緒論:在尋找寫(xiě)作靈感嗎�?愛(ài)發(fā)表網(wǎng)為您精選了8篇工業(yè)互聯(lián)網(wǎng)安全分析����,愿這些內(nèi)容能夠啟迪您的思維,激發(fā)您的創(chuàng)作熱情���,歡迎您的閱讀與分享��!
篇1
關(guān)鍵詞:工業(yè)互聯(lián)網(wǎng)����;大數(shù)據(jù);數(shù)據(jù)采集�;數(shù)據(jù)集成;數(shù)據(jù)分析
大數(shù)據(jù)作為一種通用技術(shù)應(yīng)用在各個(gè)行業(yè)�����,為數(shù)據(jù)的管理和應(yīng)用提供重要的技術(shù)支撐���,近年來(lái)��,隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展���,相較于傳統(tǒng)的應(yīng)用型數(shù)據(jù),數(shù)據(jù)源范圍擴(kuò)大����,數(shù)據(jù)邊界不在清晰,包括設(shè)備���、系統(tǒng)���、網(wǎng)絡(luò)�����、平臺(tái)等數(shù)據(jù)����,數(shù)據(jù)種類存在復(fù)雜的多樣性��,且數(shù)據(jù)流動(dòng)方向和路徑復(fù)雜��,數(shù)據(jù)采集和數(shù)據(jù)集成難度也很大����,本文從工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)通用架構(gòu)進(jìn)行概要解析���。
1大數(shù)據(jù)平臺(tái)概述
工業(yè)互聯(lián)網(wǎng)大數(shù)據(jù)應(yīng)用的整體架構(gòu)一般分為四個(gè)部分:采集后臺(tái)�、數(shù)據(jù)�����、應(yīng)用前臺(tái)以及運(yùn)維管理�����。
1.1采集后臺(tái)
通常利用主動(dòng)探測(cè)掃描、通信流量監(jiān)測(cè)��、被動(dòng)蜜罐誘捕以及信息系統(tǒng)數(shù)據(jù)對(duì)接等技術(shù)手段����,實(shí)現(xiàn)數(shù)據(jù)采集的功能,采集數(shù)據(jù)源一般包括互聯(lián)網(wǎng)數(shù)據(jù)���,工業(yè)互聯(lián)網(wǎng)相關(guān)聯(lián)網(wǎng)資產(chǎn)���、資產(chǎn)漏洞、安全事件�、威脅情報(bào)、關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)等��。
1.2數(shù)據(jù)
智能大數(shù)據(jù)分析與建模平臺(tái)��,定位于降低數(shù)據(jù)洞察阻力�、大數(shù)據(jù)使用門(mén)檻、數(shù)據(jù)交換成本�����、數(shù)據(jù)監(jiān)控難度以及提升數(shù)據(jù)洞察廣度、探索深度�����、交換速度和監(jiān)控精度�,滿足各類數(shù)據(jù)的集成、計(jì)算�����、存儲(chǔ)��、挖掘��、管理等需求���。
1.3應(yīng)用前臺(tái)
基于數(shù)據(jù)提供的底層數(shù)據(jù),進(jìn)行數(shù)據(jù)分析����,支撐基礎(chǔ)資源管理、網(wǎng)絡(luò)安全態(tài)勢(shì)感知�、APP情報(bào)動(dòng)態(tài)線索挖掘、工業(yè)互聯(lián)網(wǎng)安全等多個(gè)頂層應(yīng)用���,一般可服務(wù)于多部門(mén)��、多業(yè)務(wù)��、多場(chǎng)景�。
1.4運(yùn)維管理
實(shí)現(xiàn)系統(tǒng)自身的運(yùn)維管理,一般包括系統(tǒng)管理�����、安全管理�、智能監(jiān)控、告警處理等功能�����。2大數(shù)據(jù)平臺(tái)功能
2.1采集后臺(tái)
2.1.1接入數(shù)據(jù)源分析2.1.1.1互聯(lián)網(wǎng)流量通過(guò)部署流量探針的方式����,接入基礎(chǔ)電信企業(yè)流量,主要是互聯(lián)網(wǎng)專線流量�����、特定對(duì)象的牽引流量等�����,生成包括通聯(lián)日志、報(bào)文樣本��、域名日志��、HTTP日志��、惡意代碼日志等各類日志��。2.1.1.2主動(dòng)探測(cè)數(shù)據(jù)通過(guò)公網(wǎng)部署掃描設(shè)備���,實(shí)施安全掃描�,主要針對(duì)重保用戶的網(wǎng)頁(yè)�����、應(yīng)用商店APP的爬取���,以及基于IP段的關(guān)鍵信息基礎(chǔ)設(shè)施的掃描發(fā)現(xiàn)。2.1.1.3相關(guān)部門(mén)和企業(yè)已建系統(tǒng)數(shù)據(jù)相關(guān)已建系統(tǒng)的數(shù)據(jù)主要包括:網(wǎng)安技術(shù)管理平臺(tái)���、基礎(chǔ)監(jiān)測(cè)系統(tǒng)����、信安系統(tǒng)、企業(yè)側(cè)安全監(jiān)測(cè)系統(tǒng)等����。2.1.2數(shù)據(jù)采集數(shù)據(jù)采集系統(tǒng)包括采集基礎(chǔ)電信企業(yè)流量,爬取互聯(lián)網(wǎng)網(wǎng)頁(yè)/APP內(nèi)容��,被動(dòng)誘捕網(wǎng)絡(luò)攻擊行為��,主動(dòng)掃描獲取關(guān)基數(shù)據(jù)��、重保網(wǎng)站的數(shù)據(jù)����、以及現(xiàn)有系統(tǒng)的數(shù)據(jù)資源共享,對(duì)“主動(dòng)+被動(dòng)”方式獲取的數(shù)據(jù)進(jìn)行解析��,提取各類用以支撐網(wǎng)絡(luò)安全監(jiān)測(cè)分析業(yè)務(wù)的數(shù)據(jù)����。2.1.2.1互聯(lián)網(wǎng)流量采集在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)部署流量采集探針,負(fù)責(zé)網(wǎng)絡(luò)原始流量的采集�����,提取各類用以支撐網(wǎng)絡(luò)與信息安全監(jiān)測(cè)分析業(yè)務(wù)的數(shù)據(jù)。輸出的日志一般包括通聯(lián)日志�、報(bào)文樣本����、域名日志、HTTP日志和惡意代碼日志���。通過(guò)相應(yīng)匯聚分流設(shè)備進(jìn)行流量的同源同宿����、負(fù)載均衡處理����,輸出至網(wǎng)絡(luò)流量探針專用設(shè)備。