压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

引言

工業(yè)控制網(wǎng)絡(luò)由最初的分散型控制系統(tǒng)，后來(lái)逐漸演變成以現(xiàn)場(chǎng)總線技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)。由于沒(méi)有通行標(biāo)準(zhǔn)，很多廠商推出了私有的現(xiàn)場(chǎng)總線標(biāo)準(zhǔn)，形成了所謂的“自動(dòng)化孤島”，不符合現(xiàn)代企業(yè)對(duì)數(shù)據(jù)通信的要求。隨著以太網(wǎng)進(jìn)入工業(yè)領(lǐng)域，形成工業(yè)以太網(wǎng)，使得企業(yè)實(shí)現(xiàn)了從現(xiàn)場(chǎng)設(shè)備層到管理層間全面的無(wú)縫信息集成，并提供了開(kāi)放的基礎(chǔ)構(gòu)架。

工業(yè)以太網(wǎng)具有開(kāi)放、低成本和易組網(wǎng)等優(yōu)勢(shì)，解決了工業(yè)網(wǎng)絡(luò)中設(shè)備兼容性、互操作性和信息的流通性等問(wèn)題。但是由于“兩網(wǎng)”（管理網(wǎng)和生產(chǎn)網(wǎng)）的融合，使得傳統(tǒng)的網(wǎng)絡(luò)安全威脅逐漸遷入到工業(yè)控制網(wǎng)絡(luò)中，尤其針對(duì)工業(yè)控制系統(tǒng)的高級(jí)持續(xù)性的攻擊方式（APT, Advance Persistent Threat）引發(fā)了一系列震驚世界的工業(yè)網(wǎng)絡(luò)安全事件，標(biāo)志著網(wǎng)絡(luò)安全威脅從“開(kāi)放”的互聯(lián)網(wǎng)已經(jīng)進(jìn)入到原本“封閉”的工控網(wǎng)。據(jù)統(tǒng)計(jì)超過(guò)80%涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)，因此國(guó)家已經(jīng)把工業(yè)控制系統(tǒng)安全作為國(guó)家安全戰(zhàn)略的重要組成部分。

本文首先完成了面向工業(yè)系統(tǒng)安全相關(guān)領(lǐng)域的研究綜述，同時(shí)對(duì)工業(yè)網(wǎng)絡(luò)的脆弱性和相應(yīng)威脅進(jìn)行了分析；其次基于對(duì)工業(yè)系統(tǒng)安全需求的研究，提出了基于MSEM的工業(yè)網(wǎng)絡(luò)安全防護(hù)模型。最后在該模型理論支撐下，完成了基于協(xié)同防御架構(gòu)工業(yè)安全防護(hù)系統(tǒng)。

1 相關(guān)研究

國(guó)外工業(yè)網(wǎng)絡(luò)安全相關(guān)研究起步較早，在學(xué)術(shù)領(lǐng)域，其中Eric J. Byres自2000年以來(lái)陸續(xù)發(fā)表了關(guān)于工業(yè)系統(tǒng)安全的一系列論文，分析了工業(yè)空間安全威脅[2] ，利用攻擊樹(shù)理論詳細(xì)分析了工業(yè)SCADA系統(tǒng)的脆弱性[3]，并設(shè)計(jì)了面向工業(yè)控制系統(tǒng)的安全網(wǎng)絡(luò)[1] [4]；同時(shí)他于2009年創(chuàng)立了tofino公司，致力于開(kāi)發(fā)工業(yè)網(wǎng)絡(luò)安全產(chǎn)品，其中包括工業(yè)防火墻和工業(yè)VPN [5] 等。Dzung提出了工業(yè)通信系統(tǒng)中的安全解決方案包括工業(yè)VPN等[6]，Igure分析了SCADA系統(tǒng)中如何實(shí)現(xiàn)安全防護(hù)[7]，Walters分析了在工業(yè)無(wú)線傳感器網(wǎng)絡(luò)中的安全解決方案[8] 。在安全標(biāo)準(zhǔn)方面，美國(guó)早在2007年就推出了工業(yè)安全指南[9]。在安全產(chǎn)品方面，國(guó)外公司具有一定的領(lǐng)先優(yōu)勢(shì)，Tofino[5]公司以工業(yè)防火墻產(chǎn)品為主，Innominate公司主要開(kāi)發(fā)工業(yè)VPN[14]產(chǎn)品，Industrial defender[15]主要側(cè)重工業(yè)安全審計(jì)產(chǎn)品，SIEMENS[16]推出基于縱深防御的安全防護(hù)系統(tǒng)。

