饒志波 水利部機電研究所工控網(wǎng)絡(luò)安全測評中心技術(shù)部長
本文內(nèi)容有四大塊,第一是背景和政策的支持,另外是設(shè)計的方案還有部署的方案,以及我們針對于已經(jīng)做過的典型案例是怎么部署的,讓大家一起來給我們提一些意見。這些是前面很多專家和大師基本上都講到這一塊,為什么說要有態(tài)勢預警的東西,就是因為每年的安全事件是日益突出的,你看到每一年都有大大小小的事情基本上都關(guān)乎到工控安全,我們針對最新發(fā)生的事情,我們水利為什么要做才是感知平臺?委內(nèi)瑞拉3月7日安全事件就是針對水利的,所以背景是這么一個背景,連續(xù)停了三天的電。攻擊的手段是利用水利電力系統(tǒng)的一些漏洞,所以導致了停電事件,所以后面廠家對可能發(fā)生的方式都做了分析,最終的結(jié)論就是利用了水利電力系統(tǒng)的安全漏洞所導致的攻擊事件。對于這個事件的本身是前車之鑒又加強國內(nèi)電力系統(tǒng)的工控安全建設(shè),也就是說如果我們能夠在之前預警到這些能夠知道這些分析到它的漏洞,能夠掃描到漏洞就可以有效的避免這個問題,這就是我們?yōu)槭裁匆蓄A警態(tài)勢感知平臺的緯度。
我們剛剛說針對于委內(nèi)瑞拉的事情利用一些漏洞,我這里統(tǒng)計了近年來安全漏洞的事件,另外一點隨著剛剛前面很多專家都提出了萬物互聯(lián)或者說互聯(lián)互通工業(yè)互聯(lián)網(wǎng),隨著這些關(guān)聯(lián)技術(shù)越來越緊密,這些安全技術(shù)漏洞的利用越來越大,在你沒有完整的防護固有的系統(tǒng)情況下,能不能盡早的預警到或者發(fā)現(xiàn)到它的問題,這就是態(tài)勢預警平臺的意義所在。為什么要建立態(tài)勢預警感知平臺是這么一個層面,我們對工業(yè)控制系統(tǒng)和工業(yè)互聯(lián)網(wǎng)系統(tǒng)和工業(yè)物聯(lián)網(wǎng)系統(tǒng)三個層面,第一個攻擊的方式網(wǎng)絡(luò)接觸從可能產(chǎn)生的攻擊幾個層面來分析,第一個是網(wǎng)絡(luò)解除從外網(wǎng)訪問和外部設(shè)備的接入還有內(nèi)部的登陸,實際上介子攻擊或者縱向的潛入。另外實時打擊從哪幾個方面,第一個是破壞性的操作,還是植入傳播性的病毒還有干擾系統(tǒng)的運行,還是竊聽涉密信息,它攻擊的準備就會涉及到安全程序運行相應(yīng)的權(quán)限是這么一個平臺,那么對于構(gòu)建態(tài)勢預警感知平臺就提供了非常好的思維,我們要防御這些東西就要及早的開展監(jiān)測,事先完成對風險預防預控以及在事中對于及早的發(fā)現(xiàn)把潛在的風險給消滅掉,這對于公安系統(tǒng)的安全監(jiān)控,建立在工控網(wǎng)絡(luò)的安全攻擊態(tài)勢預警平臺,所以這就是我們建立這個平臺的另外分析的緯度。
這里就是我們建立一個針對公安控制系統(tǒng)態(tài)勢感知平臺的必要性,我們怎么去分析它的必要性?我們通過一個對比,一般通用的監(jiān)控技術(shù)都是采用流量和報文進行分析,工業(yè)互聯(lián)網(wǎng)服務(wù)器的協(xié)議進行監(jiān)測和分析,對網(wǎng)絡(luò)進行隔離。但是對于我們工業(yè)控制系統(tǒng),因為它是一個比較穩(wěn)定的,網(wǎng)絡(luò)服務(wù)是有可控的,這個系統(tǒng)明顯不是最佳的選擇,因為從這幾個緯度。
