揭秘工业互联网安全方案火力聚焦点

不少人说:“没有物质基础的爱情不会长久”。讲真,这句话宅宅是信的,因为这里的“物质”远不止指车子、票子、房子。

试想,一对情侣净身出户,或许身上的钱够买整月的饭,住一周的小旅馆,喝20箱水,那么之后呢?

so,所谓“物质基础”映射出的是人对于基础能源的稳定需求,而当这一需求面临危机时也就命不久矣,何谈爱情?

如此扩大,一个国家亦是如此,而工业互联网安全的重要性正是由此体现。

《揭秘工业互联网安全方案火力聚焦点》

近几年,工控网络安全事件频发,无论是乌克兰电力系统遭破坏导致大规模停电,还是澳大利亚马卢奇污水处理厂遭非法入侵导致大量海洋生物死亡……无疑都是对人们的“物质基础”发起挑战。

随着各企业对工业互联网安全重视程度的提高,2019年工业互联网安全生态的构建明显加速。在这里,雷锋网(公众号:雷锋网)根据中国信息通信研究院印发的《中国网络安全产业白皮书》进行了详细整理:

2019年的工业互联网安全

随着工业互联网、物联网、云计算、移动互联网等技术的深入发展,IT72与 OT 加速融合,工业体系逐渐由封闭走向开放,网络安全威胁开始向工业环境渗透,工业互联网安全问题日益凸显,市场需求随之攀升。

工业互联网安全产品形态与传统网络安全产品相近,但在具体技术实现上具有工业领域的特殊性,包括需要支持多种工业协议、满足业务生产的高可靠低时延要求等。

工控系统(OT 网络)方面——边界和终端安全防护仍是主要手段。OT 边界安全通常由部署在 OT网络和 IT 网络之间控制区内的防火墙、入侵检测、单向网关等设备或采用软件定义的方式实现,终端安全与 IT 领域类似。

国外,大多企业通过软件定义网络架构提供包括安全级模型构建、授权网络设备管理、安全域管理、通信授权、可视化验证、安全策略管理等功能。

反观国内,各厂商工业互联网安全相关产品线日益完备,部分企业的工业防火墙支持 Modbus/TCP74、PROFINET75、Siemens S776、FINS77等 10 余种工控协议,可有效抑制病毒、木马威胁在工控网安全区域间的传播和扩散。

也有厂商基于对工业控制协议的深度解析(DPI78),结合“白名单+智能学习”机制,对各类工控协议进行快速捕获和指令级解析,并通过对工控系统重要区域内节点间的通信流量检测,发现工控系统中存在的异常行为和潜在威胁。

工厂 IT 网络和工业云方面——近些年,工厂 IT 网络和工业云平台相对 OT 网络更为开放,也更容易遭受网络攻击。

工业互联网安全监测与态势感知能力建设成为趋势,可基于工业环境,动态、整体地洞悉安全风险的能力,从全局视角对安全威胁进行发现识别、理解分析和响应处置。

工厂 IT 网络和工业云方面的安全产品,大都能自动发现网络中设备,识别配置异常,基于深度包检测技术识别协议每一层中需要分析的特定字段进行 OT 网络监视,从而提供态势感知能力。

有的厂商更是通过部署探针、网关等关键设备,对工业互联网平台、工业互联网应用设备和系统、企业内外网等的安全运行情况进行监测与感知,同步构建技术手段汇集来自各方的工业互联网安全态势信息。

厂商将火力聚焦在哪里?

正如开头提到,近年来工业领域安全事件频发,不断敲响网络安全警钟。

2017 年,“永恒之蓝”蠕虫病毒入侵了全球 150 多个国家的信息系统,多家汽车制造商被迫停产,能源与通信等重要行业损失惨重;

2018年,台积电多个工厂及营运总部遭遇勒索软件攻击,导致在台湾北、中、南三处重要生产基地生产线停摆;

2019 年挪威海德鲁铝业公司遭“LockerGoga”勒索攻击,多工厂关闭。

随着高频次工控安全事件的发生,工业领域网络安全意识逐步提升。

厂商开始有意识地开展安全评估、防范安全风险、培育工业领域安全人才等。国内部分工业互联网安全厂商能力介绍如图所示:

《揭秘工业互联网安全方案火力聚焦点》《揭秘工业互联网安全方案火力聚焦点》案例详情如下:

