趙一凡，李富勇，魏珂悅，林逸風(fēng)

（浙江省電子信息產(chǎn)品檢驗(yàn)研究院，浙江 杭州 310007）

0 引 言

伴隨著新一輪科技革命和產(chǎn)業(yè)革命，工業(yè)領(lǐng)域的數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展成為第四次工業(yè)革命的核心內(nèi)容。工業(yè)互聯(lián)網(wǎng)第四次工業(yè)革命的重要基石是通過(guò)人、機(jī)、物的全面互聯(lián)，全要素、全產(chǎn)業(yè)鏈、全價(jià)值鏈的全面連接，對(duì)全生命周期的工業(yè)數(shù)據(jù)進(jìn)行采集、傳輸、存儲(chǔ)、分析并形成智能反饋，推動(dòng)形成全新的生產(chǎn)制造和服務(wù)體系，優(yōu)化資源要素配置，充分發(fā)揮制造裝備、工藝和材料的潛能，提高企業(yè)生產(chǎn)效率，創(chuàng)造差異化的產(chǎn)品并提供增值服務(wù)。但工業(yè)系統(tǒng)與新一代信息技術(shù)的深度融合，讓工業(yè)企業(yè)的工控網(wǎng)絡(luò)、信息網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間的邊界更加模糊，為網(wǎng)絡(luò)攻擊入侵工控系統(tǒng)提供更多途徑，使得工控系統(tǒng)面臨一系列更加復(fù)雜的安全挑戰(zhàn)。

自2000年開(kāi)始，全球就持續(xù)面臨針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊。2008年，美國(guó)Browns Ferry核電站受到網(wǎng)絡(luò)攻擊，反應(yīng)堆核心控制器工作失靈，被迫關(guān)閉；2010年，伊朗布什爾核電站遭受震網(wǎng)病毒攻擊，離心機(jī)大面積損壞，導(dǎo)致整個(gè)國(guó)家核工業(yè)發(fā)展延期，損失難以估量；2015年，烏克蘭電力系統(tǒng)受到“BlackEnergy”惡意軟件的攻擊，導(dǎo)致大規(guī)模停電，給成千上萬(wàn)家庭的供電供暖帶來(lái)嚴(yán)重影響；2018年，臺(tái)積電三處晶元廠遭受“WannaCry”勒索病毒攻擊，停產(chǎn)不到三天時(shí)間，損失超15億；2019年，委內(nèi)瑞拉最大的電力設(shè)施古里水電站控制中樞遭受網(wǎng)絡(luò)攻擊，引發(fā)全國(guó)性大面積停電，約三千萬(wàn)人受到影響；2020年，美國(guó)一家天然氣公司遭受勒索軟件攻擊后被迫關(guān)閉設(shè)施兩天，勒索軟件從其IT網(wǎng)絡(luò)滲透到OT網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)資產(chǎn)均造成影響。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展，國(guó)內(nèi)工控網(wǎng)絡(luò)安全現(xiàn)狀不容樂(lè)觀，需要加強(qiáng)工業(yè)企業(yè)安全監(jiān)測(cè)技術(shù)的研究[1]。

1 工業(yè)企業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析

傳統(tǒng)工業(yè)企業(yè)工控網(wǎng)絡(luò)相對(duì)封閉，與信息網(wǎng)絡(luò)物理隔離，可在一定程度上抑制信息安全網(wǎng)絡(luò)攻擊向工控網(wǎng)絡(luò)和工控設(shè)備滲透。但工業(yè)互聯(lián)網(wǎng)的快速發(fā)展打破了工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的邊界，網(wǎng)絡(luò)攻擊行為能通過(guò)多種途徑滲透工控網(wǎng)絡(luò)，影響工業(yè)控制系統(tǒng)的穩(wěn)定。使用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)[2]。

1.1 工控系統(tǒng)漏洞隱患較多

國(guó)內(nèi)工業(yè)控制系統(tǒng)的研制起步較晚，如浙江中控、北京和利時(shí)等。國(guó)外工業(yè)控制系統(tǒng)占據(jù)較大的市場(chǎng)份額，例如西門(mén)子、施耐德電氣、霍尼韋爾、羅克韋爾、通用電氣等。這些廣泛應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施的工控系統(tǒng)，存在大量已知或未知的漏洞和后門(mén)，即使設(shè)備供應(yīng)商提供漏洞解決方案，但對(duì)于使用中的工業(yè)控制系統(tǒng)也很難進(jìn)行漏洞修復(fù)。

