工業(yè)控制系統(tǒng)在安全監(jiān)測(cè)部署方面的注意事項(xiàng)

時(shí)間：2020-05-26 09:12:01

關(guān)鍵字：工業(yè)控制系統(tǒng) 工控網(wǎng)絡(luò) 指令控制網(wǎng)絡(luò)

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀] 工業(yè)控制系統(tǒng)廣泛應(yīng)用于設(shè)計(jì)國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施，工業(yè)控制系統(tǒng)的安全關(guān)系到國(guó)家的戰(zhàn)略安全。工業(yè)控制系統(tǒng)環(huán)境相對(duì)封閉，使得來(lái)自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意破壞性操作成為工業(yè)控

工業(yè)控制系統(tǒng)廣泛應(yīng)用于設(shè)計(jì)國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施，工業(yè)控制系統(tǒng)的安全關(guān)系到國(guó)家的戰(zhàn)略安全。工業(yè)控制系統(tǒng)環(huán)境相對(duì)封閉，使得來(lái)自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險(xiǎn)。因此，對(duì)于生產(chǎn)網(wǎng)絡(luò)的訪問(wèn)行為、特定控制協(xié)議內(nèi)容的真實(shí)性、完整性進(jìn)行監(jiān)控、管理與審計(jì)是非常有必要的。

在工業(yè)控制網(wǎng)絡(luò)中部署可對(duì)網(wǎng)絡(luò)攻擊和異常行為進(jìn)行識(shí)別、報(bào)警、記錄的網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備(如工控入侵或異常檢測(cè)類設(shè)備、工控網(wǎng)絡(luò)防病毒系統(tǒng)等)，及時(shí)發(fā)現(xiàn)、報(bào)告網(wǎng)絡(luò)攻擊(如病毒木馬感染、端口掃描、暴力破解等)或異常行為(如異常流量、異常指令、偽造工控協(xié)議報(bào)文、畸形報(bào)文等)，并根據(jù)影響范圍和后果進(jìn)行處理。

明確重要工業(yè)控制設(shè)備清單，主要包括但不限于數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA) 、分布式控制系統(tǒng)(DCS) 以及可編程控制器(PLC)等。一旦重要的控制設(shè)備被非法入侵者攻擊或非法篡改指令，可能會(huì)導(dǎo)致信息泄露或生產(chǎn)裝置不能正常運(yùn)轉(zhuǎn)。因此，除了要保證能及時(shí)發(fā)現(xiàn)針對(duì)工控網(wǎng)絡(luò)的攻擊和異常行為，還要針對(duì)重要工業(yè)控制設(shè)備的異常行為采取防護(hù)措施。

通過(guò)在重要工控設(shè)備前端部署可對(duì)所使用的工業(yè)控制系統(tǒng)協(xié)議進(jìn)行深度包監(jiān)測(cè)的防護(hù)設(shè)備，對(duì)Modbus、S 7、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進(jìn)行深度分析和過(guò)濾，實(shí)時(shí)探測(cè)到協(xié)議異常和應(yīng)用程序破壞策略的行為，阻斷不符合協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)包以及不符合業(yè)務(wù)要求的操作指令和數(shù)據(jù)內(nèi)容，限制違法操作。

為了及時(shí)發(fā)現(xiàn)重大工控安全事件，企業(yè)應(yīng)加大工控安全監(jiān)測(cè)力度，實(shí)施建議如下：

在工業(yè)控制網(wǎng)絡(luò)核心節(jié)點(diǎn)旁路部署工控網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，實(shí)時(shí)監(jiān)測(cè)工控網(wǎng)絡(luò)的異常行為，幫助企業(yè)了解其工業(yè)控制網(wǎng)絡(luò)的安全狀況。從工控安全監(jiān)測(cè)系統(tǒng)中獲得應(yīng)急響應(yīng)需要的相關(guān)信息，快速獲得線索，對(duì)事件進(jìn)行及時(shí)響應(yīng)。工控網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備部署下圖所示。

工控網(wǎng)絡(luò)安全監(jiān)測(cè)設(shè)備，如針對(duì)工業(yè)控制系統(tǒng)的IDS入侵檢測(cè)系統(tǒng)、PS入侵檢測(cè)與防御系統(tǒng)、工控異常監(jiān)測(cè)系統(tǒng)等。該類型設(shè)備需要監(jiān)測(cè)的信息包括：通用網(wǎng)絡(luò)入侵行為(如各種木馬、蠕蟲(chóng)、緩沖區(qū)溢出攻擊、DDoS、掃描探測(cè)、欺騙劫持、OPC web sever掛馬等) ，以及專門針對(duì)工業(yè)控制網(wǎng)絡(luò)的攻擊行為(如利用已知工控設(shè)備漏洞的入侵攻擊行為，基于主流工業(yè)通信協(xié)議的異常流量、異常指令及偽造工業(yè)指令和畸形報(bào)文)等。