当前位置:主页 > 体育 > 正文

面向工业控制网络的安全监管方案(下)_4

未知 2019-11-22 15:05

  2.2弹性数据采集策略随着工业信息化的快速发展,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。如逐步采用一些终端产品、PC服务器,操作系统和数据库等通用IT产品,逐步采用基于TCP/IP协议的工业以太网和OPC通信协议,这将促使TCP/IP协议逐步成为工业控制系统的基础通信协议,而为保护工业控制系统的兼容性,专用的工业控制协议则将会逐步迁移到应用层。通过网联网技术的应用将为企业打破生产系统的封闭性,实现管理与控制的一体化、提高企业信息化水平,实现生产、管理系统的高效集成奠定基础。但是,由于工业控制系统与传统IT信息系统因其建设目标不同,使得它们在技术、管理与服务等很多方面依然有相当大的差异之处,一些典型的差异化如表1所示。

面向工业控制网络的安全监管方案(上)

gongkong.ofweek.com/2016-09/ART-310021-8100-30040096.html

  在传统的IT网络中,信息安全三要素重要性程度由高到低依次为保密性、完整性、可用性。而在工业控制系统领域,情况则有较大的不同,由表1可知工业控制系统内强调的是工业自动化过程及相关设备的智能控制、监测与管理。它们与传统的IT系统在系统架构、设备操作系统、数据交换协议等方面存在较大的差异,而且更为关注系统的实时性与业务的连续性。因此我们通常在评估工业控制系统时更看重功能方面的实现和性能方面的表现,这与早期工业控制系统在物理连接方面与外界的隔离状态息息相关;另一方面,工业控制系统的指令通常都对应着实际的物理操作,系统的可用性一旦受阻,如在遭遇暴雨的时一座水电站大坝的泄洪指令的执行受阻,有可能造成无法估量的人员伤亡和财产损失。因各组件之间存在固有的关联,因此完整性的重要程度次之。而对于数据保密性来说,由于工控系统中传输的数据通常是控制命令和采集的数据,需要在特定的背景下分析才有意义,而且多是实时数据,因此对保密性的要求最低。所以对工业控制系统来说信息安全三要素的重要性程度由高到低的顺序则依次为可用性、完整性、保密性。

  方案中,数据上传的示意图如图5所示。为了在开展数据采集工作的同时,保障工业控制系统本身功能的正常运行,即保障系统的可用性,文章提出以下针对数据采集策略的管理规则:

  1)根据设备所在区域的安全等级,匹配不同的采集频率系数。需要先给每个安全区域设定合理的安全等级,不同的安全等级对应着不同的采集频率系数,该系数被命名为区域采集因子。区域采集因子大小的变化趋势是随着区域安全等级由低到高而由小变大。

  2)根据功能和用途的不同,设定不同的采集频率系数。例如,由于工程师站的权限更高,对它的关注也更密切,所以对工程师站的数据采集频率要高于操作员站的数据采集频率。因此,需要先对被采集的设备根据设备功能和用途的不同设定合理的监管等级,不同监管等级对应着不同的采集频率系数越高,该采集频率系数命名为功能因子。功能因子大小的变化趋势是随着监管等级由低到高而由小变大。

  3)根据链路的拥塞情况,合理地改变当前的采集频率。链路的拥塞情况是衡量系统实时性和可用性的重要指标,工业控制系统为了保证系统实时性的一个重要举措就是对系统的网络拓扑进行合理的优化并限制工业以太网的通信负荷。此处定义一个数据上传链路状态因子,当链路越拥堵时,数据上传链路状态因子的值越小。

  4)根据设备的负荷情况,合理地改变对当前设备的采集频率。此处设备的负荷情况以设备CPU的利用率为指标。定义一个负荷状态因子,它与设备的负荷情况大致呈反比的关系。当设备的负荷越高时,负荷状态因子的值越小,表示要降低采集频率。

  结合以上几点,可以得出单个设备对应的数据采集频率的公式:

  以某台设备上的数据采集为例,采集的流程如图6所示,具体的采集过程如下:

  1)划分安全区域,确定对应的区域采集因子。其中,区域采集因子为区域安全等级的函数,区域的安全等级越高,则对应的区域采集因子的取值越大。

  2)根据该设备的功能和用途,确定该设备的监管等级,再由此得到对应的功能因子。其中,功能因子为设备监管等级的函数,设备的监管等级越高,功能因子的取值越大。

  3)通过交换机的镜像端口去监控网络流量的大小,然后由反馈得来的网络流量的大小确定该设备的数据上传状态因子。其中,设备的数据上传链路状态因子是网络流量的函数,网络流量越大,数据上传链路状态因子取值越小。

