(光大环保能源(莱芜)有限公司)
摘要:工控系统信息化、智能化程度的飞速发展,为工业制造企业生产效率的提高做出了杰出的贡献,但与此同时也为工控系统引入了诸多风险与挑战。本文对主流的工控系统信息安全检测技术及应用实践进行了阐述。
关键词:工控安全检测;工业制造
由于能够实时全面地监控工控系统网络数据传输状态,具有主动对工控系统中的入侵或异常行为进行识别和响应,以及能提供对内部攻击、外部攻击和误操作的实时检测等而成为工控系统信息安全防护中的重要技术手段。
一、工控系统信息安全检测技术介绍
1、基于特征库匹配的工控系统信息安全入侵检测
在传统信息安全领域,基于入侵行为特征库的检测方法得到非常广泛的应用,这一技术路线在工控系统安全检测方法中被继续沿用。自2010年后,自动化设备、软件越来越多的被曝出存在致命高危漏洞和众多针对工控系统进行定向攻击的病毒,入侵者在利用特定漏洞或通过某些病毒对目标工控系统进行攻击时,通常会具有一定特征的行为序列,这些行为序列在通讯数据中可以抽象出具有典型特点的攻击模型。基于特征库匹配的工控系统信息安全检测技术通过对工控网络中传输数据与所积累入侵模型进行对比,如具有一致性则判断为入侵行为从而产生报警。
2、基于流量分析的工控系统信息安全检测
流量分析作为传统信息安全领域检测网络入侵行为的重要手段,可通过分析网络中流量行为这一维度检测网络中某些攻击行为。由于工控系统中所有设备间访问关系明确,访问流量较为固定,因此从通讯流量这一角度可有效发现工程师站、操作员站、服务器以及现场控制设备间的异常访问流量,进而定位可能存在问题设备进一步分析来发现入侵,所以基于流量分析的入侵检测方法也被引入工控系统。基于流量分析的安全检测基本思路是构建目标系统的“流量基线”,这一基线需要通过在正常业务生产周期内提取系统内通讯数据的源网络地址、目的网络地址、传输层协议、源端口、目的端口,从平均包间隔、流量持续时间以及流量变化趋势等多个角度进行构建。“流量基线”建立后作为后续流量的监测标准,后续访问流量行为与“流量基线”进行比对分析,从而以流量这一角度发现异常行为。
3、基于通讯协议解析的工控系统信息安全检测
所有控制设备的指令接收及采集数据上传均通过通信协议传输,通讯协议是设备间通信数据传输的规范,而目前众多主流的工控协议存在安全漏洞,可以被入侵者利用来篡改或发送恶意攻击数据包来达到入侵目的。目前,数据明文传输、缺乏认证机制等安全漏洞在OPC、Modbus/TCP、Ethernet/IP、S7等协议中被发现,导致使用工业协议通讯的设备易受假冒、会话劫持等攻击。对于明文传输的通讯协议,以入侵者的角度,仅需在系统中某一网络节点对传输数据进行窃听即可在协议中获取重要的文件、数据或主要网络设备、服务器、操作站的登录口令、密码等。或通过精心构造非法数据包导致现场控制设备执行错误指令或宕机等。然而这些信息窃取或指令篡改等动作在网络流量层面或特征库检测方法中均无法发现。研究人员针对工业控制通讯协议提出了一种新的入侵检测方法,主要是针对OPC、IEC104等通讯协议,根据协议所公开的规范和业务逻辑,对报文里面特定功能码以及部分参数的取值范围构造了基于协议格式的模型,依靠模型所构造出的协议规范白名单可识别出异常功能码、敏感动作、命令篡改等可疑或入侵行为。
二、工业控制系统信息安全检测技术实践
工控网络面临安全威胁包括:利用操作员站、工程师站系统或组态软件安全漏洞进行入侵,获得操作员或工程师站操作权限进行攻击行为;伪造、恶意篡改工业协议中的功能码、开关量、脉冲量等参数,实现破坏的目的;木马、蠕虫或工业病毒等在工控网络中传播,造成工控网络瘫痪。