國(guó)內(nèi)相關(guān)研究相對(duì)較少，工業(yè)和信息化部發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》[11]，強(qiáng)調(diào)加強(qiáng)工業(yè)信息安全的重要性、緊迫性，并明確了重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全的管理要求。學(xué)術(shù)方面，其中包括構(gòu)建基于區(qū)域安全的DMZ模型[10]，針對(duì)工業(yè)網(wǎng)絡(luò)安全服務(wù)框架的研究[12]，面向工業(yè)網(wǎng)絡(luò)的可靠性分析[17]等。從安全產(chǎn)品來(lái)看，啟明星辰開(kāi)發(fā)了工業(yè)安全網(wǎng)閘、防火墻和工業(yè)終端防護(hù)等產(chǎn)品。海天煒業(yè)、30衛(wèi)士和中科網(wǎng)威等廠商均推出了工業(yè)防火墻。力控華康等廠商推出了工業(yè)安全網(wǎng)閘。

2 工業(yè)網(wǎng)絡(luò)安全需求分析

工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)無(wú)論從架構(gòu)設(shè)計(jì)、系統(tǒng)組成還是在管理方式上都有諸多不同，但本文重點(diǎn)分析兩者對(duì)安全需求的差異性。如圖1所示：

圖 1工控與IT系統(tǒng)安全需求優(yōu)先級(jí)對(duì)比圖

傳統(tǒng)的信息系統(tǒng)對(duì)可用性、完整性和保密性的安全需求優(yōu)先級(jí)依次升高，其中保密性是優(yōu)先級(jí)最高的安全需求。而工業(yè)嚴(yán)苛的現(xiàn)場(chǎng)環(huán)境以及工業(yè)生產(chǎn)需求決定了工業(yè)系統(tǒng)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性和可用性要求最高，因此工業(yè)系統(tǒng)安全需求分析以及系統(tǒng)防護(hù)方案要以可用性為首要參考標(biāo)準(zhǔn)。

工業(yè)控制系統(tǒng)的脆弱性主要集中在以下兩點(diǎn)，同時(shí)也由此帶來(lái)了相應(yīng)的安全威脅和安全需求，具體分析如下：

a、工控網(wǎng)絡(luò)的互連互通帶來(lái)的脆弱性

工業(yè)以太網(wǎng)的“兩網(wǎng)”融合，在提高信息互連的同時(shí)（包括通過(guò)基于OPC（OLE for Process Control, 用于過(guò)程控制的OLE）的工業(yè)數(shù)據(jù)交換、基于FTP協(xié)議的DNC（Distributed Numerical Control，分布式數(shù)控）網(wǎng)絡(luò)的指令傳遞等），使傳統(tǒng)安全威脅可以很快滲透到工業(yè)網(wǎng)絡(luò)中。而原本封閉的工控網(wǎng)絡(luò)早期并沒(méi)有考慮相應(yīng)的安全防護(hù)措施，包括缺失的數(shù)據(jù)通信加密、數(shù)據(jù)流及控制流的訪問(wèn)控制、用戶認(rèn)證機(jī)制、無(wú)線安全連接和安全審計(jì)監(jiān)控等等。而同時(shí)由于大量的廠家或協(xié)會(huì)公布了工控協(xié)議的實(shí)現(xiàn)細(xì)節(jié)和標(biāo)準(zhǔn)（如Modbus、HSE、Ethernet/IP等），使得攻擊者可以深入的挖掘其中的漏洞，并借此展開(kāi)攻擊。本小節(jié)通過(guò)對(duì)工業(yè)網(wǎng)絡(luò)的互連互通進(jìn)行分析，進(jìn)而得到其網(wǎng)絡(luò)防護(hù)安全需求。

