日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

張學(xué)聰 北京神州綠盟信息安全科技股份有限公司

1　監(jiān)測審計在工控安全保障策略中的重要性分析

工控網(wǎng)絡(luò)安全保障一般包括以下七個步驟：實現(xiàn)應(yīng)用白名單；確保合適的配置和補丁管理；減少攻擊面；建立一個可防御的環(huán)境；管理認(rèn)證；實現(xiàn)安全的遠(yuǎn)程訪問；監(jiān)測和響應(yīng)。這七個步驟分別完成不同的安全策略的實施部署。

雖然這些策略可以防止90%以上的攻擊，但是還有剩下的一些攻擊手段，需要持續(xù)性的監(jiān)測。此外，對于一些嚴(yán)重程度較低的異常，有些安全管理員很可能會忽略這些警告，而這很可能是有敵手對工控系統(tǒng)進(jìn)行APT攻擊，如果將這些異常信息進(jìn)行關(guān)聯(lián)分析，從中發(fā)現(xiàn)潛在的安全隱患，不僅能夠減少管理員的壓力，同時還能更好地保護(hù)工控安全。

在第七個策略安全監(jiān)測和響應(yīng)中，尤其需要對位于現(xiàn)場控制層的控制設(shè)備以及位于過程監(jiān)控層的工作站的通訊過程進(jìn)行安全監(jiān)控。在眾多工控安全系統(tǒng)中，工控安全監(jiān)測審計系統(tǒng)是搭建整個預(yù)警體系的關(guān)鍵所在。作為預(yù)警體系的探針，工控安全監(jiān)測審計系統(tǒng)承載著數(shù)據(jù)收集和分析的要務(wù)。

適用于工控網(wǎng)絡(luò)的安全監(jiān)測審計系統(tǒng)，需要對工控系統(tǒng)網(wǎng)絡(luò)內(nèi)的異常行為進(jìn)行實時的監(jiān)測分析，快速執(zhí)行已經(jīng)準(zhǔn)備好的響應(yīng)方案。

可考慮在五個位置部署監(jiān)控程序：

（1） ICS邊界對IP流量進(jìn)行監(jiān)測，正常和非正常的通信。

（2）在控制網(wǎng)絡(luò)中的IP流量，惡意的連接或者內(nèi)容。

（3）基于主機的產(chǎn)品，監(jiān)測惡意軟件和攻擊企圖。

（4）登錄分析（時間或者地點），監(jiān)測被盜用的賬號的使用或者不正確的訪問，驗證所有的異常現(xiàn)象，通過快速電話聯(lián)系。

（5）監(jiān)測用戶的管理行動，檢測訪問控制操作。

2　工控網(wǎng)絡(luò)安全監(jiān)測審計系統(tǒng)技術(shù)特性

2.1　基于機器自學(xué)習(xí)的業(yè)務(wù)行為基線

工業(yè)網(wǎng)絡(luò)中設(shè)備眾多、網(wǎng)絡(luò)通信復(fù)雜，用戶很難全面掌握網(wǎng)絡(luò)中所必須的業(yè)務(wù)通信需求，這會給安全設(shè)備的規(guī)則配置帶來很大困難。為了方便用戶進(jìn)行異常行為檢測規(guī)則的配置，提高規(guī)則配置的準(zhǔn)確性，減少規(guī)則配置的工作量，NSFOCUS SAS-ICS開發(fā)了基于機器自學(xué)習(xí)的業(yè)務(wù)行為基線功能。該功能采用被動檢測的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包，并進(jìn)行數(shù)據(jù)包的解析，智能地與系統(tǒng)內(nèi)置的協(xié)議特征、設(shè)備對象等進(jìn)行匹配，生成可供參考的網(wǎng)絡(luò)交互信息列表，通過對協(xié)議分布和流量信息的匹配，形成“工控場景行為基線”，幫助用戶以最直觀的方式了解和掌握網(wǎng)絡(luò)中的業(yè)務(wù)通信狀態(tài)，發(fā)現(xiàn)工控網(wǎng)絡(luò)潛在的安全風(fēng)險。

圖1 工控網(wǎng)絡(luò)基線資產(chǎn)關(guān)系圖

通過基線自學(xué)習(xí)功能梳理工控現(xiàn)場資產(chǎn)拓?fù)?，建立工控網(wǎng)絡(luò)行為模型，對基線外異行為如組態(tài)變更、操控指令變更、負(fù)載變更、異常訪問等告警，實現(xiàn)對工控現(xiàn)場安全事件的告警與響應(yīng)，保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運行。

2.2　深度融合業(yè)務(wù)場景的異常行為檢測

電力、石油、石化、軌道交通、煙草、煤炭、鋼鐵及先進(jìn)制造等各個行業(yè)的工業(yè)控制系統(tǒng)千差萬別，不同的工藝流程往往有著不盡相同的業(yè)務(wù)處理方式，針對不同行業(yè)工控網(wǎng)絡(luò)的異常監(jiān)測有著較強的特異性差異。

