劉 元1，李紅霞1，權(quán)小康2，褚 瑞3

（1.北京廣利核系統(tǒng)工程有限公司，北京 100094；2.北京威努特技術(shù)有限公司，北京 100085；3.上海中廣核工程科技有限公司，上海 200241）

工業(yè)控制系統(tǒng)等級保護安全設(shè)計技術(shù)框架[1]體系中第0層、第1層、第2層的邊界通信以及通信網(wǎng)絡(luò)之間，工控系統(tǒng)均會使用各類工業(yè)協(xié)議。針對核電工業(yè)控制系統(tǒng)，涉及的工業(yè)協(xié)議大多屬于私有協(xié)議，協(xié)議的各種規(guī)范和格式屬于核心商密。而網(wǎng)絡(luò)安全防護設(shè)備如監(jiān)測審計系統(tǒng)、工業(yè)防火墻等需要采取網(wǎng)絡(luò)安全措施[2]實現(xiàn)相應(yīng)的網(wǎng)絡(luò)安全功能，需要在工業(yè)協(xié)議數(shù)據(jù)分析時對應(yīng)用層的通信數(shù)據(jù)進行深度解析，建立應(yīng)用層通信協(xié)議基線，及時識別未知風(fēng)險。如何既能解決協(xié)議保密性又能達到網(wǎng)絡(luò)安全設(shè)備深度協(xié)議解析的目的，通過研究本文給出了一種方法，可實現(xiàn)快速、安全及可靠的通信協(xié)議解析。

1 核電行業(yè)網(wǎng)絡(luò)安全防護背景

為應(yīng)對國內(nèi)外日益復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢，國家及部委相繼出臺網(wǎng)絡(luò)安全相關(guān)政策法規(guī)，要求并指導(dǎo)企業(yè)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護工作。結(jié)合核電工控系統(tǒng)特點，基于信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求[3]，即“一個中心，三重防護”設(shè)計理念，采用程序白名單、外設(shè)白名單及網(wǎng)絡(luò)通信行為白名單[4]等技術(shù)，構(gòu)建核電工控系統(tǒng)網(wǎng)絡(luò)安全的“白環(huán)境”，實現(xiàn)核電工控系統(tǒng)積極防御、綜合防范、本質(zhì)安全[5]的縱深防御體系的建立。

白名單是一種安全結(jié)構(gòu)模型，是合法的程序、IP、通信行為規(guī)則等生成的安全列表，白名單上的所有內(nèi)容都可以建立通信訪問系統(tǒng)資源，而不在白名單上的部分則被拒絕訪問。相對于黑名單而言，白名單強調(diào)“確定的安全”，所有的未知都不允許。

網(wǎng)絡(luò)通信行為白名單技術(shù)是應(yīng)用于核電工控系統(tǒng)安全通信網(wǎng)絡(luò)及安全區(qū)域邊界的重要的防護手段。通過網(wǎng)絡(luò)通信行為白名單技術(shù)，可及時發(fā)現(xiàn)不在白名單內(nèi)的違反協(xié)議規(guī)約、非法攻擊及異常操作的行為并進行審計和告警，以便電廠及時進行告警處理或應(yīng)急響應(yīng)。而核電工控系統(tǒng)私有協(xié)議解析技術(shù)是實現(xiàn)核電工業(yè)協(xié)議應(yīng)用層數(shù)據(jù)深度解析，建立核電工業(yè)協(xié)議網(wǎng)絡(luò)通信行為白名單的基礎(chǔ)。

核電工控系統(tǒng)網(wǎng)絡(luò)通信協(xié)議除了標(biāo)準(zhǔn)的工業(yè)協(xié)議，如Modbus協(xié)議、IEC-104協(xié)議等，更有許多私有的工業(yè)協(xié)議。核電工控系統(tǒng)網(wǎng)絡(luò)通信協(xié)議的多樣性、復(fù)雜性與保密性造成了針對工控網(wǎng)絡(luò)安全問題而設(shè)計的網(wǎng)絡(luò)安全防護或?qū)徲嫯a(chǎn)品往往無法覆蓋所有的工業(yè)協(xié)議，網(wǎng)絡(luò)安全設(shè)備也就無法完成對未知協(xié)議通訊的安全防護與審計。如何高效、可靠地解析核電工控系統(tǒng)私有網(wǎng)絡(luò)通信協(xié)議，并且確保解析過程安全保密是重點要解決的技術(shù)問題。

