今日頭條
官方微信
官方抖音
案例頻道摘要:兩化融合、工業(yè)互聯(lián)網(wǎng)等技術(shù)的發(fā)展,在提高企業(yè)生產(chǎn)和管理效率的同時,也使得生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全面臨著嚴峻的考驗。本文著重介紹智能工業(yè)防火墻、智能機器學(xué)習(xí)、深度數(shù)據(jù)包解析、特征匹配、黑白名單結(jié)合、工業(yè)級硬件等新技術(shù),以及智能工業(yè)防火墻在實際生產(chǎn)中的應(yīng)用模式。
關(guān)鍵詞:工控網(wǎng)絡(luò);網(wǎng)絡(luò)安全;工業(yè)防火墻;深度包解析;特征匹配;白名單
Abstract: With the development of integration between information technology and industrialization and the industrial Internet, the efficiency of production and management have been improved, which in turns, makes the security network a severe challenge.
This paper mainly introduces intelligent industrial firewall, intelligent machine learning, deep packet analysis, feature matching, black and white list combination, industrial hardware, as well as the application mode of intelligent industrial firewall in actual production.
Key words: Industrial control network; Network security; Industrial firewall; Deep packet analysis; Feature matching; White list
1 引言
工業(yè)控制系統(tǒng)是SCADA、DCS、PLC等多種類型控制系統(tǒng)的總稱 [1] ,被廣泛應(yīng)用于核設(shè)施、電子、航空航天、汽車、冶金、石油化工、電力、先進制造等國家關(guān)鍵基礎(chǔ)設(shè)施之中。而工控網(wǎng)絡(luò)在設(shè)計之初只注重實時性而忽略了一些安全設(shè)計,使得工控網(wǎng)絡(luò)自身的網(wǎng)絡(luò)安全問題越來越多地突顯出來 [2、3] ,例如操作系統(tǒng)版本老舊、無法更新補丁、通信協(xié)議無加密認證、使用默認的密碼、設(shè)備廠商遠程維護等。
防火墻的標(biāo)準(zhǔn)定義 [4] 是部署于不同安全域之間,具備網(wǎng)絡(luò)層訪問控制及過濾功能,并具備應(yīng)用層協(xié)議分析、控制及內(nèi)容檢測等功能,因此防火墻是工業(yè)控制系統(tǒng)區(qū)域有效隔離的設(shè)備。傳統(tǒng)的防火墻無法識別工業(yè)現(xiàn)場協(xié)議、無法深度解析工業(yè)控制業(yè)務(wù)數(shù)據(jù)、無法適應(yīng)工業(yè)現(xiàn)場的惡劣工作環(huán)境,從而在工業(yè)控制網(wǎng)絡(luò)中的應(yīng)用過程中出現(xiàn)各種問題,所以亟需一款能夠滿足工業(yè)現(xiàn)場實時性、可靠性,能夠深度識別控制業(yè)務(wù)的防火墻產(chǎn)品,實現(xiàn)工業(yè)控制網(wǎng)絡(luò)與外部其他網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同業(yè)務(wù)的邊界隔離和訪問控制。
2 信息系統(tǒng)與工業(yè)控制系統(tǒng)的區(qū)別
