范文无忧网北京威努特工控安全监测与审计系统产品白皮书
威努特工控安全监测与审计系统
产品白皮书
北京威努特技术有限公司
北京威努特工控安全监测与审计系统产品白皮书
目录
一.
1.1
1.2
二.
2.1
2.2
2.3 引言 ...................................................................................................................................... 3 工业控制系统面临的主要安全问题 .............................................................................. 3 工控安全审计平台能够解决哪些问题 .......................................................................... 5 威努特工控安全审计平台 .................................................................................................. 5 产品概述 .......................................................................................................................... 5 产品架构 .......................................................................................................................... 6 产品优势 .......................................................................................................................... 7
2.3.1
2.3.2
2.3.3
2.3.4
2.3.5
2.3.6
2.4 工控协议指令级检测与审计 ............................................................................... 7 支持私有工控协议的扩展接口 .......................................................................... 8 高性能的深度解析及检测能力 .......................................................................... 8 专为工控环境设计的工业级硬件 ...................................................................... 8 自主可控的工控安全操作系统 .......................................................................... 9 针对工控行业用户习惯设计的使用体验 .......................................................... 9 主要功能 .......................................................................................................................... 9
2.4.1
2.4.2
2.4.3
2.4.4
2.4.5
2.4.6
2.4.7
2.4.8 工控网络异常检测 .............................................................................................. 9 工控网络攻击检测 ............................................................................................10 工控关键事件检测 ............................................................................................11 工控网络连接视图 ............................................................................................11 告警事件统计.....................................................................................................12 网络连接统计.....................................................................................................13 网络通信记录回溯 ............................................................................................14 短信告警 .............................................................................................................14
2.5
三.
3.1
3.2
3.3