通過(guò)流量探針專用設(shè)備實(shí)現(xiàn)互聯(lián)網(wǎng)流量采集����、協(xié)議解析和訪問(wèn)日志提取,將輸出的日志存入數(shù)據(jù)支撐上層業(yè)務(wù)應(yīng)用分析��。2.1.2.2互聯(lián)網(wǎng)內(nèi)容爬取網(wǎng)絡(luò)爬蟲(chóng)主要實(shí)現(xiàn)對(duì)網(wǎng)頁(yè)內(nèi)容以及APP內(nèi)容的爬取下載��,供上層應(yīng)用進(jìn)行分析��。(1)網(wǎng)頁(yè)爬蟲(chóng):互聯(lián)網(wǎng)用戶訪問(wèn)的網(wǎng)頁(yè)浩如煙海���、數(shù)量龐大,傳統(tǒng)的互聯(lián)網(wǎng)爬蟲(chóng)技術(shù)已經(jīng)不能滿足當(dāng)前網(wǎng)頁(yè)信息獲取的準(zhǔn)確性���、全面性、及時(shí)性的要求,因此,可以采用并行爬蟲(chóng)技術(shù)和IP池技術(shù),讓爬蟲(chóng)的質(zhì)量�����、覆蓋率�、爬取效率等性能得到全面的提升。(2)APP爬蟲(chóng):通過(guò)積累大量的互聯(lián)網(wǎng)詐騙網(wǎng)站,使用蜘蛛爬蟲(chóng)技術(shù)和ip池技術(shù),24小時(shí)不間斷的對(duì)網(wǎng)絡(luò)中的互聯(lián)網(wǎng)詐騙網(wǎng)站進(jìn)行爬取���。2.1.2.3關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)采集一般采用網(wǎng)絡(luò)資產(chǎn)探測(cè)識(shí)別設(shè)備進(jìn)行主動(dòng)掃描采集數(shù)據(jù)����,同時(shí)結(jié)合網(wǎng)絡(luò)流量被動(dòng)分析�,形成一套完整的網(wǎng)絡(luò)資產(chǎn)及其指紋庫(kù)信息,指紋信息包含系統(tǒng)指紋���、應(yīng)用指紋�、網(wǎng)站指紋等,從而可以對(duì)網(wǎng)站����、域名、IP等基礎(chǔ)資源數(shù)據(jù)形成本地的互聯(lián)網(wǎng)信息庫(kù)��,為網(wǎng)絡(luò)安全漏洞分析��、安全漏洞預(yù)警等提供有效數(shù)據(jù)支撐�。
2.2數(shù)據(jù)
2.2.1數(shù)據(jù)集成數(shù)據(jù)集成支持?jǐn)?shù)據(jù)采集、過(guò)濾��、緩存�、中轉(zhuǎn)分發(fā)調(diào)度等,是內(nèi)外數(shù)據(jù)交換的通道����,完成數(shù)據(jù)在組件間及層次間中轉(zhuǎn)、緩沖及調(diào)度���。一般會(huì)采用數(shù)據(jù)集成ETL模塊��,包括數(shù)據(jù)采集模塊�、數(shù)據(jù)清洗和轉(zhuǎn)換模塊��,其中數(shù)據(jù)采集模塊一般包括批量結(jié)構(gòu)化數(shù)據(jù)采集、半結(jié)構(gòu)化數(shù)據(jù)采集����、非結(jié)構(gòu)化數(shù)據(jù)采集�;數(shù)據(jù)清洗與轉(zhuǎn)換模塊一般也包括結(jié)構(gòu)化數(shù)據(jù)清洗與轉(zhuǎn)換、半結(jié)構(gòu)化數(shù)據(jù)清洗與轉(zhuǎn)換����、非結(jié)構(gòu)化數(shù)據(jù)清洗與轉(zhuǎn)換三個(gè)模板。2.2.2數(shù)據(jù)計(jì)算2.2.2.1流式計(jì)算一般具備流計(jì)算能力�����,可基于flink集群���,支持讀取kafka��、socket�、hdfs的數(shù)據(jù)源里的數(shù)據(jù)�����,通過(guò)配置stdp�、字段定義解析器��,將數(shù)據(jù)通過(guò)輸出統(tǒng)計(jì)組件���、統(tǒng)計(jì)監(jiān)控組件、窗口���、水印設(shè)置����,最終輸出規(guī)則配置���,統(tǒng)計(jì)結(jié)果輸出��。2.2.2.2實(shí)時(shí)計(jì)算實(shí)時(shí)計(jì)算模塊一般可提供了高吞吐�����、低延遲�、高性能的流處理能力��。2.2.2.3離線計(jì)算大數(shù)據(jù)離線計(jì)算�����,就是利用大數(shù)據(jù)的技術(shù)棧(主要是Hadoop),在計(jì)算開(kāi)始前準(zhǔn)備好所有輸入數(shù)據(jù)�����,該輸入數(shù)據(jù)不會(huì)產(chǎn)生變化��,且在解決一個(gè)問(wèn)題后就要立即得到計(jì)算結(jié)果的計(jì)算模式��。離線計(jì)算特點(diǎn)如下:(1)數(shù)據(jù)量巨大����,保存時(shí)間長(zhǎng)��。(2)在大量數(shù)據(jù)上進(jìn)行復(fù)雜的批量運(yùn)算�����。(3)數(shù)據(jù)在計(jì)算之前已經(jīng)完全到位��,不會(huì)發(fā)生變化���。2.2.3數(shù)據(jù)存儲(chǔ)大數(shù)據(jù)平臺(tái)的數(shù)據(jù)存儲(chǔ)�,一般包括結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)模塊��、NOSQL數(shù)據(jù)存儲(chǔ)模塊、非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)模塊以及圖數(shù)據(jù)存儲(chǔ)模塊�。數(shù)據(jù)存儲(chǔ)是大規(guī)模通用集群存儲(chǔ)系統(tǒng),對(duì)外支持標(biāo)準(zhǔn)文件訪問(wèn)接口�。數(shù)據(jù)存儲(chǔ)層采用MPP分布式列式數(shù)據(jù)庫(kù)系統(tǒng)、分布式集群存儲(chǔ)系統(tǒng)���、Hadoop系統(tǒng)����、分布式數(shù)據(jù)倉(cāng)庫(kù)和分布式圖關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)�����。用于存儲(chǔ)結(jié)構(gòu)化數(shù)據(jù)���、NOSQL數(shù)據(jù)�、非結(jié)構(gòu)化數(shù)據(jù)以及圖數(shù)據(jù)的存儲(chǔ)與訪問(wèn)���。