典型工控網(wǎng)是由三層網(wǎng)絡(luò)組成（如圖2所示），包括管理層、監(jiān)控層和設(shè)備層。

圖 2 工業(yè)網(wǎng)絡(luò)組成與劃分示意圖

• 管理層是傳統(tǒng)的辦公網(wǎng)。其中包括管理信息系統(tǒng)，通過(guò)此系統(tǒng)可以獲取下層網(wǎng)絡(luò)的生產(chǎn)信息和數(shù)據(jù)，使管理者及時(shí)了解和掌握生產(chǎn)工藝各流程的運(yùn)行狀況和工藝參數(shù)的變化，實(shí)現(xiàn)對(duì)工藝的過(guò)程監(jiān)視與控制。
• 監(jiān)控層主要功能是對(duì)下層設(shè)備層進(jìn)行全面的監(jiān)控和維護(hù)。
• 設(shè)備層是生產(chǎn)的核心，它通過(guò)相應(yīng)的指令對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行控制，完成生產(chǎn)任務(wù)。其中硬件主要包括PLC、RTU和Controller等。除此之外還包括運(yùn)維設(shè)備（如HMI、工程師站等控制計(jì)算機(jī)），實(shí)現(xiàn)功能包括組態(tài)下層PLC上傳信息、顯示組態(tài)畫(huà)面、對(duì)PLC進(jìn)行程序的編制、更改任務(wù)等，主要通過(guò)軟件實(shí)現(xiàn)，包括上位組態(tài)軟件和應(yīng)用軟件等。

通過(guò)對(duì)工業(yè)網(wǎng)絡(luò)的理解，以及對(duì)工業(yè)網(wǎng)絡(luò)的安全威脅遷入點(diǎn)（如圖3所示）的分析，即可得到相應(yīng)的安全防護(hù)需求（如表1所示）。

圖 3 工業(yè)網(wǎng)絡(luò)安全威脅遷入點(diǎn)示意圖

表格 1 工業(yè)網(wǎng)絡(luò)安全需求列表

 

G1企業(yè)網(wǎng)的外網(wǎng)連接點(diǎn)是企業(yè)互聯(lián)網(wǎng)的入口，安全需求包括訪問(wèn)控制、身份認(rèn)證及遠(yuǎn)程安全接入等。

G2管理層和監(jiān)控層連接點(diǎn)監(jiān)控層會(huì)將下層工業(yè)數(shù)據(jù)傳遞到管理層，因此需要針對(duì)FTP等通信協(xié)議進(jìn)行隔離交換。

G3設(shè)備關(guān)鍵節(jié)點(diǎn)在設(shè)備層，工程師站、HMI等利用組態(tài)軟件對(duì)底層設(shè)備進(jìn)行管理，因此需要添加相應(yīng)的安全訪問(wèn)控制和防病毒等防御手段，以避免這些高危節(jié)點(diǎn)將威脅遷入到設(shè)備層。

G4監(jiān)控層和設(shè)備層連接點(diǎn)設(shè)備層通過(guò)OPC Server等設(shè)備將工業(yè)數(shù)據(jù)傳遞到監(jiān)控層，而OPC數(shù)據(jù)交換協(xié)議采用的是動(dòng)態(tài)端口，因此需要針對(duì)OPC數(shù)據(jù)交換協(xié)議進(jìn)行深度解析和訪問(wèn)隔離。

G5設(shè)備層的子網(wǎng)連接點(diǎn)和關(guān)鍵器件節(jié)點(diǎn)設(shè)備層包含一些關(guān)鍵的PLC/RTU等組件，這些組件一旦被攻擊，將會(huì)直接導(dǎo)致生產(chǎn)異常，因此需要對(duì)這些組件進(jìn)行隔離防護(hù)。要實(shí)現(xiàn)此功能，需要針對(duì)工業(yè)協(xié)議（Modbus、Ethernet/IP、HSE）等進(jìn)行深度訪問(wèn)控制。

b、工業(yè)控制系統(tǒng)的平臺(tái)自身脆弱性

由于工業(yè)網(wǎng)絡(luò)早期是封閉的，系統(tǒng)在最初的設(shè)計(jì)時(shí)，并沒(méi)有把其自身的安全性作為主要的考慮目標(biāo)。同時(shí)工業(yè)系統(tǒng)對(duì)穩(wěn)定性要求非常高，企業(yè)即使發(fā)現(xiàn)了系統(tǒng)組件的漏洞，也很少或很難對(duì)系統(tǒng)進(jìn)行升級(jí)。因此平臺(tái)的自身脆弱性是目前工業(yè)控制系統(tǒng)所面臨的嚴(yán)峻的挑戰(zhàn)。企業(yè)常見(jiàn)的攻擊因素包含人員、硬件和軟件，除去人為因素，重點(diǎn)分析硬件和軟件的漏洞。

