《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 業(yè)界動(dòng)態(tài) > 基于智能學(xué)習(xí)與業(yè)務(wù)感知的工控安全監(jiān)測(cè)審計(jì)系統(tǒng)

基于智能學(xué)習(xí)與業(yè)務(wù)感知的工控安全監(jiān)測(cè)審計(jì)系統(tǒng)

2018-08-16

  1 監(jiān)測(cè)審計(jì)在工控安全保障策略中的重要性分析

  工控網(wǎng)絡(luò)安全保障一般包括以下七個(gè)步驟:實(shí)現(xiàn)應(yīng)用白名單,;確保合適的配置和補(bǔ)丁管理,;減少攻擊面;建立一個(gè)可防御的環(huán)境,;管理認(rèn)證,;實(shí)現(xiàn)安全的遠(yuǎn)程訪問(wèn);監(jiān)測(cè)和響應(yīng),。這七個(gè)步驟分別完成不同的安全策略的實(shí)施部署,。

  雖然這些策略可以防止90%以上的攻擊,但是還有剩下的一些攻擊手段,,需要持續(xù)性的監(jiān)測(cè),。此外,對(duì)于一些嚴(yán)重程度較低的異常,,有些安全管理員很可能會(huì)忽略這些警告,,而這很可能是有敵手對(duì)工控系統(tǒng)進(jìn)行APT攻擊,如果將這些異常信息進(jìn)行關(guān)聯(lián)分析,,從中發(fā)現(xiàn)潛在的安全隱患,,不僅能夠減少管理員的壓力,同時(shí)還能更好地保護(hù)工控安全,。

  在第七個(gè)策略安全監(jiān)測(cè)和響應(yīng)中,,尤其需要對(duì)位于現(xiàn)場(chǎng)控制層的控制設(shè)備以及位于過(guò)程監(jiān)控層的工作站的通訊過(guò)程進(jìn)行安全監(jiān)控。在眾多工控安全系統(tǒng)中,,工控安全監(jiān)測(cè)審計(jì)系統(tǒng)是搭建整個(gè)預(yù)警體系的關(guān)鍵所在,。作為預(yù)警體系的探針,工控安全監(jiān)測(cè)審計(jì)系統(tǒng)承載著數(shù)據(jù)收集和分析的要?jiǎng)?wù),。

  適用于工控網(wǎng)絡(luò)的安全監(jiān)測(cè)審計(jì)系統(tǒng),,需要對(duì)工控系統(tǒng)網(wǎng)絡(luò)內(nèi)的異常行為進(jìn)行實(shí)時(shí)的監(jiān)測(cè)分析,快速執(zhí)行已經(jīng)準(zhǔn)備好的響應(yīng)方案,。

  可考慮在五個(gè)位置部署監(jiān)控程序:

 ?。?) ICS邊界對(duì)IP流量進(jìn)行監(jiān)測(cè),正常和非正常的通信,。

 ?。?)在控制網(wǎng)絡(luò)中的IP流量,惡意的連接或者內(nèi)容,。

 ?。?)基于主機(jī)的產(chǎn)品,監(jiān)測(cè)惡意軟件和攻擊企圖,。

 ?。?)登錄分析(時(shí)間或者地點(diǎn)),,監(jiān)測(cè)被盜用的賬號(hào)的使用或者不正確的訪問(wèn),驗(yàn)證所有的異?,F(xiàn)象,,通過(guò)快速電話聯(lián)系。

 ?。?)監(jiān)測(cè)用戶的管理行動(dòng),,檢測(cè)訪問(wèn)控制操作。

  2 工控網(wǎng)絡(luò)安全監(jiān)測(cè)審計(jì)系統(tǒng)技術(shù)特性

  2.1 基于機(jī)器自學(xué)習(xí)的業(yè)務(wù)行為基線

  工業(yè)網(wǎng)絡(luò)中設(shè)備眾多,、網(wǎng)絡(luò)通信復(fù)雜,,用戶很難全面掌握網(wǎng)絡(luò)中所必須的業(yè)務(wù)通信需求,這會(huì)給安全設(shè)備的規(guī)則配置帶來(lái)很大困難,。為了方便用戶進(jìn)行異常行為檢測(cè)規(guī)則的配置,,提高規(guī)則配置的準(zhǔn)確性,減少規(guī)則配置的工作量,,NSFOCUS SAS-ICS開(kāi)發(fā)了基于機(jī)器自學(xué)習(xí)的業(yè)務(wù)行為基線功能,。該功能采用被動(dòng)檢測(cè)的方式從網(wǎng)絡(luò)中采集數(shù)據(jù)包,并進(jìn)行數(shù)據(jù)包的解析,,智能地與系統(tǒng)內(nèi)置的協(xié)議特征,、設(shè)備對(duì)象等進(jìn)行匹配,生成可供參考的網(wǎng)絡(luò)交互信息列表,,通過(guò)對(duì)協(xié)議分布和流量信息的匹配,,形成“工控場(chǎng)景行為基線”,幫助用戶以最直觀的方式了解和掌握網(wǎng)絡(luò)中的業(yè)務(wù)通信狀態(tài),,發(fā)現(xiàn)工控網(wǎng)絡(luò)潛在的安全風(fēng)險(xiǎn),。

11509901133435309.jpg

  圖1 工控網(wǎng)絡(luò)基線資產(chǎn)關(guān)系圖

  通過(guò)基線自學(xué)習(xí)功能梳理工控現(xiàn)場(chǎng)資產(chǎn)拓?fù)洌⒐た鼐W(wǎng)絡(luò)行為模型,,對(duì)基線外異行為如組態(tài)變更,、操控指令變更、負(fù)載變更,、異常訪問(wèn)等告警,,實(shí)現(xiàn)對(duì)工控現(xiàn)場(chǎng)安全事件的告警與響應(yīng),保障工業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行,。