2 私有協(xié)議解析流程

目前，許多網(wǎng)絡(luò)安全防護或?qū)徲嫯a(chǎn)品都支持使用描述語法方式來實現(xiàn)協(xié)議的解析。結(jié)合核電工控系統(tǒng)特點，本文重點研究論證一種通過描述語法方式填寫協(xié)議解析規(guī)則，并采用安全加密技術(shù)、協(xié)議解碼與熱切換技術(shù)來實現(xiàn)私有工業(yè)協(xié)議安全可靠、快速適配解析的方法。

實現(xiàn)流程如圖1，主要包括4個方面的內(nèi)容。

圖1 協(xié)議解析流程Fig.1 Protocol analysis process

私有協(xié)議解析流程包括：①確認(rèn)通信關(guān)鍵字段；②定義協(xié)議解析規(guī)則；③使用安全加密技術(shù)對協(xié)議解析規(guī)則文件加密；④防護設(shè)備使用協(xié)議解碼與熱切換技術(shù)實現(xiàn)協(xié)議解析功能。

前3項由授權(quán)人員完成，授權(quán)人員通常指私有協(xié)議權(quán)利方指定相關(guān)人員。

3 私有協(xié)議解析的實現(xiàn)方法

3.1 確認(rèn)通信關(guān)鍵字段

私有協(xié)議的應(yīng)用層數(shù)據(jù)的字段長度、數(shù)量、取值范圍根據(jù)不同協(xié)議承載的業(yè)務(wù)不同而差異較大。協(xié)議解析不需要對所有的字段進行全面深度解析，重點對偽造、篡改后可能造成業(yè)務(wù)、生產(chǎn)、安全等危害的相關(guān)應(yīng)用層通信數(shù)據(jù)

字段納入關(guān)鍵字段范圍進行深度解析。授權(quán)人員需要基于通信協(xié)議的應(yīng)用場景的不同，結(jié)合工控系統(tǒng)實際情況利用以上關(guān)鍵字段選取原則選擇確認(rèn)需要深度解析的關(guān)鍵字段。然后，確定關(guān)鍵字段在整個數(shù)據(jù)包中的所處位置、字段長度、取值范圍等信息，明確協(xié)議解析規(guī)則文件所需填寫的內(nèi)容。

3.2 定義協(xié)議解析規(guī)則

在協(xié)議解析規(guī)則文件中需要定義及配置的內(nèi)容包括：待檢測報文的IP地址、端口、傳輸層協(xié)議、報文的指紋特征，待檢測應(yīng)用層報文的提取規(guī)則、報文的合法值以及檢測到不符合執(zhí)行的動作等。

1）定義協(xié)議的識別特征。即承載所述協(xié)議的報文區(qū)別于其他報文的特征，包括MAC地址、IP地址、傳輸層協(xié)議、端口。

例如，“傳輸層協(xié)議：TCP；端口：1000”的識別特征，按照描述語法方式填寫相應(yīng)的協(xié)議解析規(guī)則如圖2。

圖2 定義協(xié)議的識別特征Fig.2 Define the identification characteristics of the protocol

2） 定義應(yīng)用層協(xié)議報文提取規(guī)則。采用顯式表述方式，即按照“核電私有協(xié)議規(guī)范”定義的格式，依次定義應(yīng)用層協(xié)議的字段數(shù)量、順序、長度、讀寫順序，是否需要協(xié)議深度解析。

例如，定義“一個應(yīng)用層數(shù)據(jù)包包含4個字段，其中‘CLASS’‘TN’需要深度解析，超過8位的字段都是從小端讀取”，按照描述語法方式填寫相應(yīng)的協(xié)議解析規(guī)則如圖3。

圖3 定義應(yīng)用層協(xié)議報文提取規(guī)則Fig.3 Define application layer protocol message extraction rules