這些工控系統(tǒng)的維護(hù)需要廠商的參與，在廠商無(wú)法到達(dá)現(xiàn)場(chǎng)的情況下，只能由廠商進(jìn)行遠(yuǎn)程維護(hù)，但此舉有可能引入網(wǎng)絡(luò)攻擊，導(dǎo)致數(shù)據(jù)泄露，帶來(lái)極大的安全隱患。

所以只有提升核心工控系統(tǒng)的自身安全性，才能有效應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)環(huán)境下全方位、多角度的網(wǎng)絡(luò)安全威脅[3]。

1.2 工控系統(tǒng)安全防護(hù)能力弱

工控系統(tǒng)和工控網(wǎng)絡(luò)的建設(shè)已經(jīng)有幾十年的歷史。工控系統(tǒng)在設(shè)計(jì)之初，在性能有限的情況下，更多考慮其穩(wěn)定性和可靠性，未考慮工控系統(tǒng)自身的安全性。

在組建工控網(wǎng)絡(luò)時(shí)，因?yàn)楣た鼐W(wǎng)絡(luò)和信息網(wǎng)絡(luò)存在物理隔離，網(wǎng)絡(luò)攻擊可能性低，所以工控網(wǎng)絡(luò)未做統(tǒng)一完善的安全防護(hù)方案。同時(shí)，大量工控網(wǎng)絡(luò)的工控設(shè)備和工業(yè)網(wǎng)絡(luò)設(shè)備普遍采用缺省配置，容易被攻擊利用。

在工控網(wǎng)絡(luò)投入使用后，系統(tǒng)使用年限長(zhǎng)，設(shè)備更新?lián)Q代慢，存在難以替代的情況。

1.3 開(kāi)放互聯(lián)導(dǎo)致攻擊途徑增多

傳統(tǒng)工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)物理隔離，相對(duì)封閉，沒(méi)必要防范外部網(wǎng)絡(luò)攻擊，所以較少做統(tǒng)一的安全防護(hù)。

但隨著工業(yè)自動(dòng)化和信息化的高度融合，IT和OT的網(wǎng)絡(luò)邊界被逐步打破，僵木蠕和APT等網(wǎng)絡(luò)攻擊行為會(huì)通過(guò)多種途徑由互聯(lián)網(wǎng)逐步向信息網(wǎng)絡(luò)、工控網(wǎng)絡(luò)滲透，對(duì)工業(yè)系統(tǒng)的正常運(yùn)行造成影響，工業(yè)企業(yè)的工控網(wǎng)絡(luò)面臨著巨大的安全挑戰(zhàn)[4]。

1.4 工控系統(tǒng)網(wǎng)絡(luò)攻擊更有針對(duì)性

工控系統(tǒng)由上位機(jī)和下位機(jī)組成。上位機(jī)包括HMI、工程師站、操作員站等，主要建立在Windows和Linux操作系統(tǒng)之上；下位機(jī)包括DCS、PLC、RTU等，主要是嵌入式系統(tǒng)。這些設(shè)備主要通過(guò)工業(yè)協(xié)議通信，完成控制命令和數(shù)據(jù)的交互。

傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊能夠影響上位機(jī)的運(yùn)行，如操作系統(tǒng)層面的越權(quán)操作、信息竊取等，對(duì)于工業(yè)協(xié)議和下位機(jī)的嵌入式系統(tǒng)影響不大。