圖 4 工業(yè)系統(tǒng)攻擊維度

生產(chǎn)設(shè)備硬件的漏洞：控制系統(tǒng)中的PLC/RTU等設(shè)備往往都存在的嚴(yán)重漏洞，這些漏洞可以直接被黑客（如震網(wǎng)病毒）利用破壞生產(chǎn)網(wǎng)絡(luò)。無(wú)論是國(guó)外的SIMENS、Schneider等工業(yè)巨頭還是國(guó)內(nèi)的三維力控、亞控科技等廠商都公布了大量的關(guān)于設(shè)備硬件的漏洞。

系統(tǒng)平臺(tái)軟件包括設(shè)備操作系統(tǒng)、組態(tài)軟件和管理系統(tǒng)等。漏洞分類(lèi)：

從操作系統(tǒng)上來(lái)看，很多工程師站、服務(wù)器、HMI，同時(shí)包括一些嵌入式的設(shè)備都采用Windows XP系統(tǒng)（見(jiàn)圖5），那么微軟停止XP的安全漏洞的更新將會(huì)給工控系統(tǒng)帶來(lái)更大風(fēng)險(xiǎn)隱患。同時(shí)其它一些嵌入式系統(tǒng)也都存在很多漏洞。

圖 5 XP系統(tǒng)終止服務(wù)對(duì)工控系統(tǒng)的影響

從組態(tài)軟件和管理系統(tǒng)看，它們可以直接控制生產(chǎn)設(shè)備，因此其漏洞也會(huì)直接威脅到工控網(wǎng)絡(luò)中的設(shè)備。包括亞控公司的組態(tài)王（KingView）軟件曾曝出存在嚴(yán)重漏洞等。

經(jīng)過(guò)上述分析，針對(duì)控制系統(tǒng)平臺(tái)的自身的脆弱性，從安全需求上來(lái)看，工業(yè)系統(tǒng)需要進(jìn)行漏洞掃描、入侵防護(hù)、主機(jī)防護(hù)等。

3? 工業(yè)網(wǎng)絡(luò)攻擊分析

工業(yè)網(wǎng)絡(luò)中的攻擊更多地體現(xiàn)出APT的攻擊方式（如“震網(wǎng)”病毒、“火焰”病毒等）。攻擊者有目的大規(guī)模搜集目標(biāo)對(duì)象的漏洞，并長(zhǎng)期持續(xù)利用各種攻擊手段對(duì)目標(biāo)實(shí)施滲透攻擊，直到攻陷系統(tǒng)為止。

圖 6工業(yè)網(wǎng)絡(luò)攻擊路徑與數(shù)據(jù)流圖

如圖６所示，紅色路徑和藍(lán)色路徑各代表著一些典型攻擊路徑，黑客通過(guò)漏洞來(lái)攻占某臺(tái)服務(wù)器或者工程師站，以此為支點(diǎn)（Pivoting）逐漸滲透到過(guò)程控制網(wǎng)絡(luò)中。相應(yīng)可能攻擊路徑描述如下：

• 攻擊歷史數(shù)據(jù)站（Historian），然后可以摧毀企業(yè)的健康和安全記錄；修改工廠的狀態(tài)報(bào)表；或以此支點(diǎn)攻擊下一目標(biāo)。
• 攻擊HMI，使得工廠處于盲人狀態(tài)；修改控制參數(shù)損害設(shè)備；或以此支點(diǎn)攻擊下一目標(biāo)。
• 攻擊應(yīng)用服務(wù)器，篡改顯示現(xiàn)場(chǎng)設(shè)備運(yùn)行狀態(tài)畫(huà)面；阻止同步現(xiàn)場(chǎng)數(shù)據(jù)；篡改數(shù)據(jù)庫(kù)等；或以此支點(diǎn)攻擊下一目標(biāo)。
• 攻擊工程師站（EWS），刪除已經(jīng)設(shè)置好的安全邏輯；盜取PLC代碼；篡改PLC邏輯；或以此支點(diǎn)攻擊下一目標(biāo)。
• 攻擊PLC，寫(xiě)任意內(nèi)存破壞PLC。

4? MSEM安全防護(hù)模型

通過(guò)對(duì)工業(yè)典型的入侵路徑和數(shù)據(jù)流的分析，工業(yè)網(wǎng)絡(luò)是一個(gè)典型的多級(jí)、多點(diǎn)滲透進(jìn)攻的載體，同時(shí)結(jié)合上一節(jié)針對(duì)工業(yè)網(wǎng)絡(luò)聯(lián)通性和平臺(tái)自身脆弱性的分析，發(fā)現(xiàn)要實(shí)現(xiàn)工控系統(tǒng)的安全防護(hù)，必須要采用分布式協(xié)同防御的安全體系。本文提出基于MSEM的安全防護(hù)模型（如圖７所示），將工業(yè)網(wǎng)絡(luò)分為實(shí)體對(duì)象（Entity Object）、安全對(duì)象（Security Object）和管理對(duì)象（Manager Object）。

