張學(xué)聰 北京神州綠盟信息安全科技股份有限公司

1　監測審計在工控安全保障策略中的重要性分析

工控網(wǎng)絡(luò )安全保障一般包括以下七個(gè)步驟：實(shí)現應用白名單；確保合適的配置和補丁管理；減少攻擊面；建立一個(gè)可防御的環(huán)境；管理認證；實(shí)現安全的遠程訪(fǎng)問(wèn)；監測和響應。這七個(gè)步驟分別完成不同的安全策略的實(shí)施部署。

雖然這些策略可以防止90%以上的攻擊，但是還有剩下的一些攻擊手段，需要持續性的監測。此外，對于一些嚴重程度較低的異常，有些安全管理員很可能會(huì )忽略這些警告，而這很可能是有敵手對工控系統進(jìn)行APT攻擊，如果將這些異常信息進(jìn)行關(guān)聯(lián)分析，從中發(fā)現潛在的安全隱患，不僅能夠減少管理員的壓力，同時(shí)還能更好地保護工控安全。

在第七個(gè)策略安全監測和響應中，尤其需要對位于現場(chǎng)控制層的控制設備以及位于過(guò)程監控層的工作站的通訊過(guò)程進(jìn)行安全監控。在眾多工控安全系統中，工控安全監測審計系統是搭建整個(gè)預警體系的關(guān)鍵所在。作為預警體系的探針，工控安全監測審計系統承載著(zhù)數據收集和分析的要務(wù)。

適用于工控網(wǎng)絡(luò )的安全監測審計系統，需要對工控系統網(wǎng)絡(luò )內的異常行為進(jìn)行實(shí)時(shí)的監測分析，快速執行已經(jīng)準備好的響應方案。

可考慮在五個(gè)位置部署監控程序：

（1） ICS邊界對IP流量進(jìn)行監測，正常和非正常的通信。

（2）在控制網(wǎng)絡(luò )中的IP流量，惡意的連接或者內容。

（3）基于主機的產(chǎn)品，監測惡意軟件和攻擊企圖。

（4）登錄分析（時(shí)間或者地點(diǎn)），監測被盜用的賬號的使用或者不正確的訪(fǎng)問(wèn)，驗證所有的異?，F象，通過(guò)快速電話(huà)聯(lián)系。

（5）監測用戶(hù)的管理行動(dòng)，檢測訪(fǎng)問(wèn)控制操作。

2　工控網(wǎng)絡(luò )安全監測審計系統技術(shù)特性

2.1　基于機器自學(xué)習的業(yè)務(wù)行為基線(xiàn)

工業(yè)網(wǎng)絡(luò )中設備眾多、網(wǎng)絡(luò )通信復雜，用戶(hù)很難全面掌握網(wǎng)絡(luò )中所必須的業(yè)務(wù)通信需求，這會(huì )給安全設備的規則配置帶來(lái)很大困難。為了方便用戶(hù)進(jìn)行異常行為檢測規則的配置，提高規則配置的準確性，減少規則配置的工作量，NSFOCUS SAS-ICS開(kāi)發(fā)了基于機器自學(xué)習的業(yè)務(wù)行為基線(xiàn)功能。該功能采用被動(dòng)檢測的方式從網(wǎng)絡(luò )中采集數據包，并進(jìn)行數據包的解析，智能地與系統內置的協(xié)議特征、設備對象等進(jìn)行匹配，生成可供參考的網(wǎng)絡(luò )交互信息列表，通過(guò)對協(xié)議分布和流量信息的匹配，形成“工控場(chǎng)景行為基線(xiàn)”，幫助用戶(hù)以最直觀(guān)的方式了解和掌握網(wǎng)絡(luò )中的業(yè)務(wù)通信狀態(tài)，發(fā)現工控網(wǎng)絡(luò )潛在的安全風(fēng)險。

圖1 工控網(wǎng)絡(luò )基線(xiàn)資產(chǎn)關(guān)系圖

通過(guò)基線(xiàn)自學(xué)習功能梳理工控現場(chǎng)資產(chǎn)拓撲，建立工控網(wǎng)絡(luò )行為模型，對基線(xiàn)外異行為如組態(tài)變更、操控指令變更、負載變更、異常訪(fǎng)問(wèn)等告警，實(shí)現對工控現場(chǎng)安全事件的告警與響應，保障工業(yè)控制系統的安全穩定運行。

2.2　深度融合業(yè)務(wù)場(chǎng)景的異常行為檢測

電力、石油、石化、軌道交通、煙草、煤炭、鋼鐵及先進(jìn)制造等各個(gè)行業(yè)的工業(yè)控制系統千差萬(wàn)別，不同的工藝流程往往有著(zhù)不盡相同的業(yè)務(wù)處理方式，針對不同行業(yè)工控網(wǎng)絡(luò )的異常監測有著(zhù)較強的特異性差異。