隨著工控系統(tǒng)暴露出來(lái)的漏洞逐年增多，針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊也更加具有針對(duì)性，這些攻擊行為有部分使用工業(yè)協(xié)議，對(duì)DCS、PLC等設(shè)備進(jìn)行工業(yè)參數(shù)篡改、緩沖區(qū)溢出等。有些攻擊比較明顯，可通過(guò)網(wǎng)絡(luò)通信發(fā)現(xiàn)，但有些攻擊非常隱蔽，通過(guò)較長(zhǎng)的攻擊鏈長(zhǎng)期竊取生產(chǎn)數(shù)據(jù)，或者使用中間人攻擊，導(dǎo)致下位機(jī)異常，而上位機(jī)卻未察覺(jué)。當(dāng)前，針對(duì)工控系統(tǒng)的攻擊途徑逐漸增多，攻擊方式更加多樣，更有針對(duì)性[5]。

1.5 工業(yè)數(shù)據(jù)泄露風(fēng)險(xiǎn)與日俱增

工業(yè)企業(yè)的工業(yè)生產(chǎn)數(shù)據(jù)的數(shù)量、種類(lèi)已得到較大發(fā)展，且數(shù)據(jù)結(jié)構(gòu)更加復(fù)雜。同時(shí)，由于工業(yè)互聯(lián)網(wǎng)平臺(tái)的發(fā)展，這些數(shù)據(jù)可能需要在系統(tǒng)之間、車(chē)間之間、廠區(qū)之間、企業(yè)之間流動(dòng)共享，實(shí)現(xiàn)要素資源的融合融通，從而增加了工控網(wǎng)絡(luò)生產(chǎn)數(shù)據(jù)和隱私數(shù)據(jù)的泄露風(fēng)險(xiǎn)。數(shù)據(jù)從系統(tǒng)內(nèi)流向系統(tǒng)外，從工控網(wǎng)絡(luò)流向信息網(wǎng)絡(luò)，從企業(yè)內(nèi)流向企業(yè)外。各行業(yè)、各系統(tǒng)數(shù)據(jù)保護(hù)需求不同，數(shù)據(jù)流向不同且路徑復(fù)雜，大大增加了數(shù)據(jù)保護(hù)的難度。

1.6 應(yīng)急處置能力弱

要保障工業(yè)企業(yè)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全，有效應(yīng)對(duì)網(wǎng)絡(luò)安全威脅帶來(lái)的風(fēng)險(xiǎn)，需要建立相應(yīng)的安全防護(hù)體系和安全監(jiān)測(cè)體系，落實(shí)相關(guān)安全管理規(guī)范。但我國(guó)在工業(yè)安全建設(shè)方面起步較晚，不同行業(yè)的工業(yè)安全建設(shè)差別較大，在防護(hù)體系、架構(gòu)設(shè)計(jì)、安全監(jiān)測(cè)、應(yīng)急響應(yīng)等方面相對(duì)較弱，部分企業(yè)無(wú)監(jiān)測(cè)預(yù)警機(jī)制，也無(wú)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案，相關(guān)建設(shè)有待提高。

2 安全監(jiān)測(cè)相關(guān)技術(shù)

工控網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)主要包括工業(yè)協(xié)議深度解析技術(shù)、異常行為檢測(cè)技術(shù)、日志采集及分析技術(shù)、蜜罐技術(shù)、沙箱技術(shù)、網(wǎng)絡(luò)攻擊溯源技術(shù)、態(tài)勢(shì)感知技術(shù)等。

2.1 工業(yè)協(xié)議深度解析技術(shù)

工業(yè)控制系統(tǒng)之間、上位機(jī)和下位機(jī)之間基于總線(xiàn)或以太網(wǎng)通過(guò)工業(yè)協(xié)議進(jìn)行指令和數(shù)據(jù)交互。少部分工控協(xié)議為公開(kāi)協(xié)議，例如MMS、GOOSE、IEC103、IEC104、Modbus/TCP、Ethernet/IP等；但大部分工控協(xié)議為私有協(xié)議，例如西門(mén)子S7、浙江中控、北京和利時(shí)、koyo、bachmann、紅獅Crimson、foxboro、艾默生ovation等所使用的工業(yè)協(xié)議等。要檢查指令和數(shù)據(jù)交互的合規(guī)性，實(shí)現(xiàn)安全監(jiān)測(cè)與分析，需要對(duì)工業(yè)協(xié)議進(jìn)行精準(zhǔn)的DPI深度報(bào)文解析。通過(guò)解析工業(yè)協(xié)議，提取功能碼、數(shù)據(jù)等協(xié)議關(guān)鍵字段，覆蓋主流工業(yè)協(xié)議，從而發(fā)現(xiàn)網(wǎng)絡(luò)流量中存在的安全問(wèn)題。