一、三六零:360 工业互联网安全大脑系统实践

360 工业互联网安全“安全大脑”系统,通过感知、决策、响应三个手段形成一套智能安全系统来应对安全威胁。

建立全天候多维度感知系统——横向感知,通过 ICS 全网资产扫描,全面探测 工控企业内网资产暴露在互联网的资产所存在的漏洞,感知内外网攻击横向渗透 行为。纵向感知,从 IT 系统到 OT 系统总线感知,监测由于信息安全导致的生 产安全问题。交叉感知,内网数据与外网情报交叉分析可快速溯源,定位威胁。

《揭秘工业互联网安全方案火力聚焦点》工业互联网安全大脑

基于数据分析及算法建立安全引擎。通过感知获取数据,并对网络行为和数 据进行记录,依托海量的安全大数据及安全检测规则。以此为基础,利用深度检测、智能分析和安全专家,对大数据进行分析、挖掘和关联,从而快速 发现高级威胁。

同时通过人工智能算法结合外围威胁情报,安全编排等技术组成 工业互联网安全引擎。 形成“一体两翼”安全响应。360 工业互联网安全大脑以打造安全生态模式 和大多数工业信息安全厂商进行深度合作,实现“360 工业互联网安全大脑形成 决策——>下发策略更新到工业信息安全设备——>实现实时数据上报和动态策 略部署——>阻断攻击行为并反馈”。

同时 360 设立应急响应中心及安全服务团 队,为工业互联网突发事件形成一体两翼的响应体系。

二、上海观安:基于设备行为分析的网络态势感知系统实践

基于设备行为分析的电力监控网络态势感知系统能够对电力系统各种通信 协议、流量信息,电力报文进行深度解析,对电力设备行为进行全面分析,平台 在技术架构上采用“采集终端+大数据平台”的分布式部署方式,采集终端以旁 路部署在电力网络的各区域和交换机侧,通过交换机镜像口获取网络流量,通过 网络发送至大数据监控平台;大数据监控平台接收来自采集终端的报文,进行设 备行为分析,主动感知安全威胁,并且对智能电力系统面临的风险进行量化分析, 以可视化方式把分析结果展现给电力监控人员进行及时应对处理,确保电力网络 的安全运行。关键技术包括:

1、基于设备行为分析的异常检测方法 基于设备行为分析的异常检测方法基于深度解析引擎对数据包进行解析处 理,把解析后的数据发送到基线学习模块处理产生设备行为基线;后续来自解码 的设备行为数据与自学习模块的设备行为基线进行比对分析,发现其中是否存在 不符合通信关系基线的通信行为及非法的新增资产,对异常通信或者异常资产进 行告警。能够实时检测针对电力网络的攻击、用户误操作、用户违规操作、非法 设备接入以及蠕虫、病毒的传播等。

2、电力网络二次设备指纹学习及分层拓扑动态识别 通过分析不同电力报文的特性,对设备进行特征值分析提取,分别通过监督 式的分类算法和无监督式的聚类算法对电力网络中各电力设备的拓扑进行识别, 用“分类指导聚类,聚类验证分类”的思想进行优化迭代,最终可以做到电力网 络动态拓扑的识别。在平台上可以提示用户对新接入设备进行确认,规避非法设 备的接入风险。

3、 基于事件特征匹配的设备间流量异常检测方法 基于电力报文的特性,在流量异常检测模型中引入各种特征,通过分析特征 值,形成异常流量检测模型,用于后续的流量异常检测。

4、电力设备间异常指令检测方法

电力设备间指令异常检测场景包括:

(1)设备间高风险指令;

(2)设备间异 常指令异常。通过引入规则引擎,可以实时检测电力网络中的高风险指令操作, 给出告警提示,用户可以进行相应的规则增减。根据采集到电力网络流量,用机 器学习模型来进行设备异常指令的检测,触发异常指令告警事件。对于异常指令 事件,通过大数据展示平台向用户展示异常结果,提醒用户排查原因,避免后续 风险发生。

 三、中国网安:基于工控信息安全管理服务的实践

项目以工控安全管理服务模式,整体化平台化服务保障的方式支撑落实工控 安全管理职责,通过对地区工业信息安全管理需求的深入分析,涵盖地区工业控 制信息安全管理工作全生命周期,以安全管理服务平台为基础,融合安全服务工 具、安全服务团队、培训演练环境、系列服务管理流程和相关政策制度标准为一体的,全面支撑指导、监测、通报、处置、响应的一体化监管体系及软硬件结合 的整体保障服务。

