其對系統網(wǎng)絡(luò )審計也有著(zhù)不同的需求。在部署上，需采取鏡像監聽(tīng)方式，并保證監聽(tīng)網(wǎng)卡不能主動(dòng)外發(fā)數據包，有些大型的系統，橫向上會(huì )有多個(gè)區域，這就需要審計產(chǎn)品能夠支持分布式部署，在此模式下，如果數據采集引擎部署在工業(yè)現場(chǎng)，采集引擎硬件需要具有良好的環(huán)境適應性，如溫濕度、抗震、電磁兼容等，為了產(chǎn)品的可靠性，通常也需要采用無(wú)風(fēng)扇自然散熱的方式。工控系統的安全，要求整個(gè)網(wǎng)絡(luò )通信可知可控，這就要求工控審計產(chǎn)品對所有流量進(jìn)行全面分析處理，對于無(wú)法確定為正常的通信內容均應視為異常通信，可能存在潛在的風(fēng)險。實(shí)現對異常/攻擊事件的溯源分析（事后），及時(shí)發(fā)現網(wǎng)絡(luò )中的異常行為并告警（事中）。

3　基于白名單的審計監控研究

3.1　白名單技術(shù)分析

采用基于規則匹配技術(shù)實(shí)現的安全功能，要么以黑名單方式，要么以白名單方式。黑名單方式，主要規則匹配的內容認為是惡意的，對其它內容不做處理，如入侵檢測系統、殺毒軟件主要采用此方式；白名單方式，主要是規則匹配的內容認為是無(wú)害或能夠允許的，而其它內容均認為是異?；虿豢尚?。

IT系統中通信非常復雜，各設備之間的網(wǎng)狀通信、設備上各應用程序與外部及互聯(lián)網(wǎng)往往都有復雜的通訊內容，無(wú)論是網(wǎng)絡(luò )層還是應用層。這就使得IT系統中的網(wǎng)絡(luò )審計無(wú)法采用白名單技術(shù)，通常只能夠審計到通信的五元組信息，以及能夠識別的部分協(xié)議類(lèi)型及應用層內容，而且對應用層內容審計得過(guò)多又可能侵犯個(gè)人隱私，如郵件內容、即時(shí)聊天內容等。而工控系統中通信相對簡(jiǎn)單，一個(gè)完整的流程下來(lái)，基本上能夠覆蓋各類(lèi)通信行為，而且通信內容上不會(huì )變幻不定。另外，工控系統中的通訊協(xié)議通常都是明文方式。再加上工控系統安全對穩定可靠、可知可控的需求，這使得以白名單方式進(jìn)行審計成為可能。

3.2　網(wǎng)絡(luò )層白名單分析

要進(jìn)行網(wǎng)絡(luò )層的白名單分析，前提是具備相應的白名單規則。首先是資產(chǎn)白名單，通過(guò)設定IP、MAC地址清單，若監測到系統中出現了清單之外的源IP或MAC地址，說(shuō)明有非法設備接入。其次，工控系統中各設備所開(kāi)放的服務(wù)端口是可知的，哪些設備需要訪(fǎng)問(wèn)這些服務(wù)也是能夠確定的，這就可以生成類(lèi)似防火墻包過(guò)濾策略的五元組規則，源IP、源端口，目的IP、目的端口及傳輸層協(xié)議類(lèi)型。當然，由于通信過(guò)程中，源端口通常為隨機生成，該要素可以忽略。通過(guò)提取網(wǎng)絡(luò )會(huì )話(huà)中的源IP，目的IP和目的端口，傳輸層協(xié)議，與設定規則進(jìn)行比對，就至少能夠識別出以下異常行為：如來(lái)自工程師站/操作員站主機之外設備訪(fǎng)問(wèn)控制器，可能就是潛在的攻擊探測；若存在非控制器IP與控制器遠程通信模塊進(jìn)行通信，無(wú)論其應用層協(xié)議是否合規，可能就是直接的協(xié)議攻擊。

3.3　應用層白名單分析

同樣，對應用層通信進(jìn)行白名單分析，也需要應用層通信的白名單規則。各工控協(xié)議應用層內容都有一套協(xié)議規約，所有的通信均應遵循此規約。應用層通信內容要素主要包括：操作類(lèi)型，如讀取、寫(xiě)入操作；操作對象，如I/O點(diǎn)位地址；操作值等。正常的工藝流程下，I/O點(diǎn)位地址清單應是明確的，對各I/O點(diǎn)的操作類(lèi)型、操作值范圍也均是明確的。這就可以基于以上要素形成應用層基本的白名單規則。進(jìn)一步來(lái)說(shuō)，可基于各操作的先后次序、時(shí)間間隔等要素生成更細致的白名單規則。通過(guò)提取工控協(xié)議中相應的要素并進(jìn)行記錄，然后與白名單規則進(jìn)行比對分析，識別其中異常行為。如越限值的操作、非授權的點(diǎn)位操作等，這些都可能會(huì )帶來(lái)嚴重的后果。

3.4　其它必要的審計分析技術(shù)