2.2 異常行為檢測(cè)技術(shù)

針對(duì)工控系統(tǒng)的網(wǎng)絡(luò)攻擊和違規(guī)操作等需要通過(guò)基于工控網(wǎng)絡(luò)的網(wǎng)絡(luò)通信來(lái)完成。通過(guò)在工控網(wǎng)絡(luò)的核心節(jié)點(diǎn)監(jiān)聽(tīng)網(wǎng)絡(luò)流量，可以實(shí)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常通信，例如網(wǎng)絡(luò)攻擊、非法接入、下位機(jī)組態(tài)變更、工藝參數(shù)調(diào)整、工控系統(tǒng)啟動(dòng)/停止等異常行為，從而找到異常行為源頭，及時(shí)響應(yīng)處置，避免生產(chǎn)事故的發(fā)生。工業(yè)協(xié)議異常行為檢測(cè)以工業(yè)協(xié)議深度解析為基礎(chǔ)，應(yīng)支持對(duì)數(shù)據(jù)包特征、工控指令等行為進(jìn)行檢測(cè)，及時(shí)發(fā)現(xiàn)關(guān)鍵事件。

2.3 日志采集及分析技術(shù)

工業(yè)企業(yè)的生產(chǎn)環(huán)境包括大量設(shè)備，如DCS、PLC、SCADA、RTU、工程師站、操作員站、OPC服務(wù)器、工業(yè)數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等。上述設(shè)備在運(yùn)行過(guò)程中會(huì)產(chǎn)生相應(yīng)的日志，包括操作系統(tǒng)日志、設(shè)備運(yùn)行日志、應(yīng)用軟件運(yùn)行日志、網(wǎng)絡(luò)事件日志、安全事件日志等。這些日志記錄了設(shè)備和網(wǎng)絡(luò)中發(fā)生事件的信息，包括性能信息、故障檢測(cè)和入侵檢測(cè)。因此日志不僅可以告訴我們工控系統(tǒng)運(yùn)行狀態(tài)是否正常，也可以在事故發(fā)生后查明“發(fā)生了什么”，是一個(gè)很好的“取證”信息來(lái)源。但日志數(shù)據(jù)大多是異構(gòu)的，其在數(shù)據(jù)格式和元數(shù)據(jù)上可能不一致，需要清洗過(guò)濾后進(jìn)行匯總分析[6-7]。

2.4 沙箱技術(shù)

工控網(wǎng)絡(luò)中，一些業(yè)務(wù)會(huì)通過(guò)工業(yè)協(xié)議或傳統(tǒng)以太網(wǎng)協(xié)議傳輸文件，這些文件可能被惡意程序感染。對(duì)于惡意程序的檢測(cè)，有2種常見(jiàn)方式，即靜態(tài)分析與動(dòng)態(tài)分析。動(dòng)態(tài)分析在一個(gè)受控環(huán)境中運(yùn)行并監(jiān)控給定應(yīng)用程序的行為，其使用了許多啟發(fā)式方法來(lái)增強(qiáng)對(duì)應(yīng)用程序動(dòng)態(tài)行為的捕獲能力[6]。給定應(yīng)用在沙箱中執(zhí)行，運(yùn)行較長(zhǎng)一段時(shí)間后才能獲得其運(yùn)行特征，比如監(jiān)控文件傳輸、網(wǎng)絡(luò)通信、進(jìn)程和系統(tǒng)資源的使用等。

2.5 蜜罐技術(shù)

隨著工業(yè)互聯(lián)網(wǎng)的發(fā)展，針對(duì)工控系統(tǒng)的攻擊途徑增多，攻擊方式日益復(fù)雜，單純的安全防御更顯被動(dòng)。因此可以考慮通過(guò)設(shè)置陷阱，引誘攻擊源對(duì)陷阱發(fā)動(dòng)網(wǎng)絡(luò)攻擊，從而第一時(shí)間發(fā)現(xiàn)相關(guān)安全威脅。

