威努特工控安全监测与审计系统产品白皮书

工业控制系统已经成为国家关键基础设施的重要组成部分，工业控制系统的安全关系到国家的战略安全。

随着工业信息化的快速发展，工业化与信息化的融合趋势越来越明显，工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。

未来为了提高生产效率和效益，工控网络会越来越开放，而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。

●安全漏洞难以及时处理，系统存在巨大安全隐患工业控制系统由于设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题，造成工业控制系统的补丁管理困难，系统安全漏洞难以及时修复，系统长期存在巨大安全隐患。

●缺乏对用户操作、网络行为的审计，事故分析困难现实环境中通常缺乏针对工业控制系统的安全日志审计及配置变更管理，导致安全事故的分析难以进行。

这是因为部分工业控制系统可能不具备审计功能或者虽有日志审计功能但系统的性能要求决定了它不能开启审计功能所造成的结果。

同时目前的IT安全审计产品因缺乏对工业控制协议的解析能力而不能直接用于工业控制系统中。

由于工业控制协议缺乏统一的标准，使得审计工业控制协议的工作代价巨大且不能通用也是造成工业控制系统中违规操作行为审计缺乏的原因之一。

●无线通信网络，普遍缺乏必要的安全防护一些行业工业控制系统中大量使用无线网络，例如城市轨道交通的信号系统中广泛采用WLAN实现车地通信。

●面对新型的APT攻击，缺乏有效的应对措施APT（高级可持续性威胁）的攻击目标更为明确，攻击时会利用最新的0-day漏洞，强调攻击技术的精心组合与攻击者之间的协同；而且是为不达目的不罢休的持久性攻击。

近年来以“震网”为代表的针对工业控制系统的攻击事件都呈现了这些攻击技术特征。

但是针对这种APT攻击，现有的安全防护手段均显得有些无力，使其在面临APT攻击时将会遭到不可估量的安全损失。

●没有足够的安全政策、管理制度，人员安全意识缺乏工业控制系统在设计时也多考虑系统的可用性，普遍对安全性问题的考虑不足，更不用提制订完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养了。

在2010年“震网”事件发生之前很少有黑客攻击工业控制网络的事件发生，和平日久造成人员的安全意识淡薄。

北京威努特工控安全监测与审计系统产品白皮书1.2工控安全审计平台能够解决哪些问题威努特工控安全审计平台，是专门针对工业控制网络的信息安全审计系统，它能够帮助工业控制系统用户解决以下问题：●像飞机“黑匣子”一样忠实记录工业控制网络通信行为，为安全事故/故障调查提供详实的记录；●提供对网络行为异常、工业协议攻击、工业控制关键事件的实时检测与报警能力。

二．威努特工控安全审计平台2.1产品概述实事上，目前国内工业控制系统相对封闭的环境，使得来自系统内部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面临的主要安全风险。

因此，对生产网络的访问行为、特定控制协议内容的真实性、完整性进行监控、管理与审计是非常必要的。

威努特工控安全审计平台，是专门针对工业控制网络的信息安全审计系统。

它采用旁路部署，对工业生产过程“零风险”，基于对工业控制协议（如ModbusTCP、OPC、DNP3、IEC60870-5-104等）的通信报文进行深度解析（DPI，DeepPacketInspection），能够实时检测针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查提供坚实的基础。

威努特工控安全审计平台，广泛应用于电力、石油、石化、轨道交通、烟草、钢铁及先进制造等各个行业。

2.2产品架构威努特工控安全审计平台包括两个组件：工控网络审计探针（简称“审计探针”）：为一个嵌入式硬件设备，旁路部署在工控网络中，通过交换机镜像获取工控网络流量，进行初步处理后上报给安全审计管理平台。

安全审计管理平台：为一个硬件服务器，负责接收各个工控网络审计探针上报的数据，进行统一地分析检测，并将结果展现给管理员。

威努特工控安全审计平台采用分布式部署、集中管理，多台工控网络审计探针分布式部署在各个工业交换机的旁边，由安全审计管理平台进行统一的管理。

如下图：图表1工控安全审计平台部署架构威努特工控安全审计平台的逻辑架构划分为数据采集层、分析检测层、可视化/告警层。

如下图：图表2工控安全审计平台逻辑架构数据采集层：负责原始报文的采集、协议解析（包括TCP/IP协议栈的解析及工业控制协议的深度解析）、初步攻击检测及信息汇聚与统计。