2.2.4數(shù)據(jù)挖掘2.2.4.1IDE引擎通過(guò)可視化界面���,進(jìn)行創(chuàng)建、管理��、編輯腳本,使用人員可在界面上對(duì)數(shù)據(jù)進(jìn)行操作��,系統(tǒng)通過(guò)調(diào)用不同的IDE引擎下發(fā)相應(yīng)的指令�����,操作對(duì)應(yīng)的數(shù)據(jù)服務(wù)組件��,返回相應(yīng)的數(shù)據(jù)結(jié)果��。2.2.4.2數(shù)據(jù)探索數(shù)據(jù)探索是在具有較為良好的樣本后����,對(duì)樣本數(shù)據(jù)進(jìn)行解釋性的分析工作���,它是數(shù)據(jù)挖掘較為前期的部分�。數(shù)據(jù)探索并不需要應(yīng)用過(guò)多的模型算法�,相反,它更偏重于定義數(shù)據(jù)的本質(zhì)���、描述數(shù)據(jù)的形態(tài)特征并解釋數(shù)據(jù)的相關(guān)性���。通過(guò)數(shù)據(jù)探索的結(jié)果�����,可以更好的開(kāi)展后續(xù)的數(shù)據(jù)挖掘與數(shù)據(jù)建模工作��。2.2.5數(shù)據(jù)管理2.2.5.1數(shù)據(jù)共享通過(guò)固定接口(如webservice接口��、FTP傳輸���、數(shù)據(jù)庫(kù)以及組件,封裝后的API接口等)�����,將數(shù)據(jù)共享到各應(yīng)用平臺(tái)進(jìn)行應(yīng)用����。提供統(tǒng)一應(yīng)用接口進(jìn)行數(shù)據(jù)共享,相關(guān)接口主要包括數(shù)據(jù)接入適配���、流處理接口適配�、數(shù)據(jù)查詢接口適配�����、數(shù)據(jù)分析接口適配、用戶管理接口適配����、系統(tǒng)對(duì)外開(kāi)發(fā)接口等。2.2.5.2數(shù)據(jù)資產(chǎn)數(shù)據(jù)資產(chǎn)主要涉及到各類數(shù)據(jù)源采集的數(shù)據(jù)����,包括:威脅情報(bào)庫(kù)、漏洞庫(kù)����、病毒庫(kù)、nv-彄��、僵木蠕特征庫(kù)��;基礎(chǔ)信息庫(kù)�、企業(yè)庫(kù)��、IP庫(kù)���、域名庫(kù)2.2.5.3數(shù)據(jù)安全通過(guò)數(shù)據(jù)訪問(wèn)策略制定����,數(shù)據(jù)加密脫敏,日志審計(jì)等方式�����,保障數(shù)據(jù)數(shù)據(jù)安全�����,確保經(jīng)過(guò)傳輸和交換的數(shù)據(jù)不會(huì)發(fā)生增加����、修改、丟失和泄露�����。
2.3應(yīng)用前臺(tái)
2.3.1數(shù)據(jù)分析在企業(yè)的數(shù)據(jù)分析項(xiàng)目中�����,數(shù)據(jù)駕駛艙是系統(tǒng)搭建的一個(gè)重要過(guò)程�����。通過(guò)數(shù)據(jù)駕駛艙,可以將采集的數(shù)據(jù)形象化�、直觀化、具體化����,為企業(yè)業(yè)務(wù)的相關(guān)決策提供支撐。數(shù)據(jù)駕駛艙提供的是一個(gè)管理過(guò)程�����,讓數(shù)據(jù)能夠以更加有組織的方式來(lái)進(jìn)行體現(xiàn)�。2.3.2業(yè)務(wù)應(yīng)用基于數(shù)據(jù)以及應(yīng)用前臺(tái)的數(shù)據(jù)分析能力,可支撐包括基礎(chǔ)資源管理���、網(wǎng)絡(luò)安全態(tài)勢(shì)感知�����、APP情報(bào)動(dòng)態(tài)線索挖掘���、工業(yè)互聯(lián)網(wǎng)安�、物聯(lián)網(wǎng)安全等常見(jiàn)應(yīng)用場(chǎng)景在內(nèi)的各種業(yè)務(wù)、應(yīng)用場(chǎng)景�。
2.4運(yùn)維管理
2.4.1系統(tǒng)管理針對(duì)系統(tǒng)進(jìn)行統(tǒng)一的用戶管理、角色管理、權(quán)限管理�����、日志管理和資源管理等功能�����,能夠統(tǒng)一管理分布在不同網(wǎng)絡(luò)和地域的多個(gè)數(shù)據(jù)中心集群���,封裝各類數(shù)據(jù)存儲(chǔ)和處理引擎的功能��,為不同地域和網(wǎng)絡(luò)的數(shù)據(jù)中心系統(tǒng)提供統(tǒng)一的邏輯視圖�����,為系統(tǒng)的管理員和用戶提供一站式服務(wù)�。2.4.2安全管理借助于防火墻���、防病毒等安全產(chǎn)品�,平臺(tái)實(shí)現(xiàn)安全機(jī)制:認(rèn)證機(jī)制�����、授權(quán)機(jī)制、訪問(wèn)控制����、機(jī)密性和完整性。2.4.3智能監(jiān)控通過(guò)通用的數(shù)據(jù)采集模板和和終端采集程序匯集數(shù)據(jù)��,通過(guò)強(qiáng)大的ETL能力將數(shù)據(jù)遷移到監(jiān)控�,實(shí)現(xiàn)監(jiān)控?cái)?shù)據(jù)的集中分析和展示。2.4.4告警處理一般大數(shù)據(jù)平臺(tái)具備告警處理功能���,對(duì)平臺(tái)的運(yùn)行狀態(tài)進(jìn)行全面監(jiān)測(cè)�,提供運(yùn)行異常及時(shí)發(fā)現(xiàn)和告警���,系統(tǒng)部分故障的準(zhǔn)確定位���;同時(shí),實(shí)現(xiàn)基礎(chǔ)資源的統(tǒng)一化管理�����,為管理人員的維護(hù)決策提供重要支撐����。
3結(jié)束語(yǔ)
目前各類大數(shù)據(jù)平臺(tái)均是基于大數(shù)據(jù)分析核心擴(kuò)展出各類組件,國(guó)內(nèi)外的應(yīng)用技術(shù)已經(jīng)成熟����。大數(shù)據(jù)脫離了對(duì)數(shù)據(jù)的治理和應(yīng)用就失去了數(shù)據(jù)的靈魂,根據(jù)行業(yè)領(lǐng)域不同����,大數(shù)據(jù)平臺(tái)所做的數(shù)據(jù)治理、標(biāo)準(zhǔn)化���、數(shù)據(jù)管理和其他所需功能和展現(xiàn)的形式��,將會(huì)存在較大不同����。
參考文獻(xiàn)
[1]李杰.從大數(shù)據(jù)到智能制造[M].上海交通大學(xué)出版社,2016.
[2]孫念,傅為政.基于大數(shù)據(jù)的工業(yè)互聯(lián)網(wǎng)安全分析[J].數(shù)字通信世界,2020(05).