圖 7 協(xié)同防御模型

實(shí)體對(duì)象：指工業(yè)網(wǎng)絡(luò)中的設(shè)備實(shí)體（被檢測(cè)實(shí)體）。實(shí)體間通過(guò)消息傳遞來(lái)完成工業(yè)生產(chǎn)任務(wù)，是模型監(jiān)控的對(duì)象。工業(yè)控制系統(tǒng)在上線調(diào)試完成后，正常運(yùn)轉(zhuǎn)時(shí)所下發(fā)的指令和采集的數(shù)據(jù)相較于傳統(tǒng)的信息系統(tǒng)來(lái)說(shuō)更加固定和可控，是一個(gè)相對(duì)穩(wěn)定的小集合。因此模型通過(guò)對(duì)實(shí)體對(duì)象信息的全局監(jiān)控來(lái)為協(xié)同防御提供依據(jù)。設(shè)備實(shí)體在應(yīng)用中具體是指包括HMI、工程師站、PLC和RTU等在內(nèi)的工業(yè)系統(tǒng)組件；消息主要包括控制算法、受控變量、操作變量和現(xiàn)場(chǎng)數(shù)據(jù)等。

安全對(duì)象：指工業(yè)網(wǎng)絡(luò)中的安全防護(hù)對(duì)象。該對(duì)象被部署在系統(tǒng)中的各個(gè)檢測(cè)點(diǎn)，通過(guò)截獲實(shí)體對(duì)象之間的消息，并依據(jù)管理對(duì)象發(fā)布的策略，對(duì)消息內(nèi)容進(jìn)行檢測(cè)，執(zhí)行分布式防御任務(wù)。同時(shí)將可疑信息及執(zhí)行路徑發(fā)送到管理對(duì)象，由管理對(duì)象執(zhí)行認(rèn)證以及協(xié)同防御策略下發(fā)。具體是指包括安全網(wǎng)關(guān)、數(shù)據(jù)采集和主機(jī)防護(hù)在內(nèi)的安全產(chǎn)品等。

管理對(duì)象：工業(yè)網(wǎng)絡(luò)更多是多點(diǎn)滲透和高級(jí)持續(xù)性攻擊行為，因此要求管理對(duì)象具有分布式協(xié)同防御能力，通過(guò)場(chǎng)景檢測(cè)器，對(duì)整個(gè)系統(tǒng)中的安全威脅進(jìn)行分析和行為認(rèn)證，并協(xié)調(diào)多個(gè)安全對(duì)象對(duì)實(shí)體對(duì)象進(jìn)行防護(hù)。具體是指綜合預(yù)警聯(lián)動(dòng)平臺(tái)。

模型的運(yùn)行機(jī)制：

• 各個(gè)安全對(duì)象開(kāi)啟學(xué)習(xí)模式，由管理員完成合法操作，并采集實(shí)體對(duì)象之間的消息通信，數(shù)據(jù)提交管理對(duì)象，并建立正常的通信和應(yīng)用場(chǎng)景。在完成學(xué)習(xí)后，整個(gè)系統(tǒng)可以上線運(yùn)行。
• 當(dāng)實(shí)際運(yùn)行時(shí)，由各個(gè)安全對(duì)象采集實(shí)體的相關(guān)信息，當(dāng)某個(gè)安全對(duì)象發(fā)現(xiàn)異常時(shí)，提交問(wèn)題Ｑ(ti)給管理中心，由管理中心將問(wèn)題進(jìn)行模擬執(zhí)行或者于特征中心進(jìn)行比對(duì)，對(duì)問(wèn)題進(jìn)行解答，獲得該問(wèn)題的可疑度S(ti)。
• 將S(ti)和設(shè)定的臨界值進(jìn)行比較，如果超過(guò)臨界值，由管理對(duì)象觸發(fā)協(xié)同防御。