分析检测层：综合来自数据采集层的报文解析结果、初步检测结果及汇总统计信息，进行工控网络通信行为建模，并进行TCP/IP异常检测、工控指令异常检测、工控关键事件检测、网络风暴检测、网络会话异常检测、基于阈值的检测等各类安全检测，并支持基于用户自定义规则的检测。

可视化/告警层：接收来自分析检测层的数据及检测结果，一方面进行告警的展现，另一方面对数据进行持久化并进行多维度的统计分析和展现。

2.3产品优势2.3.1工控协议指令级检测与审计威努特工控安全审计平台搭载了威努特自研的深度数据包解析引擎，可对工控协议做指令级检测与审计，为解决针对工控网络的安全问题提供了技术基础保障，其全面支持各大主流工业控制协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。

对不同行业的工业控制系统，可以采取相应针对性的数据包探测机制和解析策略。

在遵循工业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，如恶意软件、具体数据和应用程序类型。

深度数据包解析引擎支持涵盖OPCClassic、ModbusTCP、IEC60870-5-104、DNP3、S7等在内的各大主流工控网络协议。

2.3.2支持私有工控协议的扩展接口工业控制系统的特点之一，是存在大量的私有工控协议，如果不能够支持这些私有的工控协议，会大大影响工控安全审计产品的检测与审计能力。

威努特工控安全审计平台提供SDK，开放的平台接口可以方便客户自行扩展支持私有工控协议，以及做定制化的二次开发。

2.3.3高性能的深度解析及检测能力威努特工控安全审计平台具备先进的硬件架构，采用专门适用于网络处理的MIPS多核CPU，而不是通用的x86架构CPU，为高性能的工控协议深度解析与检测提供了坚实的基础保障。

高性能的软件架构及高性能多模式匹配算法，进一步保证了工控协议深度解析与检测的性能。

2.3.4专为工控环境设计的工业级硬件工控网络审计探针设备，严格按照工业级硬件的要求进行设计，能够满足各种工业现场的环境要求。

具体包括：无风扇全封闭设计，防护等级：IP40；9-36VDC，电源采用1+1冗余供电；硬件产品达到工业三级B以上指标；工作环境可满足温度：-40～70℃，湿度：5%～95%无凝结；转发平面与控制平面分离设计；多种灵活的安装方式，包括导轨安装、机柜安装等。

2.3.5自主可控的工控安全操作系统威努特工控安全审计平台在专用工业级、高性能网络安全硬件平台基础上，构筑了自主知识产权的智能工控安全操作系统（即：IntelligentIndustryControlSecurityOperatingSystem简称：IICS-OS），IICS-OS对流经的数据报文做深度的协议解析和匹配，并对数据流做智能调度转发，以及对七层以上的内容做深度检查，为上层的特色的安全功能的扩展提供了的坚实的基础保障。

2.3.6针对工控行业用户习惯设计的使用体验威努特工控安全审计平台以提高工业控制网络的日常安全管理、信息统计数据的易读性和可操作性为设计核心，降低操作复杂度，避免误操作。

系统充分利用人工智能技术，大幅度简化分析、管理、控制流程，并提供简单易学的用户界面，方便管理人员日常操作管理。

安全审计管理平台支持实时可视化呈现工控网络链路的连通性和服务状态，提供多类历史监控数据对比分析，系统日志、配置日志、流量日志、攻击日志、访问日志等类型日志的查询与备份。

2.4主要功能2.4.1工控网络异常检测图表3工控网络异常检测流程网络异常检测功能，基于对工控协议（例如ModbusTCP、DNP3、IEC60870-5-104等）的通信报文进行采集与深度解析，利用人工智能算法自学习建立工控通信模型基线，对当前工控协议通信行为与基线进行对比，对偏离基线的行为进行检测并告警。