篇2
【 關(guān)鍵詞 】 移動(dòng)互聯(lián)網(wǎng)���;惡意軟件��;樣本自動(dòng)化分析
1 引言
我國(guó)移動(dòng)互聯(lián)網(wǎng)正處在快速發(fā)展的歷史機(jī)遇中��,手機(jī)應(yīng)用軟件(APP)層出不窮��、繁榮發(fā)展����。但由于安卓系統(tǒng)的開(kāi)源和開(kāi)放性,手機(jī)木馬��、手機(jī)病毒等各類惡意APP也開(kāi)始出現(xiàn)并迅速增粘���,安卓平臺(tái)的安全形勢(shì)越來(lái)越不容樂(lè)觀����。
根據(jù)360安全中心的《2012年中國(guó)手機(jī)安全狀況報(bào)告》顯示�����,2012年360互聯(lián)網(wǎng)安全中心新增手機(jī)惡意軟件樣本174977款��,同比2011年增長(zhǎng)1907%�,感染人次71664334人次,同比2011年增長(zhǎng)160%���;其中�,Android平臺(tái)以新增樣本123681款���,占全部新增樣本數(shù)量的71%����,感染量達(dá)51746864人次��,占惡意軟件感染總次數(shù)的78%�,成為手機(jī)惡意軟件的主要感染平臺(tái)。2012年12月�,其更以單月新增30809款達(dá)到歷史新高。
惡意軟件導(dǎo)致的移動(dòng)終端個(gè)人信息泄露問(wèn)題日益嚴(yán)峻���,相關(guān)負(fù)面報(bào)道的不斷出現(xiàn)�,例如2011年12月���,一款名為CarrierIQ(簡(jiǎn)稱CIQ)的內(nèi)核級(jí)間諜軟件被曝光���,該軟件會(huì)暗中收集用戶隱私信息,甚至每按下一次鍵盤(pán)都會(huì)被秘密地記錄在案��,并將手機(jī)內(nèi)容上傳至網(wǎng)絡(luò)�����,讓手機(jī)用戶對(duì)隱私泄露產(chǎn)生恐慌����。
隨著個(gè)人信息泄露問(wèn)題日益嚴(yán)峻��,智能手機(jī)終端個(gè)人信息保護(hù)日益受到人們關(guān)注����,迫切需求制定移動(dòng)互聯(lián)網(wǎng)軟件安全標(biāo)準(zhǔn)�����,研發(fā)移動(dòng)互聯(lián)網(wǎng)智能手機(jī)惡意軟件監(jiān)測(cè)��、分析和查殺的相關(guān)技術(shù)和產(chǎn)品����,保護(hù)用戶個(gè)人信息安全,為用戶提供安全可控的移動(dòng)互聯(lián)網(wǎng)安全產(chǎn)品和服務(wù)�����。
2 手機(jī)惡意軟件自動(dòng)分析檢測(cè)技術(shù)發(fā)展
對(duì)手機(jī)惡意軟件的樣本進(jìn)行分析和鑒定��,需要有一套自動(dòng)化的分析和檢測(cè)系統(tǒng)�����。目前,對(duì)手機(jī)惡意軟件樣本的自動(dòng)化分析技術(shù)主要包括兩類���。
(1)靜態(tài)掃描技術(shù):包括兩種�����,一種是傳統(tǒng)的特征碼掃描匹配技術(shù),另一種是基于數(shù)據(jù)挖掘的樣本識(shí)別與分析技術(shù)��,例如項(xiàng)目承擔(dān)單位實(shí)現(xiàn)了基于機(jī)器學(xué)習(xí)的樣本人工智能分析技術(shù)��,亦即:在建立大量已知黑白樣本的訓(xùn)練集基礎(chǔ)之上�,采用人工智能機(jī)器學(xué)習(xí)算法,對(duì)程序文件的靜態(tài)�����、行為等特征進(jìn)行抽取��,建立一定的機(jī)器學(xué)習(xí)模型�����,經(jīng)過(guò)對(duì)新樣本的不斷訓(xùn)練,訓(xùn)練模型將在檢出率和誤報(bào)率之間達(dá)到一個(gè)較好的平衡���,從而實(shí)現(xiàn)對(duì)未知惡意軟件的智能啟發(fā)式識(shí)別能力���。
(2)動(dòng)態(tài)行為分析技術(shù):即在一個(gè)特定的模擬環(huán)境中,監(jiān)控應(yīng)用軟件的行為��,建立惡意軟件行為的動(dòng)態(tài)模型���,形成一系列惡意軟件行為的規(guī)則庫(kù)�����,通過(guò)實(shí)時(shí)監(jiān)控識(shí)別未知的可疑惡意軟件���。
3 360移動(dòng)互聯(lián)網(wǎng)惡意軟件檢測(cè)分析平臺(tái)
3.1 系統(tǒng)總體架構(gòu)
360移動(dòng)互聯(lián)網(wǎng)惡意軟件自動(dòng)化分析系統(tǒng)的總體設(shè)計(jì)方案如圖1所示。
3.1.1終端惡意軟件查殺
惡意軟件查殺的技術(shù)路線主要從客戶端和云端實(shí)現(xiàn)惡意軟件的監(jiān)控與防御――在手機(jī)客戶端實(shí)現(xiàn)主動(dòng)防御功能��,在云端實(shí)現(xiàn)聯(lián)網(wǎng)云查殺的接口服務(wù)����。其中,主動(dòng)防御是對(duì)系統(tǒng)事件進(jìn)行實(shí)時(shí)監(jiān)控��,即當(dāng)發(fā)現(xiàn)手機(jī)客戶端有異常行為,如未經(jīng)用戶同意即發(fā)送付費(fèi)短信���,或者私自聯(lián)網(wǎng)時(shí)�,可以在第一時(shí)間進(jìn)行攔截�����,并且明確提示用戶(由用戶決定是否繼續(xù)此行為以及對(duì)該軟件的后續(xù)處理)��。
對(duì)于普通用戶來(lái)說(shuō)�,由于軟件信息不夠透明���,用戶可能仍無(wú)法定性軟件是否真的為惡意�,因此僅有主動(dòng)防御對(duì)于根除惡意軟件是不夠的����。采用云安全系統(tǒng)設(shè)計(jì),用戶可以通過(guò)與服務(wù)器的交互進(jìn)行“云查殺”――由手機(jī)客戶端提取該軟件的特征碼信息�,上傳至服務(wù)端進(jìn)行即時(shí)校驗(yàn),然后返回該軟件的具體信息向用戶展現(xiàn)����,幫助用戶做出準(zhǔn)確判斷�。
3.1.2服務(wù)器端手機(jī)惡意軟件樣本自動(dòng)化分析檢測(cè)
通過(guò)對(duì)手機(jī)應(yīng)用軟件的使用特點(diǎn)及其面臨的安全風(fēng)險(xiǎn)進(jìn)行分析��,選取和使用相應(yīng)的自動(dòng)化分析技術(shù)和軟件權(quán)限檢測(cè)技術(shù)����。從安裝與卸載、程序訪問(wèn)權(quán)限��、數(shù)據(jù)安全性���、通訊安全性以及人機(jī)接口安全性等方面的技術(shù)對(duì)手機(jī)應(yīng)用軟件的安全性進(jìn)行檢測(cè)�����,防止非授權(quán)訪問(wèn)�����、異常執(zhí)行等��。
