今日頭條
官方微信
官方抖音
案例頻道摘要:兩化融合、工業互聯網等技術的發展,在提高企業生產和管理效率的同時,也使得生產網的網絡安全面臨著嚴峻的考驗。本文著重介紹智能工業防火墻、智能機器學習、深度數據包解析、特征匹配、黑白名單結合、工業級硬件等新技術,以及智能工業防火墻在實際生產中的應用模式。
關鍵詞:工控網絡;網絡安全;工業防火墻;深度包解析;特征匹配;白名單
Abstract: With the development of integration between information technology and industrialization and the industrial Internet, the efficiency of production and management have been improved, which in turns, makes the security network a severe challenge.
This paper mainly introduces intelligent industrial firewall, intelligent machine learning, deep packet analysis, feature matching, black and white list combination, industrial hardware, as well as the application mode of intelligent industrial firewall in actual production.
Key words: Industrial control network; Network security; Industrial firewall; Deep packet analysis; Feature matching; White list
1 引言
工業控制系統是SCADA、DCS、PLC等多種類型控制系統的總稱 [1] ,被廣泛應用于核設施、電子、航空航天、汽車、冶金、石油化工、電力、先進制造等國家關鍵基礎設施之中。而工控網絡在設計之初只注重實時性而忽略了一些安全設計,使得工控網絡自身的網絡安全問題越來越多地突顯出來 [2、3] ,例如操作系統版本老舊、無法更新補丁、通信協議無加密認證、使用默認的密碼、設備廠商遠程維護等。
防火墻的標準定義 [4] 是部署于不同安全域之間,具備網絡層訪問控制及過濾功能,并具備應用層協議分析、控制及內容檢測等功能,因此防火墻是工業控制系統區域有效隔離的設備。傳統的防火墻無法識別工業現場協議、無法深度解析工業控制業務數據、無法適應工業現場的惡劣工作環境,從而在工業控制網絡中的應用過程中出現各種問題,所以亟需一款能夠滿足工業現場實時性、可靠性,能夠深度識別控制業務的防火墻產品,實現工業控制網絡與外部其他網絡,工業控制網絡內部不同業務的邊界隔離和訪問控制。
2 信息系統與工業控制系統的區別
當前信息安全的通常意義是指辦公和互聯網網絡的信息安全,其安全性目標體現在信息的保密性、安全性和完整性三方面;而工業控制系統網絡安全的目標是保證工業控制系統長時間、無間斷地穩定、可靠、精確地運行,和信息安全相比,工控網絡自身的特殊技術特點決定了工控網絡的安全防護不能簡單沿用已有的信息安全技術。
工控網絡和信息網絡的本質區別 [5、6] 主要體現在:
(1)網絡通訊協議不同。信息網絡通信協議常見的如tfp,http,telnet等協議,而工業控制網絡采用工業控制系統特有的協議,例如Modbus、OPC、IEC-104、DNP3、PROFINET等,大多數是為了提高效率與可靠性而設計,而放棄了安全特性如認證和加密等,從而可能讓有漏洞的協議暴露于攻擊之下。
(2)工控網絡相對信息系統對穩定性要求高。大多數工控系統需要連續不間斷工作,某些情況下正在生產的產品或正在使用的設備比信息更加重要,因此在系統自動化生產過程中非預期的斷電、停機開機操作,會影響到生產。
(3)系統運行軟硬件環境不同,工控系統在使用壽命的設計上比信息系統長得多,導致其運行環境相對落后于當前主流的信息技術。同時,由于工控系統的更新代價高,所以現場還在沿用舊的操作系統,甚至是微軟不再維護的Windows XP操作系統。
(4)工控系統更新代價高,無法像辦公網或互聯網通過打補丁來封堵安全缺陷,任何環節的升級失敗或出錯將造成整個工控系統的不可用,給工業生產帶來巨大的損失。
(5)工控網絡不同于互聯網和辦公網,其網絡結構和網絡流行為對控制信號的傳輸時延、傳輸可靠性、傳輸穩定性要求非常高,數據丟失、延遲、亂序傳輸等都將給控制系統帶來嚴重的問題。
(6)現場運行的自然環境不同。工業控制系統的工業現場環境惡劣,如需要在野外零下幾十度的低溫、潮濕、高原、鹽霧等環境中正常運行,而IT信息系統通常在恒溫、恒濕的機房中。
由于上述工控網絡和辦公互聯網的本質區別決定了基于辦公網和互聯網設計的傳統IT防火墻無法有效地保護工控網絡的安全。
3 智能工業防火墻新技術分析
3.1 技術背景
智能工業防火墻的核心使命是實現工業控制網絡與外部其他網絡,工業控制網絡內部不同業務的邊界隔離和訪問控制。然而對于智能工業防火墻的使用,大部分業主還是存在多方面的擔心的,主要體現在串行接入、攔截重要指令、影響正常生產等方面。工業控制系統由于對實時性和穩定性的要求高,所以首先其硬件上的可靠性和穩定性必須保證,適應工業特殊環境,其次,智能工業防火墻必須支持工業協議的深度解析功能,如支持對Modbus TCP、OPC、IEC-104、DNP3、PROFINET等工業協議的深度解析,甚至包括協議的指令級別、寄存器級別、值域級別,實現對協議通信內容的深度解析、過濾、阻斷、報警、審計等各類功能。
