工业控制系统中的“黑匣子”将如何发展?
发布时间:
2017-10-18
来源:
作者:
天地和兴SRC
访问量:
15
意义
工业控制系统中网络审计产品作为工控安全防御体系中的重要组成部分,起到了类似飞机中“黑匣子”的作用。它能对工业控制网络中的网络数据包进行解码并加以分析,从而识别其中的潜在威胁,记录下安全威胁事件的主体、客体和事件详情,为进一步的安全事故排查提供“证据”。
部署方式
工业控制网络强调“实时性”和“高可用性”,如果将审计设备采用串联的方式接入,有可能提高链路延时或者造成单点故障。工业控制网络中使用的网络审计产品普遍采用旁路部署的方式,即通过交换机的镜像端口,拷贝一个或多个交换机端口上的活动数据,再将审计设备连接到这个镜像端口上获得网络数据包。值得一提的是,由于端口镜像技术原理的局限,在导入到交换机镜像端口的网络流量较大时,有可能出现镜像端口的丢包问题,导致审计数据丢失;另一方面,在网络满载时,复制数据包到镜像端口也有可能导致交换机的交换性能受到影响,从而影响工控设备的正常通信,但由于工业系统中的工控设备往往流量不会太大,因此相比于高成本的网络分路器技术,低成本的端口镜像技术被普遍采用。
从架构上做区分,工控系统网络审计产品包含分布式以及一体化式两种。分布式工控网络审计产品包含分布在各个待监控区域的数据采集设备以及在上层网络中部署的集中管理分析设备,数据采集设备负责收集各个区域中交换机镜像到的网络原始数据,然后交由集中分析设备做进一步的处理;一体化设备则将数据收集以及数据分析处理功能合一。
具体功能
1. 工控协议深度解析
工控网络审计产品专注于工业控制协议,通过对工业控制协议的深入研究以及报文的深度解析,解析出工控设备的关键事件,比如组态变更,包括上装、下装;以及工控设备的指令以及相关参数值;传统的IT网络设备往往缺乏对工业控制协议的支持,如支持动态端口的OPC协议,无法通过简单的端口识别的方式完成协议识别,必须对OPC协议进行深入解码才能进行识别。工控协议支持的广度和深度,也是工控网络审计设备厂商互相比拼的重要参数。
2. 审计事件的识别
工业控制网络中的设备工序相对稳定,设备数量相对稳定。工控网络审计产品可以借助这些特性来完成审计事件的识别,比如通过设置设备IP地址、MAC地址的范围来检测未知设备,通过设置工业控制协议中具体命令字的范围,参数值的阈值来检测潜在的违规操作。如果完全依靠施工人员进行人工操作设置上述参数,过程会十分繁琐,因此工控网络审计设备往往都支持规则学习功能,即通过学习来得到网络层规则和工业控制协议层规则,即建立合规的网络行为基线,在基线范围以外的网络行为,都可以判定为潜在的威胁事件,通过告警以及记录审计事件主体、客体、协议详情入库的方式,作为事后追查的有力证据。
3. 流量监控
在工控设备出现异常时,其网络流量、网络会话连接数等网络特征,通常会出现较为明显的变化,因此工控网络审计设备通过对工控设备进行流量监控,就可以识别出工控设备异常状态。
4. 审计报表
审计报表功能通过即时报表生成以及周期性报表功能给网络安全审计员提供工控网络运行状态报告,用户可通过自定义报表模块,比如IP,安全事件级别,审计事件级别等条件来生成所需的审计报表,通过报表的安全评级以及安全事件得知工控网络的运行情况。
前瞻
工控网络安全审计产品已经形成一定规模的市场,各大工控安全厂商也十分重视安全审计产品的研发。天地和兴认为需要从以下一些角度来进一步深入工控网络安全审计的研究:
1) 工控协议支持的广度和深度。由于工控设备品牌、型号众多,决定了工控协议的种类众多,有些工业控制协议的协议格式甚至是私有的,因此工控安全厂商需与工控厂商加强合作,提高工控协议解析的广度和深度,与此同时,工控安全厂商应该深入工控现场,了解具体行业的工序流程,“弯下腰”来做产品;否则做出来的产品必然是异常事件泛滥,脱离客户需求的。
2) 新技术的应用,如通过优化数据采集,数据还原过程来提高产品性能;如优化学习算法来提高网络行为基线建立的准确性等。
3) 提高与工控厂商的监控平台的融合度,如在分布式产品形态下,将集中分析设备去平台化,即实现纯软件的集中分析平台;如标准化审计数据上报接口,提高厂商间设备的互联互通性。
4) 提高产品自身的安全性,如果工控审计设备的管理接口接入工控生产网,自身被攻陷后,损失的可能不仅仅是审计数据的私密性,甚至会影响到工控生产网的安全。
上一条:
下一条:
相关资讯
