本文提出一种适用于烟草行业的工控系统清静监测与管控计划�,�,�,�, 通过将清静监测系统和清静防护网关举行有机联动�,�,�,�,识别并展望工控系 统攻击异常事务�,�,�,�,并自动天生针对该攻击异常事务的处置惩罚规则�。�。同时�,�,�,�,
防护网关运用该规则实现异常攻击行为的阻断�,�,�,�,大大增强了工控系统安 全防护的可操作性�,�,�,�,使异常攻击事务获得实时的响应与处置惩罚�,�,�,�,提升烟草 行业工控系统清静防护与预警能力�,�,�,�,包管清静稳固运行�。�。
小序
随着网络和信息手艺的迅猛生长�,�,�,�,网络已经笼罩能源、电力、交通、金融、电信和烟草等主要行业和焦点领域�,�,�,�,在增进手艺立异、经济生长的同时�,�,�,�,网络清静问题日益凸显�,�,�,�,已经成为关系国家清静和社会清静的重大问题�。�。在烟草行业�,�,�,�,尤其是烟草打叶复烤生产线�,�,�,�,由预处置惩罚、叶梗疏散、叶烤、烤梗、除尘段等配合组成烟叶生产流水线�,�,�,�,整条生产线装备繁多�,�,�,�,疏散�,�,�,�,漫衍时变参数多�,�,�,�,信息交互量大�,�,�,�,凭证打叶复烤生产线特点及控制要求�,�,�,�,海内普遍接纳PC+Ethernet+PLC+FCS模式构建SCADA系统�,�,�,�,实现复烤生产线的实时监控�。�。大部分烟草企业的工业控制系统清静防护建设已凭证行业标准举行搭建�,�,�,�,但在现实运行中仍保存跨网运维、违规外联互联网、工控交流机拒绝效劳、要害装备懦弱口令、病毒攻击、异常报文等很是典范的清静问题�。�。
针对工业控制系统清静�,�,�,�,现在保存清静监测和清静防护两种解决计划�。�。
(1)清静监测�。��;�;;诹髁颗月肥章�,�,�,�,使用协议深度剖析手艺(DPI)�,�,�,�,连系工控病毒库、攻击特征库以及工控基线规则等设置�,�,�,�,通过关联剖析实时发明针对 PLC、DCS等主要工业控制系统的攻击和破损行为�,�,�,�,以及病毒、木马等恶意软件的扩散和撒播行为�,�,�,�,为工业控制网络清静事务视察提供依据�。�。由于接纳旁路方法安排�,�,�,�,对生产历程“零影响”�。�。
(2)清静防护�。��;�;;谛樯疃绕饰鍪忠蘸凸た嘏连是非名单规则�,�,�,�,阻断一切不法会见�,�,�,�,仅允允许信的流量在网络上传输�。�。为工控网络与外部网络互联、工控网络内部区域之间的毗连提供清静包管�。�。
清静监测用于识别并检测工控系统异常攻击行为�,�,�,�,而清静防护用于对发明的异常攻击行为举行阻断�,�,�,�,实时性要求更高�,�,�,�,然而剖析的规模相对监测系统要窄�,�,�,�,并且其工控会见规则设置专业性要求很高�,�,�,�,实验操作难题�,�,�,�,若是规则设置简朴�,�,�,�,达不到清静防护的目的�,�,�,�,而规则设置重大�,�,�,�,对正常治理与爆发营业又会造成影响�。�。针对以上情形�,�,�,�,本文提出一种烟草行业工控系统清静监测与管控计划�,�,�,�,通过将清静监测系统与清静防护网关等举行有机连系并联动�,�,�,�,通过清静监测系统举行多条理异常攻击剖析�,�,�,�,运用回归展望算法�,�,�,�,识别并展望工控系统攻击异常事务�,�,�,�,并自动天生针对该攻击异常事务的处置惩罚规则�,�,�,�,发送给清静防护网关�,�,�,�,网关防护网关运用该规则实现异常攻击行为的阻断�,�,�,�,提升烟草行业工业控制系统清静防护与预警能力�,�,�,�,包管其清静稳固运行�。�。
2 计划设计
