在“等保2.0下,网络隔离技术大起底”一文中详细介绍“网络隔离”的概念,想必大家对“隔离”这个词一点也不陌生。但是,对于“微隔离”这个计算机术语,知道人寥寥无几,就算是安全圈内也很少有人清楚。微隔离作为一种刚刚新兴的网络安全防御技术,开始于虚拟化厂商VMware,后来因为该技术连续多年被Gartner列入十大安全技术而逐渐被大家熟悉。微隔离技术说白了就是一种相对边界隔离和区域隔离更细粒度的网络隔离技术,主要面向虚拟化的数据中心,能够根据被保护的网络的业务变化及时识别业务信息流并按照业务信息流做更细粒度的访问控制。在现阶段,企业的安全解决方案主要包括网络防护和主机防护。网络的防护主要采用以网闸和防火墙为代表的网络隔离技术。网络隔离通过按照地域、业务逻辑、风险等级把相关的资源划分到不同安全域,安全域的所有资源基本采用相同的访问控制策略;主机防护主要是主机上部署一些以特征和程序白名单技术的防病毒软件;通过这些网络防护解决方案,企业内网常常被认为是非常可信的安全区域。
实际上相对于边界或区域网络安全防护措施来说,内部安全是脆弱的。首先,为了方便日常工作,内部各个安全区域之间往往只是设置简单的访问控制策略;其次,除了采用网络边界进行攻击之外,通过其他攻击手段,如U盘攻击、社会工程学等攻击手段很容易穿透基于网络隔离的边界网络而进入内网。再次,来自内部攻击是企业安全的重要隐患,内部攻击者很容易收集到内部设备基本信息及其漏洞信息,然后利用这些信息访问或攻击其他系统。如图1所示,外部或内部攻击者一旦攻击企业的某个系统之后,就相当于企业网络中有了建立滩头阵地,由于企业网络简单的区域防护策略,黑客通过这个系统就可以畅通无阻地横向(“东西向”)攻击其他系统,因此,企业迫切地需要一种技术能够解决企业内部横向攻击。
微隔离技术的主要目的就是解决企业内部横向攻击,通过分析企业网络信息和业务流信息,基于业务把网络按照更小粒度物理或逻辑上划分为更小的网络隔离单元,最极端情况下,微隔离技术能够针对单个主机或设备的特定流的特定内容进行隔离,从而实现阻止内部横向攻击。微隔离技术采用深度流可视化技术分析和隔离威胁,其提供的系统性方法可以为企业安全人员更好地识别威胁,根据环境变化自动更新安全策略并隔离威胁。如下图所示,是一个典型的微隔离技术部署方式,把企业的网络划分多个安全区,再在安全区中按照业务划分更小的隔离单元,流可视化技术学习各个系统之间通讯的业务流(如下图绿色线条)并根据业务流信息定义白名单访问控制策略,从而实现完整的微隔离解决方案,如果某个主机或服务器遭受攻击(如下图红色线条为其攻击路径),由于所有的系统都具有各自的白名单安全访问控制策略,这样就能够有效地控制横向攻击。
微隔离技术最重要的工作就是让安全运维人员了解网络内部信息的流动并根据其行为制定微隔离策略,微隔离技术主要是利用白名单技术,生成类似于白名单的安全策略。利用微隔离技术,安全运维人员可以集中、灵活、智能地管理安全策略,创建基于业务的安全策略来限制各种信息流之间的流动。分析业界云中心微隔离技术解决方案,微隔离技术的产品解决方案主要包含以下几个方面能力,如下图所示:
1) 面向业务的资产管理,维护被监控网络的资产及拓扑信息等。2) 面向业务的流可视化,学习基于业务流的基线并提供流的可视化,然后通过人机交互式的方式制定安全隔离策略。3) 面向业务的异常流量检测,实时监控各个安全区域间和安全区域内流信息并智能分析异常安全事件。4) 面向业务的集中安全策略管理,实现灵活、智能、快速的集中安全策略管理。5) 面向业务的自适应安全策略管理,由于细粒度的策略管理,需要能够随着业务的变化及时快速生成安全策略,自适应安全策略管理是微隔离的一个重要组成部分。6) 面向业务流的分布式策略控制,能够把集中配置安全策略分发到各个分布式控制单元执行微隔离控制策略。尽管各个企业的安全隐患很高,安全隔离技术能够更好地解决安全域内问题,但是企业没有采用完整的微隔离技术,主要因为很多企业的内部网络业务太复杂,很多企业已经部署了防火墙来实现网络隔离,微隔离技术实施成本太高。在等保2.0要求中,工业控制系统分为4层,即第0~3层为工业控制系统等级保护的范畴工控网络,横向上对工业控制系统进行安全区域的划分,根据工业控制系统中业务的重要性、实时性、业务的关联性、对现场受控设备的影响程度以及功能范围、资产属性等,形成不同的安全防护区域,所有系统都必须置于相应的安全区域内。如图4所示等保2.0的“工业控制系统网络安全三重防御分区图”,采用多重区域隔离,再结合工控领域基于白名单的边界防护和主机防护技术,微隔离技术非常适应工控网络的应用和发展。
