今日頭條
官方微信
官方抖音
資訊頻道摘要:本文提出一種適用于煙草行業的工控系統安全監測與管控方案,通過將安全監測系統和安全防護網關進行有機聯動,識別并預測工控系統攻擊異常事件,并自動生成針對該攻擊異常事件的處理規則。同時,防護網關運用該規則實現異常攻擊行為的阻斷,大大增強了工控系統安全防護的可操作性,使異常攻擊事件得到及時的響應與處理,提升煙草行業工控系統安全防護與預警能力,保障安全穩定運行。
關鍵詞:煙草行業;監控系統;工控協議;安全旁路采集;實時監測;管控
Abstract: This paper proposes a solution of security monitoring and control for the industrial control system in tobacco industry. By organically linking the security monitoring system with the security protection gateway, the abnormal attack events of industrial control system can be identified and predicted, and the processing rules for the abnormal attack events can be automatically generated. At the same time, the protection gateway uses this rule to block the abnormal attack, which greatly enhances the operability of the security protection of industrial control system, and makes the abnormal attack events be timely responded to and handled. The ability of the security protection and early warning of the industrial control system in tobacco industry is improved, and the safe and stable operation is guaranteed.
Key words: Tobacco Industry; Monitoring system; Control protocol; Security by-pass grafting; Real time Monitoring; Management and control
1 引言
隨著網絡和信息技術的迅猛發展,網絡已經覆蓋能源、電力、交通、金融、電信和煙草等重要行業和核心領域,在促進技術創新、經濟發展的同時,網絡安全問題日益凸顯,已經成為關系國家安全和社會安全的重大問題。在煙草行業,尤其是煙草打葉復烤生產線,由預處理、葉梗分離、葉烤、烤梗、除塵段等共同組成煙葉生產流水線,整條生產線設備繁多,分散,分布時變參數多,信息交互量大,根據打葉復烤生產線特點及控制要求,國內普遍采用PC+Ethernet+PLC+FCS模式構建SCADA系統,實現復烤生產線的實時監控。大部分煙草企業的工業控制系統安全防護建設已按照行業標準進行搭建,但在實際運行中仍存在跨網運維、違規外聯互聯網、工控交換機拒絕服務、關鍵設備脆弱口令、病毒攻擊、異常報文等非常典型的安全問題。
針對工業控制系統安全,目前存在安全監測和安全防護兩種解決方案。
(1)安全監測。基于流量旁路采集,使用協議深度解析技術(DPI),結合工控病毒庫、攻擊特征庫以及工控基線規則等配置,通過關聯分析實時發現針對PLC、DCS等重要工業控制系統的攻擊和破壞行為,以及病毒、木馬等惡意軟件的擴散和傳播行為,為工業控制網絡安全事件調查提供依據。由于采用旁路方式部署,對生產過程“零影響”。
(2)安全防護。基于協議深度解析技術和工控連接黑白名單規則,阻斷一切非法訪問,僅允許可信的流量在網絡上傳輸。為工控網絡與外部網絡互聯、工控網絡內部區域之間的連接提供安全保障。
安全監測用于識別并檢測工控系統異常攻擊行為,而安全防護用于對發現的異常攻擊行為進行阻斷,實時性要求更高,然而分析的范圍相對監測系統要窄,而且其工控訪問規則配置專業性要求很高,實施操作困難,如果規則配置簡單,達不到安全防護的目的,而規則配置復雜,對正常管理與產生業務又會造成影響。針對以上情形,本文提出一種煙草行業工控系統安全監測與管控方案,通過將安全監測系統與安全防護網關等進行有機結合并聯動,通過安全監測系統進行多層次異常攻擊分析,運用回歸預測算法,識別并預測工控系統攻擊異常事件,并自動生成針對該攻擊異常事件的處理規則,發送給安全防護網關,網關防護網關運用該規則實現異常攻擊行為的阻斷,提升煙草行業工業控制系統安全防護與預警能力,保障其安全穩定運行。
2 方案設計
為保障煙草行業工控生產系統穩定安全運行,其控制設備網絡通常采用冗余環網技術和冗余供電系統,如圖1所示。
圖1 打葉復烤廠網絡拓撲示意圖