第一、監(jiān)測的對象來說,官方系統(tǒng)監(jiān)測的對象主要是工業(yè)控制系統(tǒng)當中的各種設(shè)備協(xié)議日志以及包括傳統(tǒng)信息安全數(shù)據(jù)報文這幾個緯度,另外監(jiān)測的手段傳統(tǒng)信息安全是網(wǎng)絡(luò)流量及報文內(nèi)容的分析,對于我們工業(yè)控制系統(tǒng)它是被監(jiān)測對象自身感知的設(shè)備級的監(jiān)測,為什么?就像前面大家說的OT這些網(wǎng)絡(luò)就會涉及到OS、CS這些工程師賬戶操作員這些設(shè)備,這些都是我們設(shè)備自身的東西。而監(jiān)測的內(nèi)容就是利用已知漏洞的攻擊行為,對于我們工業(yè)控制系統(tǒng)就是外網(wǎng)到網(wǎng)絡(luò)訪問外部設(shè)備的接入用戶登陸人員操作等這幾個方面的事件,那么對于典型的設(shè)備就是IDS防火墻這些,對于工控系統(tǒng)就是網(wǎng)絡(luò)安全特殊的監(jiān)測,包括了感知加密傳輸以及數(shù)據(jù)采集到展示方方面面的事情。所以這就迫切希望我們研發(fā)一套針對工業(yè)監(jiān)控的系統(tǒng),面向社會事件的網(wǎng)絡(luò)安全監(jiān)測技術(shù)的工控網(wǎng)絡(luò)安全預警態(tài)勢感知平臺,這個就是我們說的監(jiān)測建立的必要性。
為了加深必要性的了解,我們也列出了現(xiàn)狀,我們在工業(yè)控制系統(tǒng)當中我們看到的現(xiàn)狀以及我們實際上建立工業(yè)控制系統(tǒng)的態(tài)勢預警感知,希望它能夠有效的解決問題索要承擔的一些事情,我們看到的系統(tǒng)大部分會說有沒有安全措施,會說有我們有邊界防火墻這些東西,你這里是否有攻擊行為的黑客電腦在這里攻擊,外面有防火墻縱向加密裝置這些,一旦對于內(nèi)部可能產(chǎn)生的風險沒有辦法監(jiān)控,也就是說它是由外到內(nèi)縱向的攻擊有一些手段,當然對于工業(yè)企業(yè)來說它這些東西大部分都是好多年沒有更新過的,我們調(diào)研過電廠有好幾百個基本上都是這樣子沒有任何的更新,我們要做的態(tài)勢預警感知平臺要解決邊界的問題,同時要解決內(nèi)部的包括數(shù)據(jù)庫操作系統(tǒng)服務(wù)器,還有它邊界的防火墻,以及正反向隔離裝置加密,以及它自身在終端設(shè)備的數(shù)據(jù)庫,以及工業(yè)控制系統(tǒng)特有的工控設(shè)備它本身的這些行為,這些日志以及它數(shù)據(jù)報文都能做相應(yīng)的分析,能夠處置做到真正的預警態(tài)勢感知分析。
在這個基礎(chǔ)上,這就是我們說的必要性,那么做這個事情的基礎(chǔ)上大家會問你做這個是不是自己憑空想象的我們需要法律政策的支撐,這個是國家的層面大家可以看到從2014年、2016年、2018年這些都有相應(yīng)的國家層面相應(yīng)的政策法規(guī)做支撐。另外一個是行業(yè)政策的支撐,大家可以看到分析這幾年行業(yè)的政策支撐,尤其是在電力能源以及水利一塊,還有工信部這些層面基本上是年年都有相應(yīng)的政策法規(guī)來針對于關(guān)鍵技術(shù)設(shè)施和工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的政策出臺。大家看一下這是水利,為什么提這個?因為我們在水利這一塊參與的比較多,最近招標的是實施國家信息安全專項,丹江口水利關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全感知工程,這個是影響非常大的也是目前為止在水利國家級層面對工控安全做的比較大的態(tài)勢感知防護的東西,也是貫徹落實網(wǎng)絡(luò)安全法等級保護條例的示范性工程。
另外一個是能源局,大家可以看到紅色標出了對企業(yè)網(wǎng)絡(luò)安全態(tài)勢的感知平臺,還有建設(shè)網(wǎng)絡(luò)感知環(huán)境也有相應(yīng)的提到,以及網(wǎng)絡(luò)安全自主創(chuàng)新安全可控的內(nèi)容,這個是國家電網(wǎng)公司設(shè)備自身感知監(jiān)測裝置就地采集以及平臺統(tǒng)一監(jiān)管這都是態(tài)勢感知的內(nèi)容,所以從這些層面都有相應(yīng)的政策法規(guī)支撐態(tài)勢感知平臺的建設(shè)。