NSFOCUS SAS-ICS深入不同行業(yè)的OT網(wǎng)絡(luò )場(chǎng)景，融入針對不同行業(yè)的業(yè)務(wù)安全告警。如針對變電站場(chǎng)景，可對IEC61850協(xié)議簇進(jìn)行深度解析，對應到特定場(chǎng)景下的關(guān)鍵操作行為（遙控操作、改定值操作）；針對其他行業(yè)場(chǎng)景，可設置通用行業(yè)場(chǎng)景，解析Modbus TCP、S7 Comm等常見(jiàn)協(xié)議規約。

同時(shí)，NSFOCUS SAS-ICS可對工控系統的配置文件進(jìn)行解析，如變電站SCD文件等廠(chǎng)商相關(guān)配置文件的解析，將功能代碼與具體業(yè)務(wù)操作進(jìn)行關(guān)聯(lián)，實(shí)現業(yè)務(wù)安全審計的功能。如可對工控協(xié)議報文進(jìn)行檢測和告警?？蓪\維人員下發(fā)的工控協(xié)議報文產(chǎn)生的非法操作進(jìn)行檢測和告警?？蓪Y產(chǎn)新增、路徑異常、未知協(xié)議、越權操作、關(guān)鍵控制等行為進(jìn)行檢測和告警。

2.3　工業(yè)網(wǎng)絡(luò )協(xié)議深度解析

綠盟科技基于對工控環(huán)境的理解，針對工控環(huán)境使用的規約進(jìn)行了相關(guān)分析和研究，對于協(xié)議的內容進(jìn)行了完全的解碼，可以深入到指令級別的分析，對于從上位機指令下發(fā)控制端到下位機指令接受操控端的通訊過(guò)程進(jìn)行全面細致的解析。如對Modbus Tcp協(xié)議，可以深入到功能碼寄存器層面進(jìn)行細致的監測審計（寫(xiě)多個(gè)寄存器、讀保持寄存器等），如圖2所示。

圖2 深入到功能碼寄存器層面的工控協(xié)議深度解析

NSFOCUS SAS-ICS通過(guò)鏡像方式對流量進(jìn)行深入解碼，分析其中的操作是否符合定義的操作要求，如發(fā)現其中有任何的違規操作，及時(shí)進(jìn)行報警，由管理員來(lái)進(jìn)行相關(guān)的處理。

3　工控網(wǎng)絡(luò )安全監測審計系統行業(yè)應用

3.1　智能變電站監控系統安全監測審計

工控網(wǎng)絡(luò )安全監測審計系統可旁路部署在智能變電站的站控層、間隔層、過(guò)程層的交換機上，對三層兩網(wǎng)進(jìn)行工控網(wǎng)絡(luò )的流量監控和安全審計。

3.2　調度數據網(wǎng)邊界安全監測審計

可將工控網(wǎng)絡(luò )安全監測審計系統部署在調度數據網(wǎng)邊界的實(shí)時(shí)交換機和非實(shí)時(shí)交換機上，對加密前和解密后的數據報文進(jìn)行深度解析，識別104協(xié)議和其他流經(jīng)調度數據網(wǎng)和生產(chǎn)控制大區邊界的網(wǎng)絡(luò )協(xié)議，并進(jìn)行數據報文的分析，進(jìn)行實(shí)時(shí)的流量監控和安全審計。

4　工控網(wǎng)絡(luò )安全監測審計系統價(jià)值體現

（1）針對不同行業(yè)的工控網(wǎng)絡(luò )場(chǎng)景建立融合業(yè)務(wù)的安全行為基線(xiàn)，形成工控網(wǎng)絡(luò )數據流量的健康性監控；

（2）快速定位異常位置，協(xié)助相關(guān)人員快速解決故障及事件；

（3）指導安全工作和決策；

（4）滿(mǎn)足工信部指南、能源局36號文、發(fā)改委14號令、工控等保等合規性要求。

作者簡(jiǎn)介

張學(xué)聰（1992-），男，黑龍江牡丹江人，碩士研究生，現就職于北京神州綠盟信息安全科技股份有限公司，主要研究方向為工業(yè)控制系統信息安全相關(guān)領(lǐng)域（控制器漏洞挖掘、基于業(yè)務(wù)的異常行為監測等）。

參考文獻：

[1] ICS-CERT. Seven Steps to Effectively Defend Industrial Control Systems[Z]. 2015, 12.

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