基于密钥传输的工业网络安全监控系统研究*

陈学丽，郑伟伟，申 伟

(中国电子科技集团公司第三十三研究所, 山西 太原 030032)

1 背景

工业网络在迅速发展的同时,其隐藏的安全问题也逐渐凸显出来,由于网络攻击、网络病毒等导致生产中断、数据泄露等情况也愈加频繁,安全问题成为企业亟需解决的重要问题[1]。密码技术来作为信息安全最关键的防护技术,通过认证和加密大大提高了数据传输的安全性[2],广泛应用于网络信息安全保障。

针对工业信息安全不同于传统网络信息安全的特点,研究建立以身份密码体制(IBC)为基础的综合安全保障与监管系统。本系统针对工业以太网等工业信息传输网络中信息泄漏、信息被篡改和非法信息入侵等安全问题,基于身份密码体制(IBC),利用SM3/SM4/SM9等国密密码标准,建立工业网络通信系统的安全保障系统,实现密钥高效管理、信息传输加密、通信双方身份认证[3];并利用通讯协议深度解析进行工业网络流量监控,集工业网络信息传输加密防护、工业网络设备身份认证、指令级恶意流量分析检测于一体的工业网络安全防护监控系统[4]。

2 系统概述

系统用于对传输网络中所有的工业网络安全终端进行统一的监控和管理。网络防护监控系统具有:支持以太网、RS485等多种总线及Modbus、IC104等主流协议,实现指令级工业控制安全监控功能,对非法控制指令进行监测、报警和处置;具备状态监控、报警信息等内容;具有网络行为分析功能;具备数据记录功能,可以记录网络中的各种异常信息。

● 工业网络安全终端传输加密。基于IBC密码体制和SM9标识密码公钥算法SM4对称密码算法等国密标准算法,对工业网络中传输的重要敏感数据做加密保护,保护敏感数据不被泄露[5]。

● 工业网络安全终端身份认证。基于IBC密码体制和SM9标识密码公钥算法、SM3摘要算法等国密标准算法,对工业网络中信息传输双方设备进行身份认证,保证通信双方身份不能被冒用,以及通信过程中消息不能被篡改[6]。

● 软件系统是利用通讯协议深度解析进行工业网络流量监控,对工控网络中的多个设备进行实时监测,并对各个设备发送和收到的流量进行解析,实时监测网络异常流量,进行异常流量报警与处置。

3 功能需求

工业网络安全防护监控系统对工业网络中的终端设备进行流量监控与流量分析,实时监测网络异常流量,进行异常流量报警与处置。整体架构图如图1所示。

图1 工业网络安全防护监控系统功能模块图

工业网络安全防护监控系统包括流量实时监控、设备在线监控、异常信息报警、流量查询、异常查询、报警查询以及实现工业终端设备安全接入、身份认证、权限管理、数据库管理等功能,主要功能模块如图2所示。

图2 工业网络安全防护监控系统功能模块图

图2中系统在数据采集的过程中对异常流量信息进行实时监控,分析每个信息点的网络行为,确定是否为异常,如果异常立即报警。系统实现异常流量及安全监控功能:1) 安全终端设计异常数据包处理功能。正常状态下,信息点传输到信息安全适配器的信息是明文,可以是任何格式,而传输网络输入到信息安全适配器的信息是密文,并且是使用同一个密钥加密而成的密文。如果安全控制器从传输网络接收到了非同一个密钥加密而成的密文或无法得知格式的信息,则认为这是异常数据包,需丢弃,以保证不对信息点造成影响。2) 异常报警功能。如果从传输网络中收到了异常数据包,则可认为有非法访问者接入了网络,此时需记录其IP、端口及数据内容等信息,并报警,将报警信息传送到工业网络安全防护监控系统。

4 系统设计

4.1 系统结构图

系统采用集中式存储管理模式,所有软件及数据全部部署在服务端。系统完成数据接收、数据处理和数据展示。其中,数据接收是与频谱监测设备进行通讯,实时采集频谱数据,存放实时数据。数据处理子系统将实时数据进行统计分析生成小时报、日报、周报、月报的统计数据,同时报警信息存放如数据库,并生成态势图。本项目由四部分组成,图3是系统的体系结构图。

图3 系统结构图

● 数据接收:用于与现场终端设备连接,并从设备上采集数据,并进行加解密处理,存入数据库。

● 数据处理:实现对采集的实时数据进行统计分析。

● 数据展示:对流量数据、报警数据等进行态势展示。

● 系统数据库:用于存储监测数据、统计数据及用户数据等。

4.2 软件功能

主要功能截图如图4所示。

图4 系统主要功能截图

4.3 软件关键技术

基于学习引擎与人工修正相结合的方法,建立流量安全基线[7-8]。系统采用统计分析法对长时间内各个工控设备的工业现场业务类型、设备类型、监测时间、上行流量、下行流量、流量阈值进行智能化学习,分别形成各个设备小时、日、周、月的安全基线,以此为基准,通过合理判别流量是否异常的算法进行异常流量监测,充分保证了安全基线的合理性。

5 实验验证

系统要求对工业网络异常流量监测响应时间≤1 s;工业网络终端通信加密时间≤10 ms,现这两项性能指标进行实验验证。

5.1 实验环境

表1 工业网络安全防护系统实验环境

5.2 工业网络异常流量监测响应时间

对工业网络异常流量监测响应时间≤1 s这项性能指标进行验证,主要步骤如下:

1) 服务器端打开UDP监听器:开启线程,端口8848不断监听UDP报文。

2) 在同一台电脑上,模拟同一局域网内的9台终端设备,每个设备每隔5 s,向服务器端8848端口不断发送异常流量数据(包括发送时间)。

3) 服务器端接收数据,获取发送的流量信息(包括接收时间),并对数据进行解密与解析,存到数据库。

4) 监听一段时间,服务器端停止监听。

5) 将发送时间与接收时间的时间差作为流量监测响应时间。

服务器监听100 s,共接收到198条异常流量记录,这些记录的发送时间与接收时间的时间差(即流量监测响应时间)最大值为44 ms,最小值为2 ms,经计算均值为5 ms,满足工业网络异常流量监测响应时间≤1 s这一性能指标。

5.3 工业网络终端通信加密

对工业网络终端通信加密时间≤10 ms这项性能指标进行验证,主要步骤如下:

1) 使用2台电脑连接2个工业网络终端,通过交换机组成一个端对端传输网络。开始实验时两台电脑先在网上与北京时间进行时间同步。

2) 一台电脑安装SocketDlgTest设置为TCP服务器端;第二台电脑安装SocketDlgTest设置为TCP客户端。服务器端开通TCP服务,与客户端连接成功。

3) 不加密模式发送5个数据包。

表2 不加密模式接收时间

4) 加密模式发送5个同样的数据包。

表3 加密模式接收时间

5) 工业网络终端通信加密时间即两种情况发送的时间差:11.4-2.4=9 ms,结果满足时间≤10 m的指标。

6 结论

系统实现异常流量及安全监控功能,在安全终端设计异常数据包处理功能;服务端设计异常流量报警功能。本系统针对工控网络进行安全防护,具有网络通信加密、网络通信终端设备身份认证、网络信息加密、网络流量异常监控等功能,且满足各项性能指标,适用于各类工控网络环境。