邹春明 公安部第三研究所，上海网络与信息安全测评工程技术研究中心

1　引言

工业控制系统广泛应用于能源、交通、水利、公共事业和智能制造等行业和领域，这些系统一旦遭到破坏，可能严重危害国家安全、国计民生及公共利益，很大部分均属于关键信息基础设施的范畴。对其运行安全，在《网络安全法》中也提出了明确的要求，运营者需采取监测、记录网络运行状态、网络安全事件的技术措施，日志留存不少于六个月。同时，工信部发布的《工业控制系统信息安全防护指南》中也提出需在工业控制网络部署网络安全监测设备，及时发现、报告并处理网络攻击或异常行为。另外，工业控制系统运营者从系统安全来说，也有必要通过审计监控措施，及时发现网络中的异常行为，进行安全防护，也能在安全事件发生后，做必要的追溯分析。因此，无论是法律法规的合规要求，还是自身的安全防护需要，都有必要对工业控制网络进行审计监控。

2　工控系统信息安全现状

2.1 工控系统安全现状

早期工控系统相对孤立，运行专有控制协议，使用专门硬件和软件，因此在设计之初就很少考虑信息安全问题。比如工控协议基本都是采用明文方式传输，并且缺少身份认证的支持，这在IT安全领域是绝对无法接受的。工控设备主要关注的也是功能安全，系统集成时注重的是可用性、稳定性及可靠性，往往把信息安全放到次要位置。随着互联网的发展，两化融合的推进，工控系统与互联网的信息交互变得非常必要，这就把原来通过物理隔离而隐藏在系统中的风险、漏洞暴露出来，同时也会引入新的风险。

工控系统的生命周期通常比较长，整个系统进行完全的更新是不现实的。这就有必要采取技术措施对工控系统进行安全防护。最基本的防护措施至少包括以下几个方面：首先，是边界防护，需要采取严格的访问控制措施，对包括外部边界、内部层级和区域边界的防护；第二，是人机交互设备的防护，主要是针对计算机设备，防止引入恶意程序及非授权的操作；第三，采取全面的审计监控措施，及时发现系统的任何异常情况。当然，为保障整个系统的安全，物理安全及运维管理安全也是必不可少的。

2.2　与IT系统的区别

工控系统在下层主要采用硬接线方式，其上层使用的还是工业以太网，与传统的IT网络具有一定的相似性。但由于各自系统在业务功能上存在较大差异，因此在审计监控需求上也存在较大的不同。

可用性要求方面，工控系统对可用性要求非常高，不允许外部设备对系统产生任何干扰；性能要求方面，对网络的实时性要求很高，而对吞吐量要求相对较低；通信协议方面，IT系统主要采用TCP/IP协议，应用层协议也具有统一规范。工控系统除了少量的标准协议，如ModBusTCP等，大量采用厂商的私有协议，而在通信内容上，工控系统相对比较简单，无外乎数字量、模拟量的输入监测和输出控制。

由于两者存在较大差别，使得传统的IT审计产品无法应用在工业控制系统。首先，传统IT审计产品无法识别工控协议的应用层元素；其次，IT系统中审计，除了流量镜像方式审计外，也可能以串接方式进行审计，串接方式在工控系统难于接受，会对通信带来额外的延时，设备的故障也会影响系统可用性；第三，传统IT审计产品的高性能在工控系统中无太大必要。

2.3 工控审计监控产品现状

随着对工控系统信息安全的关注，用户有了对工控系统进行审计监控的需求。2014年，市场上就出现了针对工控系统的审计类产品，近几年的产品数量更是有着大幅增长。目前这类产品主要还是黑名单技术，即对能够识别的协议进行分析审计，其它通信则不处理，能够记录通信的五元组及工控协议通讯的应用层内容，如操作类型、操作对象、操作值等。但目前这类产品还普遍存在一些不足之处。首先，对工控协议支持的数量相对有限；其次，大多还是偏重于提取通讯的相关内容，而对其所做的自动分析较少；还有就是对不能识别的内容可能存在潜在风险的通讯都是直接忽略。

2.4 工控审计需求

由于工控系统与IT系统存在较大差异，其对系统网络审计也有着不同的需求。在部署上，需采取镜像监听方式，并保证监听网卡不能主动外发数据包，有些大型的系统，横向上会有多个区域，这就需要审计产品能够支持分布式部署，在此模式下，如果数据采集引擎部署在工业现场，采集引擎硬件需要具有良好的环境适应性，如温湿度、抗震、电磁兼容等，为了产品的可靠性，通常也需要采用无风扇自然散热的方式。工控系统的安全，要求整个网络通信可知可控，这就要求工控审计产品对所有流量进行全面分析处理，对于无法确定为正常的通信内容均应视为异常通信，可能存在潜在的风险。实现对异常/攻击事件的溯源分析（事后），及时发现网络中的异常行为并告警（事中）。

3　基于白名单的审计监控研究

3.1　白名单技术分析

采用基于规则匹配技术实现的安全功能，要么以黑名单方式，要么以白名单方式。黑名单方式，主要规则匹配的内容认为是恶意的，对其它内容不做处理，如入侵检测系统、杀毒软件主要采用此方式；白名单方式，主要是规则匹配的内容认为是无害或能够允许的，而其它内容均认为是异常或不可信。

IT系统中通信非常复杂，各设备之间的网状通信、设备上各应用程序与外部及互联网往往都有复杂的通讯内容，无论是网络层还是应用层。这就使得IT系统中的网络审计无法采用白名单技术，通常只能够审计到通信的五元组信息，以及能够识别的部分协议类型及应用层内容，而且对应用层内容审计得过多又可能侵犯个人隐私，如邮件内容、即时聊天内容等。而工控系统中通信相对简单，一个完整的流程下来，基本上能够覆盖各类通信行为，而且通信内容上不会变幻不定。另外，工控系统中的通讯协议通常都是明文方式。再加上工控系统安全对稳定可靠、可知可控的需求，这使得以白名单方式进行审计成为可能。