典型部署 ........................................................................................................................14 客户价值 ............................................................................................................................16 及时发现网络攻击,减少系统停车时间 ....................................................................16 为安全事故的调查,提供详实的数据支持 ................................................................16 通过网络通信可视化,提高工控网络运维效率 ........................................................16
- II -
北京威努特工控安全监测与审计系统产品白皮书
一. 引言
1.1 工业控制系统面临的主要安全问题
目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统已经成为国家关键基础设施的重要组成部分,工业控制系统的安全关系到国家的战略安全。
随着工业信息化的快速发展,工业化与信息化的融合趋势越来越明显,工业 控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化 管理水平。未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来 的安全问题将成为制约两化融合以及工业4.0发展的重要因素。传统的物理隔离的 解决方法已经不能满足现阶段两化融合发展对安全的需求了,工业控制系统面临 如下常见的安全问题:
工业控制协议缺乏安全性考虑,易被攻击者利用
专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足:比如缺少足够强度的认证、加密、授权等,导致容易遭受攻击。
安全漏洞难以及时处理,系统存在巨大安全隐患
工业控制系统由于设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题,造成工业控制系统的补丁管理困难,系统安全漏洞难以及时修复,系统长期存在巨大安全隐患。
缺乏对用户操作、网络行为的审计,事故分析困难
现实环境中通常缺乏针对工业控制系统的安全日志审计及配置变更管理,导致安全事故的分析难以进行。这是因为部分工业控制系统可能不具备审计功能或者虽有日志审计功能但系统的性能要求决定了它不能开启审计功能所造成的结果。同时目前的IT安全审计产品因缺乏对工业控制协议的解析能力而不能直接用于工业控制系统中。由于工业控制协议缺乏统一的标准,使得审计工业控制协议的工作代价巨 - 3 -
北京威努特工控安全监测与审计系统产品白皮书
大且不能通用也是造成工业控制系统中违规操作行为审计缺乏的原因之一。
无线通信网络,普遍缺乏必要的安全防护
一些行业工业控制系统中大量使用无线网络,例如城市轨道交通的信号系统中广泛采用WLAN实现车地通信。无线网络在带来方便的同时,随之而来的还有无线网络安全方面的威胁,例如未授权用户的非法接入、非法 AP 欺骗生产设备接入、数据在传输过程中被监听窃取、基于无线的入侵行为等,但是,目前工业控制系统现场普遍缺乏针对无线网络的安全防护手段。
面对新型的APT攻击,缺乏有效的应对措施
APT(高级可持续性威胁)的攻击目标更为明确,攻击时会利用最新的0-day 漏洞,强调攻击技术的精心组合与攻击者之间的协同;而且是为不达目的不罢休的持久性攻击。近年来以“震网”为代表的针对工业控制系统的攻击事件都呈现了这些攻击技术特征。
但是针对这种APT攻击,现有的安全防护手段均显得有些无力,使其在面临APT攻击时将会遭到不可估量的安全损失。
没有足够的安全政策、管理制度,人员安全意识缺乏工业控制系统在设计时也多考虑系统的可用性,普遍对安全性问题的考虑不
足,更不用提制订完善的工业控制系统安全政策、管理制度以及对人员的安全意 识培养了。在2010年“震网”事件发生之前很少有黑客攻击工业控制网络的事件 发生,和平日久造成人员的安全意识淡薄。
而随着工业控制系统在国计民生中的重要性日益重要以及IT通用协议和系统 在工业控制系统的逐渐应用,人员安全意识薄弱将是造成工业控制系统安全风险 的一个重要因素,特别是社会工程学相关的定向钓鱼攻击可能是重要岗位人员沦 为外部威胁入侵的跳板。
- 4 -
北京威努特工控安全监测与审计系统产品白皮书
1.2 工控安全审计平台能够解决哪些问题
威努特工控安全审计平台,是专门针对工业控制网络的信息安全审计系统, 它能够帮助工业控制系统用户解决以下问题:
像飞机“黑匣子”一样忠实记录工业控制网络通信行为,为安全事故/故
障调查提供详实的记录;
提供对网络行为异常、工业协议攻击、工业控制关键事件的实时检测与 报
警能力。
二. 威努特工控安全审计平台
2.1 产品概述
实事上,目前国内工业控制系统相对封闭的环境,使得来自系统内部人员在 应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临 的主要安全风险。因此,对生产网络的访问行为、特定控制协议内容的真实性、 完整性进行监控、管理与审计是非常必要的。
威努特工控安全审计平台,是专门针对工业控制网络的信息安全审计系统。 它采用旁路部署,对工业生产过程“零风险”,基于对工业控制协议(如Modbus TCP、 OPC、DNP3、IEC 60870-5-104等)的通信报文进行深度解析(DPI,Deep Packet Inspection),能够实时检测针对工业协议的网络攻击、用户误操作、用户违规 操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记 录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的 安全事故调查提供坚实的基础。