1. 安全服务体系

项目服务体系架构按照 ITSM 理念,参照 ITIL/ITSS 等国际国内标准,实现 安全服务过程中“服务工具”、“服务团队”和“服务流程”的有机整合。

2. 服务平台

服务平台对联网工业控制系统主动感知、及时预警,对重点区域、重点行业 相关工控系统和设备重点监测,对相关信息开展综合分析和可视化呈现。同时, 根据制定的预警策略将感知到的安全威胁和安全事件等进行预警通报和应急响 应。平台对收集到的数据进行集中存储,对数据进行脱敏脱密处理后根据要求开 放给用户指定的其他分析平台。工业控制信息安全“全域采集、多源汇总、分析 研判、风险感知、态势呈现、预警通报、应急响应和相关安全服务管理”为一体 的监测服务平台,全面实现工业控制系统信息安全“自动化监测发现、流程化事 件处置、任务化预警通报和规范化安全监管”,为工业控制系统信息安全管理服 务提供信息化、流程化、规范化和体系化的服务保障。工业控制系统信息安全服 务平台整体架构如图附 2 所示。

《揭秘工业互联网安全方案火力聚焦点》工业控制系统信息安全服务平台整体架构

3. 安全服务

项目主要服务内容包括态势感知服务、在线监测服务、安全检查服务、应急 响应服务和安全咨询服务等六大类服务。

四、天地和兴:集控模式下风电工控安全集中感知平台实践

针对集控模式下风电工控安全的实际问题,通过风场安全防护、汇总关联分 析、中心集中展示的方式实现风电工控安全动态防御。

1. 分布式技术架构,周到防护、全面采集、态势展示平台整体采用三层分布式技术架构,由数据采集层、汇聚处理层和分析展示

(1)分析展示层 功能定位:工控安全态势展示。作为支撑开展工控安全监督、考核、管理等 工作业务的窗口和抓手,实现工控安全的合规监管和客观量化考核管理。集中保 存全网网络安全监测信息,通过机器学习和关联分析完成各业务板块网络安全态 势可视化展示。第一级视图:整体安全态势展示;第二级视图:基于物理位置的 网络防护拓扑结构展示;第三级视图:下属电厂详细风险信息展示。

(2)汇聚处理层 功能定位:平台数据采集的前置终端。集中收集数据采集层获取的生产控制 区工控网络异常行为和事件、工控网络违规内外联、工控网络威胁事件、工控主 机异常操作和违规 U 盘操作等工控网络安全信息,并完成所采集安全监测数据 信息的归一、整形、压缩和转发等数据预处理功能。

(3)数据采集层 功能定位:工控安全数据信息采集。一是计算环境数据采集,包括非法程序 启动监测、主机非法内外联监测、违规 U 盘操作等;二是网络通信数据采集,包 括设备资产发现、设备运行状态监测;三是区域边界数据采集,包括安全合规监 测、异常攻击监测、非法外联监测、非法内联监测、内网异常访问监测、非法 Web 服务监测等数据信息。

2. 动态化体系支撑,牢固基础、强化应对、落地运营

本项目在风电集控基础上应用了基于工业控制系统的防护手段,构建了安全 可控为目标、监控审计为特征的风电厂控制系统新一代主动防御体系,提高工业 控制系统在于工业互联网对接过程中的整体安全性。项目的成功实施,为发电企 业工业控制系统网络安全防护体系建设开创行之有效的安全建设模式,提高发电 厂一体化安全防护的能力。平台功能体系如图附 3 所示。

《揭秘工业互联网安全方案火力聚焦点》 平台功能体系

平台结合生产控制系统实际设计,整体具有集中监测控制的特点,底层为各 风场机组设备层,上层为区域监控层,分监测模块、审计模块、运维管理模块、 主机防护模块、集中管控模块、预警模块等多个功能模块,在现场实现全方位的 纵深防御及基础数据采集,在体系架构及运营管理的支撑运行下,达到多级联动、 态势分析的效果。

五、天融信:基于行为基线分析的安全技术防护体系

天融信基于行为基线分析的安全技术防护体系涵盖了安全防护设备、检测设 备等体系化的安全产品,解决生产网络信息系统安全问题。整体安全防护部署拓 扑图如图附 4 所示。

《揭秘工业互联网安全方案火力聚焦点》整体安全防护部署拓扑图

(1)访问控制

在 IT 至 OT 网络间部署工业网闸,实现网络边界访问控制,满足等保 2.0 中 控制区与非控制区边界实现单项隔离即协议剥离要求。 在生产网 OT 网络区域边界部署访问控制手段,对接入访问行为进行管控。 同时通过基于用户端的认证手段,实现接入目标的认证。关键节点采用工业防火 墙+VPN 的应用方式,实现通信数据保密性和完整性防护。