攻擊源對(duì)一個(gè)工業(yè)控制系統(tǒng)攻擊前，需要搜集系統(tǒng)信息，然后通過(guò)一系列攻擊路徑達(dá)到攻擊目的。

蜜罐應(yīng)用于工業(yè)企業(yè)的工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)中，誘使攻擊源對(duì)其訪問(wèn)或進(jìn)行網(wǎng)絡(luò)攻擊，從而捕獲攻擊內(nèi)容、攻擊方式和攻擊源信息，為第一時(shí)間進(jìn)行響應(yīng)處置提供支撐，切斷攻擊源對(duì)真實(shí)設(shè)備的訪問(wèn)路徑，同時(shí)進(jìn)行關(guān)聯(lián)分析，利用溯源分析技術(shù)對(duì)攻擊進(jìn)行實(shí)時(shí)跟蹤分析[8]。

2.6 網(wǎng)絡(luò)攻擊溯源技術(shù)

隨著網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展及攻擊路徑的增加，且對(duì)工業(yè)控制系統(tǒng)和工業(yè)協(xié)議逐漸熟悉，工控系統(tǒng)的網(wǎng)絡(luò)威脅日益復(fù)雜，傳統(tǒng)的被動(dòng)安全防御日益乏力?？梢酝ㄟ^(guò)工業(yè)協(xié)議解析、異常行為檢測(cè)、系統(tǒng)運(yùn)行和安全日志、蜜罐所受網(wǎng)絡(luò)攻擊等發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的源頭，采取有針對(duì)性的措施，降低網(wǎng)絡(luò)威脅的影響。

確定網(wǎng)絡(luò)攻擊源頭的技術(shù)為追蹤溯源，是指根據(jù)網(wǎng)絡(luò)攻擊行為找到網(wǎng)絡(luò)攻擊者的身份，身份信息包括攻擊者的IP地址、MAC地址、主體類(lèi)型、操作系統(tǒng)信息、賬戶(hù)信息、攻擊頻率、地理位置信息等[9]。

2.7 態(tài)勢(shì)感知技術(shù)

通過(guò)前面所列技術(shù)，工業(yè)企業(yè)能收集到海量安全相關(guān)數(shù)據(jù)。態(tài)勢(shì)感知以這些海量安全數(shù)據(jù)為基礎(chǔ)，進(jìn)行數(shù)據(jù)過(guò)濾和統(tǒng)計(jì)，形成企業(yè)安全趨勢(shì)，幫助企業(yè)發(fā)現(xiàn)自身存在的安全問(wèn)題，為后續(xù)安全建設(shè)提供數(shù)據(jù)支撐[10]。

態(tài)勢(shì)感知可以實(shí)現(xiàn)海量信息的實(shí)時(shí)集中匯集、綜合分析、實(shí)時(shí)異常報(bào)警等，有效提升工業(yè)企業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)和態(tài)勢(shì)感知能力，實(shí)現(xiàn)網(wǎng)絡(luò)安全事件和風(fēng)險(xiǎn)的監(jiān)測(cè)、分析、審計(jì)、追蹤溯源和風(fēng)險(xiǎn)可視化；增強(qiáng)工控網(wǎng)絡(luò)安全情報(bào)共享和預(yù)警通報(bào)能力，實(shí)現(xiàn)跨部門(mén)間信息共享和預(yù)警通報(bào)的通道，做到信息共享和預(yù)警通報(bào)及時(shí)、客觀、準(zhǔn)確、完整，切實(shí)提升工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全的應(yīng)急指揮和處置能力。

3 企業(yè)側(cè)安全監(jiān)測(cè)建設(shè)內(nèi)容

圖1所示為典型的工業(yè)企業(yè)網(wǎng)絡(luò)，包含信息網(wǎng)絡(luò)和工控網(wǎng)絡(luò)。按照分層原則，從下至上分別為現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層、企業(yè)資源層。

圖1 典型工業(yè)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

現(xiàn)場(chǎng)設(shè)備層主要包括執(zhí)行單元和傳感設(shè)備，用于對(duì)生產(chǎn)過(guò)程的操作和感知，例如閥門(mén)、開(kāi)關(guān)、數(shù)字量采集設(shè)備和模擬量采集設(shè)備等。