威努特工控安全审计平台,广泛应用于电力、石油、石化、轨道交通、烟草、 钢铁及先进制造等各个行业。
- 5 -
北京威努特工控安全监测与审计系统产品白皮书
2.2 产品架构
威努特工控安全审计平台包括两个组件: 工控网络审计探针(简称“审计探针”):为一个嵌入式硬件设备,旁路部署在工控网络中,通过交换机镜像获取工控网络流量,进行初步处理后上报给安全审计管理平台。
安全审计管理平台:为一个硬件服务器,负责接收各个工控网络审计探针上 报的数据,进行统一地分析检测,并将结果展现给管理员。
威努特工控安全审计平台采用分布式部署、集中管理,多台工控网络审计探 针分布式部署在各个工业交换机的旁边,由安全审计管理平台进行统一的管理。 如下图:
图表 1 工控安全审计平台部署架构
威努特工控安全审计平台的逻辑架构划分为数据采集层、分析检测层、可视 化/告警层。如下图:
- 6 -
北京威努特工控安全监测与审计系统产品白皮书
图表 2 工控安全审计平台逻辑架构
数据采集层:负责原始报文的采集、协议解析(包括TCP/IP协议栈的解析及 工业控制协议的深度解析)、初步攻击检测及信息汇聚与统计。
分析检测层:综合来自数据采集层的报文解析结果、初步检测结果及汇总统 计信息,进行工控网络通信行为建模,并进行TCP/IP异常检测、工控指令异常检测、工控关键事件检测、网络风暴检测、网络会话异常检测、基于阈值的检测等各类安全检测,并支持基于用户自定义规则的检测。
可视化/告警层:接收来自分析检测层的数据及检测结果,一方面进行告警的 展现,另一方面对数据进行持久化并进行多维度的统计分析和展现。
2.3 产品优势
2.3.1 工控协议指令级检测与审计
威努特工控安全审计平台搭载了威努特自研的深度数据包解析引擎,可对工 控协议做指令级检测与审计,为解决针对工控网络的安全问题提供了技术基础保 障,其全面支持各大主流工业控制协议,并且能够对各类数据包进行快速有针对 性的捕获与深度解析。对不同行业的工业控制系统,可以采取相应针对性的数据 包探测机制和解析策略。在遵循工业控制系统可用性与完整性的基础上,能够检 - 7 -
北京威努特工控安全监测与审计系统产品白皮书
测出数据包的有效内容特征、负载和可用匹配信息,如恶意软件、具体数据和应用程序类型。
深度数据包解析引擎支持涵盖OPC Classic、Modbus TCP、IEC 60870-5-104、DNP3、S7等在内的各大主流工控网络协议。
2.3.2 支持私有工控协议的扩展接口
工业控制系统的特点之一,是存在大量的私有工控协议,如果不能够支持这 些私有的工控协议,会大大影响工控安全审计产品的检测与审计能力。威努特工 控安全审计平台提供SDK,开放的平台接口可以方便客户自行扩展支持私有工控协 议,以及做定制化的二次开发。
2.3.3 高性能的深度解析及检测能力
威努特工控安全审计平台具备先进的硬件架构,采用专门适用于网络处理的 MIPS多核CPU,而不是通用的x86架构CPU,为高性能的工控协议深度解析与检测提 供了坚实的基础保障。高性能的软件架构及高性能多模式匹配算法,进一步保证 了工控协议深度解析与检测的性能。
2.3.4 专为工控环境设计的工业级硬件
工控网络审计探针设备,严格按照工业级硬件的要求进行设计,能够满足各 种工业现场的环境要求。具体包括:
无风扇全封闭设计,防护等级:IP40;
9-36V DC,电源采用1+1冗余供电;
硬件产品达到工业三级B以上指标;
工作环境可满足温度:-40~70℃,湿度:5%~95% 无凝结;
转发平面与控制平面分离设计;
多种灵活的安装方式,包括导轨安装、机柜安装等。
- 8 -
北京威努特工控安全监测与审计系统产品白皮书
2.3.5 自主可控的工控安全操作系统
威努特工控安全审计平台在专用工业级、高性能网络安全硬件平台基础上, 构筑了自主知识产权的智能工控安全操作系统(即:Intelligent Industry
Control Security Operating System 简称:IICS-OS),IICS-OS对流经的数据 报文做深度的协议解析和匹配,并对数据流做智能调度转发,以及对七层以上的 内容做深度检查,为上层的特色的安全功能的扩展提供了的坚实的基础保障。
2.3.6 针对工控行业用户习惯设计的使用体验
威努特工控安全审计平台以提高工业控制网络的日常安全管理、信息统计数 据的易读性和可操作性为设计核心,降低操作复杂度,避免误操作。系统充分利 用人工智能技术,大幅度简化分析、管理、控制流程,并提供简单易学的用户界 面,方便管理人员日常操作管理。安全审计管理平台支持实时可视化呈现工控网 络链路的连通性和服务状态,提供多类历史监控数据对比分析,系统日志、配置 日志、流量日志、攻击日志、访问日志等类型日志的查询与备份。
2.4 主要功能
2.4.1 工控网络异常检测
- 9 -
北京威努特工控安全监测与审计系统产品白皮书
图表 3 工控网络异常检测流程
网络异常检测功能,基于对工控协议(例如Modbus TCP、DNP3、IEC 60870-5-104等)的通信报文进行采集与深度解析,利用人工智能算法自学习建立工控通信模型基线,对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行检测并告警。例如:异常指令操作、新出现的设备(IP地址)、异常访问关系(网络 连接)等告警。
威努特工控安全审计平台,支持管理员对智能学习建立的通信模型基线进行 人工调校,并支持对告警事件一键加入白名单。
威努特工控安全审计平台,支持对工控协议连接的异常断开及断开后重新连 接进行检测并告警。
2.4.2 工控网络攻击检测
威努特工控安全审计平台,支持对多种类型的工控网络攻击行为进行检测并 告警:
针对工控协议的攻击:例如针对 Modbus 通讯协议的违规端口传输、功能
码错误、功能码携带数据异常等多项异常检测规则;针对 IEC 60870-5-
104 协议的启动字符错误、asdu 长度越界、PSCADA 通讯遥控类 别标识
异常等多项异常检测规则;
工控协议畸形报文攻击:对工控协议报文不符合其规约规定的格式进行检