(2)网络行为监测

基于网络行为监测考虑,在应用层面设置监测审计节点,作为流量回溯分析 及网络白名单应用。 网络行为监测可监测网络中非授权接入行为,实现工业流量解析,还原对控 制器及上位机的访问行为,同时可针对通讯流量进行监测并统计,可将分析记录 结果通报大数据分析系统等进行报警、展示。 监测审计网络白名单功能通过自学习或策略设定方式,对网络监测节点协议 进行白名单过滤,限定可流通协议,对于限定外协议进行报警,有效保障了控制 系统内流量最小化原则,减少非必要带宽占用。

(3)工控主机卫士

工控主机卫士客户端部署于生产网全部 PC,通过对终端的管控,构成工业安全实质层面最外层的安全防线。工控主机卫士 Server 部署于 IDMZ 区域,作 为对客户端管控、审计记录的统一监控及策略统一下发。 工控主机卫士以最小化设定为原则,对主机中应用进行管控,对移动存储分 级授权。针对目标应用必要进程及服务开放白名单,非限定进程及服务均禁止运 行。该策略在保证生产持续进行条件下有效降低对工控计算资源的占用。

(4)脆弱性检测 工控漏洞作为一项重要脆弱性指标需有相应的安全防护措施进行应对,建议 采用离线工控系统漏洞扫描和入网检测方式进行工控系统脆弱性检测。脆弱性检 测对目标设备进行扫描,可发现生产系统中存在的工控漏洞等脆弱性。同时可对 生产网中新增设备/系统进行上线前检测,检测合格后方能具备入网资格。

六、安天:智甲终端防御系统的工业部署实践

安天智甲终端防御系统(简称“智甲”)是专为各行业的业务网络、办公网 络、专用网络、桌面虚拟化办公网络、数据中心以研发的终端安全防御产品。

安天智甲终端防御系统以私有查杀云技术为基石,以黑白双控检测为机制, 以可信应用控制和主机安全策略为主线,以静态鉴定、程序动态安全分析为手段, 以多维度多机制终端安全防护为目的,实现对 APT 高级攻击、勒索软件攻击的 全面防护,实现对终端的有效防护。

安天智甲终端防御系统由云平台系统(管理中心)与终端代理软件(客户端) 两部分构成。管理中心采用 B/S 管理架构,管理员可以在网内任意一台计算机上 通过 Web 方式随时随地登录管理中心实现全网终端安全态势管控。管理中心具 有定制和分发系统安全策略、对客户端提交的文件进行安全鉴定响应、收集主机 安全日志、漏洞统一管理、管理员权限分配等功能。

安天智甲终端防御系统主要包括以下功能:系统管理、威胁展示、可视化展 现、病毒查杀、漏洞检测与修复、主动防御、高级威胁防护、APT 追溯、虚拟补 丁防护、防勒索、终端管理、检测加固、网络保护、安全基线、移动介质管控、 流量控制、威胁报表、日志与审计等功能。安天智甲终端防御系统如图附 5 所示。

《揭秘工业互联网安全方案火力聚焦点》安天智甲终端防御系统

(1)终端管理

可查看网内终端信息,包括:计算机名、IP 地址、MAC 地址、CUP 占用率、 内存容量、TCP 连接数、硬盘容量、客户端版本、操作系统、数据库、应用软件 版本等信息。可管控配置客户端防护策略,包括:客户端启动策略、升级策略、 防护策略、上传策略、扫描策略等。可进行终端安全状态评估,对全局终端安全 性进行监控。评估终端安全状态,可查看终端威胁文件、未知文件、未知文件执 行、系统高危漏洞、终端安全状态等信息。支持分组管理,可对不同组下终端配 置不同防护策略。

(2)威胁展示

展示全局安全状态信息,包括病毒事件统计信息、高级威胁统计信息、系统 高危漏洞统计信息;以未知文件统计信息、文件云鉴定统计信息、威胁可视化等。 还有系统通知信息,安全基线,威胁终端排名。显示当前分级以及当前分级以下 分级的威胁统计信息,以分级为统计对象,显示各级的病毒、漏洞统计信息以及 文件鉴定建议统计信息。

七、绿盟:工业网络安全智能监控预警平台实践

绿盟工业网络安全监测预警平台从工业控制系统安全的角度,对工控系统的 各类 IT 和 OT 设备数据进行采集,包括业务设备日志采集、安全设备事件收集、 网络流量数据采集、安全设备配置采集等功能。平台对采集得到的结果进行统一 分析与展示,发现工控网络内部的异常行为,如新增资产、时间异常、新增关系、 负载变更、异常访问等行为,实现对工控现场安全事件的预警与响应。