模型的優(yōu)勢(shì)：

• 動(dòng)態(tài)開(kāi)放性，實(shí)體對(duì)象能動(dòng)態(tài)地加入和退出模型，體現(xiàn)了開(kāi)放性；安全對(duì)象能動(dòng)態(tài)綁定實(shí)體檢測(cè)對(duì)象；管理對(duì)象可以通過(guò)規(guī)則驅(qū)動(dòng)改變安全結(jié)構(gòu)和策略。
• 防御協(xié)同性，通過(guò)管理中心對(duì)安全事件的綜合分析，制定綜合防御方案，可以有效的提高工業(yè)網(wǎng)絡(luò)的安全防護(hù)能力。

5 工業(yè)網(wǎng)絡(luò)安全協(xié)同防御系統(tǒng)的實(shí)現(xiàn)

本文在MSEM安全防護(hù)模型的基礎(chǔ)上實(shí)現(xiàn)了基于協(xié)同防御架構(gòu)的工業(yè)網(wǎng)絡(luò)安全防護(hù)系統(tǒng)（架構(gòu)圖見(jiàn)圖8，組成示意圖見(jiàn)圖9）。

圖 8 防護(hù)系統(tǒng)架構(gòu)圖

防護(hù)系統(tǒng)的安全對(duì)象部署在多個(gè)安全檢測(cè)點(diǎn)，分別由網(wǎng)絡(luò)防護(hù)安全對(duì)象和主機(jī)防護(hù)安全對(duì)象構(gòu)成。網(wǎng)絡(luò)防護(hù)安全對(duì)象主要是指工業(yè)網(wǎng)絡(luò)安全網(wǎng)關(guān)，具備工業(yè)網(wǎng)絡(luò)數(shù)據(jù)DPI（Deep Packet Inspection，深度包檢測(cè)）、入侵防護(hù)、工業(yè)協(xié)議訪問(wèn)控制、審計(jì)和預(yù)警等功能，通過(guò)該對(duì)象可以分布式防御工業(yè)網(wǎng)絡(luò)連通性所帶來(lái)的安全威脅。主機(jī)防護(hù)安全對(duì)象具備工控系統(tǒng)多級(jí)代碼完整性檢查、主機(jī)監(jiān)控、主機(jī)控制和主機(jī)審計(jì)功能，通過(guò)該對(duì)象可以有效地防御工業(yè)系統(tǒng)平臺(tái)自身的脆弱性所帶來(lái)的安全威脅。

圖 9 協(xié)同防御系統(tǒng)組成示意圖

防護(hù)系統(tǒng)的管理對(duì)象由綜合預(yù)警聯(lián)動(dòng)平臺(tái)構(gòu)成，通過(guò)集中收集實(shí)體對(duì)象之間的消息通信、主機(jī)防護(hù)安全對(duì)象的基線變化情況以及網(wǎng)絡(luò)防護(hù)安全對(duì)象的異常檢測(cè)情況來(lái)進(jìn)行綜合分析，同時(shí)根據(jù)威脅級(jí)別，協(xié)調(diào)不同的安全對(duì)象對(duì)實(shí)體對(duì)象進(jìn)行立體防護(hù)。具體防護(hù)流程示例如下：

• 綜合預(yù)警聯(lián)動(dòng)平臺(tái)不斷收集實(shí)體對(duì)象的信息、安全對(duì)象的日志和審計(jì)信息，通過(guò)信息的不斷積累，逐漸建立起正?；€和防御場(chǎng)景。
• 觸發(fā)協(xié)同防御分析的可能性i：如當(dāng)某個(gè)主機(jī)防護(hù)安全對(duì)象檢測(cè)到某臺(tái)工程師站的代碼與中心服務(wù)器運(yùn)行代碼不一致，會(huì)將異常發(fā)到預(yù)警平臺(tái)，觸發(fā)協(xié)同防御分析。
• 觸發(fā)協(xié)同防御分析的可能性ii：當(dāng)某個(gè)網(wǎng)絡(luò)防護(hù)安全對(duì)象檢測(cè)到有入侵事件。
• 觸發(fā)協(xié)同防御分析的可能性iii：當(dāng)主機(jī)監(jiān)控發(fā)現(xiàn)有核心文件被篡改；當(dāng)網(wǎng)絡(luò)邊界突然有流量遞增等；
• 防護(hù)系統(tǒng)還預(yù)置多種安全協(xié)同防御觸發(fā)機(jī)制，以上只是典型的觸發(fā)點(diǎn)。
• 綜合預(yù)警聯(lián)動(dòng)平臺(tái)收到安全威脅后，通過(guò)觸發(fā)的安全威脅數(shù)據(jù)和安全基線進(jìn)行對(duì)比，得到安全威脅指數(shù)，當(dāng)安全威脅指數(shù)超過(guò)預(yù)設(shè)值后，就會(huì)觸發(fā)協(xié)同防御。
• ?預(yù)警平臺(tái)會(huì)將安全威脅影響到的安全區(qū)域進(jìn)行隔離，同時(shí)針對(duì)核心設(shè)備層中的PLC等進(jìn)行只讀保護(hù)，在不中斷安全生產(chǎn)的情況下，及時(shí)進(jìn)行安全預(yù)警，避免發(fā)生設(shè)備層的停車(chē)；并及時(shí)將整體分析結(jié)果，反饋給管理員，由管理員進(jìn)行排查，解決問(wèn)題后，恢復(fù)正常生產(chǎn)模式；并不斷學(xué)習(xí)，增加安全基線的模型組成數(shù)據(jù)。

