工控系統(tǒng)安全防護(hù)技術(shù)主要包含如下幾種:
工業(yè)防火墻技術(shù)是防范工控網(wǎng)絡(luò)攻擊最常用的技術(shù)手段,通過隔離工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)來實(shí)現(xiàn)網(wǎng)絡(luò)邊界防護(hù)與邏輯隔離。把握好訪問控制的顆粒度決定了工控網(wǎng)絡(luò)安全建設(shè)的成敗,以往的端口級(jí)訪問控制策略無法防護(hù)工業(yè)協(xié)議惡意代碼攻擊,這就需要在網(wǎng)絡(luò)邊界處部署具有工業(yè)協(xié)議深度包檢測(cè)(DPI)功能的工業(yè)防火墻系統(tǒng)來提供更加有效的工業(yè)協(xié)議應(yīng)用層防護(hù)。
工業(yè)防火墻一般部署在企業(yè)信息網(wǎng)和生產(chǎn)網(wǎng)的隔離、關(guān)鍵控制節(jié)點(diǎn)、生產(chǎn)網(wǎng)區(qū)域之間、生產(chǎn)網(wǎng)和第三方系統(tǒng)邊界隔離防護(hù)(例如遠(yuǎn)程維護(hù))。工業(yè)防火墻不僅提供針對(duì)端口的防護(hù),更對(duì)基于應(yīng)用層的數(shù)據(jù)包深度檢查,采用了工業(yè)通訊協(xié)議白名單技術(shù),內(nèi)置PC/ Modbus/DNP3/ Profinet/ 104等多種專有工業(yè)通訊協(xié)議,為工業(yè)通訊提供獨(dú)特、工業(yè)級(jí)的專業(yè)隔離防護(hù)解決方案。工業(yè)防火墻還可以實(shí)時(shí)對(duì)組態(tài)的防火墻策略進(jìn)行修改,而且不影響實(shí)時(shí)通訊。
生產(chǎn)控制區(qū)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能,能夠?qū)ιa(chǎn)網(wǎng)絡(luò)通訊做行為分析,實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的通訊鏈路狀態(tài),溯源網(wǎng)絡(luò)中病毒木馬的傳播路徑;同時(shí),用戶可自定義異常狀態(tài)判定閾值,將發(fā)生的異常通訊以告警的形式匯總展示。實(shí)現(xiàn)此項(xiàng)功能的基礎(chǔ)是抓包分析技術(shù),抓包分析技術(shù)可以從中了解協(xié)議的實(shí)現(xiàn)情況、是否存在網(wǎng)絡(luò)攻擊等,為制定安全策略及進(jìn)行安全審計(jì)提供直接依據(jù)。
除具備實(shí)時(shí)工業(yè)通訊協(xié)議行為解析外,審計(jì)設(shè)備也可像飛機(jī)的黑匣子一樣,能夠回溯及追查網(wǎng)絡(luò)安全問題,完成追根溯源,主要包括如下功能:網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)測(cè),網(wǎng)絡(luò)異常數(shù)據(jù)報(bào)警及追溯,操作記錄及協(xié)議深度分析,信息竊取報(bào)警(通過網(wǎng)絡(luò)的文件或數(shù)據(jù)非法訪問及傳輸),未知設(shè)備接入報(bào)警等。
生產(chǎn)控制區(qū)具備控制功能的系統(tǒng)應(yīng)當(dāng)逐步推廣應(yīng)用以密碼硬件為核心的可信計(jì)算技術(shù),用于實(shí)現(xiàn)計(jì)算環(huán)境和網(wǎng)絡(luò)環(huán)境安全可信,免疫未知惡意代碼破壞,應(yīng)對(duì)高級(jí)別的惡意攻擊。由于工業(yè)控制環(huán)境的特殊性,惡意代碼庫難以獲得及時(shí)的升級(jí),因此在工控系統(tǒng)中實(shí)施基于惡意代碼庫的惡意代碼防范將存在嚴(yán)重滯后性。攻擊者可輕易利用惡意代碼庫尚未收集的惡意代碼侵入主機(jī)系統(tǒng),進(jìn)而破壞整個(gè)工控系統(tǒng)。
可信計(jì)算終端防護(hù)由授權(quán)服務(wù)器和安全客戶端兩部分組成??蛻舳巳娑攘肯到y(tǒng)所有進(jìn)程,并將度量信息提交至授權(quán)服務(wù)器端,服務(wù)器對(duì)這些信息進(jìn)行編輯后生成白名單,供客戶端下載,客戶端依據(jù)所下載的白名單對(duì)系統(tǒng)和應(yīng)用進(jìn)行防護(hù),并將系統(tǒng)及應(yīng)用中的異常信息和攔截日志進(jìn)行上傳。
移動(dòng)存儲(chǔ)介質(zhì)是主機(jī)之間傳輸信息的重要途徑,因此對(duì)移動(dòng)存儲(chǔ)介質(zhì)的管控和審計(jì)也是整個(gè)工控系統(tǒng)安全建設(shè)的重要組成部分?;诳尚庞?jì)算技術(shù)構(gòu)建的移動(dòng)存儲(chǔ)介質(zhì)管控系統(tǒng),其主要功能包括:主機(jī)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的身份認(rèn)證;主機(jī)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的準(zhǔn)入控制;主機(jī)對(duì)準(zhǔn)入信息的下載更新。
平臺(tái)可以接收來自工業(yè)網(wǎng)絡(luò)防火墻和可信終端的報(bào)警及日志,具有工控網(wǎng)絡(luò)行為審計(jì)記錄的智能分析功能,具備強(qiáng)大的審計(jì)日志存儲(chǔ)查詢功能,最終自動(dòng)獲得詳細(xì)的統(tǒng)計(jì)分析報(bào)告和事件處置方式建議,實(shí)現(xiàn)系統(tǒng)運(yùn)維管理的實(shí)時(shí)性、完整性、安全性、自動(dòng)化、智能化。
平臺(tái)針對(duì)工控網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和智能安全分析,監(jiān)控平臺(tái)以底層工業(yè)防火墻、工控可信計(jì)算安全平臺(tái)以及其他網(wǎng)絡(luò)設(shè)備為探針,針對(duì)內(nèi)置的“工業(yè)控制網(wǎng)絡(luò)通訊行為模型庫”核心模塊,能及時(shí)檢測(cè)工業(yè)網(wǎng)絡(luò)中出現(xiàn)的工業(yè)攻擊、蠕蟲病毒及非法入侵、設(shè)備異常等情況,并做出智能預(yù)警分析,為管理者提供決策支持,為工業(yè)網(wǎng)絡(luò)信息安全故障的及時(shí)排查、分析提供可靠的依據(jù)。