3）定義應(yīng)用層協(xié)議報文的合法值。對于經(jīng)檢查符合1）、2）中字段要求的應(yīng)用層數(shù)據(jù)包，會進一步進行協(xié)議規(guī)約檢查。定義每個應(yīng)用層字段的取值范圍，然后檢查通信數(shù)據(jù)是否符合規(guī)定的協(xié)議約束條件，可以及時發(fā)現(xiàn)異構(gòu)偽造的數(shù)據(jù)包。若出現(xiàn)不符合約束條件規(guī)定的異常數(shù)據(jù)，則執(zhí)行規(guī)約告警動作。

例如，定義“CLASS～TN4個字段取值范圍，檢查出不符合后執(zhí)行規(guī)約告警的動作”，按照描述語法方式填寫相應(yīng)的協(xié)議解析規(guī)則如圖4。

圖4 定義應(yīng)用層協(xié)議報文的合法值Fig.4 Define the legal value of the application layer protocol message

4）定義白名單學(xué)習(xí)內(nèi)容。按照“核電私有協(xié)議規(guī)范”定義的語法格式，對符合1）～3）協(xié)議規(guī)則且需要深度解析的關(guān)鍵字段，定義工業(yè)協(xié)議白名單學(xué)習(xí)并展示的內(nèi)容。

例如，定義“源IP、目的IP、CLASS、TN”4個關(guān)鍵字段的白名單學(xué)習(xí)并展示的內(nèi)容，按照描述語法方式填寫相應(yīng)的協(xié)議解析規(guī)則如圖5。

圖5 定義白名單學(xué)習(xí)內(nèi)容Fig.5 Define white list learning content

5）完成協(xié)議解析規(guī)則文件編制。按照描述語法方式填寫1）～4）相應(yīng)的協(xié)議解析規(guī)則，編制完成協(xié)議解析規(guī)則文件，并記錄版本號。

3.3 使用安全加密技術(shù)對協(xié)議解析規(guī)則文件加密

使用指定好的安全加密軟件采用SSL加密技術(shù)，采用RSA和SHA512加密算法對協(xié)議解析規(guī)則文件進行加密。對于編輯好的協(xié)議解析規(guī)則文件，按照標(biāo)準(zhǔn)的安全加密流程進行安全加密，安全加密軟件自動生成安全加密指定格式（例如：.pkg）的協(xié)議解析引擎加密文件。協(xié)議解析引擎加密文件可中間傳遞，最終被導(dǎo)入到網(wǎng)絡(luò)安全防護設(shè)備中使用。傳遞過程中，即使文件被竊取或丟失，也不存在泄密風(fēng)險，保證了私有協(xié)議核心商密的安全可靠。

3.4 防護設(shè)備使用協(xié)議解碼與熱切換技術(shù)實現(xiàn)協(xié)議解析功能

通過協(xié)議解碼規(guī)則及協(xié)議規(guī)則熱切換技術(shù)[6]實現(xiàn)協(xié)議解析引擎加密文件導(dǎo)入防護設(shè)備后，對協(xié)議的自動快速更新、識別與解析。

網(wǎng)絡(luò)安全防護設(shè)備導(dǎo)入?yún)f(xié)議解析引擎加密文件后需要解決兩個重要問題：一是解析引擎文件的解密及協(xié)議內(nèi)容解碼；二是如何在原有的正在運行的協(xié)議解析規(guī)則基礎(chǔ)上，實現(xiàn)新的協(xié)議解析規(guī)則的熱切換，熱切換可避免重啟設(shè)備等影響，保證切換過程不影響防護設(shè)備的正常防護及審計功能。

3.4.1 文件解密及協(xié)議解碼技術(shù)的實現(xiàn)

1）協(xié)議解析引擎加密文件導(dǎo)入網(wǎng)絡(luò)安全防護設(shè)備后，設(shè)備側(cè)的解密軟件對該加密文件解密，并提取其中的協(xié)議解析規(guī)則內(nèi)容存放在臨時內(nèi)存中，供流量解析使用。協(xié)議解析引擎加密文件本身依然為加密文件，即使攻擊者成功地攻擊了網(wǎng)絡(luò)安全設(shè)備并獲取了后臺權(quán)限，也依然無法得到協(xié)議解析規(guī)則文件的明文。