當(dāng)前信息安全的通常意義是指辦公和互聯(lián)網(wǎng)網(wǎng)絡(luò)的信息安全,其安全性目標(biāo)體現(xiàn)在信息的保密性、安全性和完整性三方面;而工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的目標(biāo)是保證工業(yè)控制系統(tǒng)長時間、無間斷地穩(wěn)定、可靠、精確地運行,和信息安全相比,工控網(wǎng)絡(luò)自身的特殊技術(shù)特點決定了工控網(wǎng)絡(luò)的安全防護不能簡單沿用已有的信息安全技術(shù)。
工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的本質(zhì)區(qū)別 [5、6] 主要體現(xiàn)在:
(1)網(wǎng)絡(luò)通訊協(xié)議不同。信息網(wǎng)絡(luò)通信協(xié)議常見的如tfp,http,telnet等協(xié)議,而工業(yè)控制網(wǎng)絡(luò)采用工業(yè)控制系統(tǒng)特有的協(xié)議,例如Modbus、OPC、IEC-104、DNP3、PROFINET等,大多數(shù)是為了提高效率與可靠性而設(shè)計,而放棄了安全特性如認證和加密等,從而可能讓有漏洞的協(xié)議暴露于攻擊之下。
(2)工控網(wǎng)絡(luò)相對信息系統(tǒng)對穩(wěn)定性要求高。大多數(shù)工控系統(tǒng)需要連續(xù)不間斷工作,某些情況下正在生產(chǎn)的產(chǎn)品或正在使用的設(shè)備比信息更加重要,因此在系統(tǒng)自動化生產(chǎn)過程中非預(yù)期的斷電、停機開機操作,會影響到生產(chǎn)。
(3)系統(tǒng)運行軟硬件環(huán)境不同,工控系統(tǒng)在使用壽命的設(shè)計上比信息系統(tǒng)長得多,導(dǎo)致其運行環(huán)境相對落后于當(dāng)前主流的信息技術(shù)。同時,由于工控系統(tǒng)的更新代價高,所以現(xiàn)場還在沿用舊的操作系統(tǒng),甚至是微軟不再維護的Windows XP操作系統(tǒng)。
(4)工控系統(tǒng)更新代價高,無法像辦公網(wǎng)或互聯(lián)網(wǎng)通過打補丁來封堵安全缺陷,任何環(huán)節(jié)的升級失敗或出錯將造成整個工控系統(tǒng)的不可用,給工業(yè)生產(chǎn)帶來巨大的損失。
(5)工控網(wǎng)絡(luò)不同于互聯(lián)網(wǎng)和辦公網(wǎng),其網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)流行為對控制信號的傳輸時延、傳輸可靠性、傳輸穩(wěn)定性要求非常高,數(shù)據(jù)丟失、延遲、亂序傳輸?shù)榷紝⒔o控制系統(tǒng)帶來嚴重的問題。
(6)現(xiàn)場運行的自然環(huán)境不同。工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場環(huán)境惡劣,如需要在野外零下幾十度的低溫、潮濕、高原、鹽霧等環(huán)境中正常運行,而IT信息系統(tǒng)通常在恒溫、恒濕的機房中。
由于上述工控網(wǎng)絡(luò)和辦公互聯(lián)網(wǎng)的本質(zhì)區(qū)別決定了基于辦公網(wǎng)和互聯(lián)網(wǎng)設(shè)計的傳統(tǒng)IT防火墻無法有效地保護工控網(wǎng)絡(luò)的安全。
3 智能工業(yè)防火墻新技術(shù)分析
3.1 技術(shù)背景
智能工業(yè)防火墻的核心使命是實現(xiàn)工業(yè)控制網(wǎng)絡(luò)與外部其他網(wǎng)絡(luò),工業(yè)控制網(wǎng)絡(luò)內(nèi)部不同業(yè)務(wù)的邊界隔離和訪問控制。然而對于智能工業(yè)防火墻的使用,大部分業(yè)主還是存在多方面的擔(dān)心的,主要體現(xiàn)在串行接入、攔截重要指令、影響正常生產(chǎn)等方面。工業(yè)控制系統(tǒng)由于對實時性和穩(wěn)定性的要求高,所以首先其硬件上的可靠性和穩(wěn)定性必須保證,適應(yīng)工業(yè)特殊環(huán)境,其次,智能工業(yè)防火墻必須支持工業(yè)協(xié)議的深度解析功能,如支持對Modbus TCP、OPC、IEC-104、DNP3、PROFINET等工業(yè)協(xié)議的深度解析,甚至包括協(xié)議的指令級別、寄存器級別、值域級別,實現(xiàn)對協(xié)議通信內(nèi)容的深度解析、過濾、阻斷、報警、審計等各類功能。