3.2　网络层白名单分析

要进行网络层的白名单分析，前提是具备相应的白名单规则。首先是资产白名单，通过设定IP、MAC地址清单，若监测到系统中出现了清单之外的源IP或MAC地址，说明有非法设备接入。其次，工控系统中各设备所开放的服务端口是可知的，哪些设备需要访问这些服务也是能够确定的，这就可以生成类似防火墙包过滤策略的五元组规则，源IP、源端口，目的IP、目的端口及传输层协议类型。当然，由于通信过程中，源端口通常为随机生成，该要素可以忽略。通过提取网络会话中的源IP，目的IP和目的端口，传输层协议，与设定规则进行比对，就至少能够识别出以下异常行为：如来自工程师站/操作员站主机之外设备访问控制器，可能就是潜在的攻击探测；若存在非控制器IP与控制器远程通信模块进行通信，无论其应用层协议是否合规，可能就是直接的协议攻击。

3.3　应用层白名单分析

同样，对应用层通信进行白名单分析，也需要应用层通信的白名单规则。各工控协议应用层内容都有一套协议规约，所有的通信均应遵循此规约。应用层通信内容要素主要包括：操作类型，如读取、写入操作；操作对象，如I/O点位地址；操作值等。正常的工艺流程下，I/O点位地址清单应是明确的，对各I/O点的操作类型、操作值范围也均是明确的。这就可以基于以上要素形成应用层基本的白名单规则。进一步来说，可基于各操作的先后次序、时间间隔等要素生成更细致的白名单规则。通过提取工控协议中相应的要素并进行记录，然后与白名单规则进行比对分析，识别其中异常行为。如越限值的操作、非授权的点位操作等，这些都可能会带来严重的后果。

3.4　其它必要的审计分析技术

学习功能：对于规模较小的系统来说，可以通过人工方式设定较为准确的白名单规则。但对于规模较大的系统，设备数据多、监控的点位多时，人工就很难配置出完善的白名单规则，这就需要审计产品一定的学习功能。通过一个或多个完整的工艺流程后，自动学习生成基础的白名单规则库，在此基础上，通过人工的调整完善。并通过后续的试运行，排除可能出现的误报行为，最终形成较为完善的白名单规则库，来对事件进行分析。

黑名单分析技术：基于白名单的审计分析，能够识别出不合规的异常事件，但对于不同的异常事件，可能有不同的危害程度，这主要依靠黑名单分析技术，通过设定一个规则集，并设定其危害等级，出现匹配的事件时，进行相应级别的告警。例如，高铁设计时速为300km/h，速度超过设计速度的10%可能就是中危事件，超过20%可能就是高危事件，那么就可以对速度监测数据分别设置中危、高危分析规则。

关联分析技术：有些时候，尽管从单个事件来看属正常事件或者低危事件，但不同的事件以某种特定的方式同时出现时，就可能是高危事件了。比如，端口扫描、系统登录失败，这应该都属于低危的事件，但是如果先出现端口扫描事件，接着就出现登录失败事件，这很可能就是高危的恶意攻击事件。通过关联分析技术是能够非常有效地挖掘出安全事件，但它主要还是通过人工设定分析规则来实现，这对规则设定的要求较高。

3.5　网络报文分析流程

对于审计产品来说，网络报文的分析是其基础，包括网络层的内容，如MAC、IP、传输层协议类型、端口等，应用层的内容，如操作类型、操作对象、操作值等参数。总体分析流程如图1所示。

网络报文分析流程图

首先通过网络层白名单规则对报文进行分析，在此期间，需要排除部分无实质应用内容的报文，如ARP、ICMP报文，但不是直接丢弃，也需要对报文数量进行统计，是否出现异常的报文风暴等，这就可以得到网络层正常事件、网络层异常事件。对于网络层异常事件，需进一步通过应用/网络黑名单规则进行分析，可以得到恶意事件和普通的异常事件，这类恶意事件如来自非工程师站、操作员站的设备篡改控制器指令等。对于网络层属于正常的事件，也需要深入分析，先通过应用层白名单规则进行分析，若匹配，则属于正常事件，其它均属于应用层异常事件，再通过应用黑名单规则进行分析，可以得到诸如越限值操作、异常协议攻击等事件。

通过上述的分析，可以得到正常事件、网络层的恶意事件和异常事件、应用层的恶意事件和异常事件。最后可通过统计分析、关联分析等分析技术进行综合分析，得到确定的恶意事件。从而实现工控系统全面的审计监控。

4　总结与展望

由于工控系统的特点及安全需求，使得基于白名单技术的安全审计在工控系统审计中具备了基础条件，也是工控系统安全审计所必要的。因此，国家标准《信息安全技术 工业控制系统网络审计产品安全技术要求》的编制，也是基于此思路来编写的。工控审计类产品重点不在于记录下各类通信行为，而是在于后续的分析，这也是难点所在。随着这类产品的发展，分析技术必将进一步成熟和完善。

作者简介

邹春明（1979-），男，湖南衡阳人，高级测评师，硕士，现就职于公安部第三研究所，主要研究方向为信息安全。

参考文献：

[1] NIST-SP800-82-2011. Guide to Industrial Control Systems (ICS) Security[S].

[2] 袁胜. “白环境”下的工控安全[J].中国信息安全, 2016 (4) : 74 - 75.

[3] GA/T 695-2014 . 信息安全技术 工业控制系统网络通信审计产品安全技术要求[S].

摘自《工业控制系统信息安全》专刊第四辑工控安全