摘要:本文针对钢铁企业工业网络安全管理的特点和所面临的问题,结合网络安全态势感知系统的技术特点,探讨了如何建立以钢铁企业工业网络安全态势感知系统为基础的安全管理平台,以及相关的关键技术和应用特点。
关键词:网络安全;态势感知;工业网络;智能制造
中图分类号:TP391.03 文献标识码:A 文章编号:1007-9416(2019)07-0181-02
0 引言
随着2015年国家公布《中国制造2025》规划,钢铁行业在智能制造领域也加快了研究和推进工作。但在2018年,台积电等企业产线先后遭到“WannaCry”变种病毒攻击而停产事件,工业网络安全问题跃然而出,成为智能制造发展中必须面对和解决的关键问题。
长期以来网络安全问题的技术手段主要以被动防御为主,缺少积极主动的技术手段,网络安全态势感知技术的推出为主动安全提供了相应的技术手段。
另一方面,工业网络由于相对封闭,面临的网络威胁较少,所以在信息安全领域的建设工作相对滞后。但随着智能制造建设的推进,工业网络的封闭环境逐步被打破,所面临的网络威胁正在增加。如何加强工业网络安全建设,以满足智能制造发展的需要成为一个新的课题。
本文旨在结合工業网络的特点,以网络安全态势感知系统为突破口,探讨如何加强钢铁企业工业网络安全建设。
1 钢铁企业工业网络安全面临的主要问题
国内外先后爆发了多起工业网络安全事故,造成的经济损失动辄过亿,引起了国内外的高度重视,公安部,工信部等多部门修改了《信息安全保护等级管理办法》,特别增加了工业网络安全的相关规定。传统钢铁企业工业网络安全主要面临如下问题:(1)工业网络安全基础薄弱,早期的工业网络在设计和建设中较少考虑网络安全问题,缺少基础网络安全设备和系统。(2)工业网络中软硬件系统陈旧,且升级换代困难。工业网络系统安装调试完备后就长期使用,软硬件系统很少升级,系统漏洞多。(3)传统信息安全产品对工业网络系统不适用。由于工业软件往往调用一些系统底层资源并使用特殊通信协议,传统安全产品无法识别,甚至造成误杀。(4)工业网络系统分散建设难以形成长期,统一的安全运维体系。工业网络系统往往独立建设缺少统一规划,造成彼此不连通难以形成统一的安全管理体系。
基于以上工业网络安全工作存在的问题,我们不能简单的将信息化网络安全的相关技术移植到工业网络中,那样不但不能发挥好的作用,甚至会直接造成工业网络系统的异常甚至瘫痪。
2 网络安全态势感知系统在工业网络的应用分析
1988年,Endsley首次明确提出态势感知的定义,态势感知(Situation Awareness,SA)是指“在一定的时空范围内,认知、理解环境因素,并且对未来的发展趋势进行预测[1],该定义的概念模型如图1所示。但是传统的态势感知的概念主要应用于对航空领域人为因素的考虑,并没有引入到网络安全领域。
1999年,Bass[2]等指出“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知”并且基于数据融合的JDL(Joint Directors of Laboratories)模型,提出了基于多传感器数据融合的网络态势感知功能模型,如图2所示。
虽然网络态势根据不同的应用领域,可分为安全态势、拓扑态势和传输态势等,但目前关于网络态势的研究都是围绕网络的安全态势展开的。
网络安全态势感知的功能可归结为三个方面:(1)网络安全态势要素的提取;(2)网络安全态势的评估;(3)网络安全态势的预测。
由此可见网络安全态势的理解是指在获取海量网络安全数据信息的基础上,通过解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势。而其随着云数据库资源和算法的不断更新,网络安全态势感知系统对于网络安全风险的识别越来越全面,判断越来越准确,在网络安全领域发挥着越来越多的作用。[3]
在工业网络安全领域的安全防护技术主要分为以下几种:工业防护墙;工业主机防护系统;安全检测和审计系统等。网络安全态势感知系统属于安全检测和审计类的产品。本文建议将网络安全态势感知系统作为工业网络安全系统的建设的切入点。之所以如此建议是由工业网络的特点所决定。