注:(a)参照IEC 62443-1-1工业控制系统按照功能层次划分为第0层:现场设备层,第1层:现场控制层,第2层:过程监控层,第3层:生产管理层,第4层:企业资源层;(b)一个信息安全区域可以包括多个不同等级的子区域;(c)纵向上分区以工业现场实际情况为准(本防护方案的分区为示例性分区),分区方式包括但不限于:第0~2层组成一个安全区域、第0~1层组成一个安全区域等。
我们以“火电厂电力监控系统微隔离安全解决方案”为例,工控系统一般划分为管理信息大区和生产控制大区,管理信息大区和传统企业网基本相同;生产控制大区则是典型的工控网络,可以分为安全I区和安全Ⅱ区,其中安全I区为生产控制,安全Ⅱ区为非控制区;安全I区按照机组划分为多个微隔离区域,每个机组内包含工程师站、操作员站、实时数据库、历史数据库、接口机、控制系统等主机和设备。各个物理及逻辑区域之间通过网络安全设备隔离,微隔离安全解决方案主要包括以下安全设备:1) 工业防火墙,部署在各安全I区和安全Ⅱ区之间或者部署在各个机组之间,实现隔离区域之间的物理隔离。2) 工控主机卫士,安装在安全I区和安全Ⅱ区的工程师站、操作员站、实时数据库、历史数据库、接口机上实现主机级的访问控制。3) 工业监测审计平台,部署在各个机组内,监测和审计机组内部通讯数据,可以实时检测机组内未安装主机卫士的控制设备的通讯。4) 统一管理平台,实现业务流安全访问控制策略管理及业务流的可视化。工控主机卫士生成系统类和工控类应用程序白名单,同时实时监测程序的通讯信息、主机相关信息并集中上报到统一管理平台。统一管理平台存储主机卫士上报的信息,自动识别资产的类型和分区,计算主机安全风险指数,并按照资产的各个维度帮助用户方便快速地整合资产的业务信息、主机的基本信息、工控应用软件信息、工控业务相关的进程及其开放端口信息、工控相关的用户信息、系统的漏洞及其补丁信息,从而快速分类和定位资产及所在安全区域的风险。如图3中的工程师站、操作员站等均表示资产,通过主机卫士可以获取其资产信息,详细信息如下表所示。资产名称 | 工程师站-M |
资产类型 | 工程师站 |
资产IP | 192.168.3.11 |
分区 | 机组1 |
重要程度 | 8 |
风险指数 | 8.52 |
系统漏洞 | 2(高危)/5(中危)/7(低危) |
程序名称 | 类型 | 网络 协议 | 开放 端口 | 工控 协议 | 备注 |
System | 操作系统 | TCP | 445 | SMB | Windows系统软件 |
gcs.exe | 工控软件 | TCP | 102 | S7 | Xxx公司工程师站 |
流可视化技术伴随着微隔离技术发展而发展,基于可视化技术才可以实现面向业务流的策略管理和面向业务的自适应的策略管理。工控主机卫士监控到工控应用和与其他主机的交互的信息流并上报到统一管理平台,同时工业防火墙和工业监测审计平台采用深度数据包解析引擎,解析OPC、Modbus TCP、SiemensS7、DNP3、IEC104、MMS、PROFINET和FINS等在内的各大主流工控网络协议,并对工控协议做指令进行解析,记录工控指令会话表。统一管理平台把主机卫士上报的资产信息和业务流信息与工业防火墙和工业监测审计平台的工控指令级会话表关联,形成基于业务的资产工控会话的指令信息,每个指令操作信息如下表所示。源资产名称 | 工程师站-M |
源资产IP | 192.168.3.11 |
源资产类型 | 工程师站 |
源资产分区 | 机组1 |
源资产端口 | 10051(gcs.exe) |
网络协议 | TCP |
应用协议 | S7 |
目的资产名称 | 操作员站-x |
目的资产IP | 192.168.3.11 |
资产类型 | 操作员站 |
目的资产分区 | 机组1 |
目的资产端口 | 102(czy.exe) |
功能码 | 读寄存器 |
值域 | 1 |
由于业务的复杂性及部署要求,微隔离技术把安全策略执行和安全策略管理分离,采用分布式安全策略执行,因此需要集中的安全策略管理。根据工业防火墙和工业监测审计平台学习到的工控指令级会话可以在学习周期内轻松建立业务指令级会话基线,然后人工对业务的模型进行校对分析无误后,生成基于白名单的安全控制策略,并及时向主机卫士和工业防火墙下发策略。如表3所示,是一条典型的白名单访问控制策略。资产分区 | 机组1 | 备注 |
