重点工业企业安全监测平台建设研究

熊道琦，梁猛，阮涛

（浙江齐安信息科技有限公司，浙江 杭州 310051）

0 引言

随着自动化、计算机及互联网等技术的飞速发展，工业控制系统已逐步形成了管理与控制的一体化，工控系统产品越来越多地采用通用协议、通用硬件和通用软件，信息化与工业化深度融合使工业控制系统处于开放状态，不再是一个独立运行的系统，其接入的范围不仅仅局限在工控网络，已扩展到了互联网，因而面临着来自互联网的信息安全威胁。

1 工控网络安全现状

目前，许多关键性基础设施的控制系统很少有防范突发事故或恶意攻击的保护措施，工控系统信息安全问题日益突出，导致一些事故轻易发生；此外，给黑客的攻击及病毒的入侵提供了可乘之机，从俄罗斯黑客入侵美国电网，到伊朗核电站因电脑遭病毒侵袭而瘫痪，安全事件频频发生。这一切，暴露出工业控制系统在安全防护方面的严重不足，同时给人们敲响了工业控制系统信息安全警钟——工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险[1]。

因此，《中华人民共和国网络安全法》[2]、《省级工业互联网安全监测与态势感知平台建设指南》和《“工业互联网+安全生产”行动计划（2021-2023年）》[3]等法规和政策的实施已势在必行，对工业生产控制系统与管理系统进行安全防护已迫在眉捷，必须尽快建立安全防护体系以满足国家信息安全的战略需要。

2 工控现场安全防护必要性

从“震网”病毒到“Havex”，从“BlackEnergy”到“勒索”病毒，针对工业控制网络，尤其对关键基础设施的直接攻击、信息窃取和勒索事件等工控网络安全事件层出不穷。随着工业控制系统的信息化程度会迅速逐步提高，针对工业控制网络的攻击将成为一种常态，工业控制系统的信息安全将会得到前所未有的高度关注。

传统的网络安全产品无法适用于工业控制网络，原因有很多，诸如：工控网络首先要保证可用性，不可采取牺牲可用性的安全监测手段；工控网络无法接受“漏报”和“误报”；传统安全产品无法识别工控协议，尤其是众多的私有协议；工控网络内的所有产品升级的频次普遍偏低，需要频繁升级的安全产品难以适用。

IT领域的入侵检测和审计产品也无法满足工控网络安全的需要，但入侵检测和安全审计是非常必要的安全技术手段。

因此，重点工业企业安全监测平台的建设，可减少或避免工业企业的受到攻击或破坏，有效保障工业企业的正常运行，为工控系统的入侵检测和安全审计提供了有力的技术保障。同时，对工业企业的发展也起到积极作用。

3 研究技术路线

在重点工业企业安全监测平台建设中，分重点工业企业安全监测平台端（简称“平台端”）和重点工业企业安全监测平台设备端（简称“设备端”）同步开展监测，采集安全相关数据，分析安全风险，二者有机互补、统筹推进，企业侧设备端采取旁路接入的布署方式，不影响企业日常生产经营。

设备端能够实时监测工控网络的状态，检测工控网络中入侵行为，也能根据用户定义的审计策略，追踪工控网络安全事件，它能对工控网络的数据进行留存。

设备端的相关数据，采用4G加密单向上传和离线导出文件并上报至平台端两种方式。

平台端针对工控企业的设备端流量、通信协议和安全事件进行远程监测，对上报的网络监测数据进行分析处理，管理人员可远程监测网络运行情况，有效管理工业网络稳定运行。

图1 应用场景示意图

4 主要研究内容

4.1 主要研究工作

重点工业企业安全监测平台端以企业侧设备端上报的安全事件和流量信息为核心的数据平台，负责完成数据采集、存储、二次处理、数据分析和生成报告等工作。在各重点工业企业工业控制系统核心交换机或网络边界交换机位置，只旁路方式布署一台设备端，通过设备端内置的4G模块，可以将安全事件数据加密后单向上报至平台端，或是通过手动导出数据并上传至平台端。

4.2 平台端研究内容

图2 平台端系统架构图

平台端应涵盖数据接口、数据处理、综合展示与数据上报四个部分核心功能。

数据接口：数据接口包括通过4G无线接口和离线数据上传接口，采集汇总终端设备事件信息，并通过数据加解密措施，将数据上传至数据处理层。数据接口层还包括终端管理接口，完成设备端的远程管理。

数据处理：数据处理包括对终端采集的数据进行解析、清洗，处理、归集、安全存储，数据处理层为平台侧的主要功能。

综合展示：综合展示层通过本地存储的地理位置信息与终端设备布署的企业信息，对安全状态进行综合化的展示，并通过事件数据检索与事件管理，有效甄别通报重要安全事件，通过周期性生成安全报告，降低平台运维工作量。

数据上报接口：主要完成在线监测平台的数据统一汇总，将数据转换成《工业互联网安全监测与态势感知平台 国家级-省级接口规范》要求的数据格式，并进行加密，按要求的周期，将数据上报至上级平台。

4.3 设备端研究内容

在工业企业生产网的核心节点布署设备端，通过分光、镜像等采集网络流量原始数据，通过加密接口对接企业安全事件信息，解析成网络攻击事件和异常违规行为事件。通过布署重点工业企业测设备端，完成工业互联网企业网络侧流量和日志等信息采集的要求。