不僅如此,智能工業防火墻的部署方式和工作方式必須靈活,在實現安全防護的同時不影響正常生產。
3.2 技術原理
基于以上的需求,智能工業防火墻應運而生,軟件層面上智能工業防火墻技術融合智能機器學習技術 [7] 、深度數據包解析技術、特征匹配技術 [8] ,實現對多種工控網絡協議數據的檢查、過濾、報警、阻斷。既實現基于工業漏洞庫的黑名單被動防御功能,又實現基于智能機器學習引擎的白名單主動防御功能。硬件層面上,智能工業防火墻技術強調具有全封閉、無風扇、多電源冗余、硬件加密等適用工業環境的特點,確保達到工業級
可靠性和穩定性要求。
(1) 智能機器學習技術
智能學習技術包括監督式學習(Supervisedlearning)技術和非監督式學習(UnsupervisedLearning)技術,應用于工業環境的智能機器學習技術需要實現自動收集、分析和學習系統正常運行狀態下的數據行為,并在此基礎上智能提取用戶節點的行為特征,自動生成容易理解的操作規則和白名單,實現自動化特征規則的提取和生成,對規則以外的異常數據和操作行為進行告警或限制。圖1簡單介紹了非監督式學習和監督式學習的工作原理,以及綜合二者優點的智能機器學習引擎技術的工作原理。
智能機器學習技術通過分析用戶網絡數據,發現設備和網絡協議之間的邏輯關系和相似程度,在此基礎上自動優化學習到的規則和策略,并且根據網絡拓撲的實際情況與環境,自動組合出適用的新規則和策略。當策略和規則之間存在相互沖突和異常時,綜合分析并調整規則和策略之間的匹配程度,同時自動部署最優化規則到不同的智能工業防火墻。
(2) 深度數據包解析技術
對各大主流工業控制協議深入解析,識別出協議中的各種要素及協議所承載的業務內容,并對這些數據進行快速解析,以還原其原始通信信息。根據解析后的原始信息,檢測其中是否包含威脅以及敏感內容。對不同行業的工控系統,采取相應針對性的數據包探測機制和解析策略。在遵循工業控制系統可用性與完整性的基礎上,檢測出數據包的有效內容特征、負載和可用匹配信息,進而生成白名單。例如:針對Modbus協議中的操作碼、設備地址、寄存器范圍和讀寫屬性等進行檢查,更能精準地判斷出非法操作、異常事件、外部攻擊。同時結合基于對已知的工控軟件漏洞、控制器漏洞、操作系統漏洞、Exploit-kit特征、Shellcode特征、蠕蟲木馬的通訊特征、僵尸網絡的C&C通訊特征等黑名單防護簽名庫,根據系統的重要性制定相應的安全策略,如選擇阻斷還是告警的方式。
(3) 特征匹配技術
特征匹配技術以深度數據包解析技術為基礎,并結合智能機器學習技術,實現數據包特征匹配功能。結合工業控制網絡系統對于實時性的要求,特征匹配技術能夠自動最小化策略更改和部署過程中的更新延時,并且能在無需重啟的情況下,實時在線完成特征規則的更改與部署。通過高效的比對分析和算法,大幅度避免特征匹配引擎執行過程中對于重復數據包的解析匹配,有效提升特征匹配引擎性能,為滿足工業控制網絡對實時性和可靠性的特殊要求提供技術保障。由于工業協議的不統一,故存在多種變種,所以智能工業防火墻同時為用戶提供高度開放的第三方開發者工具包,滿足企業自身內部功能應用的開發需求。
(4) 黑白名單相結合的防御技術
基于工業漏洞庫實現黑白單入侵防御功能,所有的已知工業設備和網絡漏洞均列入黑名單,入侵防御功能通過分析、匹配、判斷工控網絡行為,對符合漏洞庫的異常數據和行為進行阻斷或告警,從而避免工業控制網絡受到已知漏洞的破壞。
白名單通過機器智能學習引擎技術自動生成,也可以添加用戶自定義的工控網絡正常行為,與網絡中的實時傳輸數據進行比較、匹配、判斷。如果發現其用戶節點的行為不符合白名單中的行為特征,將會對此行為進行阻斷或告警,以此避免工業控制網絡受到未知漏洞威脅,同時阻止誤操作帶來的危害。
(5) 嚴苛的工業級硬件技術
為保障工業控制系統的可用性,智能工業防火墻支持硬件Bypass能力。當檢測到設備掉電、軟件宕機等異常情況時觸發旁通功能,以保障業務通信的可用性,而無需擔心斷網和停車。同時為了適應環境嚴苛的生產現場,智能工業防火墻采用無風扇設計、導軌式安裝,并支持低功耗、防塵防輻射等。
3.3 應用場景
工業企業的生產控制網絡,不允許任何來自外部不可信的連接或流量接入到內部網絡,僅允許內部生產數據根據約定的協議、內容和發送周期,發送給生產管理區,管理層進行相應的數據提取和分析決策。一般組成的網絡架構如圖3所示 [9] 。
針對圖3中的網絡架構,可以在生產控制區和生產管理區之間采用智能工業防火墻技術,針對特定的工業協議進行訪問控制,阻斷互聯網通用協議進入到生產控制網,阻斷針對工業控制系統漏洞進行的滲透攻擊,僅允許生產管理區需要的數據從生產控制區外發。
4 總結與展望
在當前智能制造新形勢下,安全問題不斷增多與惡化,對智能工業防火墻提出了更高要求。雖然智能工業防火墻采用了多種適應工業控制系統特殊環境的網絡安全技術,但是需要更多的實踐才能更好地去迭代促進產品的成熟,為了真正發揮智能工業防火墻安全防護作用,需要企業用戶、工業控制系統集成商、工藝專家、網絡安全廠家等各方面的力量優勢互補,促進智能工業防火墻的應用越來越成熟。
摘自《自動化博覽》2018年5月刊
北京市公安局海淀分局備案號:11010802023656號