工業(yè)控制系統(tǒng)在安全監(jiān)測部署方面的注意事項
掃描二維碼
隨時隨地手機看文章
工業(yè)控制系統(tǒng)廣泛應(yīng)用于設(shè)計國計民生的關(guān)鍵基礎(chǔ)設(shè)施,工業(yè)控制系統(tǒng)的安全關(guān)系到國家的戰(zhàn)略安全。工業(yè)控制系統(tǒng)環(huán)境相對封閉,使得來自系統(tǒng)內(nèi)部人員在應(yīng)用系統(tǒng)層面的誤操作、違規(guī)操作或故意破壞性操作成為工業(yè)控制系統(tǒng)所面臨的主要安全風(fēng)險。因此,對于生產(chǎn)網(wǎng)絡(luò)的訪問行為、特定控制協(xié)議內(nèi)容的真實性、完整性進行監(jiān)控、管理與審計是非常有必要的。
在工業(yè)控制網(wǎng)絡(luò)中部署可對網(wǎng)絡(luò)攻擊和異常行為進行識別、報警、記錄的網(wǎng)絡(luò)安全監(jiān)測設(shè)備(如工控入侵或異常檢測類設(shè)備、工控網(wǎng)絡(luò)防病毒系統(tǒng)等),及時發(fā)現(xiàn)、報告網(wǎng)絡(luò)攻擊(如病毒木馬感染、端口掃描、暴力破解等)或異常行為(如異常流量、異常指令、偽造工控協(xié)議報文、畸形報文等),并根據(jù)影響范圍和后果進行處理。
明確重要工業(yè)控制設(shè)備清單,主要包括但不限于數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA) 、分布式控制系統(tǒng)(DCS) 以及可編程控制器(PLC)等。一旦重要的控制設(shè)備被非法入侵者攻擊或非法篡改指令,可能會導(dǎo)致信息泄露或生產(chǎn)裝置不能正常運轉(zhuǎn)。因此,除了要保證能及時發(fā)現(xiàn)針對工控網(wǎng)絡(luò)的攻擊和異常行為,還要針對重要工業(yè)控制設(shè)備的異常行為采取防護措施。
通過在重要工控設(shè)備前端部署可對所使用的工業(yè)控制系統(tǒng)協(xié)議進行深度包監(jiān)測的防護設(shè)備,對Modbus、S 7、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進行深度分析和過濾,實時探測到協(xié)議異常和應(yīng)用程序破壞策略的行為,阻斷不符合協(xié)議標(biāo)準(zhǔn)的數(shù)據(jù)包以及不符合業(yè)務(wù)要求的操作指令和數(shù)據(jù)內(nèi)容,限制違法操作。
為了及時發(fā)現(xiàn)重大工控安全事件,企業(yè)應(yīng)加大工控安全監(jiān)測力度,實施建議如下:
在工業(yè)控制網(wǎng)絡(luò)核心節(jié)點旁路部署工控網(wǎng)絡(luò)安全監(jiān)測設(shè)備,實時監(jiān)測工控網(wǎng)絡(luò)的異常行為,幫助企業(yè)了解其工業(yè)控制網(wǎng)絡(luò)的安全狀況。從工控安全監(jiān)測系統(tǒng)中獲得應(yīng)急響應(yīng)需要的相關(guān)信息,快速獲得線索,對事件進行及時響應(yīng)。工控網(wǎng)絡(luò)安全監(jiān)測設(shè)備部署下圖所示。
工控網(wǎng)絡(luò)安全監(jiān)測設(shè)備, 如針對工業(yè)控制系統(tǒng)的IDS入侵檢測系統(tǒng)、PS入侵檢測與防御系統(tǒng)、工控異常監(jiān)測系統(tǒng)等。該類型設(shè)備需要監(jiān)測的信息包括:通用網(wǎng)絡(luò)入侵行為(如各種木馬、蠕蟲、緩沖區(qū)溢出攻擊、DDoS、掃描探測、欺騙劫持、OPC web sever掛馬等) , 以及專門針對工業(yè)控制網(wǎng)絡(luò)的攻擊行為(如利用已知工控設(shè)備漏洞的入侵攻擊行為,基于主流工業(yè)通信協(xié)議的異常流量、異常指令及偽造工業(yè)指令和畸形報文)等。