不僅如此,智能工業(yè)防火墻的部署方式和工作方式必須靈活,在實現(xiàn)安全防護的同時不影響正常生產(chǎn)。
3.2 技術(shù)原理
基于以上的需求,智能工業(yè)防火墻應(yīng)運而生,軟件層面上智能工業(yè)防火墻技術(shù)融合智能機器學(xué)習(xí)技術(shù) [7] 、深度數(shù)據(jù)包解析技術(shù)、特征匹配技術(shù) [8] ,實現(xiàn)對多種工控網(wǎng)絡(luò)協(xié)議數(shù)據(jù)的檢查、過濾、報警、阻斷。既實現(xiàn)基于工業(yè)漏洞庫的黑名單被動防御功能,又實現(xiàn)基于智能機器學(xué)習(xí)引擎的白名單主動防御功能。硬件層面上,智能工業(yè)防火墻技術(shù)強調(diào)具有全封閉、無風(fēng)扇、多電源冗余、硬件加密等適用工業(yè)環(huán)境的特點,確保達到工業(yè)級
可靠性和穩(wěn)定性要求。
(1) 智能機器學(xué)習(xí)技術(shù)
智能學(xué)習(xí)技術(shù)包括監(jiān)督式學(xué)習(xí)(Supervisedlearning)技術(shù)和非監(jiān)督式學(xué)習(xí)(UnsupervisedLearning)技術(shù),應(yīng)用于工業(yè)環(huán)境的智能機器學(xué)習(xí)技術(shù)需要實現(xiàn)自動收集、分析和學(xué)習(xí)系統(tǒng)正常運行狀態(tài)下的數(shù)據(jù)行為,并在此基礎(chǔ)上智能提取用戶節(jié)點的行為特征,自動生成容易理解的操作規(guī)則和白名單,實現(xiàn)自動化特征規(guī)則的提取和生成,對規(guī)則以外的異常數(shù)據(jù)和操作行為進行告警或限制。圖1簡單介紹了非監(jiān)督式學(xué)習(xí)和監(jiān)督式學(xué)習(xí)的工作原理,以及綜合二者優(yōu)點的智能機器學(xué)習(xí)引擎技術(shù)的工作原理。
智能機器學(xué)習(xí)技術(shù)通過分析用戶網(wǎng)絡(luò)數(shù)據(jù),發(fā)現(xiàn)設(shè)備和網(wǎng)絡(luò)協(xié)議之間的邏輯關(guān)系和相似程度,在此基礎(chǔ)上自動優(yōu)化學(xué)習(xí)到的規(guī)則和策略,并且根據(jù)網(wǎng)絡(luò)拓撲的實際情況與環(huán)境,自動組合出適用的新規(guī)則和策略。當(dāng)策略和規(guī)則之間存在相互沖突和異常時,綜合分析并調(diào)整規(guī)則和策略之間的匹配程度,同時自動部署最優(yōu)化規(guī)則到不同的智能工業(yè)防火墻。
(2) 深度數(shù)據(jù)包解析技術(shù)
對各大主流工業(yè)控制協(xié)議深入解析,識別出協(xié)議中的各種要素及協(xié)議所承載的業(yè)務(wù)內(nèi)容,并對這些數(shù)據(jù)進行快速解析,以還原其原始通信信息。根據(jù)解析后的原始信息,檢測其中是否包含威脅以及敏感內(nèi)容。對不同行業(yè)的工控系統(tǒng),采取相應(yīng)針對性的數(shù)據(jù)包探測機制和解析策略。在遵循工業(yè)控制系統(tǒng)可用性與完整性的基礎(chǔ)上,檢測出數(shù)據(jù)包的有效內(nèi)容特征、負載和可用匹配信息,進而生成白名單。例如:針對Modbus協(xié)議中的操作碼、設(shè)備地址、寄存器范圍和讀寫屬性等進行檢查,更能精準(zhǔn)地判斷出非法操作、異常事件、外部攻擊。同時結(jié)合基于對已知的工控軟件漏洞、控制器漏洞、操作系統(tǒng)漏洞、Exploit-kit特征、Shellcode特征、蠕蟲木馬的通訊特征、僵尸網(wǎng)絡(luò)的C&C通訊特征等黑名單防護簽名庫,根據(jù)系統(tǒng)的重要性制定相應(yīng)的安全策略,如選擇阻斷還是告警的方式。
(3) 特征匹配技術(shù)
