編者按： 工業(yè)互聯(lián)網(wǎng)的發(fā)展推動(dòng)了工業(yè)自動(dòng)化與信息化的深度融合，但傳統(tǒng)網(wǎng)絡(luò)世界的IT 威脅也帶入了OT環(huán)境，從而進(jìn)一步影響到現(xiàn)實(shí)世界。傳統(tǒng)工業(yè)采用網(wǎng)絡(luò)訪問(wèn)控制技術(shù)難以解決這些安全隱患，迫切需要一種在IT 和OT 環(huán)境之間建立一條可信信道的技術(shù)，以阻斷虛擬網(wǎng)絡(luò)空間對(duì)現(xiàn)實(shí)世界的影響。

工業(yè)控制系統(tǒng)關(guān)乎國(guó)計(jì)民生，廣泛應(yīng)用于電力、軌道交通、石油化工、航空航天以及核工業(yè)等工業(yè)領(lǐng)域，其中超過(guò)八成的國(guó)計(jì)民生關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)控制。工業(yè)控制系統(tǒng)已經(jīng)成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，其安全關(guān)系到國(guó)家的戰(zhàn)略安全。

隨著互聯(lián)網(wǎng)+、工業(yè)互聯(lián)網(wǎng)等戰(zhàn)略與技術(shù)應(yīng)用的不斷演進(jìn)，工業(yè)控制系統(tǒng)面臨著與信息系統(tǒng)互聯(lián)互通的趨勢(shì)，工業(yè)控制系統(tǒng)正從封閉走向開(kāi)放和互聯(lián)，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全邊界明顯擴(kuò)大。

當(dāng)前，工業(yè)信息安全形勢(shì)復(fù)雜嚴(yán)峻，總體形勢(shì)不容樂(lè)觀。通過(guò)探測(cè)發(fā)現(xiàn)全球范圍內(nèi)暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備越來(lái)越多，工業(yè)控制系統(tǒng)安全漏洞居高不下，傳統(tǒng)威脅加速向工業(yè)控制系統(tǒng)滲透，伊朗“震網(wǎng)”事件、烏克蘭停電事件以及委內(nèi)瑞拉停電事件等安全事件頻頻發(fā)生。

根據(jù)ISA99 普渡參考模型可將工業(yè)企業(yè)系統(tǒng)分為企業(yè)資源層、生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層。

企業(yè)資源層、生產(chǎn)管理層和過(guò)程監(jiān)控層為傳統(tǒng)的IT 架構(gòu)，一般是非實(shí)時(shí)數(shù)據(jù)?，F(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層為OT 架構(gòu)，一般是實(shí)時(shí)系統(tǒng)。工業(yè)控制系統(tǒng)由過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層組成，過(guò)程監(jiān)控層和現(xiàn)場(chǎng)控制層之間成為跨越IT 與OT的橋梁，出現(xiàn)了安全威脅相互滲透的趨勢(shì)，如何在過(guò)程監(jiān)控層和現(xiàn)場(chǎng)控制層之間建立一條可信信道來(lái)阻止安全威脅是需要解決的問(wèn)題。

傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)技術(shù)方案

在圖1 所示的傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)方案中，通過(guò)在過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層間增設(shè)工業(yè)防火墻，配置安全規(guī)則，對(duì)過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間的訪問(wèn)數(shù)據(jù)進(jìn)行協(xié)議過(guò)濾和控制；在工業(yè)交換機(jī)鏡像口旁路部署工業(yè)入侵檢測(cè)裝置，發(fā)現(xiàn)IT 和OT之間的入侵行為。

圖1 傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)方案

在傳統(tǒng)的工業(yè)控制網(wǎng)絡(luò)防護(hù)技術(shù)方案中，工業(yè)防火墻串聯(lián)在過(guò)程監(jiān)控層與工業(yè)交換機(jī)之間，工業(yè)交換機(jī)與現(xiàn)場(chǎng)控制層相連，工業(yè)入侵檢測(cè)裝置與工業(yè)交換機(jī)相連，鏡像流經(jīng)工業(yè)交換機(jī)的業(yè)務(wù)流量，并將該業(yè)務(wù)流量發(fā)送至安全管理中心。

傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)技術(shù)分析

在工業(yè)防火墻中配置安全規(guī)則，可以對(duì)過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間傳輸?shù)墓I(yè)報(bào)文進(jìn)行傳輸協(xié)議過(guò)濾和控制，以發(fā)現(xiàn)過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層間之間存在入侵行為的控制報(bào)文。

然而，工業(yè)防火墻的安全規(guī)則為靜態(tài)規(guī)則，僅對(duì)源IP地址、源端口、目的IP 地址、目的端口、傳輸層協(xié)議和應(yīng)用層協(xié)議等進(jìn)行過(guò)濾，無(wú)法對(duì)控制報(bào)文的控制參數(shù)變化進(jìn)行檢測(cè)，也不能檢測(cè)出用惡意代碼偽裝的異常控制報(bào)文。

此時(shí)由工業(yè)入侵檢測(cè)設(shè)備（或稱“檢測(cè)設(shè)備”）基于存儲(chǔ)的工業(yè)控制報(bào)文（或稱“控制報(bào)文”）的特征信息庫(kù)做報(bào)文的特征檢測(cè)，來(lái)檢測(cè)是否存在異?？刂茍?bào)文。由于該特征庫(kù)是基于工業(yè)控制報(bào)文的外部特征來(lái)制定的，如報(bào)文功能和報(bào)文協(xié)議等，但對(duì)于控制報(bào)文中所包含的報(bào)文字段的代碼被惡意代碼替換后，工業(yè)入侵檢測(cè)設(shè)備將無(wú)法有效阻擋惡意代碼的攻擊，導(dǎo)致工業(yè)控制系統(tǒng)存在較高的漏報(bào)率和誤報(bào)率，降低了工業(yè)控制系統(tǒng)對(duì)控制報(bào)文的檢測(cè)準(zhǔn)確率。

在實(shí)際應(yīng)用過(guò)程中工業(yè)防火墻安全規(guī)則的學(xué)習(xí)需要白環(huán)境。配置白名單規(guī)則的過(guò)程是一個(gè)極其復(fù)雜并考驗(yàn)實(shí)施人員能力的工作。即使配置成功，由于其規(guī)則是基于特征的，惡意代碼對(duì)指令內(nèi)容進(jìn)行修改，則無(wú)法進(jìn)行防護(hù)及檢測(cè)。

從設(shè)備的應(yīng)用部署上可以看出，僅對(duì)過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層進(jìn)行訪問(wèn)控制，控制器間惡意代碼的傳播無(wú)法進(jìn)行防護(hù)。

從技術(shù)設(shè)計(jì)上無(wú)法有效阻擋惡意代碼和攻擊對(duì)工業(yè)協(xié)議中傳輸?shù)膬?nèi)容進(jìn)行篡改及檢測(cè)。工業(yè)入侵檢測(cè)裝置由于是基于攻擊特征庫(kù)匹配和異常行為分析技術(shù)，就必然存在漏報(bào)率和誤報(bào)率居高不下的問(wèn)題。

工業(yè)控制報(bào)文檢測(cè)與推演技術(shù)

為解決現(xiàn)有技術(shù)方案存在的缺陷和不足，綠盟科技基于多年研究經(jīng)驗(yàn)得出，可以通過(guò)在過(guò)程監(jiān)控層和現(xiàn)場(chǎng)控制層之間建立一條可信信道，來(lái)阻止IT 和OT 之間雙向滲透以及現(xiàn)場(chǎng)控制層設(shè)備間惡意代碼擴(kuò)散，識(shí)別和發(fā)現(xiàn)異常行為，包括誤操作、已知威脅和未知威脅等。從網(wǎng)絡(luò)流量分析的角度看，工業(yè)控制系統(tǒng)與傳統(tǒng)的信息系統(tǒng)有著一定的差異。

傳統(tǒng)的信息系統(tǒng)功能多、流量多，采用多種應(yīng)用協(xié)議而且不可預(yù)測(cè)；工業(yè)控制系統(tǒng)功能少、流量少，采用專屬應(yīng)用協(xié)議而且所有流量均可預(yù)測(cè)。

基于準(zhǔn)確的推斷工業(yè)控制指令內(nèi)容的防護(hù)方法，可以阻斷惡意代碼對(duì)工業(yè)控制協(xié)議內(nèi)容的修改，從技術(shù)設(shè)計(jì)上實(shí)現(xiàn)第三層與第四層之間基于字節(jié)級(jí)的過(guò)濾，并能夠及時(shí)發(fā)現(xiàn)惡意代碼和攻擊。在此，筆者提出一種可信的工業(yè)控制報(bào)文檢測(cè)與推演技術(shù)。

