网闸的三种工作模式,边界平台和网闸的区别

首页 > 家居 > 作者:YD1662022-11-20 05:07:22

(天地和兴工控安全防护系统部署拓扑示意图)

产品部署

针对油气管道工控网络中的相关服务器、工程师站、操作员站等主机系统,设计安装部署主机安全防护软件系统,实现对人机交互界面的主机系统必要的安全管控。

白名单的主动防御机制可占用更小的系统计算资源,实现最大的防护效能,可有效实现主机防病毒、防第三方软件的非授权安装与使用、对主机系统外接口管控、对USB外接存储设备的认证管控、防病毒与操作行为审计,为主机系统安全运行提供必要的安全保障。

本方案使用的主机安全防护系统,是工控主机系统专用的安全防护系统,系统运用白名单为主,灰名单、黑名单为辅的创新技术方式,监控主机的进程状态、网络端口状态、USB端口状态,严格对主机应用进程进行管控,外接端口管控,USB设备认证与使用管理,以及操作行为管理,强化工控主机的安全管理,提升主机系统抗攻击能力。

客户价值

通过部署一系列的工业互联网安全产品,为客户提供了如下价值:

客户反馈

本方案以油气管道工控系统应用为场景,构建了安全可控为目标,监控审计、威胁分析、入侵检测、主机防护为特征的油气管道企业工业控制系统新一代主动防御体系,提高了工控系统整体安全性。将为企业工业控制系统网络安全防护体系建设开创行之有效的安全建设模式,提高管控一体化安全防护的能力。

通过本方案中的主动安全防御建设,提高了工控安全防御能力。按照每年平均防御网络攻击1次,每次攻击平均造成的停运损失500万元计算,项目2020年11月份投运至2021年4月份,折算减少停运损失约200万。由于该项目的建设,提高了运维效率,每年还可以降低工业控制系统的运维费用约30万。

本方案具有很强的推广价值,也适合在石油石化行业其它场景的工控系统中进行推广应用。

工业互联网安全能力指南 —— 工控检测/审计部分关键发现工控检测/审计能力点阵图

网闸的三种工作模式,边界平台和网闸的区别(9)

本次参与工控防护能力的厂商共有18家,包括:安恒信息、博智安全、烽台科技、国泰网信、惠而特、立思辰安科、六方云、珞安科技、绿盟科技、木链科技、齐安科技、启明星辰、融安网络、圣博润、天地和兴、天融信、威努特、英赛克。

工控检测/审计能力主要产品形态

在本次工业互联网安全系列报告中,检测是最重要的组成部分之一,“看见”是一切安全管理与安全服务的前提。经过近几年的发展,工业互联网安全检测产品形态主要有以下几大类:

在工业生产环境中,以安全视角对包括控制器、控制系统、上位机等工控设备,以及办公网中的网络设备、安全设备、主机设备等在内的各类资产进行主动/被动资产发现以及资产管理的安全产品。

以合规检查为主要目的,内置工控系统等级保护检查标准,支持漏洞检测、流量分析、配置核查等自动化评估工具的便携设备产品,一般这类产品还支持自动生成信息安全等级保护检查报告以及整改通知书。主要用户为测评机构与现场执法检查的单位(例如各级测评中心、公安、国安、网信、保密等)以及集团类客户对下属单位检查使用。

针对工业生产环境中的网络流量进行安全监测与行为分析的审计类产品。此类产品的目的在于识别非法操作、越权执行、外部攻击等安全事件并实时告警,同时全面记录网络中的网络运行状况及各协议通信行为,生成分析报告,给出合理化建议,为安全事件的调查取证提供依据。由于采用旁路监听方式进行部署,不影响现有系统的生产运行,审计类产品可以适用于大部分网络环境,。

此类产品涵盖了资产发现、漏洞扫描、配置核查、Windows安全加固、等保合规关联、Wifi安全检测等模块,目的是发现工控环境中存在的各种脆弱性问题,包括各种已知安全漏洞、安全配置问题、不合规行为等风险。在信息系统受到实际危害之前为用户的安全管理人员提供专业、有效的评估报告和修补建议。因此,这类产品一般都会具备直观的报表功能。部分具备防病毒基因的安全企业,还会在这类产品中内置脱壳引擎、解压缩引擎、反病毒引擎,结合特征码扫描、启发式扫描等技术检测各种已、未知病毒威胁。

此类产品主要用于发现工控设备(PLC、RTU等)、工控系统(DCS、SCADA等)中的未知漏洞,以黑盒测试为主要技术实现方式,产出的测试报告应当能够清晰定位问题并提供测试报文便于问题回溯,对于安全要求更高且预算较多的关基用户,这类产品能够进一步提升工业控制系统的安全性。