绿盟工业网络安全监测预警平台可以对工业网络中各类上位机服务器、工控 终端、网络交换设备、工控安全设备进行集中化的性能状态监控、安全事件的集 中展示、安全风险的评估、工控分区分域的健康等级,以及依赖于工控知识库的 安全响应与处置。绿盟工业网络安全监测预警平台如图附 6 所示。

《揭秘工业互联网安全方案火力聚焦点》 绿盟工业网络安全监测预警平台

(1)工业网络数据采集

绿盟工控预警平台可以支持代理日志采集方式和多种标准协议。通过数据采 集、数据理解、数据抽取和数据清洗等操作,将各种应用系统和设备的日志进行 预处理,帮助管理员把工业网络日志进行去噪,提取其中人们事先不知道,但有 潜在有用的信息和知识。

(2)数据强化技术

绿盟工控预警平台根据绿盟科技对攻防研究的长期积累,提供一套简洁有效 的日志统一分类,使用独有的技术将日志快速标准化,并基于安全分析需要进行 数据的过滤和强化,丢弃无法用的噪音信息,提升日志查询和分析效率。

(3)分析引擎

平台中预制关联分析引擎,预制引擎构成分析平台的核心功能并且对专项分 析提供基础能力,如风险分析、脆弱性分析、态势分析、资产分析、攻击链条分 析等。 分析引擎采用分布式设计能够进行横向扩展,面临工业网络数据量时能够实 现按需扩展,将分析引擎分散到其他更多的机器中,实现按需进行计算资源扩展。

(4) 面向业务的插件化设计

绿盟工控预警平台采用全新大数据框架,将上层业务模块插件化处理,使业 务模块与平台功能进行一对一设计,业务模块的改善和增加就不会造成其他模块 或平台功能的调整,也就是将业务模块抽象并与平台功能实现分离,从而提高研 发效率,降低企业维护成本。

(5)可靠性

绿盟工控预警平台采用大数据组件,对数据对象弹性分布存储 3 个存储节点 中,并采用线程级监控,一旦发现问题,可迅速恢复并告警,同时 3 备份可以提 供完整的灾难恢复功能。

(6) 多地部署

针对大型多组织的企业和机构,采集器可以部署在异地站点或二级单位(保 持网络可达),分析中心部署在总部节点,异地站点将采集到的数据定时通过 FTP 或 SFTP 上传到上级分析中心,供本地留存和查询服务。

八、威努特:基于无损探测的工业互联网设备测绘实践

威努特自主研发的工业互联网雷达 iRadar 旨在发现暴露在互联网上的工业 设备、工业系统、物联网设备等。工业互联网雷达产品架构图如图附 7 所示。

《揭秘工业互联网安全方案火力聚焦点》工业互联网雷达产品架构图

(1)IoT 设备扫描

工业互联网雷达 iRadar 采用分布式并行扫描技术,扫描节点动态可扩展,实 现了网络空间设备快速扫描。工业互联网雷达采用了流水线作业式探测技术,来 提高探测效率。设备探测过程包括端口存活、服务判别、设备识别、漏洞发现等 多个步骤,每个步骤作为流水线的一个环节,实现了细粒度的扫描任务调度。工 业互联网雷达引入了无状态极速扫描技术,使用了 TCP 半连接扫描和异步状态 统计的相结合的模式,大幅度的提升了单次扫描的速度。

(2)基于指纹的设备类型识别

工业互联网雷达引入了多维度的协议识别技术实现了广泛的协议解析。此外, 平台采用会话深度交互技术,可获取工控设备固件的型号、版本等多种信息。

工业互联网雷达除可识别 HTTP、HTTPS、FTP、Telnet、SNMP 等通用协议 外,还支持主流工控协议识别,如 Modbus、S7、DNP3、IEC104 等,覆盖西门 子、施耐德、罗克韦尔等国内外知名厂商的 PLC、DCS、RTU、SCADA、HMI 等工控系统。

(1)基于业务报文的无损漏洞探测

对于工控系统等重要信息基础设施,业务的连续性与稳定性是至关重要的。 传统的有损漏洞探测方式并不适用此类设备。传统的扫描产品为了保证漏洞识别 的精准度,探测器会向被探测设备发送含有一定攻击特征的报文,会对目标系统 带来攻击性和不稳定性。

工业互联网雷达采用无损漏洞探测技术,利用正常协议控制命令,获取设备 漏洞信息,保证探测行为与业务行为的一致,从而实现了在不影响系统正常作业 基础上的漏洞探测。

九、亚信安全:工业互联网安全解决方案及应用实践

针对工业互联网的安全需求,基于亚信安全目前成熟的解决方案,将工业互 联网划分为工业互联网云平台、工厂外部网络和工厂内部网络来提供安全能力架 构。安全能力架构如图附 8 所示。