主要包括三部分技術(shù)實(shí)現(xiàn):靜態(tài)的智能終端惡意代碼識(shí)別技術(shù)���;智能終端惡意代碼樣本收集和特征提取技術(shù);基于動(dòng)態(tài)分析的權(quán)限識(shí)別技術(shù)的實(shí)現(xiàn)���。
3.2 云端手機(jī)惡意軟件自動(dòng)化分析檢測(cè)技術(shù)
360在云端實(shí)現(xiàn)軟件安全性分析與權(quán)限檢測(cè)的技術(shù)實(shí)現(xiàn)方法如圖2所示�。
(1) 靜態(tài)的智能終端惡意代碼識(shí)別技術(shù)
惡意代碼的識(shí)別技術(shù)主要分為兩類:基于靜態(tài)特征的惡意代碼識(shí)別技術(shù)、基于動(dòng)態(tài)分析的惡意代碼識(shí)別技術(shù)�����,本工具研究中將采取靜態(tài)分析和動(dòng)態(tài)分析結(jié)合的技術(shù)路線���。
基于靜態(tài)特征的惡意代碼識(shí)別技術(shù)基于樣本分析軟件的生產(chǎn)者�����、軟件唯一ID�、簽名證書(shū)信息�、版本�、安裝包文件特征(每個(gè)文件大小、數(shù)量����、時(shí)間)、可執(zhí)行文件特征���、權(quán)限等靜態(tài)特征信息�����,對(duì)可疑程序進(jìn)行分析和特征匹配����,從而判斷是否為惡意代碼。
通過(guò)反編譯軟件包的源代碼并對(duì)源代碼進(jìn)行掃描����,找出具有惡意代碼特征的片段,并對(duì)其進(jìn)行分析�����。關(guān)鍵分析涉及吸費(fèi)行為�����、個(gè)人隱私����、聯(lián)網(wǎng)行為等可能出現(xiàn)安全問(wèn)題的行為,如圖3所示���。
(2) 基于動(dòng)態(tài)行為監(jiān)控分析的識(shí)別技術(shù)
主要有兩種方法�����。一種是建立系統(tǒng)底層檢測(cè)模塊����,使其能夠檢測(cè)、攔截����、記錄惡意使用某些敏感權(quán)限的行為。另一種方法是使用鉤子技術(shù)(Hook)來(lái)檢測(cè)對(duì)敏感權(quán)限相關(guān)API的調(diào)用行為��。
建立系統(tǒng)底層模塊是指對(duì)現(xiàn)有的系統(tǒng)源代碼進(jìn)行改造��,加入安全檢測(cè)模塊����。檢測(cè)工具可以對(duì)軟件運(yùn)行過(guò)程中的發(fā)送扣費(fèi)信息、非法鏈接���、非法內(nèi)容、盜取用戶隱私數(shù)據(jù)的行為進(jìn)行檢測(cè)�、記錄和處理。其流程如圖4所示�����。
使用Hook技術(shù)對(duì)調(diào)用系統(tǒng)敏感API的行為進(jìn)行檢測(cè)。應(yīng)用程序請(qǐng)求系統(tǒng)服務(wù)時(shí)�����,首先調(diào)用智能終端上的系統(tǒng)函數(shù)庫(kù)����,然后由系統(tǒng)函數(shù)庫(kù)對(duì)智能終端設(shè)備內(nèi)核API進(jìn)行系統(tǒng)調(diào)用。在進(jìn)行用戶級(jí)調(diào)用和系統(tǒng)調(diào)用時(shí)設(shè)置監(jiān)聽(tīng)攔截器�,對(duì)應(yīng)用程序調(diào)用信息進(jìn)行監(jiān)聽(tīng)、收集�,將這些信息傳遞給檢測(cè)引擎,檢測(cè)引擎提取軟件行為庫(kù)中的軟件行為模型與監(jiān)聽(tīng)攔截的系統(tǒng)調(diào)用信息進(jìn)行比對(duì)����,將比對(duì)信息傳遞給分析引擎,分析引擎對(duì)這些信息進(jìn)行分析���,得出軟件的行為特征��。其流程如圖5所示���。
4 基于海量用戶群體智慧的惡意行為分析
手機(jī)惡意軟件的自動(dòng)化檢測(cè)技術(shù)仍處于其發(fā)展初期階段���。由于手機(jī)應(yīng)用的特點(diǎn),應(yīng)用的部分敏感行為需要結(jié)合用戶實(shí)際操作場(chǎng)景才能做出準(zhǔn)確判斷��,這給完全自動(dòng)化的檢測(cè)帶來(lái)的障礙��。
我們正在嘗試在360手機(jī)衛(wèi)士軟件中引入用戶舉報(bào)反饋機(jī)制���,由海量用戶對(duì)特定應(yīng)用軟件進(jìn)行涉及用戶隱私信息的敏感操作進(jìn)行判定�����,并將判定結(jié)果及上下文信息回傳至云端�����,在云端形成海量用戶對(duì)應(yīng)用軟件行為的判定數(shù)據(jù)���,并進(jìn)一步通過(guò)數(shù)據(jù)挖掘的方法,實(shí)現(xiàn)對(duì)軟件惡意行為的分析���。其基本原理如圖6所示�。
360手機(jī)終端主動(dòng)防御模塊����,對(duì)用戶每款軟件的行為判決,回傳到云端���。云端有了億萬(wàn)用戶對(duì)各款軟件的投票之后���,能夠根據(jù)真實(shí)用戶對(duì)軟件行為的評(píng)判,利用群體智慧�����,完成軟件的惡意行為分析�。
基于大數(shù)據(jù)的云計(jì)算,包括三個(gè)核心模塊�。
1)MapReduce計(jì)算框架。云端可以靈活地選取不同時(shí)間窗內(nèi)的用戶評(píng)判�����,利用分布式計(jì)算��,快速得出結(jié)果�,并做交叉驗(yàn)證。
2)智能用戶分類算法。采用聚類/分類算法���,根據(jù)用戶的安裝軟件情況���,以及對(duì)軟件行為的判決,將用戶劃分為若干類���,得到分類用戶的特征���。在時(shí)間軸內(nèi)迭代計(jì)算,不斷調(diào)優(yōu)用戶的特征參數(shù)��。
3)采用多種維度的計(jì)算方法����,如二分法、參與度/覆蓋度排名��、90%置信區(qū)間等算法���,結(jié)合用戶特征參數(shù)�,綜合計(jì)算軟件的惡意行為的可信度�����。
5 結(jié)束語(yǔ)
隨著移動(dòng)互聯(lián)網(wǎng)惡意軟件的爆發(fā)式增長(zhǎng),惡意軟件自動(dòng)化分析技術(shù)的需求日益強(qiáng)烈��。在傳統(tǒng)的PC互聯(lián)網(wǎng)安全領(lǐng)域的靜態(tài)分析和基于行為監(jiān)控的動(dòng)態(tài)分析方法���,依然適用于手機(jī)惡意軟件的自動(dòng)化分析。與此同時(shí)����,針對(duì)手機(jī)應(yīng)用的特性,對(duì)于軟件惡意行為的判定依賴于用戶操作場(chǎng)景�����,給自動(dòng)化分析帶來(lái)障礙��。
