本文提出一种适用于烟草行业的工控系统安全监测与管控方案, 通过将安全监测系统和安全防护网关进行有机联动,识别并预测工控系 统攻击异常事件,并自动生成针对该攻击异常事件的处理规则。同时, 防护网关运用该规则实现异常攻击行为的阻断,大大增强了工控系统安 全防护的可操作性,使异常攻击事件得到及时的响应与处理,提升烟草 行业工控系统安全防护与预警能力,保障安全稳定运行。
引言
随着网络和信息技术的迅猛发展,网络已经覆盖能源、电力、交通、金融、电信和烟草等重要行业和核心领域,在促进技术创新、经济发展的同时,网络安全问题日益凸显,已经成为关系国家安全和社会安全的重大问题。在烟草行业,尤其是烟草打叶复烤生产线,由预处理、叶梗分离、叶烤、烤梗、除尘段等共同组成烟叶生产流水线,整条生产线设备繁多,分散,分布时变参数多,信息交互量大,根据打叶复烤生产线特点及控制要求,国内普遍采用PC+Ethernet+PLC+FCS模式构建SCADA系统,实现复烤生产线的实时监控。大部分烟草企业的工业控制系统安全防护建设已按照行业标准进行搭建,但在实际运行中仍存在跨网运维、违规外联互联网、工控交换机拒绝服务、关键设备脆弱口令、病毒攻击、异常报文等非常典型的安全问题。
针对工业控制系统安全,目前存在安全监测和安全防护两种解决方案。
(1)安全监测。基于流量旁路采集,使用协议深度解析技术(DPI),结合工控病毒库、攻击特征库以及工控基线规则等配置,通过关联分析实时发现针对 PLC、DCS等重要工业控制系统的攻击和破坏行为,以及病毒、木马等恶意软件的扩散和传播行为,为工业控制网络安全事件调查提供依据。由于采用旁路方式部署,对生产过程“零影响”。
(2)安全防护。基于协议深度解析技术和工控连接黑白名单规则,阻断一切非法访问,仅允许可信的流量在网络上传输。为工控网络与外部网络互联、工控网络内部区域之间的连接提供安全保障。
安全监测用于识别并检测工控系统异常攻击行为,而安全防护用于对发现的异常攻击行为进行阻断,实时性要求更高,然而分析的范围相对监测系统要窄,而且其工控访问规则配置专业性要求很高,实施操作困难,如果规则配置简单,达不到安全防护的目的,而规则配置复杂,对正常管理与产生业务又会造成影响。针对以上情形,本文提出一种烟草行业工控系统安全监测与管控方案,通过将安全监测系统与安全防护网关等进行有机结合并联动,通过安全监测系统进行多层次异常攻击分析,运用回归预测算法,识别并预测工控系统攻击异常事件,并自动生成针对该攻击异常事件的处理规则,发送给安全防护网关,网关防护网关运用该规则实现异常攻击行为的阻断,提升烟草行业工业控制系统安全防护与预警能力,保障其安全稳定运行。
2 方案设计
为保障烟草行业工控生产系统稳定安全运行,其控制设备网络通常采用冗余环网技术和冗余供电系统, 如图1所示。
为实现对图1所示烟草工控系统的全面安全监测与管控,本系统需在预处理、叶梗分离、叶烤、烤梗、除尘等各个生产线均部署工控安全采集探针和工控安全网关,在管理端部署工控安全监测平台。工控安全采集探针包含两路网口,一路用于旁路采集工控监控系统网络通信流量,一路用于工控安全监测平台的通信,并可以根据工控安全监测平台的指令,将工控安全访问控制列表下发给工控安全网关,实现工控安全监测和工控安全防护的联动,部署架构如图2所示。
烟草行业工控系统安全监测与管控系统包括数据采集、安全监测与预警,以及安全管控三个部分的功能,数据采集功能由工控数据采集探针完成;安全监测与预警功能由工控安全监测平台完成;安全管控功能由工控安全网关完成。
(1)数据采集
工控系统数据采集可以根据现场工控网络实际环境的不同,采用较为成熟的交换机端口镜像、分流和分光等多种旁路采集技术实现。 ·
交换机端口镜像。如果被采集点的核心交换机可提供端口镜像功能,可把要监控的端口流量都汇聚镜像到一个空闲口,再将汇聚口接入到流量采集分析探针,该种方式可以操作好,对生产过程“零影响”。 ·
分流。对于基于网线传输的流量,可以使用TAP分流设备对通过网线传输的流量进行分流处理,将原有的电信号流量分成完全相同的若干份,不影响原有业务。高端TAP设备还具备把若干根网线的流量汇聚成一个口输出的能力,并保证不丢包。 ·