《揭秘工业互联网安全方案火力聚焦点》安全能力架构

(1)针对工业互联网云平台提供了工业云平台安全、工业网络威胁检测、工 业网络威胁防护、威胁取证、安全沙箱、邮件威胁防护、安全监测与管 理、工业数据安全、工业移动终端及 APP 安全、身份管理安全等能力;

(2)针对工厂外部网络提供了协议标识解析、网络威胁检测、网络威胁防护、 安全监测与管理等能力;

(3)针对工厂内部 OT 网络提供了工厂控制系统网络威胁检测、网络威胁防 护、恶意软件清除、软件运行安全能力;针对工厂内部 IT 网络提供了云 平台、主机安全、数据安全、邮件威胁防护、安全沙箱、身份安全、安 全监测与管理等能力。

在汽车制造业中提供了以精密联动为核心的 APT 防护系统解决方案,作为未知威胁信息采集(邮件网关 IMSA、DDEI)、网关(下一代安全网关 Deep Edge) 及终端处理节点(TMCM\OSCE),并新增未知威胁分析、网络传输已知威胁检测 及未知威胁采集(TDA)、网络防毒墙阻断新威胁 IP/URL/文件/漏洞利用(DE), 形成威胁源头捕获、威胁分析、威胁处理的一个完善流程,通过联动方式自动完 成,将 APT 威胁得到有效及时的处理。

十、启明星辰:基于流量自学习的工业互联网设备深度网络逻

辑隔离安全防护实践 天清汉马工业防火墙可部署在工业网络每层的边界位置,或部署设备层的边 界对不同的工厂进行逻辑隔离。

1. 工业协议访问控制

工业防火墙可以对专用的工业协议进行白名单或黑名单的访问控制:

(1) 预置了百种以上工业协议,可实现工业协议的白名单安全防护;

(2)预置了常用的 PLC 防护模型,可快速实现控制器的白名单防护;

(3)支持基于二层协议号和三层网络端口号的自定义工业协议白名单安全 防护。

2. 工业协议深度过滤

天清汉马工业防火墙针对工业协议的安全防护,除了具备白名单访问控制等 基本功能外,还需要对工业协议有应用层的理解与控制,可以实现对工业指令的 过滤。天清汉马工业防火墙支持基于 Modbus/TCP、Modbus/RTU、IEC104 等协 议的深度过滤功能。以下以 Modbus/TCP 和 Modbus/RTU 为例进行说明:

(1)MODBUS/TCP 深度解析防护

天清汉马工业防火墙的 Modbus/TCP 深度解析模块可以支持应用层细粒度 控制,具体包括:功能码的访问控制、设备地址的访问控制、线圈范围的读写访 问控制、寄存器范围的读写访问控制、输入地址访问控制等。此外还通过支持阻 断时 Reset 回复、阻断时异常回复和黑白名单机制来保证工业网络在防护设备阻 断时不会出现异常。

管理员通过对业务和实际生产网络的梳理,可以建立起合法业务的 Modbus 指令列表,通过 Modbus 深度解析防护模块可以建立合法白名单,阻止非法和入 侵的报文通过,极大提高 Modbus 网络的安全防护能力。

(2)MODBUS/RTU 深度解析防护

虽然工业以太网是发展趋势,但很多生产线仍是基于串行链路进行通信。天 清汉马工业防火墙支持基于 RS232/440/485 链路的数据通信,同时可以支持引用 Modbus/RTU 的深度解析防护策略。

天清汉马工业防火墙支持串行通信参数配置,可以针对波特率、数据位、奇 偶校验、停止位、流控参数进行配置。

3. 工业入侵防御

天清汉马工业防火墙集成特有工业入侵防御引擎,可以对工业系统的私有协 议或者特定攻击进行防护。其引擎独创的规则定义语言支持 TCP、UDP、HTTP、 DNS 等 60 多种协议解析;支持 300 多种协议变量的解析,且协议变量名称遵循 国际标准;提供百余种功能函数专用于规则描述,简化复杂规则功能的定义;支 持 24 种算术运算符、逻辑运算符和多种数据类型。可以精确表达类似自然语言 的丰富的检测需求,减少误报的同时可增强发现各种多样化、复杂化、隐蔽化的 攻击。