2）網(wǎng)絡(luò)安全防護設(shè)備讀取臨時內(nèi)存中協(xié)議解析規(guī)則內(nèi)容并使用設(shè)備支持的協(xié)議解析描述語法方式進行編譯，轉(zhuǎn)換成程序能夠識別的二進制內(nèi)容。

具體步驟如下：

步驟1：讀取協(xié)議解析規(guī)則內(nèi)容，按照規(guī)則描述中指定的語法格式加載規(guī)則內(nèi)容。

步驟2：計算能夠忽略的字段的長度，更新累計偏移量。由于能夠忽略的字段的值不需要解析出來，只需要根據(jù)能夠忽略的字段的長度更新累計偏移量，而不用計算能夠忽略的字段的偏移量。

步驟3：計算關(guān)鍵字段的偏移量和長度，此處關(guān)鍵字段為解析規(guī)則文件中描述的需要深度解析的字段。

按照如下公式計算有用的字段的偏移量和長度：

其中，Offset是當(dāng)前計算的有用字段的偏移量；Offset accumulate是累計偏移量，其初始值為0；length是從協(xié)議解析規(guī)則文件中讀取的當(dāng)前計算的關(guān)鍵字段的長度。

步驟4：協(xié)議解碼轉(zhuǎn)換。根據(jù)步驟3計算的關(guān)鍵字段的偏移量和長度，依次解析出關(guān)鍵字段、取值范圍等信息，并將解析出的規(guī)則信息轉(zhuǎn)換成設(shè)備能夠識別的二進制代碼。當(dāng)設(shè)備接收到報文后，根據(jù)加載的二進制代碼對報文內(nèi)容進行解析處理，實現(xiàn)對接收協(xié)議內(nèi)容的識別和解析。

3.4.2 協(xié)議解析規(guī)則熱切換技術(shù)的實現(xiàn)

解碼后的協(xié)議規(guī)則存放在臨時內(nèi)存中，需要將設(shè)備正在運行的協(xié)議解析規(guī)則切換為臨時內(nèi)存中的協(xié)議規(guī)則。協(xié)議切換的流程步驟如圖6。

圖6 協(xié)議解碼規(guī)則選擇流程Fig.6 Selection flow of protocol decoding rules

首先，記錄當(dāng)前正在使用的協(xié)議解析規(guī)則版本信息，在新協(xié)議解析引擎文件導(dǎo)入后記錄新協(xié)議解析規(guī)則的版本號，通過比較版本號確認(rèn)是否為新協(xié)議導(dǎo)入，并記錄版本號變化開始的流節(jié)點時間。tcontinue是由設(shè)備結(jié)合當(dāng)前會話老化時間、剩余待處理數(shù)據(jù)內(nèi)容計算出的能夠有效保證當(dāng)前正在解析流量全部解析完畢的時間。當(dāng)前時間與流節(jié)點上記錄的時間差值大于tcontinue時，可以將當(dāng)前協(xié)議解析規(guī)則的內(nèi)容釋放清空，再使用新的協(xié)議解析規(guī)則進行規(guī)則匹配，從而保證解碼內(nèi)容的完整性和一致性，實現(xiàn)不同版本的協(xié)議解析引擎加密文件自動實時切換而不需要重新啟動防護設(shè)備。

4 結(jié)論

本文論述的核電私有協(xié)議解析技術(shù)基于選擇私有協(xié)議深度解析的關(guān)鍵字段、自定義協(xié)議解析規(guī)則、使用安全加密技術(shù)及協(xié)議解碼與熱切換技術(shù)，實現(xiàn)了核電工業(yè)協(xié)議尤其是私有協(xié)議在保密情況下的安全可靠、快速及深層解析。這一方法可實現(xiàn)覆蓋核電廠所有工業(yè)協(xié)議的解析，為建立核電工業(yè)協(xié)議網(wǎng)絡(luò)通信行為白名單提供了技術(shù)支撐。

使用工業(yè)協(xié)議白名單技術(shù)的網(wǎng)絡(luò)安全監(jiān)測審計設(shè)備及工控防火墻設(shè)備已在相關(guān)核電基地獲得廣泛應(yīng)用，實現(xiàn)了核電廠工控系統(tǒng)的安全通信網(wǎng)絡(luò)及安全區(qū)域邊界的安全防護，有效提升了核電廠工控系統(tǒng)縱深安全防御能力。