在此方面����,奇虎360公司開(kāi)始嘗試依據(jù)海量終端用戶對(duì)特定敏感行為的舉報(bào),通過(guò)數(shù)據(jù)挖掘的方法提升樣本自動(dòng)化分析的能力�。
基金項(xiàng)目:
本文研究工作得到“新一代寬帶無(wú)線移動(dòng)通信網(wǎng)”國(guó)家科技重大專項(xiàng)課題《移動(dòng)應(yīng)用軟件的認(rèn)證管理軟件開(kāi)發(fā)》(2012ZX03002029)支持。
作者簡(jiǎn)介:
卞松山(1981-)��,男,畢業(yè)于北京工業(yè)大學(xué)����,獲得通信工程專業(yè)學(xué)士學(xué)位,現(xiàn)任北京奇虎科技有限公司核心安全團(tuán)隊(duì)技術(shù)經(jīng)理����,主要從事手機(jī)應(yīng)用軟件的安全分析檢測(cè)的產(chǎn)品技術(shù)研發(fā)工作。
篇3
【 關(guān)鍵詞 】 工業(yè)控制系統(tǒng)���;scada�����;安全防護(hù)��;解決方案
1 引言
現(xiàn)代工業(yè)控制系統(tǒng)(ics)包括數(shù)據(jù)采集系統(tǒng)(scada)��,分布式控制系統(tǒng)(dcs)����,程序邏輯控制(plc)以及其他控制系統(tǒng)等�,目前已應(yīng)用于電力、水力���、石化��、醫(yī)藥���、食品以及汽車(chē)�����、航天等工業(yè)領(lǐng)域,成為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分���,關(guān)系到國(guó)家的戰(zhàn)略安全���。為此,《國(guó)家信息安全產(chǎn)業(yè)“十二五”規(guī)劃》特別將工業(yè)控制系統(tǒng)安全技術(shù)作為重點(diǎn)發(fā)展的關(guān)鍵技術(shù)之一��。
與傳統(tǒng)基于tcp/ip協(xié)議的網(wǎng)絡(luò)與信息系統(tǒng)的安全相比�����,我國(guó)ics的安全保護(hù)水平明顯偏低�����,長(zhǎng)期以來(lái)沒(méi)有得到關(guān)注。大多數(shù)ics在開(kāi)發(fā)時(shí)�����,由于傳統(tǒng)ics技術(shù)的計(jì)算資源有限����,在設(shè)計(jì)時(shí)只考慮到效率和實(shí)時(shí)等特性,并未將安全作為一個(gè)主要的指標(biāo)考慮���。隨著信息化的推動(dòng)和工業(yè)化進(jìn)程的加速�����,越來(lái)越多的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用于工業(yè)控制系統(tǒng)�����,在為工業(yè)生產(chǎn)帶來(lái)極大推動(dòng)作用的同時(shí)����,也帶來(lái)了ics的安全問(wèn)題���,如木馬����、病毒、網(wǎng)絡(luò)攻擊造成信息泄露和控制指令篡改等���。工業(yè)基礎(chǔ)設(shè)施中關(guān)鍵ics系統(tǒng)的安全事件會(huì)導(dǎo)致出現(xiàn):(1)系統(tǒng)性能下降���,影響系統(tǒng)可用性;(2)關(guān)鍵控制數(shù)據(jù)被篡改或喪失���;(3)失去控制�����;(4)嚴(yán)重的經(jīng)濟(jì)損失;(5)環(huán)境災(zāi)難����;(6)人員傷亡;(7)破壞基礎(chǔ)設(shè)施����;(8)危及公眾安全及國(guó)家安全。
據(jù)權(quán)威工業(yè)安全事件信息庫(kù)risi(repository of security incidents)的統(tǒng)計(jì)����,截止2011年10月����,全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件�。2001年后,通用開(kāi)發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用���,使得針對(duì)ics系統(tǒng)的攻擊行為出現(xiàn)大幅度增長(zhǎng)����,ics系統(tǒng)對(duì)于信息安全管理的需求變得更加迫切�����。
典型工業(yè)控制系統(tǒng)入侵事件:
(1) 2007年���,攻擊者入侵加拿大的一個(gè)水利scada控制系統(tǒng)����,通過(guò)安裝惡意軟件破壞了用于取水調(diào)度的控制計(jì)算機(jī)�;
(2) 2008年,攻擊者入侵波蘭某城市的地鐵系統(tǒng),通過(guò)電視遙控器改變軌道扳道器�,導(dǎo)致4節(jié)車(chē)廂脫軌;
(3) 2010年����,“網(wǎng)絡(luò)超級(jí)武器”stuxnet病毒通過(guò)針對(duì)性的入侵ics系統(tǒng),嚴(yán)重威脅到伊朗布什爾核電站核反應(yīng)堆的安全運(yùn)營(yíng)�;
(4) 2011年,黑客通過(guò)入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng)scada�,使得美國(guó)伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞。
2 工業(yè)控制系統(tǒng)的安全分析
分析可以發(fā)現(xiàn)����,造成工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)加劇的主要原因有兩方面。
首先����,傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時(shí)間要早于互聯(lián)網(wǎng),它需要采用專用的硬件���、軟件和通信協(xié)議,設(shè)計(jì)上基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題��。