為實現對圖1所示煙草工控系統的全面安全監測與管控,本系統需在預處理、葉梗分離、葉烤、烤梗、除塵等各個生產線均部署工控安全采集探針和工控安全網關,在管理端部署工控安全監測平臺。工控安全采集探針包含兩路網口,一路用于旁路采集工控監控系統網絡通信流量,一路用于工控安全監測平臺的通信,并可以根據工控安全監測平臺的指令,將工控安全訪問控制列表下發給工控安全網關,實現工控安全監測和工控安全防護的聯動,部署架構如圖2所示。
圖2 煙草行業工控系統安全監測與管控系統部署圖
煙草行業工控系統安全監測與管控系統包括數據采集、安全監測與預警,以及安全管控三個部分的功能,數據采集功能由工控數據采集探針完成;安全監測與預警功能由工控安全監測平臺完成;安全管控功能由工控安全網關完成。
圖3 煙草行業工控系統安全監測與管控系統功能架構
(1)數據采集
工控系統數據采集可以根據現場工控網絡實際環境的不同,采用較為成熟的交換機端口鏡像、分流和分光等多種旁路采集技術實現。
· 交換機端口鏡像。如果被采集點的核心交換機可提供端口鏡像功能,可把要監控的端口流量都匯聚鏡像到一個空閑口,再將匯聚口接入到流量采集分析探針,該種方式可以操作好,對生產過程“零影響”。
· 分流。對于基于網線傳輸的流量,可以使用TAP分流設備對通過網線傳輸的流量進行分流處理,將原有的電信號流量分成完全相同的若干份,不影響原有業務。高端TAP設備還具備把若干根網線的流量匯聚成一個口輸出的能力,并保證不丟包。
· 分光。對于基于光纖傳輸的流量,如電信核心網、工業控制環網,可以通過分光器進行流量分流,這種技術可以保證將原有的光信號流量分成完全相同的若干份,不影響原有業務,同時流量分析系統可以同時接收到完全相同的流量進行同步分析。
通過以上方式,數據采集可獲到各種關鍵監控點的原始流量,并不會影響原有業務。
(2)安全監測與預警
安全監測與預警包括協議深度解析、異常攻擊識別與預警和安全訪問規則生成與下發等功能。
· 協議深度解析。對于采集的工控網絡通信數據,使用傳輸端口、協議特征等多種方式進行快速協議識別并高速實時解析。協議深度解析支持高速識別與解析OPC-DA、OPC-UA、Modbus-TCP、Siemens-S7、Profinet和Ethernet/IP等煙草行業典型應用工控協議,并支持到報文類型、子類型、指令、變量和值級別,便于進行變量閾值的檢查和正常行為的建模。
· 異常攻擊識別與預警。基于對工控協議的通信報文進行采集與深度解析,利用基于攻擊特征與基于行為異常的檢測方式,對當前工控系統通信中含有明顯惡意特征或偏離正常行為基線較遠的流量進行監測并告警。可識別病毒攻擊、拒絕服務攻擊、旁路控制、異常指令操作、跨網運維、違規外聯互聯網、異常工控協議報文、敏感信息明文傳輸、脆弱口令、未知設備接入和異常連接等異常攻擊行為。使用回歸預測算法,對工控操作數據和工控流量運行預測分析,可描繪工控安全生產態勢,實現安全生產故障預警功能。
· 安全訪問規則生成與下發。基于異常攻擊識別與預警分析的結果,對于異常攻擊行為,綜合分析其攻擊路徑選擇與攻擊手段,自動生成抑制并阻斷該種異常攻擊行為的訪問控制列表,該列表包含三層IP訪問控制列表,工控控制指令訪問規則列表和工控操作數據閾值列表等。
(3)安全管控
在病毒攻擊檢測、網絡攻擊檢測的基礎上,對工控網絡流量進行實時解析,加載工控安全監測平臺的安全訪問規則,實時阻斷異常攻擊行為,實現煙草工控生產系統的操作指令和操作數據的協議級實時管控。對于工控生成影響比較大的訪問控制規則,可按配置,要求管理員或安全專家確認后,才能生效,在降低安全訪問網關實施操作難度的同時,可大大減少因為人工誤操作的策略配置而導致的工控生產事故的發生。
3 結語
目前傳統的防火墻、網閘等安全防護產品的安全策略需手動配置與更新,且專業性強,難度高,更新慢,難以達到安全管控且不影響工控生成的效果。本文針對煙草行業工控系統安全監測與防護技術的研究,提出旁路安全監測預警與串行安全防護兩種機制進行有機結合并實現聯動的安全監測管控方案,使工業控制系統異常攻擊行為得到快速的抑制進而達到阻斷的效果,通過安全監測平臺自動生成安全訪問規則策略,大大增強了工控系統安全防護的可操作性和時效性,使異常攻擊事件得到及時的響應與處理,提高了煙草行業工控系統安全防護與預警能力,保障工控生產安全穩定運行。
本方案基于工控協議深度解析實現對工控網絡環境的安全監測與管控,部署方便靈活,可操作性良好,擴展性強,適用于打葉復烤、制絲、卷接包和煙草薄片等煙草領域各個工控生產環節,其中關鍵技術也可逐步拓展應用到石油、化工、交通等其他關鍵信息基礎實施保護領域,具有廣闊應用前景。
作者簡介:
文雅玫(1984-)女,湖南長沙人,博士,現任湖南省煙草專賣局(公司)工程師,在湖南煙葉復烤有限公司從事煙草行業網絡安全和項目管理工作。
李建強(1983-),男,陜西寶雞人,碩士,國家計算機網絡應急技術處理協調中心工程師,在工業控制系統網絡安全應急技術工信部重點實驗室主要從事工業控制系統網絡安全防護研究工作。
謝博文(1989-)男,瑤族,湖南永州人,本科,湖南煙葉復烤有限公司郴州復烤廠助理工程師,主要研究方向為工業控制系統網絡安全。
資 捷(1979-)男,湖南耒陽人,本科,工程師,現任湖南煙葉復烤有限公司網絡安全與信息技術員,主要研究方向為計算機應用和網絡安全。
吳秋果(1983-)男,湖南汨羅人,碩士,工程師,現任湖南煙葉復烤有限公司網絡安全與信息技術員,主要研究方向為軟件工程。
摘自《自動化博覽》2018年11月刊
北京市公安局海淀分局備案號:11010802023656號