如圖2 所示，工業(yè)控制報(bào)文檢測(cè)與推演技術(shù)中，將報(bào)文推演裝置置于工業(yè)控制系統(tǒng)的過(guò)程監(jiān)控層和現(xiàn)場(chǎng)控制層之間，基于實(shí)時(shí)報(bào)文轉(zhuǎn)發(fā)、實(shí)時(shí)規(guī)則生成、實(shí)時(shí)決策判斷，對(duì)過(guò)程監(jiān)控層和現(xiàn)場(chǎng)控制層間通信報(bào)文作出動(dòng)態(tài)決策。

工業(yè)控制推演系統(tǒng)包含指令輸入裝置、報(bào)文推演裝置以及訪問(wèn)控制裝置三大部分。報(bào)文推演裝置根據(jù)指令輸入裝置輸入的合法指令進(jìn)行報(bào)文推演，形成可信訪問(wèn)控制規(guī)則，并寫(xiě)入至訪問(wèn)控制裝置。生產(chǎn)人員在過(guò)程監(jiān)控層發(fā)出操作指令后，訪問(wèn)控制裝置會(huì)采集到相關(guān)通信報(bào)文，并匹配上可信訪問(wèn)控制規(guī)則，對(duì)相關(guān)通信報(bào)文作出放行決策。同時(shí)，訪問(wèn)控制裝置對(duì)接收到的異常通信報(bào)文作出阻止決策，并將采集到的異常數(shù)據(jù)上傳至報(bào)文推演裝置做進(jìn)一步分析。

工業(yè)控制報(bào)文檢測(cè)與推演應(yīng)用部署

圖2 工業(yè)控制報(bào)文檢測(cè)與推演技術(shù)框架

如圖3 所示，將工業(yè)控制報(bào)文檢測(cè)與推演裝置部署在本地過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間，每個(gè)控制設(shè)備前均部署。在本地過(guò)程監(jiān)控層和遠(yuǎn)程過(guò)程監(jiān)控層旁路部署工業(yè)控制報(bào)文推演裝置及指令模擬裝置。將工業(yè)控制報(bào)文處理裝置與工業(yè)控制報(bào)文推演裝置進(jìn)行單獨(dú)組網(wǎng)連接，并將網(wǎng)絡(luò)安全設(shè)備獲取的信息上傳至安全管理中心。

安全管理中心也可分為多個(gè)層次，分別部署于包括國(guó)家級(jí)、省級(jí)、行業(yè)級(jí)和企業(yè)級(jí)等工業(yè)信息安全應(yīng)急響應(yīng)中心，支持目前業(yè)界比較主流的工業(yè)信息安全平臺(tái)，如綠盟工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警平臺(tái)INSP 等。

工業(yè)控制報(bào)文檢測(cè)與推演技術(shù)優(yōu)勢(shì)

1.建立過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間的可信信道

在傳統(tǒng)技術(shù)體系中，網(wǎng)絡(luò)安全設(shè)備普遍采用靜態(tài)策略，攻擊者模擬正常的行為可以繞過(guò)訪問(wèn)控制規(guī)則，過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間的通信信道存在不可信的問(wèn)題。

圖3 工業(yè)控制報(bào)文檢測(cè)與推演應(yīng)用部署

在本技術(shù)推演過(guò)程中可根據(jù)工業(yè)控制系統(tǒng)的點(diǎn)表，在仿真環(huán)境中模擬輸入/輸出指令，在工業(yè)控制報(bào)文推演模塊中錄入對(duì)應(yīng)的報(bào)文，推演生成動(dòng)態(tài)訪問(wèn)控制規(guī)則。動(dòng)態(tài)規(guī)則的應(yīng)用阻斷了黑客對(duì)靜態(tài)訪問(wèn)控制規(guī)則的學(xué)習(xí)，利用訪問(wèn)控制規(guī)則的靜態(tài)特征進(jìn)行突破的可能。動(dòng)態(tài)訪問(wèn)控制規(guī)則根據(jù)操作指令的模擬輸入，實(shí)時(shí)動(dòng)態(tài)的進(jìn)行更新，達(dá)到“一次一規(guī)則”的防護(hù)。