其次����,互聯(lián)網(wǎng)技術(shù)的出現(xiàn)��,導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用tcp/ip技術(shù)���,工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能,愈加智能的ics網(wǎng)絡(luò)中各種應(yīng)用��、工控設(shè)備以及辦公用pc系統(tǒng)逐漸形成一張復(fù)雜的網(wǎng)絡(luò)拓?fù)?。另一方面,系統(tǒng)復(fù)雜性�����、人為事故�、操作失誤、設(shè)備故障和自然災(zāi)害等也會(huì)對(duì)ics造成破壞���。在現(xiàn)代計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)融合進(jìn)ics后����,傳統(tǒng)icp/ip網(wǎng)絡(luò)上常見(jiàn)的安全問(wèn)題已經(jīng)紛紛出現(xiàn)在ics之上�����。例如用戶可以隨意安裝、運(yùn)行各類應(yīng)用軟件����、訪問(wèn)各類網(wǎng)站信息,這類行為不僅影響工作效率�、浪費(fèi)系統(tǒng)資源,而且還是病毒�、木馬等惡意代碼進(jìn)入系統(tǒng)的主要原因和途徑。以stuxnet蠕蟲(chóng)為例�����,其充分利用了伊朗布什爾核電站工控網(wǎng)絡(luò)中工業(yè)pc與控制系統(tǒng)存在的安全漏洞(lik文件處理漏洞���、打印機(jī)漏洞��、rpc漏洞�、wincc漏洞����、s7項(xiàng)目文件漏洞以及autorun.inf漏洞)。
2.1 安全策略與管理流程的脆弱性
追求可用性而犧牲安全��,這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象�,缺乏完整有效的安全策略與管理流程是當(dāng)前我國(guó)工業(yè)控制系統(tǒng)的最大難題,很多已經(jīng)實(shí)施了安全防御措施的ics網(wǎng)絡(luò)仍然會(huì)因?yàn)楣芾砘虿僮魃系氖д`���,造成ics系統(tǒng)出現(xiàn)潛在的安全短板�����。例如����,工業(yè)控制系統(tǒng)中的移動(dòng)存儲(chǔ)介質(zhì)的使用和不嚴(yán)格的訪問(wèn)控制策略�。
作為信息安全管理的重要組成部分,制定滿足業(yè)務(wù)場(chǎng)景需求的安全策略���,并依據(jù)策略制定管理流程�����,是確保ics系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)�����。參照nerccip�、ansi/isa-99�����、iec62443等國(guó)際標(biāo)準(zhǔn),目前我國(guó)安全策略與管理流程的脆弱
性表現(xiàn)為:(1)缺乏安全架構(gòu)與設(shè)計(jì)�;(2)缺乏ics的安全策略;(3)缺乏ics安全審計(jì)機(jī)制���;(4)缺乏針對(duì)ics的業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃��;(5)缺乏針對(duì)ics配置變更管理�����;(6)缺乏根據(jù)安全策略制定的正規(guī)���、可備案的安全流程(移動(dòng)存儲(chǔ)設(shè)備安全使用流程與規(guī)章制度、互聯(lián)網(wǎng)安全訪問(wèn)流程與規(guī)章制度)�;(7)缺乏ics的安全培訓(xùn)與意識(shí)培養(yǎng);(8)缺乏人事安全策略與流程(人事招聘���、離職安全流程與規(guī)章制度�����、ics安全培訓(xùn)和意識(shí)培養(yǎng)課程)��。
2.2 工控平臺(tái)的脆弱性
由于ics終端的安全防護(hù)技術(shù)措施十分薄弱����,所以病毒�����、木馬�、黑客等攻擊行為都利用這些安全弱點(diǎn),在終端上發(fā)生�、發(fā)起,并通過(guò)網(wǎng)絡(luò)感染或破壞其他系統(tǒng)���。事實(shí)是所有的入侵攻擊都是從終端上發(fā)起的��,黑客利用被攻擊系統(tǒng)的漏洞竊取超級(jí)用戶權(quán)限��,肆意進(jìn)行破壞�����。注入病毒也是從終端發(fā)起的����,病毒程序利用操作系統(tǒng)對(duì)執(zhí)行代碼不檢查一致性弱點(diǎn),將病毒代碼嵌入到執(zhí)行代碼程序��,實(shí)現(xiàn)病毒傳播�。更為嚴(yán)重的是對(duì)合法的用戶沒(méi)有進(jìn)行嚴(yán)格的訪問(wèn)控制,可以進(jìn)行越權(quán)訪問(wèn)��,造成不安全事故����。
目前,多數(shù)ics網(wǎng)絡(luò)僅通過(guò)部署防火墻來(lái)保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對(duì)隔離��,各個(gè)工業(yè)自動(dòng)化單元之間缺乏可靠的安全通信機(jī)制�,數(shù)據(jù)加密效果不佳,工業(yè)控制協(xié)議的識(shí)別能力不理想����,加之缺乏行業(yè)標(biāo)準(zhǔn)規(guī)范與管理制度,工業(yè)控制系統(tǒng)的安全防御能力十分有限��。例如基于dcom編程規(guī)范的opc接口幾乎不可能使用傳統(tǒng)的it防火墻來(lái)確保其安全性����,在某企業(yè)的scada系統(tǒng)應(yīng)用中,需要開(kāi)放使用opc通訊接口,在對(duì)dcom進(jìn)行配置后�,刻毒蟲(chóng)病毒(計(jì)算機(jī)頻繁使用u盤(pán)所感染)利用windows系統(tǒng)的ms08-67漏洞進(jìn)行傳播,造成windows系統(tǒng)頻繁死機(jī)�����。 另一種容易忽略的情況是��,由于不同行業(yè)的應(yīng)用場(chǎng)景不同���,其對(duì)于功能區(qū)域的劃分和安全防御的要求也各不相同,而對(duì)于利用針對(duì)性通信協(xié)議與應(yīng)用層協(xié)議的漏洞來(lái)傳播的惡意攻擊行為更是無(wú)能為力�。更為嚴(yán)重的是工業(yè)控制系統(tǒng)的補(bǔ)丁管理效果始終無(wú)法令人滿意,考慮到ics補(bǔ)丁升級(jí)所存在的運(yùn)行平臺(tái)與軟件版本限制����,以及系統(tǒng)可用性與連續(xù)性的硬性要求,ics系統(tǒng)管理員絕不會(huì)輕易安裝非ics設(shè)備制造商指定的升級(jí)補(bǔ)丁����。與此同時(shí),工業(yè)系統(tǒng)補(bǔ)丁動(dòng)輒半年的補(bǔ)丁周期����,也讓攻擊者有較多的時(shí)間來(lái)利用已存在漏洞發(fā)起攻擊。以stuxnet蠕蟲(chóng)為例����,其惡意代碼可能對(duì)siemens的cpu315-2和cpu417進(jìn)行代碼篡改�����,而siemens的組態(tài)軟件(wincc�����、step7����、pcs7)對(duì)windows的系統(tǒng)補(bǔ)丁有著嚴(yán)格的兼容性要求�,隨意的安裝補(bǔ)丁可能會(huì)導(dǎo)致軟件的某些功能異常。