测并告警;
- 10 -
北京威努特工控安全监测与审计系统产品白皮书
针对TCP/IP协议层的攻击:针对网络 TCP/IP 协议栈报文进行各种典型
违 规的检测,及时发现恶意伪造的异常畸形报文,检测出入侵行为;
基于参数阈值的攻击检测: 对特定过程状态参数、控制信号设定检测阈
值,对超阈值的事件进行告警;
TCP/IP协议层风暴攻击:基于IP地址的阈值检测Syn Flood、Ping
Flood、 UDP Flood攻击,支持默认的全局阈值,也支持对某个IP或IP
范围配置个 性化的阈值;
工控协议层风暴攻击:基于IP地址某工控协议的接收报文速率阈值检测,
对超阈值的事件进行告警;
针对用户自定义攻击规则:允许管理员自定义工控协议通信告警规则,对
符合告警规则的通信行为进行告警。例如:XX 时间 XX 设备对 XX 设备
发出Modbus XX 功能码,XX 时间 XX 设备到 XX 设备遥控指令行为。
2.4.3 工控关键事件检测
威努特工控安全审计平台,支持对生产工艺中的关键事件进行检测。例如: 工艺关键事件检测:对工程师站组态变更、操控指令变更、PLC下装、负
载变更等关键事件告警;
IP无流量事件检测:在设定的时间内,单IP某服务(如Modbus)的接收
报 文为零,需要告警。
2.4.4 工控网络连接视图
工控网络连接实时视图,实时图形化显示监控范围内的所有网络连接(源IP、 目的IP),并对异常的网络连接标红显示。
工控网络连接历史视图,图形化显示一定时间段监控范围内的所有网络连接 (源IP、目的IP),并对异常的网络连接标红显示。
- 11 -
北京威努特工控安全监测与审计系统产品白皮书
图表 4
工控网络全网连接视图
支持基于IP地址过滤,仅显示与某个IP地址有关的连接视图。
图表 5 工控网络某 IP 连接视图
2.4.5 告警事件统计
威努特工控安全审计平台,支持对各类告警事件进行多维度的统计。例如: - 12 -
北京威努特工控安全监测与审计系统产品白皮书
TOP 告警事件统计:统计一定时间范围内,TOP N告警事件类型;
告警事件数量趋势:统计告警事件数量随时间变化的趋势,默认是所有
类型告警事件的数量,也可以选择某个特定的事件类型。
2.4.6 网络连接统计
威努特工控安全审计平台,支持对网络连接进行多维度的统计。例如:
基于连接数TOP IP地址:统计某个协议(如Modbus)或全部协议网络
连接数最多的IP地址;
基于报文数TOP IP地址:统计某个协议(如Modbus)或全部协议网络
报文数最多的IP地址;
- 13 -
北京威努特工控安全监测与审计系统产品白皮书
基于流量TOP IP地址:统计某个协议(如Modbus)或全部协议网络流
量最多的IP地址;
基于连接数TOP协议:统计某个IP或全部IP,网络连接数最多的协议
(如Modbus);
基于报文数TOP协议:统计某个IP或全部IP,网络报文数最多的协议
(如Modbus);
基于流量TOP协议:统计某个IP或全部IP,网络流量最多的协议(如
Modbus)。
2.4.7 网络通信记录回溯
威努特工控安全审计平台,支持对工控网络通信记录进行回溯,根据时间、 IP地址、端口号、功能码等条件查询通信记录,为工业控制系统的安全事故调查 提供详实的依据。
2.4.8 短信告警
威努特工控安全审计平台的事件告警,可以根据告警类型或级别,实时发送 告警短信给相关负责人,方便安全事故得到及时处理。
2.5 典型部署
以一个SCADA网络为例,威努特工控安全审计平台的典型部署如下图:
- 14 -
北京威努特工控安全监测与审计系统产品白皮书
图表 6 审计平台在 SCADA 网络中的典型部署
首先,在站控层的工业以太网中,每个工业交换机位置旁路部署一台“审计 探针”,“审计探针”通过交换机镜像口复制一份经过该交换机的所有网络流量。 因为是旁路部署,且审计探针只接收网络流量,不会对工控网络发生任何干扰报 文,所以对生产工艺过程不会造成任何影响。
其次,在控制中心网络中,部署一台“安全审计管理平台”,实现对分布式 部署在站控层的多台“审计探针”的集中管理。
通过以上的部署,实现了对该SCADA网络所有站控层网络流量的全网监控与审计,能够检测出针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警,同时详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,不仅支持几乎所有通用协议DNP3、MMS、FF、IEEE 1588、IEC-104等,还支持主流工控厂家Modbus、OPC、ABB MI、S7、Profibus、Honeywell CDA 、ABB CNCP、Rockwell CSP、DeltaV、 - 15 -
北京威努特工控安全监测与审计系统产品白皮书
GE SRTP、MOST API等协议,目前已在电力、石油石化、煤炭、冶炼、烟草、先进制造业等行业投入使用,为工业控制系统的安全事故调查提供坚实的基础。
如果在以上网络中,还关注控制中心网络中的网络事件,则只需要在控制中 心网络的每个交换机位置旁路部署一台“审计探针”,则可以覆盖整个控制中心 网络。
三. 客户价值
3.1 及时发现网络攻击,减少系统停车时间
威努特工控安全审计平台能够实时检测出针对工业协议的网络攻击、用户误 操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报 警,帮助客户及时采取应对措施,减少系统停车时间。
3.2 为安全事故的调查,提供详实的数据支持
威努特工控安全审计平台能够详实记录一切网络通信行为,包括指令级的工 业控制协议通信记录,并且提供了简便易用的回溯功能,为工业控制系统的安全 事故调查提供了坚实的基础和手段,改变以往工业控制系统出了安全事故无法取 证、调查无从下手的被动局面。
3.3 通过网络通信可视化,提高工控网络运维效率
威努特工控安全审计平台通过将工控网络的通信行为可视化,并提供友好的 用户界面,人性化的统计报表,极大的提高了企业工控网络管理的效率,使企业 工控网络管理简单易行,从而降低工控网络的运维成本。
- 16 -