为包管烟草行业工控生产系统稳固清静运行�,�,�,�,其控制装备网络通常接纳冗余环网手艺和冗余供电系统�,�,�,�,
如图1所示�。�。
为实现对图1所示烟草工控系统的周全清静监测与管控�,�,�,�,本系统需在预处置惩罚、叶梗疏散、叶烤、烤梗、除尘等各个生产线均安排工控清静收罗探针和工控清静网关�,�,�,�,在治理端安排工控清静监测平台�。�。工控清静收罗探针包括两路网口�,�,�,�,一起用于旁路收罗工控监控系统网络通讯流量�,�,�,�,一起用于工控清静监测平台的通讯�,�,�,�,并可以凭证工控清静监测平台的指令�,�,�,�,将工控清静会见控制列表下发给工控清静网关�,�,�,�,实现工控清静监测和工控清静防护的联动�,�,�,�,安排架构如图2所示�。�。
烟草行业工控系统清静监测与管控系统包括数据收罗、清静监测与预警�,�,�,�,以及清静管控三个部分的功效�,�,�,�,数据收罗功效由工控数据收罗探针完成�;�;;清静监测与预警功效由工控清静监测平台完成�;�;;清静管控功效由工控清静网关完成�。�。
(1)数据收罗
工控系统数据收罗可以凭证现场工控网络现真相形的差别�,�,�,�,接纳较为成熟的交流机端口镜像、分流和分光等多种旁路收罗手艺实现�。�。
·
交流机端口镜像�。�。若是被收罗点的焦点交流机可提供端口镜像功效�,�,�,�,可把要监控的端口流量都汇聚镜像到一个空闲口�,�,�,�,再将汇聚口接入到流量收罗剖析探针�,�,�,�,该种方法可以操作好�,�,�,�,对生产历程“零影响”�。�。
·
分流�。�。关于基于网线传输的流量�,�,�,�,可以使用TAP分流装备对通过网线传输的流量举行分流处置惩罚�,�,�,�,将原有的电信号流量分成完全相同的若干份�,�,�,�,不影响原有营业�。�。高端TAP装备还具备把若干根网线的流量汇聚成一个口输出的能力�,�,�,�,并包管不丢包�。�。 ·
分光�。�。关于基于光纤传输的流量�,�,�,�,如电信焦点网、工业控制环网�,�,�,�,可以通太过光器举行流量分流�,�,�,�,
这种手艺可以包管将原有的光信号流量分成完全相同的若干份�,�,�,�,不影响原有营业�,�,�,�,同时流量剖析系统可以同时 吸收到完全相同的流量举行同步剖析�。�。
通过以上方法�,�,�,�,数据收罗可获到种种要害监控点的原始流量�,�,�,�,并不会影响原有营业�。�。
(2)清静监测与预警
清静监测与预警包括协议深度剖析、异常攻击识别与预警和清静会见规则天生与下发等功效�。�。
·
协议深度剖析�。�。关于收罗的工控网络通讯数据�,�,�,�,使用传输端口、协议特征等多种方法举行快速协议识别并高速实时剖析�。�。协议深度剖析支持高速识别与剖析OPC-DA、OPC-UA、Modbus-TCP、Siemens-S7、Profinet和Ethernet/IP等烟草行业典范应用工控协议�,�,�,�,并支持到报文类型、子类型、指令、变量和值级别�,�,�,�,便于举行变量阈值的检查和正常行为的建模�。�。
·
异常攻击识别与预警�。��;�;;诙怨た匦榈耐ㄑ侗ㄎ木傩惺章抻肷疃绕饰�,�,�,�,使用基于攻击特征与基于行为异常的检测方法�,�,�,�,对目今工控系统通讯中含有显着恶意特征或偏离正常行为基线较远的流量举行监测并告警�。�。�?墒侗鸩《竟セ鳌⒕芫Ю凸セ鳌⑴月房刂啤⒁斐V噶畈僮鳌⒖缤宋⑽ス嫱饬チ⒁斐9た匦楸ㄎ摹⒚舾行畔⒚魑拇洹⑴橙蹩诹睢⑽粗氨附尤牒鸵斐E连等异常攻击行为�。�。使用回归展望算法�,�,�,�,对工控操作数据和工控流量运行展望剖析�,�,�,�,可描绘工控清静生产态势�,�,�,�,实现清静生产故障预警功效�。�。