分光。对于基于光纤传输的流量,如电信核心网、工业控制环网,可以通过分光器进行流量分流, 这种技术可以保证将原有的光信号流量分成完全相同的若干份,不影响原有业务,同时流量分析系统可以同时 接收到完全相同的流量进行同步分析。
通过以上方式,数据采集可获到各种关键监控点的原始流量,并不会影响原有业务。
(2)安全监测与预警
安全监测与预警包括协议深度解析、异常攻击识别与预警和安全访问规则生成与下发等功能。 ·
协议深度解析。对于采集的工控网络通信数据,使用传输端口、协议特征等多种方式进行快速协议识别并高速实时解析。协议深度解析支持高速识别与解析OPC-DA、OPC-UA、Modbus-TCP、Siemens-S7、Profinet和Ethernet/IP等烟草行业典型应用工控协议,并支持到报文类型、子类型、指令、变量和值级别,便于进行变量阈值的检查和正常行为的建模。 ·
异常攻击识别与预警。基于对工控协议的通信报文进行采集与深度解析,利用基于攻击特征与基于行为异常的检测方式,对当前工控系统通信中含有明显恶意特征或偏离正常行为基线较远的流量进行监测并告警。可识别病毒攻击、拒绝服务攻击、旁路控制、异常指令操作、跨网运维、违规外联互联网、异常工控协议报文、敏感信息明文传输、脆弱口令、未知设备接入和异常连接等异常攻击行为。使用回归预测算法,对工控操作数据和工控流量运行预测分析,可描绘工控安全生产态势,实现安全生产故障预警功能。 ·
安全访问规则生成与下发。基于异常攻击识别与预警分析的结果,对于异常攻击行为,综合分析其攻击路径选择与攻击手段,自动生成抑制并阻断该种异常攻击行为的访问控制列表,该列表包含三层IP访问控制列表,工控控制指令访问规则列表和工控操作数据阈值列表等。
(3)安全管控
在病毒攻击检测、网络攻击检测的基础上,对工控网络流量进行实时解析,加载工控安全监测平台的安全访问规则,实时阻断异常攻击行为,实现烟草工控生产系统的操作指令和操作数据的协议级实时管控。对于工控生成影响比较大的访问控制规则,可按配置,要求管理员或安全专家确认后,才能生效,在降低安全访问网关实施操作难度的同时,可大大减少因为人工误操作的策略配置而导致的工控生产事故的发生。
3 结语
目前传统的防火墙、网闸等安全防护产品的安全策略需手动配置与更新,且专业性强,难度高,更新慢,难以达到安全管控且不影响工控生成的效果。本文针对烟草行业工控系统安全监测与防护技术的研究,提出旁路安全监测预警与串行安全防护两种机制进行有机结合并实现联动的安全监测管控方案,使工业控制系统异常攻击行为得到快速的抑制进而达到阻断的效果,通过安全监测平台自动生成安全访问规则策略,大大增强了工控系统安全防护的可操作性和时效性,使异常攻击事件得到及时的响应与处理,提高了烟草行业工控系统安全防护与预警能力,保障工控生产安全稳定运行。
本方案基于工控协议深度解析实现对工控网络环境的安全监测与管控,部署方便灵活,可操作性良好,扩展性强,适用于打叶复烤、制丝、卷接包和烟草薄片等烟草领域各个工控生产环节,其中关键技术也可逐步拓展应用到石油、化工、交通等其他关键信息基础实施保护领域,具有广阔应用前景。
作者简介
文雅玫(1984-)女,湖南长沙人,博士,现任湖南省烟草专卖局(公司)工程师,在湖南烟叶复烤有限公司从事烟草行业网络安全和项目管理工作。
李建强(1983-),男,陕西宝鸡人,硕士,国家计算 机网络应急技术处理协调中心工程师,在工业控制系统网络安全应急技术工信部重点实验室主要从事工业控制系统网络安全防护研究工作
谢博文(1989-)男,瑶族,湖南永州人,本科,湖南烟叶复烤有限公司郴州复烤厂助理工程师,主要研究方向为工业控制系统网络安全。
资 捷(1979-)男,湖南耒阳人,本科,工程师,现 任湖南烟叶复烤有限公司网络安全与信息技术员,主要 研究方向为计算机应用和网络安全。
吴秋果(1983-)男,湖南汨罗人,硕士,工程师,现任湖南烟叶复烤有限公司网络安全与信息技术员,主要研究方向为软件工程。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
