查看原文
其他

技术分享 | 工控可信网络连接替代方案简介

杨建平 威努特工控安全 2021-07-06
1 可信网络连接

可信网络连接(Trusted Network Connection,TNC)是可信网络连接分组制定的网络接入规范,是可信计算和网络连接结合的产物。TNC基础架构如下图所示:

可信连接的架构包括访问请求者、策略执行点和策略决策点三个组件,同时根据每个组件按照事先划分网络访问层、完整性评估层和完整性度量层,三个组件的各个层与层之间特定的协议交互,协议如下图所示。TNC架构在原来的功能技术上实现了完整性评估层与完整性度量层,并能够完成接入平台的身份验证与完整性验证。 

图1 TNC基础架构

在TNC基础架构中,平台的完整性状态将决定终端是否被允许接入网络。如果某些终端的当前状态无法满足预置的安全策略要求时,该架构实现了提升终端安全的修补方案。在终端接入之前先进入一个修补阶段,为了保障网络安全,终端只能连接到一个隔离区域,待终端修复完成之后才允许网络。终端修补功能的TNC架构下图所示:

 图2 TNC修补架构

通过可信连接,可对终端在接入网络之前,完成各种认证和度量才会允许接入。

1) 首先对终端的用户身份进行认证。

2) 其次对终端平台的身份进行认证。

3) 然后对终端的可信状态进行度量。

◇ 如果度量的结果达到网络连接的安全策略要求,则允许终端连接网络;

◇ 如果度量的结果不能达到网络连接的安全策略要求,则终端将连接到指定的隔离区域并进行安全性修补,直到修补满足网络连接安全策略。


2 工业控制网络内的网络可信连接现状

当前我国工控网络普遍存在以下问题:

◇ 工控网络采用明文协议,较易拦截和篡改通信内容;

◇ 控制设备对信息安全设计较弱,难以应对网络异常攻击;

◇ 主要控制设备进口自国外,产品层面的安全加固工作受制于国外厂商;

◇ 工厂操作人员安全意识和安全能力较弱,较难执行基于密码网络的管理体系。

基于上述问题,我国绝大多数工业控制网络没有建立网络可信连接机制,由此导致较易在工控网络内开展中间人攻击和异常包攻击。

工控网络中的中间人攻击就是利用网络中没有可信连接机制,首先接入非法设备,然后采用ARP欺骗的方式,实现对正常工控通信的拦截;在经过一段时间的学习后,掌握正常工艺指令规律,最后篡改或直接播放恶意工艺指令,导致控制设备和执行机构产生破坏性工艺行为。 

由于工控网络中的控制器设备(比如:PLC或DCS控制器)对网络异常流量处理能力较弱,在没有网络可信连接机制保障的情况下,非法设备接入工控网络后,播放少量异性包,就可以导致大量工控设备瘫痪。


3 工控网络可信连接的替代方案

既然工控网络,短时间内较难建立起基于密码技术的网络可信连接保障体系,那么我们可以换一个思路,从被动防御角度出发建立起一个保障功能等同于可信连接的解决方案。网络可信连接解决方案的主要目标是实现对接入设备身份和接入设备安全策略的认证,因此我们可以建立一个白名单环境,从设备的网络特征和网络行为来建立对设备的身份认证和设备行为安全认证,从而实现工控网络的可信接入解决方案。

威努特技术解决方案通过工控主机卫士产品在工控机上引入工控主机卫士来保障主机的白环境安全。使用进程白名单、外设白名单、服务白名单、完善的主机安全加固、可靠的双因子认证机制保证网络上工控机的主机安全;通过工控主机卫士的网络白名单,把工控相关业务提供的服务端口作为网络端口白名单,同时把工控上位机及其服务器之间的通讯定义为网络连接白名单,细化工控主机的网络行为,固化工控主机的安全访问行为,从而进一步在通信数据中加入通信标记方式,通过通信标记对接入设备的合法性进行验证,只有合法设备的通信数据包才能够进入网络内转发,从而实现可信互联访问控制,保证报文来源可信、传输过程可靠,报文没有被仿造、篡改。

为了进一步防止外部伪造数据进行攻击,引入工控防火墙进行网络流量的可信连接验证。工控网络设备的身份特征,在TCP/IP层可以通过设备的IP地址、MAC地址来确定,但是这些因素都可以人为篡改。威努特自主研发的工控网络逆向分析技术,可以在常见工控协议中,发现设备的类型、品牌、规格、固件版本号和序列号,从而可以通过网络协议分析建立起接入设备的详细信息库。在这个详细设备信息库的基础上,建立设备接入策略,并可进行实时监测,及时发现非法设备的网络接入。 

在工控网络设备行为安全认证方面,威努特的工业防火墙和工控网络监测审计设备,可以通过对工控网络的流量学习建模,建立工控网络的点对点通信模型、特定通信链路中的协议模型、特定链路特定协议中的指令类型模型和指令序列模型。通过这些模型的建立,可以形成一个工业控制系统的整体网络行为指纹,一旦某个设备发送了异常指令,即会导致该网络行为指纹的变化,从而使得工控网络监测审计设备发现网络异常。 

通过威努特的工控主机卫士,可保护工控主机的可信环境和网络通讯;通过工业防火墙,可建立工控网络区域的边界可信接入管控;通过威努特的工控信息安全监测审计设备,可以建立一个工业网络内部的设备身份监测和设备网络行为监测;再配合威努特的工控主机态势感知系统预测网络攻击并进行主动防御,就可以建立完整的工控安全管控解决方案。 

威努特公司是国内专注于工控安全领域的高新技术企业,以研发工控安全产品为基础,打造多行业解决方案,提供培训、咨询、评估、建设及运维等全流程安全服务。威努特提出工业网络“白环境”理念,迄今已服务电力、轨道交通、石油、石化、市政、烟草、化工及军工等行业的三百余家客户,受邀保障G20峰会和“一带一路”国际合作高峰论坛。威努特致力于为客户构建安全可靠的工业网络环境,保障国家关键信息基础设施运行安全,为中国制造2025护航,为建设网络强国添砖加瓦!



更多阅读:

技术分享 | 2018年SANS关于IIoT的安全调查报告威努特助力西部关键基础设施建设,新疆石油石化行业工控安全技术研讨会成功召开

技术分享 | 基于等级保护2.0要求的城市轨道交通PIS系统安全解决方案分享

威努特工控态势感知平台亮相全国水利工程工控网络安全防护技术推介会

技术分享 | 生产安全监测平台在电力企业内应用介绍

 



威努特工控安全

专注工控·捍卫安全


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存