1　監測審計在工控安全保障策略中的重要性分析

　　工控網絡安全保障一般包括以下七個步驟：實現應用白名單；確保合適的配置和補丁管理；減少攻擊面；建立一個可防御的環境；管理認證；實現安全的遠程訪問；監測和響應。這七個步驟分別完成不同的安全策略的實施部署。

　　雖然這些策略可以防止90%以上的攻擊，但是還有剩下的一些攻擊手段，需要持續性的監測。此外，對于一些嚴重程度較低的異常，有些安全管理員很可能會忽略這些警告，而這很可能是有敵手對工控系統進行APT攻擊，如果將這些異常信息進行關聯分析，從中發現潛在的安全隱患，不僅能夠減少管理員的壓力，同時還能更好地保護工控安全。

　　在第七個策略安全監測和響應中，尤其需要對位于現場控制層的控制設備以及位于過程監控層的工作站的通訊過程進行安全監控。在眾多工控安全系統中，工控安全監測審計系統是搭建整個預警體系的關鍵所在。作為預警體系的探針，工控安全監測審計系統承載著數據收集和分析的要務。

　　適用于工控網絡的安全監測審計系統，需要對工控系統網絡內的異常行為進行實時的監測分析，快速執行已經準備好的響應方案。

　　可考慮在五個位置部署監控程序：

　　（1） ICS邊界對IP流量進行監測，正常和非正常的通信。

　　（2）在控制網絡中的IP流量，惡意的連接或者內容。

　　（3）基于主機的產品，監測惡意軟件和攻擊企圖。

　　（4）登錄分析（時間或者地點），監測被盜用的賬號的使用或者不正確的訪問，驗證所有的異常現象，通過快速電話聯系。

　　（5）監測用戶的管理行動，檢測訪問控制操作。

　　2　工控網絡安全監測審計系統技術特性

　　2.1　基于機器自學習的業務行為基線

　　工業網絡中設備眾多、網絡通信復雜，用戶很難全面掌握網絡中所必須的業務通信需求，這會給安全設備的規則配置帶來很大困難。為了方便用戶進行異常行為檢測規則的配置，提高規則配置的準確性，減少規則配置的工作量，NSFOCUS SAS-ICS開發了基于機器自學習的業務行為基線功能。該功能采用被動檢測的方式從網絡中采集數據包，并進行數據包的解析，智能地與系統內置的協議特征、設備對象等進行匹配，生成可供參考的網絡交互信息列表，通過對協議分布和流量信息的匹配，形成“工控場景行為基線”，幫助用戶以最直觀的方式了解和掌握網絡中的業務通信狀態，發現工控網絡潛在的安全風險。

　　圖1 工控網絡基線資產關系圖

　　通過基線自學習功能梳理工控現場資產拓撲，建立工控網絡行為模型，對基線外異行為如組態變更、操控指令變更、負載變更、異常訪問等告警，實現對工控現場安全事件的告警與響應，保障工業控制系統的安全穩定運行。

　　2.2　深度融合業務場景的異常行為檢測

　　電力、石油、石化、軌道交通、煙草、煤炭、鋼鐵及先進制造等各個行業的工業控制系統千差萬別，不同的工藝流程往往有著不盡相同的業務處理方式，針對不同行業工控網絡的異常監測有著較強的特異性差異。

　　NSFOCUS SAS-ICS深入不同行業的OT網絡場景，融入針對不同行業的業務安全告警。如針對變電站場景，可對IEC61850協議簇進行深度解析，對應到特定場景下的關鍵操作行為（遙控操作、改定值操作）；針對其他行業場景，可設置通用行業場景，解析Modbus TCP、S7 Comm等常見協議規約。

　　同時，NSFOCUS SAS-ICS可對工控系統的配置文件進行解析，如變電站SCD文件等廠商相關配置文件的解析，將功能代碼與具體業務操作進行關聯，實現業務安全審計的功能。如可對工控協議報文進行檢測和告警。可對運維人員下發的工控協議報文產生的非法操作進行檢測和告警。可對資產新增、路徑異常、未知協議、越權操作、關鍵控制等行為進行檢測和告警。

　　2.3　工業網絡協議深度解析

　　綠盟科技基于對工控環境的理解，針對工控環境使用的規約進行了相關分析和研究，對于協議的內容進行了完全的解碼，可以深入到指令級別的分析，對于從上位機指令下發控制端到下位機指令接受操控端的通訊過程進行全面細致的解析。如對Modbus Tcp協議，可以深入到功能碼寄存器層面進行細致的監測審計（寫多個寄存器、讀保持寄存器等），如圖2所示。

　　圖2 深入到功能碼寄存器層面的工控協議深度解析

　　NSFOCUS SAS-ICS通過鏡像方式對流量進行深入解碼，分析其中的操作是否符合定義的操作要求，如發現其中有任何的違規操作，及時進行報警，由管理員來進行相關的處理。

　　3　工控網絡安全監測審計系統行業應用

　　3.1　智能變電站監控系統安全監測審計

　　工控網絡安全監測審計系統可旁路部署在智能變電站的站控層、間隔層、過程層的交換機上，對三層兩網進行工控網絡的流量監控和安全審計。

　　3.2　調度數據網邊界安全監測審計

　　可將工控網絡安全監測審計系統部署在調度數據網邊界的實時交換機和非實時交換機上，對加密前和解密后的數據報文進行深度解析，識別104協議和其他流經調度數據網和生產控制大區邊界的網絡協議，并進行數據報文的分析，進行實時的流量監控和安全審計。

　　4　工控網絡安全監測審計系統價值體現

　　（1）針對不同行業的工控網絡場景建立融合業務的安全行為基線，形成工控網絡數據流量的健康性監控；

　　（2）快速定位異常位置，協助相關人員快速解決故障及事件；

　　（3）指導安全工作和決策；

　　（4）滿足工信部指南、能源局36號文、發改委14號令、工控等保等合規性要求。