![]()
随着工业化与信息化的深度融合,来自信息网络的安全威胁正逐步对工业控制系统造成极大的安全威胁,在网络边界隔离和主机防护等加固措施外,需要有“网络摄像头”产品来加强工控网络流量的监测与审计能力,国家法律法规和行业规范中都将区域安全边界作为整体防护要求的重要一环,目前针对工业网络流量的审计和监测在行标准有GB/T 37941-2019《信息安全技术 工业控制系统网络审计产品安全技术要求》和GB/T 37953-2019《信息安全技术 工业控制网络监测安全技术要求及测试评价方法》,在工控网络安全审计层面的产品一般参照GB/T 37941研制和测试。根据在公安部的计算机信息系统安全专用产品销售许可服务平台查询到的工业控制系统网络审计产品有58款(其中基本级31款、增强级27款),网络安全专用产品安全检测服务平台查询到的工业控制系统网络审计产品有36款(其中基本级14款、增强级22款),那么纯从技术维度出发,选什么样的工业流量审计产品才是最适用于工业网络现场呢?![]()
图1:工业流量审计产品网络安全专业产品检测
工控网络安全审计产品的结构一般分为两种:一种是一体化设备,将数据采集和分析功能集中在一台硬件中,统一完成审计分析功能:另一种是由采集端和分析端两部分组成,采集端主要提供数据采集的功能,将采集到的网络数据发送给分析端,由分析端进一步处理和分析,采取相应的响应措施,并支持采集端分布式部署。对于工控网络安全审计产品的选择建议从产品适用性、产品功能性和产品便利性等几个维度评估:基于工控网络安全审计产品旁路流量镜像部署的方式,且一般部署核心或者汇聚交换机上,结合工控网络通常流量相对较小,流量类型相对固定,对可靠性要求更高,对性能的要求相对较小。所以在产品适用性层面可以从环境适用性和管理安全性等维度去评估。工控网络安全审计产品部署的物理位置和工作环境是对其第一道要求,根据物理空间位置的不同,工控网络安全审计产品有导轨式和机架式不同的物理形态。![]()
图2:工控网络安全审计产品导轨式和机架式不同硬件形态工业现场工作环境千差万别,与工业防火墙类似,有温湿度相对舒适的空调机房,也有低气压、高腐蚀等恶劣环境。因此工控网络安全审计产品在环境适应性维度要考虑包括气候、电磁兼容、绝缘、接地、机械适应性、外壳防护等因素,这些也是厂商工控网络安全审计产品在设计过程中需要考虑的问题。常见的技术指标如:IP40、CE、FCC等认证和测试都是基于环境和安全性所开展的检测与测试。参考GB/T 37941对工控网络安全审计产品的要求,对业务接口和管理接口要采用不同的网络接口以及业务接口采取被动收包的方式工作,不得外发数据包。![]()
2020年,北方地区某火电厂因流量审计设备而宕机,引发行业内安全彻查行动,究其根本原因是用于流量审计的入侵检测设备非单向接收数据,造成两个DCS机组流量互通,进而导致信号冲突而宕机。所以在工业现场旁路流量审计类设备在管理安全性层面特别需要注意单向接收数据的功能。![]()
图4:流量审计设备非单向接收数据导致两个机组宕机事件部署示意图
在工控网络安全审计产品安全功能层面,遵循GB/T 37941规范需要满足审计数据采集、审计数据还原、审计事件识别和分析、审计记录、事件响应和报警、审计查阅和报表和审计记录存储等维度的要求。工控网络安全审计产品通过对流量数据的采集,基于协议分析、流量监测和入侵攻击模块;结合产品检测能力,生成具有工控特点的全网安全事件、全量审计日志和异常事件的原始报文;将不同类型的安全事件集中进行关联分析,挖掘更深层次的网络威胁。总结来看工控网络安全审计产品在安全功能层面重点关注其数据采集能力、网络异常行为监测与异常告警能力。目前针对工业现场的流量审计产品繁多,如:工控IDS、APT攻击检测产品、数据库审计系统、态势感知流量采集探针等,通用的部署模式都是通过流量镜像的方式将流量复制到检测审计产品上进分析,但是要解决的第一个问题就是部分现场工业交换机可能只支持一组镜像的问题,这一现象在早期的国外品牌工业交换机中比较常见。针对这一现象通用做法需要增加额外成本部署流量复制汇聚器(TAP)对镜像流量分流,另外目前有些安全厂商的工控网络安全审计产品已经可以支持镜像流量转发功能,减少不必要的投入。![]()
解决流量数据收集的问题后,则需要设置好数据采集的策略,为了满足后续数据分析的能力,一般情况下需要满足支持基于网络层要素的数据采集策略:至少包括源目的MAC或源目的IP、传输层协议、目的端口;支持基于工业控制协议的数据采集策略,甚至在某些场景下需要支持全流量报文的采集。对于工控网络安全审计产品来说,网络异常行为监测与异常告警能力是其核心能力之一,按照GB/T 37941技术要求,对于异常事件的识别至少要满足网络层通信异常;工业控制协议通信异常的控制指令、控制点位、控制值;不符合协议规约规定格式的工业控制协议报文;端口报文异常;工业控制协议应用层断链及断链后重连等事件。![]()