顾名思义,应用于工业互联网环境的IDS,主要对缓冲区溢出、SQL 注入、暴力破解、DDoS攻击、扫描探测、蠕虫病毒、木马后门、间谍软件、欺骗劫持、僵尸网络等各类黑客攻击和恶意流量进行实时检测及报警。

工控检测/审计能力落地要点

不影响用户的业务为基本准则

传统IT环境对安全的优先级要求是CIA,工控环境中对安全的要求优先级正好相反——AIC。工控环境中,绝大部分设备和系统都要求7*24小时不间断运转,所以主动扫描类检测产品,首先要注意的就是不能影响用户业务。如资产发现与漏洞扫描,应当以版本匹配为主,不能poc验证式扫描。同时,要能够对扫描策略进行灵活配置,注意产品的占用进程和资源。很多老旧设备的硬件水平与操作系统都经不起大流量的扫描行为冲击。如果是流量检测,则务必采用旁路监听方式,同时注意产品检查点的范围和深度,避免造成回环等形式的网络拥塞,影响正常的业务流量。所有的产品部署要便捷,尽量不中断或是只占用很短的中断业务时间。

要能够适应恶劣的工业环境

安全检测类产品要具备IP40或以上级别的防护、抗电磁干扰、电源冗余、无风扇散热、双机热备、端口冗余、宽温宽压等工业级的可靠性、稳定性。对于军工类用户,某些便携检测类产品还应当具备三防(防尘,防水,防震)能力,自备电源,适合严苛环境应用。

白名单与黑名单的平衡使用

白名单是工控环境下安全检测产品的基本技术实现思路,但单纯依靠白名单其局限性,甚至有可能反被利用。比如2018年被发现的针对中东某石油天然气厂工业控制系统的“海渊”(TRISIS)恶意代码便是利用社工技巧伪装成安全仪表系统的日志软件绕过“白环境”机制成功进入目标网络。除采用社工手段外,直接针对白名单设备、白名单软件的攻击行为也愈加频繁,更有一些复杂攻击采用哈希碰撞的攻击方式绕过“白名单”机制,对系统造成威胁。因此,应当在基于白名单的基础上,增加对已知病毒、已知漏洞库、威胁情报等特征数据的检测能力。而且,目前供应商的产品一般都具备一定程度的智能学习技术,通过自动学习生成白名单库,并以此为起点按需进行安全检测,使白名单也具备了一定的灵活性。总之,白、黑之间的平衡点,要根据用户自身的业务情况按需制定。

工控检测/审计主要核心能力

针对以上产品形态及落地要点,工业互联网安全产品的主要核心能力有五个:识别、解析、采集、知识库、可视化。

1.识别

“检测”能力的第一个主要核心能力是准确的工控设备指纹识别能力。能力衡量标准是能够识别的主流协议的数量与准确度,例如西门子、施耐德、罗克韦尔、ABB、艾默生、倍福、欧姆龙、台达、和利时、三菱、霍尼韦尔、英维思等国内外知名厂商的 OPC、Modbus、DNP3.0、S5、S7、Ethernet/IP、MBTP、IEC104、IEC1850、Profinet、BACnet、MMS、FOCAS、 ENIP、Melsec-Q、PCWorx、ProConOs、Crimson 等协议。识别的能力门槛相对较低,对设备协议、设备类型、软硬件版本、厂商、 开放的端口、服务等信息的综合判断,能够积累较多的协议识别数量,但更高的能力壁垒,就需要有专门的技术团队,通过逆向分析等手段,分析协议架构、通信流程、报文结构、解析功能码、敏感报文等信息。目前行业内的主要安全企业,其协议识别能力的数量在数十个不等。用户可以根据自身情况,对供应商加以考量。

2.解析

不同于“识别”,检测能力中对“解析”的要求更高、更深入。要能够对主流协议进行指令级、值域级深度解析,准确解析出协议中的功能码、值域、操作码、寄存器地址范围等等,从而对报文格式、完整性进行检测,判断是否存在畸形报文——尝试伪装成正常通信协议内容的恶意代码进入工业控制系统网络内部或区域内部,联动防火墙,防止畸形代码攻击等多种发生在工控以太网络内部的攻击。

有的审计类产品,还会记录更为详细的指令变更、负载变更、状态变更等指令集的操作数据,兼具一些类似业务中断告警这样的功能,从安全生产的角度来讲,当然这也属于安全范畴。用户可以按需选用。受限于工业生产设备的厂商现状,目前行业内的主要安全企业,其协议解析能力的数量在20-30个之间不等。用户可以根据自身情况,对供应商加以考量。