NSFOCUS SAS-ICS深入不同行業(yè)的OT網(wǎng)絡(luò)場景，融入針對不同行業(yè)的業(yè)務(wù)安全告警。如針對變電站場景，可對IEC61850協(xié)議簇進(jìn)行深度解析，對應(yīng)到特定場景下的關(guān)鍵操作行為（遙控操作、改定值操作）；針對其他行業(yè)場景，可設(shè)置通用行業(yè)場景，解析Modbus TCP、S7 Comm等常見協(xié)議規(guī)約。

同時，NSFOCUS SAS-ICS可對工控系統(tǒng)的配置文件進(jìn)行解析，如變電站SCD文件等廠商相關(guān)配置文件的解析，將功能代碼與具體業(yè)務(wù)操作進(jìn)行關(guān)聯(lián)，實現(xiàn)業(yè)務(wù)安全審計的功能。如可對工控協(xié)議報文進(jìn)行檢測和告警。可對運維人員下發(fā)的工控協(xié)議報文產(chǎn)生的非法操作進(jìn)行檢測和告警?？蓪Y產(chǎn)新增、路徑異常、未知協(xié)議、越權(quán)操作、關(guān)鍵控制等行為進(jìn)行檢測和告警。

2.3　工業(yè)網(wǎng)絡(luò)協(xié)議深度解析

綠盟科技基于對工控環(huán)境的理解，針對工控環(huán)境使用的規(guī)約進(jìn)行了相關(guān)分析和研究，對于協(xié)議的內(nèi)容進(jìn)行了完全的解碼，可以深入到指令級別的分析，對于從上位機指令下發(fā)控制端到下位機指令接受操控端的通訊過程進(jìn)行全面細(xì)致的解析。如對Modbus Tcp協(xié)議，可以深入到功能碼寄存器層面進(jìn)行細(xì)致的監(jiān)測審計（寫多個寄存器、讀保持寄存器等），如圖2所示。

圖2 深入到功能碼寄存器層面的工控協(xié)議深度解析

NSFOCUS SAS-ICS通過鏡像方式對流量進(jìn)行深入解碼，分析其中的操作是否符合定義的操作要求，如發(fā)現(xiàn)其中有任何的違規(guī)操作，及時進(jìn)行報警，由管理員來進(jìn)行相關(guān)的處理。

3　工控網(wǎng)絡(luò)安全監(jiān)測審計系統(tǒng)行業(yè)應(yīng)用

3.1　智能變電站監(jiān)控系統(tǒng)安全監(jiān)測審計

工控網(wǎng)絡(luò)安全監(jiān)測審計系統(tǒng)可旁路部署在智能變電站的站控層、間隔層、過程層的交換機上，對三層兩網(wǎng)進(jìn)行工控網(wǎng)絡(luò)的流量監(jiān)控和安全審計。

3.2　調(diào)度數(shù)據(jù)網(wǎng)邊界安全監(jiān)測審計

可將工控網(wǎng)絡(luò)安全監(jiān)測審計系統(tǒng)部署在調(diào)度數(shù)據(jù)網(wǎng)邊界的實時交換機和非實時交換機上，對加密前和解密后的數(shù)據(jù)報文進(jìn)行深度解析，識別104協(xié)議和其他流經(jīng)調(diào)度數(shù)據(jù)網(wǎng)和生產(chǎn)控制大區(qū)邊界的網(wǎng)絡(luò)協(xié)議，并進(jìn)行數(shù)據(jù)報文的分析，進(jìn)行實時的流量監(jiān)控和安全審計。

4　工控網(wǎng)絡(luò)安全監(jiān)測審計系統(tǒng)價值體現(xiàn)

（1）針對不同行業(yè)的工控網(wǎng)絡(luò)場景建立融合業(yè)務(wù)的安全行為基線，形成工控網(wǎng)絡(luò)數(shù)據(jù)流量的健康性監(jiān)控；

（2）快速定位異常位置，協(xié)助相關(guān)人員快速解決故障及事件；

（3）指導(dǎo)安全工作和決策；

（4）滿足工信部指南、能源局36號文、發(fā)改委14號令、工控等保等合規(guī)性要求。

作者簡介

張學(xué)聰（1992-），男，黑龍江牡丹江人，碩士研究生，現(xiàn)就職于北京神州綠盟信息安全科技股份有限公司，主要研究方向為工業(yè)控制系統(tǒng)信息安全相關(guān)領(lǐng)域（控制器漏洞挖掘、基于業(yè)務(wù)的異常行為監(jiān)測等）。

參考文獻(xiàn)：

[1] ICS-CERT. Seven Steps to Effectively Defend Industrial Control Systems[Z]. 2015, 12.

摘自《工業(yè)控制系統(tǒng)信息安全》?？谒妮?/span>