图6:GB/T 37941对于异常事件识别的技术要求网络层通信异常:工业现场的通信行为相对固定,比如上位机和固定的DCS系统或者PLC进行通信,并将采集到的数据上传到数据库服务器等,这类通信行为是可以用技术化的语言来描述,一般基于白名单方式对审计信息进行分析;工业控制协议通信异常:工业控制协议的解析识别能力是工控网络安全审计产品需要具备的基础功能,同样采用白名单的方式固化现场的通信行为,如果出现非法的或者不合理的指令应该给予相应的告警,比如地铁在行驶过程中,列车门不应该接收到开启的指令;长输管道中一般不会出现既关闭阀门,又不断增加压力的逻辑指令。这些不符合工业运行的逻辑指令和控制点位与控制值都是工控网络安全审计产品重点监测与审计的行为。不符合协议规约规定格式的工业控制协议报文:工业控制协议一般都有规约规范,比如OPC/MODBUS等,在工控网络安全审计产品中需要内置相应的规约检测模板,以检测是否出现重放攻击或者伪造报文攻击等行为。工控网络安全审计产品作为一款审计类产品,在集控管控、报表能力等运维层面同样值得关注。首先在集控管控层面,产品的两种硬件形态都应该支持与安全管理中心的安全管理平台类设备对接,可以实现策略的管理和安全事件及告警日志的接口对接;其次在工业协议白名单、网络异常行为检测等层面应该具备自学习及内置多种模板,方便管理员配置;最后在告警展示层面,一方面可以存储符合标准规范时间要求的事件及日志,同时如何减少安全事件误报及漏报是需要考察该产品的重要指标,另一方面应具备强大的报表能力及友好的展示效果,方便管理员快速发现网络攻击行为并进行溯源。与工业防火墙同根,工控安全监测与审计系统作为威努特网络安全产品线中的拳头产品,基于现场的使用需求并按照国家网络安全最高检测标准不断进行技术打磨,在IDC 2024年发布的《IDC MarketShare:中国工控安全审计市场份额,2023:合规与业务需求双轮驱动,市场稳步增长》报告显示,威努特在激烈的市场竞争中位列中国全行业第二,连续两年蝉联全国前三。威努特的工控安全监测与审计系统在技术方面到底有什么亮点与创新点?威努特工控安全监测与审计系统取得了公安部增强级销售许可(最高级)和网络安全专用产品增强级,并通过抗电磁干扰、抗粉尘、防盐雾、抗跌落、抗振动、抗冲击等一系列严苛的检测试验,确保在极端恶劣的工业现场环境下稳定运行,实现长时间不间断的高效工作;针对兼容性要求的行业,威努特还取得了与自动化厂商兼容性测试报告、电科院的检测报告和100%国产化电子元器件检测报告等,进一步验证与现场良好兼容性。为进一步提供管理安全性,威努特工控工控安全监测与审计系统在硬件层面进行了创新,网口侧 “去掉”发包功能,只能被动接收镜像流量;彻底杜绝设备故障、恶意攻击等情况下旁路设备向交换机镜像口发包(流量倒灌)的问题。![]()
图7:物理层面流量纯单向设计,进一步提升设备安全性
威努特工控安全监测与审计系统设备具备流量镜像转发功能。可以在不影响监测审计设备对原始报文正常处理的情况下,将其复制一份,并通过镜像接口发送给监控设备,从而判断网络中运行的业务是否正常。 ![]()
在网络异常行为监测与告警能力层面,威努特基于对11365种常用端口协议的识别和近50种工业协议的深度解析能力积累,通过工控协议的深度解析能力,结合“白名单+智能学习”机制,对各类工控协议数据包进行快速捕获和值域级解析。利用智能算法学习建立工控通信基线,对网络中工控协议通信行为与基线进行对比分析,具备对工业协议规约检测、关键事件监测、入侵攻击检测等10多种工业现场常见的网络异常行为进行监测与异常告警能力。![]()
威努特工控安全监测与审计系统除了支持自管理和集中管理功能外,在运维便利性方面也进行深度研究,例如在白名单生成层面,工控安全监测与审计系统内置智能学习引擎,根据当前的学习情况,智能判断白名单的学习进度,在保证学习质量的情况下最少化学习时间开销;同时支持基于控制系统组态工程文件直接生成白名单的技术,可保证工业控制系统可信白名单100%完整、100%准确和0学习时间开销,极大降低现场实施难度。![]()
同时能够将工控网络的通信行为进行详细的可视化分析展现,提供友好的用户界面、人性化的统计报表,极大提高了企业工控网络安全审计管理效率。![]()
![]()
![]()
工业企业用户在工控网络安全审计产品的选择上需要综合考虑相关因素,除了在产品适用性、安全功能性和运维便利性等技术维度外,对于产品的售后技术服务支持、价格等因素仍需同步考虑。写在最后,威努特欢迎和不同行业的工业企业用户探讨交流工控网络安全审计产品在技术发展中的使用需求和发展规划。![]()
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