3.采集

包括定时采集和实时采集,如资产、环境、漏洞等不会频繁变化数据,将采用定时采集或者触发式采集(管理中心下发指令),针对如进程、文件、网络等会频繁变化数据采用实时监控模式,进行实时采集和上报。

审计类产品,要具备原始数据的采集与存储能力,有些行业的审计要求数据留存时间不少于六个月。采集方式可以是实时采集,也可以是定时采集。采集方式可以是直接采集工业数据,比如连接485串口收集数据,或是根据工控设备、网络设备、主机设备、安全设备等目标的不同,分别通过Syslog、SNMP、SNMP Trap、ICMP、SSH、NMAP、流量嗅探等方式进行收集数据。

这里主要考量数据采集的全面性。例如主机设备包括操作系统层面所有的用户登录、操作信息、各类数据库、中间件的重要运行信息以及外设设备(键盘、鼠标以及所有移动存储设备)的接入信息;网络设备的配置变更、流量信息、网口状态等安全事件信息;安全防护设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、入侵检测系统(IDS)、运维操作审计系统、蜜罐、web应用防火墙等安全设备等;日志则包括系统日志、配置日志、流量日志、攻击日志、访问日志等。

4.知识库

构建工控协议解析库,完善安全事件特征库,丰富网络攻击知识库,对多环境、多业务流量进行深度分析、识别、发现、追踪、评估。(木链)

这里的知识库,主要指检测类产品所需要的资产指纹库、漏洞库、病毒库、入侵检测规则库、安全攻击特征库等。各家的分类及计数方式各有标准,因此我们并不强调,也不鼓励单纯的比较各家的知识库数量。不过有两个能力点要说明,一是不论知识库数量多或少,检测还应当考量效率和准确率。二是对私有协议是否提供开发接口或是SDK,方便用户自行扩展支持私有协议和做定制化开发;

5.可视化

工控环境下,安全的很多状态不像IT环境下直观,因此需要更加注重可视化能力。例如资产状态数据、基于协议的网络拓扑视图和网络流量视图、带有时间维度的统计数据、分析结果数据、异常行为告警信息、突出重点的处置建议等。

在初步检测出威胁并加以确认后,如果能够具备一定的可视化分析能力就更好,例如将受到威胁风险的资产与业务属性做关联, 或是接入用户的工业生产数据,将安全风险与生产数据结合,显示其潜在的停机、停产带来的业务风险。可视化的目的一定不只是美观,更重要的是体现出安全的价值。

6.创新尝试

此次调研,我们发现安全企业的检测能力具有一定的趋同性,差异点主要集中在对协议的识别与解析上,但是部分企业还是尝试在作出一些创新尝试,我们列在这里,供用户参考:

需求变化:实战化威胁检测

工业互联网安全检测需求的用户中,有很多关基类用户,它们面临的威胁等级在逐步提高。对于电力、石油石化、轨道交通、智能制造、钢铁冶金和军工等多个国家关键信息基础设施行业来说,威胁检测的场景越来越趋于实战化,对工业互联网安全检测类产品的要求也正在趋于“能力化”。例如对工业协议的深度解析、基于正常通信行为建模后的异常流量监测、对安全事件一定程度的自动化分析、对威胁风险的统一管理与可视化展现、对高级威胁的检测及防御、基于资产的风险识别等等。这就要求供应商能够将以上检测类产品与本系列报告中的工控蜜罐、安全管理平台、安全服务等内容整合以后,实战化安全运营,才能发挥出最大的能力效果。

工业互联网安全检测/审计能力市场情况案例三:轨道交通-综合监控系统安全防护建设项目(本案例由立思辰安科提供)

一、场景介绍

当前,世界各国广泛采用以信息化促进城市轨道交通发展的战略,信息化已覆盖城市轨道交通的建设、运营、管理、安全、服务等各个方面,我国强力推进“互联网 城市轨道交通”战略。地铁综合监控系统(ISCS)作为轨道交通信息化系统中子系统,承载了对电力设备、火灾报警、车站环控设备、区间环控设备、环境参数、屏蔽门、防掩门、电扶梯设备、照明设备、门禁设备、自动售检票设备等进行实时集中监视和控制的基本功能,同时担负着非运营时间、正常运营时间以及紧急突发事件设备故障情况下的相关系统设备之间协调互动等高级功能,一旦系统被攻击入侵,将给地铁的正常运营、运行带来巨大的影响。为了避免我国城市轨道交通行业在数字化网络化发展过程中出现信息安全和网络安全问题,各城市轨道交通行业建立常态化、覆盖事前、事中、事后的全方位信息安全服务体系,形成动态防护、监测预警、响应处置的网络安全工作机制,覆盖智慧城轨全生命周期和运营全过程。