源资产类型 | 工程师站 |
|
目的资产类型 | 操作员站 |
|
网络协议 | TCP |
|
协议 | S7 |
|
源资产IP | 192.168.1.21 | 该字段为可选 |
目的资产IP | 192.168.1.22 | 该字段为可选 |
源资产端口 | 10051(gcs.exe) | 该字段为可选 |
目的资产端口 | 102(czy.exe) | 该字段为可选 |
指令类型 | 读写 | 该字段为可选 |
功能码 | Any | 该字段为可选 |
值域 | Any | 该字段为可选 |
控制动作 | 放行 |
|
工控监测和审计系统对每个微隔离区及微隔离区之间的工控协议的通信报文进行采集与深度解析,利用人工智能自学习算法建立工控业务流量模型基线,对当前工控业务流量行为与业务流量基线进行对比分析,对不符合与工控业务基线的异常行为进行告警,例如异常指令操作、未知设备(新出现的设备)、非法外连、非法内连、异常通信地址(IP和MAC映射关系错误)、异常通信端口、无流量异常、异常写指令等告警。在工业控制现场,不可避免有些业务发生变化,业务的变化也直接和间接影响业务安全策略变化,主要包括这几类的业务变更:1) 根据业务要求不定期扩容和更换设备,扩容和更换设备之后需要重新安装部署新的工控主机卫士,工控主机卫士学习到新的资产和业务流之后自动生成与变更资产相关的信息流基线。2) 不定期的工控软件升级,工控主机卫士通过安全运维功能动态管理工控应用的升级和安装,根据安全运维识别的变化自动学习相关的流信息,重新生成安全基线,用户只需要根据业务的变化快速调整安全策略。3) 某些复杂的业务可能会在学习到业务指令级会话之后业务发生了细微变化,会产生少量的误告警,统一管理中心采集所有阻断的指令级会话的告警信息,可以一键把告警中可信的指令会话加入白名单安全控制策略中。4) 工业监测审计设备监测面向业务的异常检测、主机卫士监控操作系统和应用的最新漏洞信息,计算主机和微隔离区域的风险指数,根据主机和隔离区域的风险指数定期待生成面向业务的安全控制策略,用户根据业务和风险指数能够快速调整主机和区域的安全策略。火电厂电力监控系统微隔离安全解决方案基于微隔离技术把工控网络划分为多个物理和逻辑隔离区,并为其提供完整的访问控制策略,如图6中的绿色连接线表示按照业务白名单允许访问的连接或允许连接内允许执行的工控指令,红色线条表示内部某个主机被控制之后发起的攻击被阻断的连接或阻断可信连接内不允许执行的工控指令。1) 生产控制大区与管理信息大区之间采用行业专用的单向隔离网闸,可以防护管理信息大区向生产控制攻击。2) 安全Ⅱ区和安全I区之间采用具有访问控制功能的工业防火墙或网闸,实现逻辑隔离、报文过滤、访问控制等功能,如果使用工业防火墙,不仅可以控制安全II区和安全I区之间的工业协议的连接,还可以控制允许访问连接内的工控指令。3) 安全区I和安全区II的各机组之间、各不同位置的厂站网络之间,根据需要可以釆取工业防火墙进行访问控制,控制各个机组之间的连接及允许访问连接内的执行工控指令。4) 同一机组监控系统与控制系统之间、同一机组的不同功能的监控系统之间,尤其是机组监控系统与输变电部分控制系统之间,至少必须安装工控主机卫士来执行主机的安全控制策略,考虑到部分控制系统无法安装主机卫士,同时需要配置工控监测与审计平台实现微隔离区域的策略执行和流量审计。工业防火墙、工控主机卫士、工业监测审计平台均采用白名单,在工控网络使用微隔离部署那是水到渠成的事情。但是由于不同工控行业的业务逻辑千差万别,理解工控业务并根据业务学习和使用复杂的安全策略中并不容易,灵活方便的面向业务的流可视化和面向业务自适应策略管理将会成为微隔离技术在工控网络使用的关键推动力。
威努特简介北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。
威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有52项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。
威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!
渠道合作咨询 张先生 18201311186
稿件合作 微信:Luo_xiaoran