工業(yè)控制系統(tǒng)在安全監(jiān)測部署方面的注意事項(xiàng)

工業(yè)控制系統(tǒng)廣泛應(yīng)用于設(shè)計(jì)國計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施，工業(yè)控制系統(tǒng)的安全關(guān)系到國家的戰(zhàn)略安全。工業(yè)控制系統(tǒng)環(huán)境相對封閉，使得來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險(xiǎn)。因此，對于生產(chǎn)網(wǎng)絡(luò)的訪問行為、特定控制協(xié)議內(nèi)容的真實(shí)性、完整性進(jìn)行監(jiān)控、管理與審計(jì)是非常有必要的。

在工業(yè)控制網(wǎng)絡(luò)中部署可對網(wǎng)絡(luò)攻擊和異常行為進(jìn)行識別、報(bào)警、記錄的網(wǎng)絡(luò)安全監(jiān)測設(shè)備(如工控入侵或異常檢測類設(shè)備、工控網(wǎng)絡(luò)防病毒系統(tǒng)等)，及時(shí)發(fā)現(xiàn)、報(bào)告網(wǎng)絡(luò)攻擊(如病毒木馬感染、端口掃描、暴力破解等)或異常行為(如異常流量、異常指令、偽造工控協(xié)議報(bào)文、畸形報(bào)文等)，并根據(jù)影響范圍和后果進(jìn)行處理。

明確重要工業(yè)控制設(shè)備清單，主要包括但不限于數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA) 、分布式控制系統(tǒng)(DCS) 以及可編程控制器(PLC)等。一旦重要的控制設(shè)備被非法入侵者攻擊或非法篡改指令，可能會導(dǎo)致信息泄露或生產(chǎn)裝置不能正常運(yùn)轉(zhuǎn)。因此，除了要保證能及時(shí)發(fā)現(xiàn)針對工控網(wǎng)絡(luò)的攻擊和異常行為，還要針對重要工業(yè)控制設(shè)備的異常行為采取防護(hù)措施。

通過在重要工控設(shè)備前端部署可對所使用的工業(yè)控制系統(tǒng)協(xié)議進(jìn)行深度包監(jiān)測的防護(hù)設(shè)備，對Modbus、S 7、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進(jìn)行深度分析和過濾，實(shí)時(shí)探測到協(xié)議異常和應(yīng)用程序破壞策略的行為，阻斷不符合協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)包以及不符合業(yè)務(wù)要求的操作指令和數(shù)據(jù)內(nèi)容，限制違法操作。

為了及時(shí)發(fā)現(xiàn)重大工控安全事件，企業(yè)應(yīng)加大工控安全監(jiān)測力度，實(shí)施建議如下：

在工業(yè)控制網(wǎng)絡(luò)核心節(jié)點(diǎn)旁路部署工控網(wǎng)絡(luò)安全監(jiān)測設(shè)備，實(shí)時(shí)監(jiān)測工控網(wǎng)絡(luò)的異常行為，幫助企業(yè)了解其工業(yè)控制網(wǎng)絡(luò)的安全狀況。從工控安全監(jiān)測系統(tǒng)中獲得應(yīng)急響應(yīng)需要的相關(guān)信息，快速獲得線索，對事件進(jìn)行及時(shí)響應(yīng)。工控網(wǎng)絡(luò)安全監(jiān)測設(shè)備部署下圖所示。

工控網(wǎng)絡(luò)安全監(jiān)測設(shè)備， 如針對工業(yè)控制系統(tǒng)的IDS入侵檢測系統(tǒng)、PS入侵檢測與防御系統(tǒng)、工控異常監(jiān)測系統(tǒng)等。該類型設(shè)備需要監(jiān)測的信息包括：通用網(wǎng)絡(luò)入侵行為(如各種木馬、蠕蟲、緩沖區(qū)溢出攻擊、DDoS、掃描探測、欺騙劫持、OPC web sever掛馬等) ， 以及專門針對工業(yè)控制網(wǎng)絡(luò)的攻擊行為(如利用已知工控設(shè)備漏洞的入侵攻擊行為，基于主流工業(yè)通信協(xié)議的異常流量、異常指令及偽造工業(yè)指令和畸形報(bào)文)等。