特征匹配技術(shù)以深度數(shù)據(jù)包解析技術(shù)為基礎(chǔ),并結(jié)合智能機器學(xué)習(xí)技術(shù),實現(xiàn)數(shù)據(jù)包特征匹配功能。結(jié)合工業(yè)控制網(wǎng)絡(luò)系統(tǒng)對于實時性的要求,特征匹配技術(shù)能夠自動最小化策略更改和部署過程中的更新延時,并且能在無需重啟的情況下,實時在線完成特征規(guī)則的更改與部署。通過高效的比對分析和算法,大幅度避免特征匹配引擎執(zhí)行過程中對于重復(fù)數(shù)據(jù)包的解析匹配,有效提升特征匹配引擎性能,為滿足工業(yè)控制網(wǎng)絡(luò)對實時性和可靠性的特殊要求提供技術(shù)保障。由于工業(yè)協(xié)議的不統(tǒng)一,故存在多種變種,所以智能工業(yè)防火墻同時為用戶提供高度開放的第三方開發(fā)者工具包,滿足企業(yè)自身內(nèi)部功能應(yīng)用的開發(fā)需求。
(4) 黑白名單相結(jié)合的防御技術(shù)
基于工業(yè)漏洞庫實現(xiàn)黑白單入侵防御功能,所有的已知工業(yè)設(shè)備和網(wǎng)絡(luò)漏洞均列入黑名單,入侵防御功能通過分析、匹配、判斷工控網(wǎng)絡(luò)行為,對符合漏洞庫的異常數(shù)據(jù)和行為進行阻斷或告警,從而避免工業(yè)控制網(wǎng)絡(luò)受到已知漏洞的破壞。
白名單通過機器智能學(xué)習(xí)引擎技術(shù)自動生成,也可以添加用戶自定義的工控網(wǎng)絡(luò)正常行為,與網(wǎng)絡(luò)中的實時傳輸數(shù)據(jù)進行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征,將會對此行為進行阻斷或告警,以此避免工業(yè)控制網(wǎng)絡(luò)受到未知漏洞威脅,同時阻止誤操作帶來的危害。
(5) 嚴苛的工業(yè)級硬件技術(shù)
為保障工業(yè)控制系統(tǒng)的可用性,智能工業(yè)防火墻支持硬件Bypass能力。當(dāng)檢測到設(shè)備掉電、軟件宕機等異常情況時觸發(fā)旁通功能,以保障業(yè)務(wù)通信的可用性,而無需擔(dān)心斷網(wǎng)和停車。同時為了適應(yīng)環(huán)境嚴苛的生產(chǎn)現(xiàn)場,智能工業(yè)防火墻采用無風(fēng)扇設(shè)計、導(dǎo)軌式安裝,并支持低功耗、防塵防輻射等。
3.3 應(yīng)用場景
工業(yè)企業(yè)的生產(chǎn)控制網(wǎng)絡(luò),不允許任何來自外部不可信的連接或流量接入到內(nèi)部網(wǎng)絡(luò),僅允許內(nèi)部生產(chǎn)數(shù)據(jù)根據(jù)約定的協(xié)議、內(nèi)容和發(fā)送周期,發(fā)送給生產(chǎn)管理區(qū),管理層進行相應(yīng)的數(shù)據(jù)提取和分析決策。一般組成的網(wǎng)絡(luò)架構(gòu)如圖3所示 [9] 。
針對圖3中的網(wǎng)絡(luò)架構(gòu),可以在生產(chǎn)控制區(qū)和生產(chǎn)管理區(qū)之間采用智能工業(yè)防火墻技術(shù),針對特定的工業(yè)協(xié)議進行訪問控制,阻斷互聯(lián)網(wǎng)通用協(xié)議進入到生產(chǎn)控制網(wǎng),阻斷針對工業(yè)控制系統(tǒng)漏洞進行的滲透攻擊,僅允許生產(chǎn)管理區(qū)需要的數(shù)據(jù)從生產(chǎn)控制區(qū)外發(fā)。
4 總結(jié)與展望
在當(dāng)前智能制造新形勢下,安全問題不斷增多與惡化,對智能工業(yè)防火墻提出了更高要求。雖然智能工業(yè)防火墻采用了多種適應(yīng)工業(yè)控制系統(tǒng)特殊環(huán)境的網(wǎng)絡(luò)安全技術(shù),但是需要更多的實踐才能更好地去迭代促進產(chǎn)品的成熟,為了真正發(fā)揮智能工業(yè)防火墻安全防護作用,需要企業(yè)用戶、工業(yè)控制系統(tǒng)集成商、工藝專家、網(wǎng)絡(luò)安全廠家等各方面的力量優(yōu)勢互補,促進智能工業(yè)防火墻的應(yīng)用越來越成熟。
摘自《自動化博覽》2018年5月刊
北京市公安局海淀分局備案號:11010802023656號