摘要：两化融合、工业互联网等技术的发展，在提高企业生产和管理效率的同时，也使得生产网的网络安全面临着严峻的考验。本文着重介绍智能工业防火墙、智能机器学习、深度数据包解析、特征匹配、黑白名单结合、工业级硬件等新技术，以及智能工业防火墙在实际生产中的应用模式。
关键词：工控网络；网络安全；工业防火墙；深度包解析；特征匹配；白名单
Abstract: With the development of integration between information technology and industrialization and the industrial Internet, the efficiency of production and management have been improved, which in turns, makes the security network a severe challenge.
This paper mainly introduces intelligent industrial firewall, intelligent machine learning, deep packet analysis, feature matching, black and white list combination, industrial hardware, as well as the application mode of intelligent industrial firewall in actual production.
Key words: Industrial control network; Network security; Industrial firewall; Deep packet analysis; Feature matching; White list
1　引言
工业控制系统是SCADA、DCS、PLC等多种类型控制系统的总称 [1] ，被广泛应用于核设施、电子、航空航天、汽车、冶金、石油化工、电力、先进制造等国家关键基础设施之中。而工控网络在设计之初只注重实时性而忽略了一些安全设计，使得工控网络自身的网络安全问题越来越多地突显出来 [2、3] ，例如操作系统版本老旧、无法更新补丁、通信协议无加密认证、使用默认的密码、设备厂商远程维护等。
 
    防火墙的标准定义 [4] 是部署于不同安全域之间，具备网络层访问控制及过滤功能，并具备应用层协议分析、控制及内容检测等功能，因此防火墙是工业控制系统区域有效隔离的设备。传统的防火墙无法识别工业现场协议、无法深度解析工业控制业务数据、无法适应工业现场的恶劣工作环境，从而在工业控制网络中的应用过程中出现各种问题，所以亟需一款能够满足工业现场实时性、可靠性，能够深度识别控制业务的防火墙产品，实现工业控制网络与外部其他网络，工业控制网络内部不同业务的边界隔离和访问控制。

2　信息系统与工业控制系统的区别
当前信息安全的通常意义是指办公和互联网网络的信息安全，其安全性目标体现在信息的保密性、安全性和完整性三方面；而工业控制系统网络安全的目标是保证工业控制系统长时间、无间断地稳定、可靠、精确地运行，和信息安全相比，工控网络自身的特殊技术特点决定了工控网络的安全防护不能简单沿用已有的信息安全技术。
   工控网络和信息网络的本质区别 [5、6] 主要体现在：
（1）网络通讯协议不同。信息网络通信协议常见的如tfp，http，telnet等协议，而工业控制网络采用工业控制系统特有的协议，例如Modbus、OPC、IEC-104、DNP3、PROFINET等，大多数是为了提高效率与可靠性而设计，而放弃了安全特性如认证和加密等，从而可能让有漏洞的协议暴露于攻击之下。
（2）工控网络相对信息系统对稳定性要求高。大多数工控系统需要连续不间断工作，某些情况下正在生产的产品或正在使用的设备比信息更加重要，因此在系统自动化生产过程中非预期的断电、停机开机操作，会影响到生产。
（3）系统运行软硬件环境不同，工控系统在使用寿命的设计上比信息系统长得多，导致其运行环境相对落后于当前主流的信息技术。同时，由于工控系统的更新代价高，所以现场还在沿用旧的操作系统，甚至是微软不再维护的Windows XP操作系统。
（4）工控系统更新代价高，无法像办公网或互联网通过打补丁来封堵安全缺陷，任何环节的升级失败或出错将造成整个工控系统的不可用，给工业生产带来巨大的损失。
（5）工控网络不同于互联网和办公网，其网络结构和网络流行为对控制信号的传输时延、传输可靠性、传输稳定性要求非常高，数据丢失、延迟、乱序传输等都将给控制系统带来严重的问题。
（6）现场运行的自然环境不同。工业控制系统的工业现场环境恶劣，如需要在野外零下几十度的低温、潮湿、高原、盐雾等环境中正常运行，而IT信息系统通常在恒温、恒湿的机房中。
由于上述工控网络和办公互联网的本质区别决定了基于办公网和互联网设计的传统IT防火墙无法有效地保护工控网络的安全。
3　智能工业防火墙新技术分析
3.1　技术背景
智能工业防火墙的核心使命是实现工业控制网络与外部其他网络，工业控制网络内部不同业务的边界隔离和访问控制。然而对于智能工业防火墙的使用，大部分业主还是存在多方面的担心的，主要体现在串行接入、拦截重要指令、影响正常生产等方面。工业控制系统由于对实时性和稳定性的要求高，所以首先其硬件上的可靠性和稳定性必须保证，适应工业特殊环境，其次，智能工业防火墙必须支持工业协议的深度解析功能，如支持对Modbus TCP、OPC、IEC-104、DNP3、PROFINET等工业协议的深度解析，甚至包括协议的指令级别、寄存器级别、值域级别，实现对协议通信内容的深度解析、过滤、阻断、报警、审计等各类功能。
不仅如此，智能工业防火墙的部署方式和工作方式必须灵活，在实现安全防护的同时不影响正常生产。
3.2　技术原理
基于以上的需求，智能工业防火墙应运而生，软件层面上智能工业防火墙技术融合智能机器学习技术 [7] 、深度数据包解析技术、特征匹配技术 [8] ，实现对多种工控网络协议数据的检查、过滤、报警、阻断。既实现基于工业漏洞库的黑名单被动防御功能，又实现基于智能机器学习引擎的白名单主动防御功能。硬件层面上，智能工业防火墙技术强调具有全封闭、无风扇、多电源冗余、硬件加密等适用工业环境的特点，确保达到工业级
可靠性和稳定性要求。
（1） 智能机器学习技术
智能学习技术包括监督式学习（Supervisedlearning）技术和非监督式学习（UnsupervisedLearning）技术，应用于工业环境的智能机器学习技术需要实现自动收集、分析和学习系统正常运行状态下的数据行为，并在此基础上智能提取用户节点的行为特征，自动生成容易理解的操作规则和白名单，实现自动化特征规则的提取和生成，对规则以外的异常数据和操作行为进行告警或限制。图1简单介绍了非监督式学习和监督式学习的工作原理，以及综合二者优点的智能机器学习引擎技术的工作原理。