6 關(guān)鍵技術(shù)

6.1 工業(yè)協(xié)議深度包過(guò)濾技術(shù)

安全對(duì)象中核心的技術(shù)是工業(yè)協(xié)議深度包過(guò)濾技術(shù)，只有深入理解工業(yè)網(wǎng)絡(luò)數(shù)據(jù)，才能真正判斷出安全威脅。在系統(tǒng)中支持50種以上被廣泛應(yīng)用的工業(yè)協(xié)議的深度解析功能，并根據(jù)協(xié)議的不同字段實(shí)現(xiàn)了如讀寫(xiě)控制和參數(shù)預(yù)警等功能。

系統(tǒng)基于Snort實(shí)現(xiàn)了工業(yè)報(bào)文的識(shí)別引擎，可以快速的自定義和增加對(duì)工業(yè)協(xié)議的特征。協(xié)議識(shí)別引擎由協(xié)議特征狀態(tài)樹(shù)和識(shí)別參數(shù)構(gòu)成。（如圖10）

圖 10 工控協(xié)議特別識(shí)別樹(shù)結(jié)構(gòu)

通過(guò)現(xiàn)場(chǎng)和仿真環(huán)境，對(duì)不同協(xié)議的報(bào)文特征進(jìn)行深入分析和大量試驗(yàn)，本文完成了工業(yè)協(xié)議的報(bào)文特征庫(kù)的建立，并實(shí)現(xiàn)了工業(yè)協(xié)議的完整性檢查，以O(shè)PC協(xié)議的的報(bào)文特征為例：

圖 11 OPC動(dòng)態(tài)端口識(shí)別

OPC通過(guò)端口135進(jìn)行協(xié)商，然后OPC的動(dòng)態(tài)端口存在于StringBinding數(shù)組中，該示例中顯示協(xié)商出的動(dòng)態(tài)端口為1051。

圖 12 opc協(xié)議完整性檢查

s除了可以識(shí)別工業(yè)協(xié)議外，防護(hù)系統(tǒng)還實(shí)現(xiàn)了工業(yè)協(xié)議的完整性檢查功能，同樣以O(shè)PC為例：OPC協(xié)議在連接創(chuàng)建后，會(huì)進(jìn)行一個(gè)協(xié)商過(guò)程，分為Bind、Bind_ack和AUTH3的過(guò)程。如果會(huì)話流不符合完整性檢查的規(guī)則，系統(tǒng)就會(huì)預(yù)警。

6.2工業(yè)協(xié)議數(shù)據(jù)快速I(mǎi)/O框架

工業(yè)網(wǎng)絡(luò)產(chǎn)品與傳統(tǒng)信息系統(tǒng)在實(shí)時(shí)性上要求不同，工業(yè)網(wǎng)絡(luò)產(chǎn)品最核心的性能指標(biāo)就是實(shí)時(shí)性。工業(yè)網(wǎng)絡(luò)特點(diǎn)體現(xiàn)在：

• 信息長(zhǎng)度?。?/li>
• 周期與非周期信息同時(shí)存在，正常工作狀態(tài)下，周期性信息（如過(guò)程測(cè)量與控制信息、監(jiān)控信息等）較多，而非周期信息（如突發(fā)事件報(bào)警、程序上下載）較少；
• 信息流有明顯的方向性。
• 測(cè)量控制信息的傳送有一定次序。

本文的工業(yè)協(xié)議的解析在用戶空間，通過(guò)基于NetMap[14]（見(jiàn)圖13）快速報(bào)文I/O框架，有效地提高了工業(yè)協(xié)議的解析處理性能，使產(chǎn)品的實(shí)時(shí)性滿足了工業(yè)對(duì)實(shí)時(shí)性的嚴(yán)苛要求。