首先,工业网络不同与传统的信息化网络,不同的厂商往往使用不同网络通讯协议,传统防火墙很难对各种工控协议做出准确的过滤和判断。市场上销售的一些工业防火墙虽然针对工业网络协议做了一些改进但不能做到协议的全覆盖,有待完善。其次,工业主机系统上的控制软件进程和动作难以全面捕捉,基于白名单的主机防护系统很难准确判断主机动作是否违法,一旦白名单不全,不但起不到保护作用甚至会影响控制系统的正常运行。最后,工业网络对网络通讯时效性要求较高,一般在毫秒级,防火墙会增加网络延时,主机防护系统会占用主机资源,都会对工业网络的运行效率产生影响。
综上所述,网络安全态势感知系统的部署条件只是进行网络数据包的嗅探和捕捉,并不增加主机负担,也不会对网络通讯造成延时,可以说是对工业网络零影响,零风险的选择。
在部署网络安全动态感知系统之后却可以为我们揭开工业网络“神秘面纱”:第一、对传统网络威胁(病毒、木马、网络攻击等)我们可以及时的发现,并进行处理。第二、通过它我们可以清楚的了解的工业网络的正常通讯规律,捕获在用通讯协议,为采取其他的网络安全手段打下基础。第三、网络安全态势感知系统可以分布式部署,长期稳定工作,将分散的工业网络集中起来,形成工业网络安全运维体系的基础。
当然,网络安全态势感知系统作为传统的网络安全技术,引入到工业网络安全领域中也有许多需要改进的地方。比如威胁情报数据库需要增加工业网络漏洞威胁情报;网络通讯协议库中需要增加各工控厂商的通讯协议,以便对各种工业数据包进行更好的解析和还原;需要加强与其他安全设备的联动,对发现的网络威胁能够及时采取对应的控制措施以免造成不良后果或损失扩大。
3 部署的关键技术
结合多年的信息化运行维护经验,在工业网络部署网络安全态势感知系统的关键技术如下:(1)信息化网络和工业网络进行一体化的规划和设计,确保网络的连通性。为网络安全动态感之系统提供一体化管理的技术基础条件。(2)对整个网络根据业务的需要和应用特点进行区域划分,实施不同的网络安全策略,确保这个网络系统安全有效的运行。(3)各安全系统之间实现动态数据交换,并实现安全联动机制。发现网络安全隐患立即做出相应反应,避免发生重大网络安全事故。
4 结语
通过建设一个统一、分层的网络安全态势感知系统,实现信息化网络、工业网络多层次的安全管理,实现网络安全状态的集中监控、安全报告的集中处置、安全风险及时告警等功能。成功的网络安全态势感知系统应具备以下特点:(1)实现信息系统软硬件,多层次,多设备、全网络、全覆盖。(2)各区域网络安全系统统一设计,形成完整统一的安全体系。(3)实现从被动防御向主动防御和动态感之的转变。(4)各安全系统、设备彼此联动,实现网络信息安全事件响应智能化和自动化。(5)信息化网络和工业控制网络安全系统统一管控,为智能制造奠定基础。智能制造方兴未艾,工业网络安全任重道远,本文抛砖引玉,希望对从事工业网络安全工作的技术人员有所帮助。
参考文献
[1] ENDSLEY M R.Design and evaluation for situation awareness enhancement[C].Proceeding of the 32nd Human Factors SocietyAnnum Meeting.Santa Monica:Human Factors and Ergonomics Soeiety,1988:97-101.
[2] BASS T,ARBOR A.Multisensor data fusion for next generation distributedintrusion detection systems[C].Proceeding of IRIS Na—fional Symposium on Sensor and Data Fusion.Laurel,MD:[S.N.],1999:24-27.
[3] 席榮荣,云晓春,金舒原,张永铮.网络安全态势感知研究综述[J].计算机应用,2012,32(1):1-4+59.