二、客户需求

工控协议识别种类广泛:综合监控系统(ISCS)属于多系统深度集成的系统,在控制网络中存在多家自动化厂商PLC控制器,需要对全部进行协议的识别和分析;

工控入侵行为检测能力精确性:能够精准的识别基于工控协议的入侵行为,对异常的通信行为进行分析和告警,实现风险、威胁“可知、可管”;

工控协议指令级的异常监控和行为取证:能够对工控网络流量基于“字节和位”的协议分析,能够对关键操作行为、控制命令等进行实时监测和分析;

从“技”、“管”两个维度建立全面防护体系:从安全计算环境、安全通信网络、安全区域边界等多个维度实现安全防护建设,同时结合综合监控系统特性,构建符合国家“等保”监管要求的安全防护体系;

三、解决方案

地铁综合监控系统由控制中心系统、各车站级控制系统、车辆段控制系统、培训管理系统、设备维护及网络管理系统等组成,各系统通过冗余环网连接。针对本项目综合监控系统安全防护体系建设,主要集中在控制中心、各车站、车辆段、停车场以及主所/区间所等系统防护。

地铁安全防护总体架构如下图所示:

网闸的三种工作模式,边界平台和网闸的区别(10)

依据网络安全等级保护“三级”系统保护要求,结合地铁综合监控系统安全防护面临的诸多安全问题,我们在本项目安全防护体系建设方面遵循“系统内主机加固和风险监控,互联系统间逻辑隔离和防护,审计和告警数据集中管理和统一呈现”的工控系统安全建设原则。具体防护思路如下:

四、客户价值

建立ISCS网络异常监控、行为取证分析的闭环防护措施:通过深度协议分析技术,实时对工控网络流量进行细粒度(字节和位)的协议分析,通过黑白名单方式识别异常行为(异常设备接入、异常网络连接、异常控制命令下发等)并自动报警,支持安全基线和白名单的自动创建。安全系统自身可提供专用取证分析工具,对采集到的工控网络流量进行分析和调查取证,系统既可对历史数据也可对实时数据进行取证分析,发现和追踪工控网络安全威胁,方便管理人员能够快速及时的做出应对措施。

实现通信行为、威胁、资产的“可知、可管”:通过自主的网络流量采集探针,收集ISCS网络环境中的所有网络行为进行协议解析和识别,包含源、目的地址,源、目的端口,协议、时间、会话量等,统一上传给管理平台。平台提供行为分析引擎,利用机器自学习、行为分析模型等分析网络异常行为,并对网络行为进行聚类分析。能够对工控网络中的各种PLC、操作员站等设备进行自动发现并自动生成设备台账设备信息包括IP地址、MAC地址和设备类型等。可快速定位和发现接入工控网络的非法资产,同时可识别僵尸资产,降低工控网络安全风险。

实现基于流量的可视化“挂图”作战:提供完整全面的ISCS系统网络流量拓扑图,在拓扑图中显示设备位置和设备之间的连接关系,可识别IP连接和串行连接。同时能够显示设备之间连接所使用的协议,并对具有潜在安全风险的设备进行高亮显示。对网络环境中的流量数据及安全数据,在“安全管理平台”上进行直观展示,管理员可直观地看到流量传输情况,及系统检测出的告警情况,识别危险链路和危险区域,从而进行适当的防控。

基于工业特性,从“技术”、“管”两个维度形成全面的ISCS系统防护系统:从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,实现生产网络全面的安全保护。所有安全组件均采用非侵入式安全监测与防护工作方式,可确保安全防护措施对生产网络的干扰降到最低,同时安全不是单纯的技术问题,在采用安全技术和产品的同时,结合ISCS系统的业务特性,从管理制度、应急预案等维度进行完善全面提高安全管理水平。形成“技”、“管”并重的方式,加强ISCS系统控制网络的安全。

五、客户反馈

基于立思辰提供的ISCS系统安全防护技术方案,采用旁路非入侵式防护技术能够动态识别ISCS工业控制网络过程风险,对所有资产情况进行监视,及时发现僵尸资产的入侵行为,能够快速定位风险入侵路径、风险阶段、风险源头,将安全风险遏制在源头、遏制在攻击过程中,形成闭环动态的ISCS系统安全防御体系,为轨道交通ISCS系统的稳定运行、安全运行提供有效的安全保障支撑。

《工业互联网安全能力指南》下一次发布的内容为安全服务部分(包括该领域点阵图)。

上一页123末页

栏目热文

文档排行

本站推荐

Copyright © 2018 - 2021 www.yd166.com., All Rights Reserved.