現(xiàn)場(chǎng)控制層主要包括控制器單元，如PLC、DCS、RTU等，用于控制現(xiàn)場(chǎng)設(shè)備層的設(shè)備。PLC、DCS與傳感器、執(zhí)行單元間通過(guò)現(xiàn)場(chǎng)總線(xiàn)通信。常見(jiàn)現(xiàn)場(chǎng)總線(xiàn)有PRIFIBUS（過(guò)程現(xiàn)場(chǎng)總線(xiàn)）、FF-BUS（基金會(huì)現(xiàn)場(chǎng)總線(xiàn)）、CAN-BUS（控制器局域網(wǎng)絡(luò)總線(xiàn)）等。

過(guò)程監(jiān)控層主要包括監(jiān)控服務(wù)器與上位機(jī)功能單元，用于對(duì)生產(chǎn)過(guò)程數(shù)據(jù)進(jìn)行采集與監(jiān)控。例如工程師站、操作員站、OPC服務(wù)器、歷史數(shù)據(jù)庫(kù)等。

生產(chǎn)管理層主要包括MES系統(tǒng)等功能單元，用于對(duì)生產(chǎn)過(guò)程進(jìn)行管理，如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等。

企業(yè)資源層主要包括ERP、OA，PLM等功能單元，為企業(yè)決策層員工提供決策支持。

圖2所示為企業(yè)側(cè)安全監(jiān)測(cè)技術(shù)架構(gòu)。

圖2 安全監(jiān)測(cè)技術(shù)架構(gòu)

3.1 邊界防護(hù)

工業(yè)企業(yè)根據(jù)其業(yè)務(wù)類(lèi)型往往存在不同作用、不同級(jí)別的網(wǎng)絡(luò)，這些網(wǎng)絡(luò)的安全防護(hù)級(jí)別要求也不同。不同安全級(jí)別的網(wǎng)絡(luò)間會(huì)進(jìn)行連接，從而形成網(wǎng)絡(luò)邊界。在網(wǎng)絡(luò)邊界上部署可靠的安全防御措施，能夠極大地防止來(lái)自鄰近網(wǎng)絡(luò)的入侵行為。進(jìn)行網(wǎng)絡(luò)分區(qū)是等保2.0安全區(qū)域邊界的前提，也是電力監(jiān)控系統(tǒng)“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用”的基本要求。

在現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層之間部署工業(yè)級(jí)防火墻或網(wǎng)閘等設(shè)備；在生產(chǎn)管理層和企業(yè)資源層之間，企業(yè)資源層和互聯(lián)網(wǎng)之間部署防火墻、網(wǎng)閘、安全網(wǎng)關(guān)等安全隔離設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)邊界的隔離和安全防護(hù)。

3.2 流量采集及異常行為分析

在現(xiàn)場(chǎng)控制層、過(guò)程監(jiān)控層、生產(chǎn)管理層、企業(yè)資源層和企業(yè)互聯(lián)網(wǎng)出口部署流量探針，對(duì)流量中的傳統(tǒng)以太網(wǎng)協(xié)議和工業(yè)協(xié)議進(jìn)行深度解析，判斷傳輸指令和數(shù)據(jù)的合規(guī)性，發(fā)現(xiàn)網(wǎng)絡(luò)流量中的違規(guī)行為、異常行為和網(wǎng)絡(luò)攻擊行為，并將這些安全事件即時(shí)傳輸給其他模塊，進(jìn)行后續(xù)操作。

3.3 日志采集

除現(xiàn)場(chǎng)設(shè)備層，其他各層都可部署日志審計(jì)設(shè)備，進(jìn)行日志采集。包括工業(yè)控制系統(tǒng)、主機(jī)、操作系統(tǒng)、應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的運(yùn)行日志和安全日志等。對(duì)日志進(jìn)行過(guò)濾篩選，從中發(fā)現(xiàn)安全事件信息、運(yùn)行故障信息和其他異常信息等。

3.4 沙箱技術(shù)

