张学聪 北京神州绿盟信息安全科技股份有限公司

1　监测审计在工控安全保障策略中的重要性分析

工控网络安全保障一般包括以下七个步骤：实现应用白名单；确保合适的配置和补丁管理；减少攻击面；建立一个可防御的环境；管理认证；实现安全的远程访问；监测和响应。这七个步骤分别完成不同的安全策略的实施部署。

虽然这些策略可以防止90%以上的攻击，但是还有剩下的一些攻击手段，需要持续性的监测。此外，对于一些严重程度较低的异常，有些安全管理员很可能会忽略这些警告，而这很可能是有敌手对工控系统进行APT攻击，如果将这些异常信息进行关联分析，从中发现潜在的安全隐患，不仅能够减少管理员的压力，同时还能更好地保护工控安全。

在第七个策略安全监测和响应中，尤其需要对位于现场控制层的控制设备以及位于过程监控层的工作站的通讯过程进行安全监控。在众多工控安全系统中，工控安全监测审计系统是搭建整个预警体系的关键所在。作为预警体系的探针，工控安全监测审计系统承载着数据收集和分析的要务。

适用于工控网络的安全监测审计系统，需要对工控系统网络内的异常行为进行实时的监测分析，快速执行已经准备好的响应方案。

可考虑在五个位置部署监控程序：

（1） ICS边界对IP流量进行监测，正常和非正常的通信。

（2）在控制网络中的IP流量，恶意的连接或者内容。

（3）基于主机的产品，监测恶意软件和攻击企图。

（4）登录分析（时间或者地点），监测被盗用的账号的使用或者不正确的访问，验证所有的异常现象，通过快速电话联系。

（5）监测用户的管理行动，检测访问控制操作。

2　工控网络安全监测审计系统技术特性

2.1　基于机器自学习的业务行为基线

工业网络中设备众多、网络通信复杂，用户很难全面掌握网络中所必须的业务通信需求，这会给安全设备的规则配置带来很大困难。为了方便用户进行异常行为检测规则的配置，提高规则配置的准确性，减少规则配置的工作量，NSFOCUS SAS-ICS开发了基于机器自学习的业务行为基线功能。该功能采用被动检测的方式从网络中采集数据包，并进行数据包的解析，智能地与系统内置的协议特征、设备对象等进行匹配，生成可供参考的网络交互信息列表，通过对协议分布和流量信息的匹配，形成“工控场景行为基线”，帮助用户以最直观的方式了解和掌握网络中的业务通信状态，发现工控网络潜在的安全风险。

图1 工控网络基线资产关系图

通过基线自学习功能梳理工控现场资产拓扑，建立工控网络行为模型，对基线外异行为如组态变更、操控指令变更、负载变更、异常访问等告警，实现对工控现场安全事件的告警与响应，保障工业控制系统的安全稳定运行。

2.2　深度融合业务场景的异常行为检测

电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等各个行业的工业控制系统千差万别，不同的工艺流程往往有着不尽相同的业务处理方式，针对不同行业工控网络的异常监测有着较强的特异性差异。

NSFOCUS SAS-ICS深入不同行业的OT网络场景，融入针对不同行业的业务安全告警。如针对变电站场景，可对IEC61850协议簇进行深度解析，对应到特定场景下的关键操作行为（遥控操作、改定值操作）；针对其他行业场景，可设置通用行业场景，解析Modbus TCP、S7 Comm等常见协议规约。

同时，NSFOCUS SAS-ICS可对工控系统的配置文件进行解析，如变电站SCD文件等厂商相关配置文件的解析，将功能代码与具体业务操作进行关联，实现业务安全审计的功能。如可对工控协议报文进行检测和告警。可对运维人员下发的工控协议报文产生的非法操作进行检测和告警。可对资产新增、路径异常、未知协议、越权操作、关键控制等行为进行检测和告警。

2.3　工业网络协议深度解析

绿盟科技基于对工控环境的理解，针对工控环境使用的规约进行了相关分析和研究，对于协议的内容进行了完全的解码，可以深入到指令级别的分析，对于从上位机指令下发控制端到下位机指令接受操控端的通讯过程进行全面细致的解析。如对Modbus Tcp协议，可以深入到功能码寄存器层面进行细致的监测审计（写多个寄存器、读保持寄存器等），如图2所示。

图2 深入到功能码寄存器层面的工控协议深度解析

NSFOCUS SAS-ICS通过镜像方式对流量进行深入解码，分析其中的操作是否符合定义的操作要求，如发现其中有任何的违规操作，及时进行报警，由管理员来进行相关的处理。

3　工控网络安全监测审计系统行业应用

3.1　智能变电站监控系统安全监测审计

工控网络安全监测审计系统可旁路部署在智能变电站的站控层、间隔层、过程层的交换机上，对三层两网进行工控网络的流量监控和安全审计。

3.2　调度数据网边界安全监测审计

可将工控网络安全监测审计系统部署在调度数据网边界的实时交换机和非实时交换机上，对加密前和解密后的数据报文进行深度解析，识别104协议和其他流经调度数据网和生产控制大区边界的网络协议，并进行数据报文的分析，进行实时的流量监控和安全审计。

4　工控网络安全监测审计系统价值体现

（1）针对不同行业的工控网络场景建立融合业务的安全行为基线，形成工控网络数据流量的健康性监控；

（2）快速定位异常位置，协助相关人员快速解决故障及事件；

（3）指导安全工作和决策；

（4）满足工信部指南、能源局36号文、发改委14号令、工控等保等合规性要求。

作者简介

张学聪（1992-），男，黑龙江牡丹江人，硕士研究生，现就职于北京神州绿盟信息安全科技股份有限公司，主要研究方向为工业控制系统信息安全相关领域（控制器漏洞挖掘、基于业务的异常行为监测等）。

参考文献：

[1] ICS-CERT. Seven Steps to Effectively Defend Industrial Control Systems[Z]. 2015, 12.

摘自《工业控制系统信息安全》专刊第四辑