4. 流量自学习

为了解决现场工程师熟悉业务但对工控网络协议不太了解的情况,设备支持 在添加防护策略前,在工控环境中进行流量自学习。 设备首先通过自学习获取工控设备的 IP、MAC 地址、工业协议等信息;然 后对工控设备进行自动命名,以资产和协议的角度更加形象化地梳理并呈现工控 网络情况,并进行向导式的安全策略推荐。

5. 多工作模式

工业网络对可用性要求最高,管理员需要完全掌握工业网络的运行情况后, 才能根据实际情况制定合适和有效的安全策略。天清汉马工业防火墙支持三种工 作模式,分别是:

(1)全通模式:所有报文都通过,保障网络畅通。

(2)测试模式:针对要阻断的报文并不实际丢弃,而是以日志报警的方式告 知管理员,主要用于管理员理解策略的效果是否符合预期。

(3) 防护模式:安全策略经过测试模式的考验,管理员对效果进行了充分的 评估,并将策略调整到最优,此时可以切换到防护模式,对工业网络进 行安全防护。

十一、安恒信息:发电厂电力监控系统信息安全防护实践

电厂工控网络和信息安全防护体系建设是根据“纵深防御”安全原则。不仅 加固管理大区信息安全防护手段,同时通过对工业控制系统进行安全区域划分, 建立不同区域之间的数据通讯管道,对管道数据进行全面的分析与管控。中央管 理与控制平台必须使企业管理者能够总揽全局,时刻了解工业控制系统网络安全 的状况,指导企业建立合理的安全策略,规范安全管理流程,建立工业控制系统 网络安全的“纵深防御”体系。

在本电厂中建立“纵深防御”体系如图附 9 所示。

《揭秘工业互联网安全方案火力聚焦点》工控及信息系统智能防护解决方案网络图

  1. 加固管理大区信息安全防护 在信息大区部署安全防护产品,对 Web 攻击及 APT 攻击进行过滤和预警, 具体措施如下:

(1)在四区核心交换机上采用旁路接入的方式部署数据库安全审计系统;

(2)在四区核心交换机上采用旁路接入的方式部署 APT 攻击预警平台;

(3)在四区在 IPS 与防火墙之间部署 Web 应用防火墙。

2. 实现生产大区工控安全防护

在生产大区部署工控安全防护产品,提高工控系统在边界隔离、入侵检测及 安全审计等方面的防护能力,具体措施如下:

(1)在 1 号 DCS 根交换机上采用旁路接入的方式部署工控威胁感知系统;

(2)在 2 号 DCS 根交换机上采用旁路接入的方式部署工控威胁感知系统;

(3)在辅网核心交换机交换机上采用旁路接入的方式部署工控威胁感知系 统;

(4)在 1 号机 DCS OPC Server 与 PI 接口机之间部署工业防火墙;

(5)在工业废水处理 PLC 与水网核心交换机之间部署工业防火墙;

3. 实现全厂安全信息运营

在四区部署企业安全感知中心,收集部署在生产大区及管理大区安全设备提 供的安全数据,其中生产区的安全数据通过单向隔离装置导出,保障生产大区的 物理隔离。

企业安全感知中心为本方案中的工业控制系统信息安全的中央管理与控制 平台,实现对工业控制系统及设备、安全设备等的监控。

十二、杭州迪普:智能工业交换机助力工业互联网高可靠通讯的实践

迪普科技基于白名单分析的安全通讯体系包含了智能工业交换机、物联网应 用安全控制系统等产品,是为满足灵活多变的工业应用需求而提供的一种工业以 太网通讯解决方案,解决用户网络的环境适应性、通信实时性、网络安全性等问 题。

(1)适应恶劣环境

智能工业交换机严格遵守工业规范要求而开发,整机采用工业级元器件,无 风扇散热电路设计,经过严苛的环境测试,设备能够在-40~85℃宽温环境下稳定 工作。提供了耐振动 、耐冲击、耐高/低温、耐腐蚀、防尘、脉冲磁场抗扰等卓 越的工业级品质,确保在各类恶劣环境下可持续可靠运行。

(2)整机掉电告警机制

智能工业交换机的整机掉电告警机制,使网络运维人员可实时通过网管界面 有效了解工业交换机的供电状态。当设备运行过程中出现掉电,交换机将用其内 部的储能电路向网管界面及时发送掉电告警提示信息,使工作人员能远程了解交 换机的供电状况,及时做出相应的处理。有效缩短故障恢复时间、节省运维成本、 提高资产在线率。