大家知道了必要性也有相應(yīng)的政策支撐,大家就會問態(tài)勢感知平臺建設(shè)的原則和能達到的目標是什么?我們從業(yè)務(wù)目標功能目標三個緯度來驗證,第一個原則一定要繼承已有的優(yōu)勢,不能說因為我們?nèi)ソㄟ@個態(tài)勢感知的平臺就把已有的安全的東西全部否定,所以我們要鞏固現(xiàn)有的控制系統(tǒng)布防的安全策略和防護手段,通過閉環(huán)管理手段進一步的加強。我們剛剛說的大部分的企業(yè)已經(jīng)有邊界的防火墻和隔離裝置,我們不能把它們踢出我們要很好的利用它,我們把它防護以及業(yè)務(wù)數(shù)據(jù)分兩個緯度分別采集起來。第一是做分析,第二做業(yè)務(wù)數(shù)據(jù)的分析,從兩個緯度分析了網(wǎng)絡(luò)安全性,還有一個創(chuàng)新性的發(fā)展在用到設(shè)備的基礎(chǔ)上我們要做對監(jiān)測技術(shù)分析手段更加豐富,同時具備必要的響應(yīng)處置手段,這個怎么去講?作為不同的工業(yè)系統(tǒng)運營系統(tǒng)是不同的,可能要通過抓業(yè)務(wù)數(shù)據(jù)流以及對它的業(yè)務(wù)模型進行建模,因為我們說有OS、CS這些設(shè)備方面的內(nèi)容,我們可能要做一些相應(yīng)采集的處理,可能會有一些數(shù)據(jù)采集抓取的工具,這就是創(chuàng)新性的發(fā)展。
另外還有面向設(shè)備事件的監(jiān)視技術(shù),因為我們說有很多新的設(shè)備,很多新的系統(tǒng),所以是基于事件監(jiān)視技術(shù)分布式工業(yè)網(wǎng)絡(luò)安全管理措施,因為我們大部分的工業(yè)控制系統(tǒng)都是分布式的,那么業(yè)務(wù)的目標就是第一要外部入侵的有效手段,我們建立態(tài)勢預警感知,大部分的內(nèi)容是說在你沒有完整的能夠阻斷所有控制的基礎(chǔ)上,我能夠?qū)λM行預警,比如說第一個車間受到的攻擊馬上能夠預警到第二第三第四個車間也可能出現(xiàn)這個問題,也達到了一種對于外部入侵的有效手段,還有外部干擾的有效隔離,怎么樣隔離這一塊的東西。第三個內(nèi)部介入有效的遏制,還有安全風險的有效管控,你能夠通過可視化的東西事前分析到可能導致的問題,第三個緯度就是管控的目標支持安全保護措施的閉環(huán)管理。我能夠通過日志這種安全產(chǎn)品的日志以及主機產(chǎn)品運行的信息,以及相應(yīng)的工業(yè)控制本身設(shè)備數(shù)據(jù)能夠閉環(huán)的分析到可能出現(xiàn)的問題,盡快的展示它可能遇到的風險,從而更好的防護好我的工業(yè)控制系統(tǒng)。
第二個支持工業(yè)控制系統(tǒng)安全事件的全方位監(jiān)視和控制有一個強有力的UI或者相應(yīng)分析的模塊能夠更好的展示相應(yīng)的防護能力。第三個點支持工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的態(tài)勢職能分析,能夠轉(zhuǎn)向它的職能能夠從多個緯度展現(xiàn)出相應(yīng)的安全風險安全隱患。通過這幾點為了貫徹網(wǎng)絡(luò)安全法以及等級保護相關(guān)的規(guī)范要求,所做出的一個分析。這是構(gòu)建預警態(tài)勢感知平臺的技術(shù)路線,剛剛開始也給大家講了,做的主要檢測和管理預警,主要的特點是認為任何的網(wǎng)絡(luò)安全事件總是從接觸控制的第一臺設(shè)備開始發(fā)展蔓延,做好網(wǎng)絡(luò)安全監(jiān)管必須監(jiān)測從網(wǎng)絡(luò)邊界到服務(wù)器到工作站以及交換網(wǎng)絡(luò)設(shè)備這些具體的設(shè)備入手,從每一臺設(shè)備的訪問設(shè)備接入人員登陸設(shè)備操作以及程序的運行這幾個方面統(tǒng)一的監(jiān)管,只有把這些監(jiān)管了才能更好的處置網(wǎng)絡(luò)攻擊病毒感染這些事件。