本技術(shù)通過(guò)對(duì)過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間的通信數(shù)據(jù)進(jìn)行推演，有效的解決了過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間相互滲透的問(wèn)題，實(shí)現(xiàn)了在過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間建立可信信道。

2.精準(zhǔn)識(shí)別過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層雙向的安全威脅

在傳統(tǒng)技術(shù)體系中，網(wǎng)絡(luò)入侵檢測(cè)技術(shù)存在誤報(bào)和漏報(bào)的問(wèn)題，安全威脅得不到精準(zhǔn)識(shí)別，增加了安全決策和處置的成本。

本技術(shù)在應(yīng)用過(guò)程中利用了過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層通訊協(xié)議描述，用來(lái)遠(yuǎn)程識(shí)別設(shè)備的硬件、通訊協(xié)議和應(yīng)用軟件（及其相關(guān)的版本號(hào)、配置參數(shù)）等信息，可對(duì)未授權(quán)設(shè)備的接入進(jìn)行精準(zhǔn)識(shí)別?；诠I(yè)控制操作的推演，已知威脅匹配模塊通過(guò)對(duì)異常報(bào)文庫(kù)及異常規(guī)則庫(kù)的輪詢可精準(zhǔn)識(shí)別已知威脅，操作匹配模塊通過(guò)對(duì)異常報(bào)文庫(kù)及異常規(guī)則庫(kù)的輪詢可精準(zhǔn)識(shí)別錯(cuò)誤操作，輪詢剩余的則為未知威脅。

在具體應(yīng)用過(guò)程中，訪問(wèn)控制裝置把過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層之間的流量牽引到了工業(yè)控制推演裝置，運(yùn)用“非白即黑”的思路，經(jīng)過(guò)與推演知識(shí)庫(kù)、操作指令集、指令特征庫(kù)與威脅特征庫(kù)的比對(duì)，達(dá)到精準(zhǔn)識(shí)別安全威脅的效果。

3.精準(zhǔn)發(fā)現(xiàn)過(guò)程監(jiān)控層與現(xiàn)場(chǎng)控制層雙向的未知威脅

將系統(tǒng)的異常流量及異常規(guī)則，通過(guò)與已知威脅匹配模塊的威脅特征庫(kù)及錯(cuò)誤操作匹配模塊的指令特征庫(kù)匹配完成后，剩余的流量即為未知威脅。相比于傳統(tǒng)的安全防御體系難以發(fā)現(xiàn)未知威脅的情況，本技術(shù)對(duì)異常流量及異常規(guī)則進(jìn)行了充分的識(shí)別及過(guò)濾，可精準(zhǔn)的發(fā)現(xiàn)系統(tǒng)中的未知威脅。

針對(duì)發(fā)現(xiàn)的未知威脅，與推演知識(shí)庫(kù)、操作指令集進(jìn)行比對(duì)，結(jié)合工業(yè)控制系統(tǒng)面臨的威脅源、威脅向量及脆弱性對(duì)獲取的情況進(jìn)行威脅建模。分析的結(jié)果分為兩種情況，一種情況為受知識(shí)的局限性未知威脅為未掌握的知識(shí)，沒(méi)有錄入知識(shí)庫(kù)；另一種為工業(yè)控制系統(tǒng)中“0-day”漏洞。沒(méi)有掌握的知識(shí)可以及時(shí)的錄入知識(shí)庫(kù)轉(zhuǎn)變?yōu)橐阎{，“0-day”漏洞以供安全人員繼續(xù)研究。

結(jié)語(yǔ)

本文針對(duì)傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)技術(shù)進(jìn)行了分析，提出了一種可信的工業(yè)控制報(bào)文檢測(cè)與推演技術(shù)，為在IT 和OT 環(huán)境之間建立可信信道提供了一種可行的思路，并對(duì)可信的工業(yè)控制報(bào)文檢測(cè)與推演裝置應(yīng)用部署模式等進(jìn)行了說(shuō)明，分析了本技術(shù)的優(yōu)點(diǎn)。本技術(shù)在實(shí)際實(shí)現(xiàn)和應(yīng)用過(guò)程中還會(huì)碰到各種各樣的問(wèn)題，筆者將進(jìn)一步研究，為本技術(shù)的市場(chǎng)化應(yīng)用奠定基礎(chǔ)。