智能机器学习技术通过分析用户网络数据，发现设备和网络协议之间的逻辑关系和相似程度，在此基础上自动优化学习到的规则和策略，并且根据网络拓扑的实际情况与环境，自动组合出适用的新规则和策略。当策略和规则之间存在相互冲突和异常时，综合分析并调整规则和策略之间的匹配程度，同时自动部署最优化规则到不同的智能工业防火墙。
（2） 深度数据包解析技术
对各大主流工业控制协议深入解析，识别出协议中的各种要素及协议所承载的业务内容，并对这些数据进行快速解析，以还原其原始通信信息。根据解析后的原始信息，检测其中是否包含威胁以及敏感内容。对不同行业的工控系统，采取相应针对性的数据包探测机制和解析策略。在遵循工业控制系统可用性与完整性的基础上，检测出数据包的有效内容特征、负载和可用匹配信息，进而生成白名单。例如：针对Modbus协议中的操作码、设备地址、寄存器范围和读写属性等进行检查，更能精准地判断出非法操作、异常事件、外部攻击。同时结合基于对已知的工控软件漏洞、控制器漏洞、操作系统漏洞、Exploit-kit特征、Shellcode特征、蠕虫木马的通讯特征、僵尸网络的C&C通讯特征等黑名单防护签名库，根据系统的重要性制定相应的安全策略，如选择阻断还是告警的方式。

（3） 特征匹配技术
特征匹配技术以深度数据包解析技术为基础，并结合智能机器学习技术，实现数据包特征匹配功能。结合工业控制网络系统对于实时性的要求，特征匹配技术能够自动最小化策略更改和部署过程中的更新延时，并且能在无需重启的情况下，实时在线完成特征规则的更改与部署。通过高效的比对分析和算法，大幅度避免特征匹配引擎执行过程中对于重复数据包的解析匹配，有效提升特征匹配引擎性能，为满足工业控制网络对实时性和可靠性的特殊要求提供技术保障。由于工业协议的不统一，故存在多种变种，所以智能工业防火墙同时为用户提供高度开放的第三方开发者工具包，满足企业自身内部功能应用的开发需求。
（4） 黑白名单相结合的防御技术
基于工业漏洞库实现黑白单入侵防御功能，所有的已知工业设备和网络漏洞均列入黑名单，入侵防御功能通过分析、匹配、判断工控网络行为，对符合漏洞库的异常数据和行为进行阻断或告警，从而避免工业控制网络受到已知漏洞的破坏。
白名单通过机器智能学习引擎技术自动生成，也可以添加用户自定义的工控网络正常行为，与网络中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征，将会对此行为进行阻断或告警，以此避免工业控制网络受到未知漏洞威胁，同时阻止误操作带来的危害。
（5） 严苛的工业级硬件技术
为保障工业控制系统的可用性，智能工业防火墙支持硬件Bypass能力。当检测到设备掉电、软件宕机等异常情况时触发旁通功能，以保障业务通信的可用性，而无需担心断网和停车。同时为了适应环境严苛的生产现场，智能工业防火墙采用无风扇设计、导轨式安装，并支持低功耗、防尘防辐射等。
3.3　应用场景

工业企业的生产控制网络，不允许任何来自外部不可信的连接或流量接入到内部网络，仅允许内部生产数据根据约定的协议、内容和发送周期，发送给生产管理区，管理层进行相应的数据提取和分析决策。一般组成的网络架构如图3所示 [9] 。
针对图3中的网络架构，可以在生产控制区和生产管理区之间采用智能工业防火墙技术，针对特定的工业协议进行访问控制，阻断互联网通用协议进入到生产控制网，阻断针对工业控制系统漏洞进行的渗透攻击，仅允许生产管理区需要的数据从生产控制区外发。
4　总结与展望
在当前智能制造新形势下，安全问题不断增多与恶化，对智能工业防火墙提出了更高要求。虽然智能工业防火墙采用了多种适应工业控制系统特殊环境的网络安全技术，但是需要更多的实践才能更好地去迭代促进产品的成熟，为了真正发挥智能工业防火墙安全防护作用，需要企业用户、工业控制系统集成商、工艺专家、网络安全厂家等各方面的力量优势互补，促进智能工业防火墙的应用越来越成熟。

摘自《自动化博览》2018年5月刊