學(xué)習功能：對于規模較小的系統來(lái)說(shuō)，可以通過(guò)人工方式設定較為準確的白名單規則。但對于規模較大的系統，設備數據多、監控的點(diǎn)位多時(shí)，人工就很難配置出完善的白名單規則，這就需要審計產(chǎn)品一定的學(xué)習功能。通過(guò)一個(gè)或多個(gè)完整的工藝流程后，自動(dòng)學(xué)習生成基礎的白名單規則庫，在此基礎上，通過(guò)人工的調整完善。并通過(guò)后續的試運行，排除可能出現的誤報行為，最終形成較為完善的白名單規則庫，來(lái)對事件進(jìn)行分析。

黑名單分析技術(shù)：基于白名單的審計分析，能夠識別出不合規的異常事件，但對于不同的異常事件，可能有不同的危害程度，這主要依靠黑名單分析技術(shù)，通過(guò)設定一個(gè)規則集，并設定其危害等級，出現匹配的事件時(shí)，進(jìn)行相應級別的告警。例如，高鐵設計時(shí)速為300km/h，速度超過(guò)設計速度的10%可能就是中危事件，超過(guò)20%可能就是高危事件，那么就可以對速度監測數據分別設置中危、高危分析規則。

關(guān)聯(lián)分析技術(shù)：有些時(shí)候，盡管從單個(gè)事件來(lái)看屬正常事件或者低危事件，但不同的事件以某種特定的方式同時(shí)出現時(shí)，就可能是高危事件了。比如，端口掃描、系統登錄失敗，這應該都屬于低危的事件，但是如果先出現端口掃描事件，接著(zhù)就出現登錄失敗事件，這很可能就是高危的惡意攻擊事件。通過(guò)關(guān)聯(lián)分析技術(shù)是能夠非常有效地挖掘出安全事件，但它主要還是通過(guò)人工設定分析規則來(lái)實(shí)現，這對規則設定的要求較高。

3.5　網(wǎng)絡(luò )報文分析流程

對于審計產(chǎn)品來(lái)說(shuō)，網(wǎng)絡(luò )報文的分析是其基礎，包括網(wǎng)絡(luò )層的內容，如MAC、IP、傳輸層協(xié)議類(lèi)型、端口等，應用層的內容，如操作類(lèi)型、操作對象、操作值等參數?？傮w分析流程如圖1所示。

網(wǎng)絡(luò )報文分析流程圖

首先通過(guò)網(wǎng)絡(luò )層白名單規則對報文進(jìn)行分析，在此期間，需要排除部分無(wú)實(shí)質(zhì)應用內容的報文，如ARP、ICMP報文，但不是直接丟棄，也需要對報文數量進(jìn)行統計，是否出現異常的報文風(fēng)暴等，這就可以得到網(wǎng)絡(luò )層正常事件、網(wǎng)絡(luò )層異常事件。對于網(wǎng)絡(luò )層異常事件，需進(jìn)一步通過(guò)應用/網(wǎng)絡(luò )黑名單規則進(jìn)行分析，可以得到惡意事件和普通的異常事件，這類(lèi)惡意事件如來(lái)自非工程師站、操作員站的設備篡改控制器指令等。對于網(wǎng)絡(luò )層屬于正常的事件，也需要深入分析，先通過(guò)應用層白名單規則進(jìn)行分析，若匹配，則屬于正常事件，其它均屬于應用層異常事件，再通過(guò)應用黑名單規則進(jìn)行分析，可以得到諸如越限值操作、異常協(xié)議攻擊等事件。

通過(guò)上述的分析，可以得到正常事件、網(wǎng)絡(luò )層的惡意事件和異常事件、應用層的惡意事件和異常事件。最后可通過(guò)統計分析、關(guān)聯(lián)分析等分析技術(shù)進(jìn)行綜合分析，得到確定的惡意事件。從而實(shí)現工控系統全面的審計監控。

4　總結與展望

由于工控系統的特點(diǎn)及安全需求，使得基于白名單技術(shù)的安全審計在工控系統審計中具備了基礎條件，也是工控系統安全審計所必要的。因此，國家標準《信息安全技術(shù) 工業(yè)控制系統網(wǎng)絡(luò )審計產(chǎn)品安全技術(shù)要求》的編制，也是基于此思路來(lái)編寫(xiě)的。工控審計類(lèi)產(chǎn)品重點(diǎn)不在于記錄下各類(lèi)通信行為，而是在于后續的分析，這也是難點(diǎn)所在。隨著(zhù)這類(lèi)產(chǎn)品的發(fā)展，分析技術(shù)必將進(jìn)一步成熟和完善。

作者簡(jiǎn)介

鄒春明（1979-），男，湖南衡陽(yáng)人，高級測評師，碩士，現就職于公安部第三研究所，主要研究方向為信息安全。

參考文獻：

[1] NIST-SP800-82-2011. Guide to Industrial Control Systems (ICS) Security[S].

[2] 袁勝. “白環(huán)境”下的工控安全[J].中國信息安全, 2016 (4) : 74 - 75.

[3] GA/T 695-2014 . 信息安全技術(shù) 工業(yè)控制系統網(wǎng)絡(luò )通信審計產(chǎn)品安全技術(shù)要求[S].

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯工控安全