在安全監(jiān)測(cè)平臺(tái)中，部署沙箱虛擬環(huán)境。流量采集設(shè)備從網(wǎng)絡(luò)流量中提取可疑的可執(zhí)行文件，沙箱根據(jù)文件類(lèi)型啟動(dòng)多個(gè)版本的虛擬操作系統(tǒng)，并將可疑文件放入虛擬操作系統(tǒng)環(huán)境中，通過(guò)長(zhǎng)時(shí)間運(yùn)行，觀察系統(tǒng)是否被惡意操作，從而確認(rèn)該可疑文件是否安全。

即使可疑文件帶有木馬病毒、廣告插件等惡意程序，在沙箱虛擬環(huán)境中對(duì)應(yīng)用程序或操作系統(tǒng)進(jìn)行感染和惡意修改，其影響范圍也只限制在虛擬環(huán)境中，不會(huì)影響工控網(wǎng)絡(luò)。沙箱會(huì)自動(dòng)清理虛擬環(huán)境，清除可疑文件。

3.5 溯源分析

通過(guò)異常行為檢測(cè)、惡意文件沙箱檢測(cè)，可以獲取大量安全事件信息。根據(jù)獲得的安全事件，結(jié)合對(duì)應(yīng)的網(wǎng)絡(luò)流量和安全日志，可以對(duì)攻擊源和攻擊路徑進(jìn)行溯源追蹤。

通過(guò)網(wǎng)絡(luò)攻擊溯源技術(shù)可以發(fā)現(xiàn)攻擊源頭，從而進(jìn)行有針對(duì)性的防護(hù)和抑制，避免其他工控系統(tǒng)受到該攻擊源的網(wǎng)絡(luò)攻擊，保障工控網(wǎng)絡(luò)整體安全。

3.6 態(tài)勢(shì)感知

基于提取的海量企業(yè)側(cè)基礎(chǔ)數(shù)據(jù)和安全數(shù)據(jù)，對(duì)企業(yè)資產(chǎn)和流量做深度監(jiān)測(cè)，對(duì)工控類(lèi)漏洞和安全事件進(jìn)行多方位、多層次的關(guān)聯(lián)分析，集中反映企業(yè)側(cè)工控系統(tǒng)網(wǎng)絡(luò)的實(shí)時(shí)安全態(tài)勢(shì)。

以安全事件和漏洞監(jiān)測(cè)為脈絡(luò)，實(shí)現(xiàn)對(duì)工業(yè)資產(chǎn)、工控設(shè)備、網(wǎng)絡(luò)流量、重要業(yè)務(wù)應(yīng)用的監(jiān)測(cè)和預(yù)警。面向攻擊利用行為進(jìn)行監(jiān)測(cè)，及時(shí)生成網(wǎng)絡(luò)安全預(yù)警信息，提高工業(yè)互聯(lián)網(wǎng)漏洞監(jiān)測(cè)、事件監(jiān)控及預(yù)警響應(yīng)能力，為安全決策提供技術(shù)和數(shù)據(jù)支撐。

4 結(jié) 語(yǔ)

針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊和入侵正在向多元化、復(fù)雜化、規(guī)模化發(fā)展。工業(yè)控制系統(tǒng)由于在設(shè)計(jì)之初注重功能性和穩(wěn)定性，忽視安全性，因此存在大量安全漏洞。同時(shí)因可用性的要求，絕大多數(shù)工控系統(tǒng)使用者都不會(huì)對(duì)系統(tǒng)進(jìn)行升級(jí)或改造，因此工控系統(tǒng)和工控網(wǎng)絡(luò)會(huì)成為網(wǎng)絡(luò)攻擊的首選目標(biāo)。使用工業(yè)互聯(lián)網(wǎng)的工業(yè)企業(yè)建設(shè)完善的安全監(jiān)測(cè)體系能夠?qū)崟r(shí)、準(zhǔn)確地掌握網(wǎng)絡(luò)安全態(tài)勢(shì)，檢測(cè)惡意攻擊行為，針對(duì)安全事件進(jìn)行預(yù)警和快速響應(yīng)，讓網(wǎng)絡(luò)安全工作具有主動(dòng)性和條理性，是監(jiān)測(cè)和預(yù)防網(wǎng)絡(luò)安全事件的有效途徑。