(3)视频数据探测安全防护技术

智能工业交换机使用视频数据探测安全防护技术,可实现不同厂商的摄像头 接入到交换机时,交换机能够自动识别摄像机厂商的型号以及 TCP 端口、摄像 机 IP、MAC 等信息,对正确识别到的摄像机信息进行端口数据绑定操作,只放 通绑定的摄像头流量,保证数据正常转发,当非绑定设备接入交换机时,会对其 接入端口进行隔离,防止黑客通过 PC 进入视频传输网进行一系列违规操作,对 网络进行安全防护。

(4)白名单防护机制

智能工业交换机可与物联网应用安全控制系统 DAC 进行联动,信息监控平 台将两者收集到的接入终端信息形成资产库白名单,配合 DAC 设备内置的协议 白名单,实时识别非法设备及非法业务流量,并将日志发送到信息监控平台,平 台将通知交换机,交换机可溯源到终端接入端口并对其进行阻断,将安全防线前 移。

十三、奇安信:工业主机安全防护系统应用实践

面对工业主机补丁打不了、漏洞防不了、资产查不了等安全问题,奇安信集 团自主研发了一款面向工控环境专用的工业主机安全防护系统。该系统能够防范 恶意程序运行、集中安全风险分析和配置管理,实现对工业主机全面的安全防护。

(1)白名单管控

工业主机安全防护系统采用“白名单”防护技术并结合外设管控技术,全方 位地保护主机的资源使用。根据白名单策略,工业主机安全防护系统会禁止非法 进程的运行,并通过基于单个 ID 的 USB 移动存储外设管控,禁止非法 USB 设 备的接入以及合法 USB 设备的权限管控。

(2)工业主机“永恒之蓝”防御,关卡式病毒拦截

针对 “永恒之蓝”勒索病毒,白名单在防护模式下会放行正常的操作系统 进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运 行,同时结合漏洞防御进行永恒之蓝的超前防御,可以形成从“病毒入口-病毒运 行-病毒扩散”三个环节的层层设防,步步拦截,从而做到病毒进不来、启不动、 扩散不了,实现主机安全无死角病毒防护。

(3)工业资产全方位梳理

工业主机安全防护系统通过定义网络 IP 段分组,对指定的网络分组进行周 期性地发现并统计网络中的终端数量及类型,自动获取工业主机 CPU、内存、硬 盘等基础信息,形成资产清单,为企业进行工业主机管理和安全运维提供有效的 参考。

(4)集中管理,统一运维

工业主机安全防护系统控制中心采用软件化方式安装在客户的服务器以及 虚拟机上,方便系统管理员通过控制中心对网内所有工业主机进行安全策略管理、 配置下发等,实现统一管控和安全风险分析,集中管理会显著降低运维成本。

工业主机安全防护系统创新性地采用“漏洞利用分析-流量解析比对-可疑攻 击阻断”的超前防御模式,通过白名单智能匹配、“入口-运行-扩散”三重关卡拦 截技术及“永恒之蓝”专杀技术,保护工业主机不受病毒等恶意软件侵害。工业主机安全防护系统部署如图附 10 所示。

《揭秘工业互联网安全方案火力聚焦点》工业主机安全防护系统部署

未来展望

根据 Gartner 统计,2018 年,10%以资产为中心的企业采用将传统安全与专业 OT 安全技术混合部署模式来保护 OT 环境,这一比例将在 2022 年达到 30%。

由此可见,日趋频繁的网络攻击事件和持续加码的政策要求为提升工业企业安全意识、推动工业互联网安全能力建设提供良好契机。

第一,工业互联网安全政策导向增强,形成对网络安全市场的带动力。2019 年 7 月,工业和信息化部等十部门联合印发《关于印发加强工业互联网安全工作的指导意见的通知》,提出“加强工业生产、主机、智能终端等设备安全接入和防护,强化控制网络协议、装置装备、工业软件等安全保障”、“工业互联网平台的建设、运营单位按照相关标准开展平台建设,在平台上线前进行安全评估”、“建立健全工业 APP 应用前安全检测机制,强化应用过程中的用户信息和数据安全保护”等系列要求,为工业互联网安全能力建设指明方向。

第二,以 IT 视角为主的安全产品和服务难以满足工业互联网的实际需求,工业互联网安全仍 需突破瓶颈,面向 OT 纵深发展。

第三,工业领域网络安全宣传教育亟需加强。人是安全的尺度,通过培训提升 OT 人员的安全意识和技能是最快最有效的网络安全风险规避方式。

在特殊性能需求方面,工业互联网需要保障生产的连续性和可靠性,IT 网络中常见的影响网络时延或开销的操作在 OT 网络中可能无法适用,提供平衡安全风险和业务影响的方案将成为工业互联网安全厂商追求的目标。

点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注