图3 设备端系统架构图

布署在工业企业的设备端应涵盖数据采集层、安全事件信息与对外接口三部分核心功能。

数据采集层：通过旁路镜像的方式，完成对工业控制系统网络关键节点处流量的采集工作。

安全事件信息：通过学习系统正常状态的通信行为，形成设备端新的安全规则，并通过内置的威胁特征库与黑名单规则，对采集的流量进行分析，并通过流量特征分析与行为特征分析，发现系统内异常行为。

对外接口：包括设备端4G无线接口、离线数据导出接口、远程管理接口、本地管理接口、本地审计接口。

5 关键技术

5.1 准确识别入侵行为

利用自有的工控威胁知识库建立检测规则，准确识别漏洞利用攻击和恶意代码攻击等入侵行为。

5.2 精准识别与深度分析

精准识别OPC、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7等主流工控协议，可深度分析生产环境中的控制指令、参数等信息。

5.3 网络状态实时监测

实时监测工控网络的运行状态，自动学习通信规则，建立可信行为基线，对网络中的异常指令和行为进行实时监测和告警。

平台端依托设备端上报的安全事件和流量信息，实时掌握各地区的网络安全事件和及时了解设备端流量情况，为重点工业企业提供安全防护建议。

5.4 审计数据安全留存

用户自定义留存工控网络日志数据，符合政策法规的相关规定，同时为还原事故真相提供了有效的技术手段。

6 应用范围

重点工业企业安全监测平台的设备端适用于SCADA、DCS、PCS和PLC等工业控制系统，可以被广泛的应用到石油石化、天然气、电力、智能制造、水利、铁路、城市轨道交通、城市市政以及其他与国计民生紧密相关领域的工业控制系统，为行业客户的工业控制系统提供适当的安全监测与审计服务。

图4 工业现场部署示意图

7 产品价值

7.1 及时发现安全风险

设备端实时对工控网络进行监测，通过内置的工控威胁库，能最大限度的识别已知的攻击行为；通过布署策略，能及时发现不合规的行为，对发现潜在的未知威胁提供了有效的技术手段，并提供合理化安全建议。

7.2 审计数据安全留存

对工控网络的原始数据进行安全存储，符合政策法规相关规定，及相关审计要求，审计数据留存时间不少于六个月。

7.3 为安全事故调查取证提供技术手段

对工控网络数据进行审计和分析，为还原事故真相提供了有效的技术手段。解决企业网络监控和安全防护等难题，实现科学管理。

7.4 协助监管部门提升监管效能

对工控企业的设备端流量、通信协议和安全事件进行远程监测，对上报的网络监测数据进行分析处理，管理人员可远程监测网络运行情况，有效管理工业网络稳定运行，协助监管部门逐步提升网络安全监管效能。

8 经济效益

8.1 经济效益分析

（1）保障企业安全提升效益。重点工业企业安全监测平台实时对工控网络进行监测，通过内置的工控威胁库，能最大限度的识别已知的攻击行为；通过布署策略，能及时发现不合规的行为，对发现潜在的未知威胁提供了有效的技术手段，实时的告警和响应能及时告知用户工控系统中存在的安全风险。为企业提供深层次的安全服务,协助工控企业进行安全加固，减少安全事故带来的损失，提升企业效益。

（2）避免工业企业重复安全建设。重点工业企业安全监测平台设备端设备布署于重要工业企业网络关键阶段处，满足工信部《工业控制系统信息安全防护指南》中“安全监测与应急预案演练”要求，又满足GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》安全区域边界中“安全审计相关要求”相关要求。通过布署单个设备，满足企业对于国家多个安全标准体系要求，避免了安全系统的重复建设，降低企业安全运维难度，从多方面降低了企业的经营成本。

8.2 社会效益分析

助力省级态势感知平台建设。通过建设重点工业企业安全监测平台，可对浙江省重要工业企业进行实时监测，掌握布署设备端设备重要工业企业运行状况和安全风险，为省级态势感知平台掌握当前区域的网络安全形势、安全问题与各工业企业的安全水平提供数据支撑，便于宏观把握区域工业互联网安全状态，做到区域安全建设心中有数，依据真实的感知数据，可驱动今后制定对应的有效决策，有针对性地研判预警，减低省内工业企业工控网络安全事件发生的概率，指导企业安全规划与建设，从而逐渐提升本省工业企业整体安全水平。

9 结语

建设重点工业企业安全监测平台，需有强有力的研发能力、数据分析能力、产品迭代更新和产品质量保证；需针对工业现场的网络流量进行监测、审计和预警，帮助企业实现对生产网络关键节点的全面安全监测，解决企业生产网络遇到的网络监控和安全等难题，逐步实现全省范围内重要工业互联网安全态势感知。

重点工业企业安全监测平台的建设需要具备以下基本功能特点：

准确识别漏洞利用攻击和恶意代码攻击等入侵行为；

精准识别OPC、Modbus/TCP、IEC104、DNP3、Profinet、MMS、S7等主流工控协议，可深度分析生产环境中的控制指令、参数等信息；

对工控网络数据进行审计和分析，为安全事故调查取证提供技术手段；

设备端内置4G模块，可以将安全事件数据加密后上报到平台端；

平台端提供数据上报接口，完成平台端的数据统一汇总，将数据转换成国家级/省级接口规范要求的数据格式，并进行加密，按照上报周期，将数据上报至省级工业互联网安全监测与态势感知平台。