  4)通过Agent去监控主机设备的CPU使用率和内存使用率,然后由此得到负荷状态因子。其中,负荷状态因子是CPU使用率和内存使用率的函数,CPU使用率和内存使用率越高,负荷状态因子取值越小。

  5)检查采集代理的客户端是否还能将心跳数据包成功地发送给服务器,如果不能,说明链路太过拥塞导致通信被阻断,则停止采集;如果成功则按照公式(1)计算采集频率,然后由服务器端下发采集策略。

  6)监控上述影响采集频率的因素是否发生变化,一旦监测到变化,则返回步骤5)。

  2.3数据分析模块

  数据分析模块用到两种分析方法:基线检测和操作指令一致性检测。其中基线检测用来进行合规性检测,或者监测系统的配置、重要的参数等信息;而操作指令一致性检测是对写指令进行抓包分析,将指令中的参数与从监控软件中获取的参数进行比较。

  2.3.1基线检测

  这里的基线有两种类型,第一种是管理员根据具体的应用场景和生产工艺的要求或者是系统在一段时间内的运行记录制定的基线,它可以是一个固定值或者是一个范围;第二种是出于合规性检测的目的根据相关的安全标准制定的基线。

  对于阈值型基线检测,执行的是周期性的检测,流程图如图7所示,具体的步骤如下:

  1)制定基线。

  2)监控相应的配置和参数。

  3)将监测值和制定的基线进行比较,如果监测值与基准值相符则表示正常,如果检测值与基准值不符,则表示出现异常。

  4)如果正常,则返回步骤2)。

  对于合规型基线检测,是当有检查事件触发的时候才会进行,流程图如图8所示,具体的步骤如下:

  1)当有检查事件触发的时候,根据合规性的要求制定基线。

  2)采集与合规性要求相关的数据。

  3)根据合规性要求逐条检测是否符合规定。

  4)生成合规性报告。

  2.3.2操作指令一致性检测

  操作指令一致性检测的示意图如图9所示、流程图如图10所示,其针对的是写指令,因为写操作是非常敏感的操作,涉及到参数的修改,而这些参数往往都是很重要的。主要步骤如下:1)基于libpcap函数库编写相关程序,抓取网络数据包,并按照工控协议的格式和规范对写指令中的参数进行解析;2)根据上位机监控软件的开发文档,编写程序,调用相应的API获取监控软件中该参数的监测值;3)将抓包、解析得来的参数和调用API从监控软件获取的参数进行比较,如果一致,则表示正常,否则,表示出现异常。

  3.安全性分析

  3.1基本假设

  假设敌手无法物理接触监管系统,监管的对象为实际工业环境中工业控制系统。

  3.2敌手模型

  共定义三级敌手,同时假设高级别敌手拥有低级别敌手的能力。第一级敌手:只能通过外网入侵,对监管的工控系统发起攻击。第二级敌手:有能力将病毒传播至工业控制系统的监管网络层,通过OPC协议读取设备上的参数。第三级敌手:有能力注入木马程序至操作员站,修改下层现场设备的参数,同时保持监控软件中的监测值为正常值。

  3.3安全性分析

  对于第一级敌手,由于其只能通过外网入侵,然后对工业控制系统发起攻击,其最先接触的必然是工业控制系统的业务网络,然后开启远程连接服务。正常情况下,工业控制系统业务网络的主机不会开启远程连接服务。如果我们的监管系统监控到业务网络主机上开放了远程连接服务,或者是增加了不该有的进程、端口,则可以确定系统遭受到第一级敌手的入侵。

  对于第二级敌手,由于工业控制系统中的通信关系是非常固定的,因此数据的流向也是固定的。监管系统可以获取并解析这些设备接受和发送的数据包,如果监测到来源不明的OPC读指令,说明系统遭受到第二级敌手的攻击。

  对于第三级敌手,监管系统可以通过一致性检测的方式,获取并解析发往下层现场设备的写指令数据包,然后将其与监控软件中对该参数的监测值进行对比,如果发现不一致,说明系统遭受到来自第三级敌手的攻击。通过以上的分析可知,对于上述定义的三级敌手,我们的监管系统都可以做到有效的检测。

  4.结束语

  本文提出了一种工业控制网络安全监管的系统框架。主要包括全面、丰富的数据采集策略,弹性的数据采集策略管理和对数据的分析。全面、丰富的数据采集策略从管理层面提供对工业控制系统更全面的监管,弹性的数据采集策略的管理力求尽量降低监管对系统本身可靠性造成的影响,数据分析模块通过基线检测和操作指令一致性检测能够提升系统对APT攻击的检测能力,帮助工作人员尽早发现异常,降低可能造成的人员伤亡和财产损失。

标签