圖 13 NetMap架構(gòu)圖

7 實(shí)驗(yàn)

在實(shí)驗(yàn)中，本文總結(jié)了典型的10種工業(yè)安全攻擊樹(shù)，共實(shí)現(xiàn)了50種攻擊路徑。本文選取了其中一個(gè)攻擊樹(shù)和9條攻擊路徑[3]。（如圖14所示）

圖 14 SCADA攻擊樹(shù)

經(jīng)過(guò)測(cè)試，系統(tǒng)安全預(yù)警41例，預(yù)警成功率達(dá)到82% ，協(xié)同防護(hù)成功34例，防護(hù)成功率達(dá)到68%。漏報(bào)3例，漏報(bào)率6%，誤報(bào)２例，誤報(bào)率４%。

8 總結(jié)

本文在研究工控安全威脅需求的基礎(chǔ)上，提出了基于MSEM的工業(yè)網(wǎng)絡(luò)安全防護(hù)模型，并在此基礎(chǔ)上實(shí)現(xiàn)了分布式的工業(yè)安全防御系統(tǒng)，通過(guò)對(duì)系統(tǒng)關(guān)鍵技術(shù)的研究，經(jīng)過(guò)實(shí)際測(cè)試，系統(tǒng)達(dá)到較好的防護(hù)水平。但系統(tǒng)還有很大提升的空間，需要繼續(xù)研究以提升系統(tǒng)的成功防護(hù)率。

9 參考文獻(xiàn)

[1] Byres, Eric J. “Designing secure networks for process control.” Industry Applications Magazine, IEEE 6.5 (2000): 33-39.

[2] Byres, Eric, and Justin Lowe. “The myths and facts behind cyber security risks for industrial control systems.” Proceedings of the VDE Kongress. Vol. 116. 2004.

[3] Byres, Eric J., Matthew Franz, and Darrin Miller. “The use of attack trees in assessing vulnerabilities in SCADA systems.” Proceedings of the International Infrastructure Survivability Workshop. 2004.

[4] Creery, A., and E. J. Byres. “Industrial cybersecurity for power system and SCADA networks.” Petroleum and Chemical Industry Conference, 2005. Industry Applications Society 52nd Annual. IEEE, 2005.

[5] Scalia, Joe, and Eric Byres. “High Security Integration Using OPC.”

[6] Dzung, Dacfey, et al. “Security for industrial communication systems.” Proceedings of the IEEE 93.6 (2005): 1152-1177.

[7] Igure, Vinay M., Sean A. Laughter, and Ronald D. Williams. “Security issues in SCADA networks.” Computers & Security 25.7 (2006): 498-506.

[8] Walters, John Paul, et al. “Wireless sensor network security: A survey.” Security in distributed, grid, mobile, and pervasive computing 1 (2007): 367.

[9] Stouffer, Keith, Joe Falco, and Karen Scarfone. “Guide to industrial control systems (ICS) security.” NIST Special Publication 800.82 (2007): 16-16.

[10] 王浩, 吳中福, and 王平. “工業(yè)控制網(wǎng)絡(luò)安全模型研究.” 計(jì)算機(jī)科學(xué) 34.5 (2007): 96-98.

[11] 關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知，工信部協(xié)[2011]451號(hào)

[12] 蘭昆, et al. “工業(yè) SCADA 系統(tǒng)網(wǎng)絡(luò)的安全服務(wù)框架研究.” 信息安全與通信保密 3 (2010): 47-49.

[13] 陳敏、趙春云、周新志. ”工業(yè)以太網(wǎng)-現(xiàn)場(chǎng)總線發(fā)展的未來(lái)趨勢(shì)” 測(cè)控技術(shù) 2004年第23卷增刊

[14] Innominate mGuard? <http://www.innominate.com/data/downloads/manuals/handbuch_mguard_420_de.pdf>

[15] industrial defender? <http://id.lockheedmartin.com/>

[16] SIEMENS <http://www.industry.siemens.com/topics/global/en/industrial-security/pages/Default.aspx>

[17] 車(chē)勇、黃之初. “面向網(wǎng)絡(luò)的過(guò)程工業(yè)安全與可靠性分析及實(shí)現(xiàn)”中國(guó)安全科學(xué)學(xué)報(bào) ISTIC PKU ,2007, 17(7)