所以通過這點我們可以從三個緯度,第一個是采用感知采集管控三個層面對工業(yè)控制系統(tǒng)進行感知平臺的建設(shè),大家也可以看一下我這個圖,大概是這樣標的。對于技術(shù)路線大概的框架是什么?第一是我們的監(jiān)測,我們說我們工控的態(tài)勢感知一定是基于設(shè)備的,你要把設(shè)備本身的那些感知信息能夠采集到。第二個是傳統(tǒng)信息安全把業(yè)務(wù)數(shù)據(jù)能夠采上來,所以第一個層面就是我們自身的感知涉及到交換網(wǎng)絡(luò)設(shè)備安全設(shè)備安防設(shè)備,防火墻、IDS縱向加密還有主機設(shè)備終端設(shè)備服務(wù)器工程師站,以及數(shù)據(jù)庫以及工控系統(tǒng)特有的IDS這些,這些是怎么去采集的?這方面是采集相應(yīng)的數(shù)據(jù),另一方面如果對于服務(wù)器我們是會裝一些工具把相應(yīng)的數(shù)據(jù)采集上來,到上一層就要做分層分區(qū)域的采集,就是網(wǎng)絡(luò)安全的行為分析系統(tǒng)這個是我們自己定義的,其實就是數(shù)據(jù)采集器,通過加密比如說在電力系統(tǒng)電網(wǎng)系統(tǒng)可能就是61850或者通過別的DMP3這些協(xié)議一級級往上傳,因為不同的業(yè)務(wù)系統(tǒng)走的協(xié)議是不同的,這也是我們工業(yè)控制系統(tǒng)和信息安全系統(tǒng)極大的差別,這也是我們態(tài)勢感知系統(tǒng)建設(shè)的必要性。所以大家看這就是我們介紹的三層怎么做的,第一層是把它自己的數(shù)據(jù)以及業(yè)務(wù)數(shù)據(jù)往上傳,第二層從車間廠級分區(qū)做數(shù)據(jù)綜合匯總,第三層做一個綜合的態(tài)勢感知預警的展示模塊化分析。
在這個基礎(chǔ)上我們有相應(yīng)產(chǎn)品的框架,可以分為這三層的框架,第一層屬于數(shù)據(jù)采集層,使用各種采集數(shù)據(jù)采集流量日志各種資產(chǎn)信息規(guī)劃處理傳輸?shù)胶诵膶樱诵膶泳蜁婕暗较鄳?yīng)的各種數(shù)據(jù)加工處置,模塊化的分析處置,第三層就是數(shù)據(jù)展示層,完全以用戶之間的交互達到安全預警事件的監(jiān)控安全運行的監(jiān)控這樣一個目的,這是我們說的基本架構(gòu),也是我們當時在設(shè)計之初的初衷。它達到的功能我們認為針對于工控網(wǎng)絡(luò)態(tài)勢感知平臺應(yīng)該有一些功能,大概有這九個方面。
首先你能夠?qū)δ愕馁Y產(chǎn)進行管控,那么在發(fā)生任何的攻擊事件之后,至少能夠?qū)τ跀嗑W(wǎng)或者說設(shè)備的故障關(guān)閉狀態(tài)能夠有一個展示,比如說以打問號打差的方式顯示沒有連上的這種方式也是預警態(tài)勢。另外一個可管理,能夠很輕松的展現(xiàn)整個場的網(wǎng)絡(luò)拓補結(jié)構(gòu),第三點安全事件的管理,你發(fā)生了任何的安全事件以及各種的威脅能夠做相應(yīng)查詢以便于規(guī)避責任和事件的統(tǒng)計。第四點說的告警管理又涉及到五個點網(wǎng)絡(luò)狀態(tài)的檢測,網(wǎng)絡(luò)流量的檢測,USB的插拔這一塊的東西,還有在主機上裝本身運行的一些監(jiān)測。
在這個基礎(chǔ)上又有第五點知識庫的管理,分別有數(shù)據(jù)收集庫用戶數(shù)據(jù)庫知識數(shù)據(jù)庫三個緯度,以及第六但就是認知采集和管理,我們說的對于我們已有的網(wǎng)絡(luò)設(shè)備防火墻縱向加密裝置這些,本身又帶有安全裝置不能拋棄它,我們怎么樣去做把它的安全日志能夠采上來,對于前期沒有注意的,但是是工業(yè)控制系統(tǒng)特有的主機OS、CS這些操作系統(tǒng)能夠采集上來,同時能夠支持多種協(xié)議采集上來這就是我們說的日志采集和管理,還有關(guān)聯(lián)性的分析,一旦出現(xiàn)了本身在拓展不應(yīng)該出現(xiàn)的相互之間的通信也能夠有關(guān)聯(lián)性的分析,以及各種前期出現(xiàn)的同樣攻擊事件是不是有同樣的關(guān)聯(lián)性做一些模塊化的分析。