例如：异常指令操作、新出现的设备（IP地址）、异常访问关系（网络连接）等告警。

威努特工控安全审计平台，支持管理员对智能学习建立的通信模型基线进行人工调校，并支持对告警事件一键加入白名单。

威努特工控安全审计平台，支持对工控协议连接的异常断开及断开后重新连接进行检测并告警。

2.4.2工控网络攻击检测威努特工控安全审计平台，支持对多种类型的工控网络攻击行为进行检测并告警：针对工控协议的攻击：例如针对Modbus通讯协议的违规端口传输、功能码错误、功能码携带数据异常等多项异常检测规则；针对IEC60870-5-104协议的启动字符错误、asdu长度越界、PSCADA通讯遥控类别标识异常等多项异常检测规则；工控协议畸形报文攻击：对工控协议报文不符合其规约规定的格式进行检测并告警；针对TCP/IP协议层的攻击：针对网络TCP/IP协议栈报文进行各种典型违规的检测，及时发现恶意伪造的异常畸形报文，检测出入侵行为；基于参数阈值的攻击检测：对特定过程状态参数、控制信号设定检测阈值，对超阈值的事件进行告警；TCP/IP协议层风暴攻击：基于IP地址的阈值检测SynFlood、PingFlood、UDPFlood攻击，支持默认的全局阈值，也支持对某个IP或IP范围配置个性化的阈值；工控协议层风暴攻击：基于IP地址某工控协议的接收报文速率阈值检测，对超阈值的事件进行告警；针对用户自定义攻击规则：允许管理员自定义工控协议通信告警规则，对符合告警规则的通信行为进行告警。

2.4.3工控关键事件检测威努特工控安全审计平台，支持对生产工艺中的关键事件进行检测。

2.4.4工控网络连接视图工控网络连接实时视图，实时图形化显示监控范围内的所有网络连接（源IP、目的IP），并对异常的网络连接标红显示。

图表4工控网络全网连接视图支持基于IP地址过滤，仅显示与某个IP地址有关的连接视图。

图表5工控网络某IP连接视图2.4.5告警事件统计威努特工控安全审计平台，支持对各类告警事件进行多维度的统计。

2.4.6网络连接统计威努特工控安全审计平台，支持对网络连接进行多维度的统计。

例如：基于连接数TOPIP地址：统计某个协议（如Modbus）或全部协议网络连接数最多的IP地址；基于报文数TOPIP地址：统计某个协议（如Modbus）或全部协议网络报文数最多的IP地址；北京威努特工控安全监测与审计系统产品白皮书基于流量TOPIP地址：统计某个协议（如Modbus）或全部协议网络流量最多的IP地址；基于连接数TOP协议：统计某个IP或全部IP，网络连接数最多的协议（如Modbus）；基于报文数TOP协议：统计某个IP或全部IP，网络报文数最多的协议（如Modbus）；基于流量TOP协议：统计某个IP或全部IP，网络流量最多的协议（如Modbus）。

2.5典型部署以一个SCADA网络为例，威努特工控安全审计平台的典型部署如下图：图表6审计平台在SCADA网络中的典型部署首先，在站控层的工业以太网中，每个工业交换机位置旁路部署一台“审计探针”，“审计探针”通过交换机镜像口复制一份经过该交换机的所有网络流量。

因为是旁路部署，且审计探针只接收网络流量，不会对工控网络发生任何干扰报文，所以对生产工艺过程不会造成任何影响。

其次，在控制中心网络中，部署一台“安全审计管理平台”，实现对分布式部署在站控层的多台“审计探针”的集中管理。

通过以上的部署，实现了对该SCADA网络所有站控层网络流量的全网监控与审计，能够检测出针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，不仅支持几乎所有通用协议DNP3、MMS、FF、IEEE1588、IEC-104等，还支持主流工控厂家Modbus、OPC、ABBMI、S7、Profibus、HoneywellCDA、ABBCNCP、RockwellCSP、DeltaV、GESRTP、MOSTAPI等协议，目前已在电力、石油石化、煤炭、冶炼、烟草、先进制造业等行业投入使用，为工业控制系统的安全事故调查提供坚实的基础。

3.2为安全事故的调查，提供详实的数据支持威努特工控安全审计平台能够详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，并且提供了简便易用的回溯功能，为工业控制系统的安全事故调查提供了坚实的基础和手段，改变以往工业控制系统出了安全事故无法取证、调查无从下手的被动局面。

3.3通过网络通信可视化，提高工控网络运维效率威努特工控安全审计平台通过将工控网络的通信行为可视化，并提供友好的用户界面，人性化的统计报表，极大的提高了企业工控网络管理的效率，使企业工控网络管理简单易行，从而降低工控网络的运维成本。