等保门户网: 测评整改

面向工业控制网络的安全监管方案

来源:admin 发布日期:2016-09-14

面向工业控制网络的安全监管方案

工控系统的安全问题得到广泛关注是以2010年伊朗Stuxnet病毒事件为出发点, 随后, 各个国家都陆续展开了相应的研究。伊朗Stuxnet病毒事件表明, 在这之前已经有个别国家或组织秘密的独立开展了相应的研究, 对工控系统的了解相当深入, 并且掌握了特定的攻击方法和系统的若干0 day漏洞。

现在, 已经陆续有很多机构, 包括产业界、学术界和标准化组织对工业控制系统的安全展开了研究。国外的研究机构有Industrial Defender、美国国家标准与技术研究院(NIST)、palo alto, 国内的研究机构有中国电子信息产业集团等科研机构和绿盟科技等信息安全公司。

目前, 一种比较流行的做法是通过加入访问控制的措施来抵御外部的攻击威胁。但是, 访问控制对于已经突破访问控制体系或从系统内部发起的入侵攻击却无能为力。针对这一现状, 德国的SCHUSTER等人在调研了入侵检测技术在工业自动化领域的应用情况的基础上, 提出了一种分布式的入侵检测系统。该系统包括了深度包检测、复杂事件处理、机器学习和异常检测等核心功能。该系统在网络不同的区域中, 分布式地部署数据采集与监视控制系统(Supervisory Control and Data Acquisition, SCADA)避免了单点故障对整个系统的影响。

由于工业控制系统中网络和物理传感器产生的数据量显著增加, 利用大数据技术对这些海量数据进行实时分析就显得很有必要了。罗马尼亚的KISS等人提出了一种基于数据聚类的方法来检测现代网络基础设施中的异常数据, 他们尝试了多种数据聚类的方法以选择最适合用于对时间序列数据进行聚类的方法。最后给出了该方法和架构对气体压缩系统数据的测试结果, 实验分别采用了K-meansSubtractiveSubtractive- K-means三种聚类方法, 结果显示K-means方法对该案例数据的执行效果是最好的。

美国的STONE等人采用了针对可编程逻辑控制器(Programmable Logic Controller, PLC)验证的基于RFRadio Frequency)的异常检测方法。使用提取的来自RF特征的信息识别操作特征的变化来检测SCADA系统中PLC的异常操作。该方法遇到的问题是当使用搜集到的多个时域波形时, 基于波形的实现方式的性能会急剧下降。该问题可以通过先提取波形幅度的RF指纹特征, 然后采用基于特征的异常检测方法来解决。

美国Industrial Defender公司的ANDREW设计了一种关于工业网络的简单网络异常检测器[10]。该检测器只查看IP地址和TCP/UDP端口, 在每一个位置, 都会采取一个人工校正或学习的过程来鉴定哪些是符合当前位置安全策略的网络流量, 而其他的流量都会触发警告。ANDREW概括了几个不同场景的异常检测情况, 其中涉及到的技术主要有防火墙改造、黑白名单技术、入侵检测代理技术等。此外, ANDREW还描述了一种使用tcpdump抓包技术的异常检测器的架构, 此架构是通过将获取到的IP包的包头信息发送给会话缓存模块, 然后转换成对应的特定信息组合(包括采用的协议、端点IP地址和端点IP地址相对应的TCPUDP端口等信息)的可唯一识别的会话流。再将转换后的会话流通过模式匹配模块进行验证, 如果不符合设定的规则就会发出警告。

由于工业控制系统的安全是一个新兴领域, 该领域的研究整体起步较晚, 我国对工业控制系统安全的重视程度远不及国外。但是工控系统控制着关系到国家战略和民生的关键基础设施, 保障工控系统的正常运行意义重大。因此, 国内针对该领域的研究也在迅速跟进。

PENG等针对工控系统提出了三点基础的安全策略.1)根据应用精简操作系统。Stuxnet蠕虫病毒是利用微软的Windows系统和SIMATIC(西门子自动化)的WinCC系统的多个漏洞展开攻击的。Stuxnet病毒利用的5个漏洞中, 有一个直到20101215日微软官方才宣布将其修复。而此时, Stuxnet病毒已经在全球范围内(尤其是伊朗)造成了非常严重的损失。操作系统中还存在着许多漏洞, 工业软件想要避免这些威胁并不是一件容易的事, 因此, 最好根据操作系统安装的应用精简操作系统, 降低被攻击的概率。2)布置分布式防火墙。分布式防火墙可以克服传统边界防火墙具有的许多缺陷, 分布式防火墙针对内部子网增加了一层安全保护层, 针对各个服务对象的不同需求制定差别化的配置, 网络处理负载的分散可以克服传统防火墙在高负载情况下的缺点。配置分布式防火墙时, 需要充分考虑当前运行的应用情况。3)对工业控制系统进行安全风险评估。安全风险评估的好处是我们可以针对不同事件的处理采取相应的安全策略并形成合理的方案。工业控制系统的风险评估应该基于成熟的风险评估方法, 并且应该特别关注控制系统的特殊要求, 以便根据控制系统的特点确保系统的正常运行。

目前来说, 在工业控制系统的安全监管领域, 图理论的方法、信号处理的方法、数据挖掘与机器学习等技术都有所应用。由于大量老旧系统遗留的问题, 很多安全方案都要求对系统软硬件进行升级, 但这一要求并不实际。目前对工业控制系统的安全监管的研究中, 取得较多的进展集中在异常分析领域。

结合工业控制系统的实际特点, 由于目前报道的入侵工控系统的病毒都没有源代码可获得, 因此无法提取到这些攻击的指纹特征。所以, 基于对正常行为的分析获得正常行为的特征, 然后进行基于正常行为的异常检测是工业控制防御手段的重要方法。此外, 由于工业控制系统产生数据量大的特点, 很多研究人员从结合机器学习、数据挖掘等技术出发, 对异常检测以及各种关联分析进行了有益的尝试。

【关闭】 【打印】

您是第 43864190 位访问者
沪ICP备 12039260号 京公网安备 11010802025578号