在基于入侵行为特征库匹配的检测方法中,利用检测设备中建立目前已知的攻击方法或行为检测系统中的特征库,一旦行为与特征匹配则认定为入侵行为,这一检测方法可适用于工程师站、操作员站等通用操作系统的入侵检测,对于典型的入侵行为可有效检测;基于流量分析的工控系统安全检测方法中,主要根据网络中流量的异常情况来判断通讯设备的异常行为。这种检测方法对于所面临的蠕虫感染以及非法连接等典型攻击或异常行为具有良好的检测效果;基于协议解析的工控系统安全检测方法中,需要对监测到的通讯数据进行深度解析,一方面进行协议格式等检查以确保通讯数据不存在本质差错;另一方面识别出当前数据中所携带的具体功能码、控制指令,与正常情况中的指令通过多个维度对比来进行异常指令识别。这一检测方法可有效判断控制器接收指令的合法性,可确保现场控制设备接收正确指令。工控入侵异常监测系统进行安全检测的第一步是信息收集,收集信息的内容主要是工控系统若干不同关键节点的通讯数据包。工控入侵异常监测系统采集数据包位置包括现场控制层和过程监控层关键网络节点,旁路抓取工程师站、操作员站、I/O服务器与现场控制设备(主要是PLC)间通讯流量。对于流量中的通讯协议(包括以太网各层协议、以及OPC、Modbus、S7等工业协议)进行深度解析,针对通讯协议中的数据进行有效的组织、整理并提取特征。
在车间中控室操作员站、工程师站所使用的组态软件以及现场控制器可能存在代码注入、任意代码执行等高危漏洞,存在被入侵风险,所应用的工控入侵异常检测系统内置特征库可精准检测入侵行为;工控现场,现场设备所接收控制命令来源及命令内容较为固定,控制命令只能由地址固定的几台工程师站或操作员站发出,发送到某服务器某固定端口,且控制命令规定只能是“启动、暂停、继续、停止”四种命令,因此可通过工业协议深度解析,判断控制命令为其它则为异常或攻击,进行报警后由运维人员进行相应处理。这一方式通过对具体设备功能码范围以及访问设备的限定相当于对目标设备细化到指令中功能码范围以及具体值的访问白名单,可有效监测由于人员误操作或指令篡改造成现场生产问题。
企业应提高员工重视度。在企业安全管理工作中,员工是主要的载体。因此员工对安全的态度和重视度决定着企业安全工作能否得到顺利的开展和问题的解决。企业可以在公司容易出现问题的重点地带设立醒目的警示牌,上面标注员工在工作或者使用生产工具时需要注意的事项,也可以建设板报和宣传栏等。这种措施的采取主要使员工了解更多专业安全知识并且时刻保持安全意识,并提升员工的安全意识。企业除了必要的提醒和警示之外,也可以采取深入开展安全宣传教育措施。比如组织员工一起观看安全教育类的影片,画面感强的事件将更有感染力,使员工有较强的认同感,从而在实际工作中更加重视安全的预防。企业仍应定期举办一些安全讲座,旨在不断提醒员工安全的重要性和安全知识的普及。除了普遍性、通识性教育,企业应当结合部分员工职位的工作特点,比如员工的岗位从事高危工作,企业应对这部分员工采取特殊的安全教育。比如组织这部分员工进行安全的培训,在培训中使其更清楚和认识所从事岗位的生产特点,做到有针对性的安全预防。
结束语
通过对工控系统信息安全检测技术的实践经验总结,发现利用某一种单一的安全检测方法进行安全检测是远远不够的,针对制造行业工控系统中数据进行多维度安全分析,可取得良好的应用效果。
参考文献
[1]王少杰.工业控制系统的安全技术与应用研究综述[J].计算机科学,2018(4):37-38
[2]黄武庆.探究如何加强工业制造企业的消防安全管理[J].通讯世界,2017,(18):252-253.