  2.2 深度融合業(yè)務(wù)場(chǎng)景的異常行為檢測(cè)

  電力,、石油、石化,、軌道交通,、煙草、煤炭,、鋼鐵及先進(jìn)制造等各個(gè)行業(yè)的工業(yè)控制系統(tǒng)千差萬(wàn)別,,不同的工藝流程往往有著不盡相同的業(yè)務(wù)處理方式,,針對(duì)不同行業(yè)工控網(wǎng)絡(luò)的異常監(jiān)測(cè)有著較強(qiáng)的特異性差異。

  NSFOCUS SAS-ICS深入不同行業(yè)的OT網(wǎng)絡(luò)場(chǎng)景,,融入針對(duì)不同行業(yè)的業(yè)務(wù)安全告警,。如針對(duì)變電站場(chǎng)景,可對(duì)IEC61850協(xié)議簇進(jìn)行深度解析,,對(duì)應(yīng)到特定場(chǎng)景下的關(guān)鍵操作行為(遙控操作、改定值操作),;針對(duì)其他行業(yè)場(chǎng)景,,可設(shè)置通用行業(yè)場(chǎng)景,解析Modbus TCP,、S7 Comm等常見(jiàn)協(xié)議規(guī)約,。

  同時(shí),NSFOCUS SAS-ICS可對(duì)工控系統(tǒng)的配置文件進(jìn)行解析,,如變電站SCD文件等廠商相關(guān)配置文件的解析,,將功能代碼與具體業(yè)務(wù)操作進(jìn)行關(guān)聯(lián),實(shí)現(xiàn)業(yè)務(wù)安全審計(jì)的功能,。如可對(duì)工控協(xié)議報(bào)文進(jìn)行檢測(cè)和告警,。可對(duì)運(yùn)維人員下發(fā)的工控協(xié)議報(bào)文產(chǎn)生的非法操作進(jìn)行檢測(cè)和告警,??蓪?duì)資產(chǎn)新增、路徑異常,、未知協(xié)議,、越權(quán)操作、關(guān)鍵控制等行為進(jìn)行檢測(cè)和告警,。

  2.3 工業(yè)網(wǎng)絡(luò)協(xié)議深度解析

  綠盟科技基于對(duì)工控環(huán)境的理解,,針對(duì)工控環(huán)境使用的規(guī)約進(jìn)行了相關(guān)分析和研究,對(duì)于協(xié)議的內(nèi)容進(jìn)行了完全的解碼,,可以深入到指令級(jí)別的分析,,對(duì)于從上位機(jī)指令下發(fā)控制端到下位機(jī)指令接受操控端的通訊過(guò)程進(jìn)行全面細(xì)致的解析。如對(duì)Modbus Tcp協(xié)議,,可以深入到功能碼寄存器層面進(jìn)行細(xì)致的監(jiān)測(cè)審計(jì)(寫(xiě)多個(gè)寄存器,、讀保持寄存器等),如圖2所示,。

21509901144123978.jpg

  圖2 深入到功能碼寄存器層面的工控協(xié)議深度解析

  NSFOCUS SAS-ICS通過(guò)鏡像方式對(duì)流量進(jìn)行深入解碼,,分析其中的操作是否符合定義的操作要求,如發(fā)現(xiàn)其中有任何的違規(guī)操作,,及時(shí)進(jìn)行報(bào)警,,由管理員來(lái)進(jìn)行相關(guān)的處理,。

  3 工控網(wǎng)絡(luò)安全監(jiān)測(cè)審計(jì)系統(tǒng)行業(yè)應(yīng)用

  3.1 智能變電站監(jiān)控系統(tǒng)安全監(jiān)測(cè)審計(jì)

  工控網(wǎng)絡(luò)安全監(jiān)測(cè)審計(jì)系統(tǒng)可旁路部署在智能變電站的站控層、間隔層,、過(guò)程層的交換機(jī)上,,對(duì)三層兩網(wǎng)進(jìn)行工控網(wǎng)絡(luò)的流量監(jiān)控和安全審計(jì)。

  3.2 調(diào)度數(shù)據(jù)網(wǎng)邊界安全監(jiān)測(cè)審計(jì)

  可將工控網(wǎng)絡(luò)安全監(jiān)測(cè)審計(jì)系統(tǒng)部署在調(diào)度數(shù)據(jù)網(wǎng)邊界的實(shí)時(shí)交換機(jī)和非實(shí)時(shí)交換機(jī)上,,對(duì)加密前和解密后的數(shù)據(jù)報(bào)文進(jìn)行深度解析,,識(shí)別104協(xié)議和其他流經(jīng)調(diào)度數(shù)據(jù)網(wǎng)和生產(chǎn)控制大區(qū)邊界的網(wǎng)絡(luò)協(xié)議,并進(jìn)行數(shù)據(jù)報(bào)文的分析,,進(jìn)行實(shí)時(shí)的流量監(jiān)控和安全審計(jì),。

  4 工控網(wǎng)絡(luò)安全監(jiān)測(cè)審計(jì)系統(tǒng)價(jià)值體現(xiàn)

  (1)針對(duì)不同行業(yè)的工控網(wǎng)絡(luò)場(chǎng)景建立融合業(yè)務(wù)的安全行為基線,,形成工控網(wǎng)絡(luò)數(shù)據(jù)流量的健康性監(jiān)控,;

  (2)快速定位異常位置,,協(xié)助相關(guān)人員快速解決故障及事件,;

  (3)指導(dǎo)安全工作和決策,;

 ?。?)滿足工信部指南、能源局36號(hào)文,、發(fā)改委14號(hào)令,、工控等保等合規(guī)性要求。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。