工業(yè)控制系統(tǒng)行為監(jiān)測分析,對于我們說的有的那些DCS,因為我們有相應(yīng)的知識庫能夠知道它的起停關(guān)機以及預警狀態(tài)比較關(guān)鍵的操作行為,那么就能夠檢測到工業(yè)控制系統(tǒng)行為的一些異常。第九大應(yīng)急處置是怎么處置的問題,在這里知道了產(chǎn)品的一些功能,以及它能做的一些事情一些架構(gòu),大家就會問你們這個產(chǎn)品到底生產(chǎn)出來了嗎?這個是肯定的。大家可以看到我們的態(tài)勢感知平臺也就是通過以國網(wǎng)模板做的升級板,大家可以看到我們把它定義為網(wǎng)絡(luò)安全的行為分析系統(tǒng),我們通俗的說是采集系統(tǒng),另外一個是網(wǎng)絡(luò)行為的管理平臺綜合匯總平臺,大家會問你不是要采集主機的設(shè)備以及操作信息這個是白名單化的,我們可以用市面上通用的,也可以用自己本身有的,這就是對于我們設(shè)備大概的配置。
在這個基礎(chǔ)上大家會問你這個產(chǎn)品主要實現(xiàn)了哪些功能,這邊是功能的圖,這邊是我們實現(xiàn)的性能。能力一安全可視,做了資產(chǎn)的識別業(yè)務(wù)的識別行為的識別安全的識別,第二個動態(tài)的感知做了資產(chǎn)變動的動態(tài)感知還有安全風險的動態(tài)感知,以及我們安全事件的持續(xù)感知,還有異常行為的持續(xù)感知。當然這是我們最初比較老的版本新的版本已經(jīng)比個豐富了非常多的內(nèi)容,大家最關(guān)心的你這個是怎么部署的?因為對于我們的安全這一套東西不會給本身的業(yè)務(wù)系統(tǒng)帶來隱患,這個對于單獨成網(wǎng)的,上面這一層是單獨自己成了一個網(wǎng)絡(luò)有自己的網(wǎng)絡(luò)行為分析系統(tǒng),自己的防火墻自己的交換機自己的采集器自己的網(wǎng)閘以及交換機這些東西自成一個網(wǎng)絡(luò),當然下面這些交換機我們廠里面已經(jīng)有的匯集交換機以及它的業(yè)務(wù)系統(tǒng),但是我們自己是一個單獨成網(wǎng),同時我們又是安全分區(qū)的,不會對你區(qū)域之間互聯(lián)互通產(chǎn)生相應(yīng)的影響。
大家看到合乎就會問你到底做了哪些工作?這就是我們能做的一些事,安全事件類、操作類、運行信息類,其實我們還有一個工控行為類,這一塊是沒歸類出來,對于每一產(chǎn)品做了哪些處置也是我們可以看到的。對于裝置本身我們自己的數(shù)據(jù)采集也能做一些信息的采集,咱們裝上的東西不應(yīng)該給系統(tǒng)帶來隱患的,所以我們自己也會帶來監(jiān)控。另外主機設(shè)備就是CS、OS這些東西,以及PLC、DCS這些東西,都會做一些相應(yīng)的處置,這是我們的設(shè)備。這是我們的安全設(shè)備,大家說為什么只有防火墻和隔離裝置?其他的也有,其他的沒有列出來。這個是態(tài)勢感知平臺,因為現(xiàn)在互網(wǎng)行動很多設(shè)備一下斷掉之后我們能展示的就是有相應(yīng)的拓展,但是就是連不上了這個是受到攻擊之后的展示下面有分析。
這個是典型的案例,大家可以看到自己成網(wǎng)的在火電廠,火電廠分為一期二期三期,還有生產(chǎn)控制大區(qū)和管理大區(qū)的東西,我們通過隔離的網(wǎng)站每一次采集都有相應(yīng)的隔離網(wǎng)把它隔離出來然后通過匯總做到綜合態(tài)勢預警分析。當然在我們的主機上也裝了相應(yīng)的白名單軟件自己的東西,做相關(guān)日志操作的采集,然后傳到監(jiān)管平臺,這個是水電站這些也是同樣的道理分三個區(qū)。大家就會問這是已經(jīng)建好的系統(tǒng),我現(xiàn)在建怎么做這個系統(tǒng)?這個是我們針對智能制造的系統(tǒng),我們把它各個車間區(qū)域分好,對于相應(yīng)的分區(qū)域的東西統(tǒng)一的采集到一級級的數(shù)據(jù)做數(shù)據(jù)的采集,最終傳到態(tài)勢預警的分析平。