·
清静会见规则天生与下发�。��;�;;谝斐9セ魇侗鹩朐ぞ饰龅男Ч�,�,�,�,关于异常攻击行为�,�,�,�,综合剖析其攻击路径选择与攻击手段�,�,�,�,自动天生抑制并阻断该种异常攻击行为的会见控制列表�,�,�,�,该列表包括三层IP会见控制列表�,�,�,�,工控控制指令会见规则列表和工控操作数据阈值列表等�。�。
(3)清静管控
在病毒攻击检测、网络攻击检测的基础上�,�,�,�,对工控网络流量举行实时剖析�,�,�,�,加载工控清静监测平台的清静会见规则�,�,�,�,实时阻断异常攻击行为�,�,�,�,实现烟草工控生产系统的操作指令和操作数据的协议级实时管控�。�。关于工控天生影响较量大的会见控制规则�,�,�,�,可按设置�,�,�,�,要求治理员或清静专家确认后�,�,�,�,才华生效�,�,�,�,在降低清静会见网关实验操作难度的同时�,�,�,�,可大大镌汰由于人工误操作的战略设置而导致的工控生产事故的爆发�。�。
3 结语
现在古板的防火墙、网闸等清静防护产品的清静战略需手动设置与更新�,�,�,�,且专业性强�,�,�,�,难度高�,�,�,�,更新慢�,�,�,�,难以抵达清静管控且不影响工控天生的效果�。�。本文针对烟草行业工控系统清静监测与防护手艺的研究�,�,�,�,提出旁路清静监测预警与串行清静防护两种机制举行有机连系并实现联动的清静监测管控计划�,�,�,�,使工业控制系统异常攻击行为获得快速的抑制进而抵达阻断的效果�,�,�,�,通过清静监测平台自动天生清静会见规则战略�,�,�,�,大大增强了工控系统清静防护的可操作性和时效性�,�,�,�,使异常攻击事务获得实时的响应与处置惩罚�,�,�,�,提高了烟草行业工控系统清静防护与预警能力�,�,�,�,包管工控生产清静稳固运行�。�。
本计划基于工控协议深度剖析实现对工控网络情形的清静监测与管控�,�,�,�,安排利便无邪�,�,�,�,可操作性优异�,�,�,�,扩展性强�,�,�,�,适用于打叶复烤、制丝、卷接包和烟草薄片等烟草领域各个工控生产环节�,�,�,�,其中要害手艺也可逐步拓展应用到石油、化工、交通等其他要害信息基础实验�;�;;ち煊�,�,�,�,具有辽阔应用远景�。�。
作者简介
文雅玫(1984-)女�,�,�,�,湖南长沙人�,�,�,�,博士�,�,�,�,现任湖南省烟草专卖局(公司)工程师�,�,�,�,在湖南烟叶复烤有限公司从事烟草行业网络清静和项目治理事情�。�。
李建强(1983-)�,�,�,�,男�,�,�,�,陕西宝鸡人�,�,�,�,硕士�,�,�,�,国家盘算
机网络应急手艺处置惩罚协调中心工程师�,�,�,�,在工业控制系统网络清静应急手艺工信部重点实验室主要从事工业控制系统网络清静防护研究事情
谢博文(1989-)男�,�,�,�,瑶族�,�,�,�,湖南永州人�,�,�,�,本科�,�,�,�,湖南烟叶复烤有限公司郴州复烤厂助理工程师�,�,�,�,主要研究偏向为工业控制系统网络清静�。�。
资 捷(1979-)男�,�,�,�,湖南耒阳人�,�,�,�,本科�,�,�,�,工程师�,�,�,�,现
任湖南烟叶复烤有限公司网络清静与信息手艺员�,�,�,�,主要 研究偏向为盘算机应用和网络清静�。�。
吴秋果(1983-)男�,�,�,�,湖南汨罗人�,�,�,�,硕士�,�,�,�,工程师�,�,�,�,现任湖南烟叶复烤有限公司网络清静与信息手艺员�,�,�,�,主要研究偏向为软件工程�。�。
京公网安备11010802024551号