2.3 網(wǎng)絡(luò)的脆弱性
ics的網(wǎng)絡(luò)脆弱性一般來(lái)源于軟件的漏洞�、錯(cuò)誤配置或者ics網(wǎng)絡(luò)管理的失誤。另外�,ics與其他網(wǎng)絡(luò)互連時(shí)缺乏安全邊界控制,也是常見(jiàn)的安全隱患����。當(dāng)前ics網(wǎng)絡(luò)主要的脆弱性集中體現(xiàn)在幾個(gè)方面。
(1) 網(wǎng)絡(luò)配置的脆弱性(有缺陷的網(wǎng)絡(luò)安全架構(gòu)��、未部署數(shù)據(jù)流控制、安全設(shè)備配置不當(dāng)�、網(wǎng)絡(luò)設(shè)備的配置未存儲(chǔ)或備份、口令在傳輸過(guò)程中未加密���、網(wǎng)絡(luò)設(shè)備采用永久性的口令����、采用的訪問(wèn)控制不充分)���。
(2) 網(wǎng)絡(luò)硬件的脆弱性(網(wǎng)絡(luò)設(shè)備的物理防護(hù)不充分、未保護(hù)的物理端口���、喪失環(huán)境控制�、非關(guān)鍵人員能夠訪問(wèn)設(shè)備或網(wǎng)絡(luò)連接�����、關(guān)鍵網(wǎng)絡(luò)缺乏冗余備份)����。
(3) 網(wǎng)絡(luò)邊界的脆弱性(未定義安全邊界、未部署防火墻或配置不當(dāng)�、用控制網(wǎng)絡(luò)傳輸非控制流量、控制相關(guān)的服務(wù)未部署在控制網(wǎng)絡(luò)內(nèi))。
(4) 網(wǎng)絡(luò)監(jiān)控與日志的脆弱性(防火墻��、路由器日志記錄不充分��、ics網(wǎng)絡(luò)缺乏安全監(jiān)控)�。
(5) 網(wǎng)絡(luò)通信的脆弱性(未標(biāo)識(shí)出關(guān)鍵的監(jiān)控與控制路徑、以明文方式采用標(biāo)準(zhǔn)的或文檔公開(kāi)的通信協(xié)議�、用戶、數(shù)據(jù)與設(shè)備的認(rèn)證是非標(biāo)準(zhǔn)的��。
(6) 或不存在���、通信缺乏完整性檢查��。
(7) 無(wú)線連接的脆弱性(客戶端與ap之間的認(rèn)證不充分��、客戶端與ap之間的數(shù)據(jù)缺乏保護(hù))���。
3 工業(yè)控制系統(tǒng)的安全解決方案
工業(yè)控制系統(tǒng)的安全解決方案必須考慮所有層次的安全防護(hù)安全解決方案,必須考慮所有層次的安全防護(hù)��。
(1) 工廠安全(對(duì)未經(jīng)授權(quán)的人員阻止其訪問(wèn)��、物理上防止其對(duì)關(guān)鍵部件的訪問(wèn))����。
(2) 工廠it安全(采用防火墻等技術(shù)對(duì)辦公網(wǎng)與自動(dòng)化控制網(wǎng)絡(luò)之間的接口進(jìn)行控制���、進(jìn)一步對(duì)自動(dòng)化控制網(wǎng)絡(luò)進(jìn)行分區(qū)與隔離、部署反病毒措施�,并在軟件中采
用白名單機(jī)制、定義維護(hù)與更新的流程)�����。
(3) 訪問(wèn)控制(對(duì)自動(dòng)化控制設(shè)備與網(wǎng)絡(luò)操作員進(jìn)行認(rèn)證���、在自動(dòng)化控制組件中集成訪問(wèn)控制機(jī)制)工業(yè)場(chǎng)景下的安全解決方案必須考慮所有層次的安全防護(hù)����。
根據(jù)國(guó)內(nèi)ics及企業(yè)管理的現(xiàn)狀���,建議ics的信息安全機(jī)制的建立從三個(gè)方面考慮:1)借鑒國(guó)際規(guī)范制定適合我國(guó)國(guó)情的ics分區(qū)分級(jí)安全管理及隔離防護(hù)機(jī)制,制定相關(guān)技術(shù)標(biāo)準(zhǔn)�����,鼓勵(lì)國(guó)內(nèi)相關(guān)企業(yè)開(kāi)發(fā)符合相關(guān)技術(shù)標(biāo)準(zhǔn)的專業(yè)防火墻�����、隔離網(wǎng)關(guān)等專業(yè)產(chǎn)品;2)按ics系統(tǒng)的應(yīng)用類型建立工控網(wǎng)絡(luò)信息安全網(wǎng)絡(luò)架構(gòu)規(guī)范和組網(wǎng)原則����,制定ics系統(tǒng)網(wǎng)絡(luò)設(shè)備選取及運(yùn)行管理規(guī)范,禁止接入外來(lái)不可信存儲(chǔ)設(shè)備����;3)建立市場(chǎng)準(zhǔn)入機(jī)制并制定相關(guān)文件。
目前�����,國(guó)內(nèi)大型成套設(shè)備的ics系統(tǒng)基本上以國(guó)外工控系統(tǒng)為主�,甚至有些設(shè)備直接是國(guó)外全套進(jìn)口的。國(guó)外廠商在ics系統(tǒng)集成����、調(diào)試和后續(xù)維護(hù)上有許多辦法和手段以降低工程項(xiàng)目的后期運(yùn)行維護(hù)成本。其中最典型的手段就是設(shè)備的遠(yuǎn)程維護(hù)���,包括監(jiān)控�、診斷��、控制和遠(yuǎn)程代碼升級(jí)。這些功能的實(shí)施通常是借助外部公共網(wǎng)絡(luò)平臺(tái)遠(yuǎn)程操控�����。這些功能方便了系統(tǒng)開(kāi)發(fā)建造商�����,但給我們的大型(包括重點(diǎn))工業(yè)項(xiàng)目的日后運(yùn)行帶來(lái)重大隱患�。外部攻擊者可以通過(guò)這些路由控制或改變、介入并控制ics系統(tǒng)����。從信息安全的角度應(yīng)嚴(yán)格控制國(guó)外具有遠(yuǎn)程外部操作后門(mén)的ics系統(tǒng)與裝置進(jìn)入國(guó)內(nèi)核心工控系統(tǒng)。另外�����,隨著高性能的通用pc平臺(tái)與工控系統(tǒng)對(duì)接����,越來(lái)越多的工控核心裝置采用pc硬件平臺(tái)和微軟操作系統(tǒng)作為系統(tǒng)的核心���,這樣做的好處是借助pc平臺(tái)和微軟軟件系統(tǒng)下的大量高性能軟件資源降低開(kāi)發(fā)成本�����。但這樣做的危害是將工控系統(tǒng)置于pc平臺(tái)中的各種病毒和網(wǎng)絡(luò)攻擊的威脅下���。雖然相關(guān)企業(yè)不斷推出各種補(bǔ)丁與升級(jí)����,但工控系統(tǒng)24小時(shí)常年不斷的運(yùn)行模式使得這種間歇式的軟件修補(bǔ)與升級(jí)顯得非常無(wú)助��。所以選用基于pc硬件平臺(tái)和微軟操作系統(tǒng)的底層ics裝置進(jìn)入核心工控系統(tǒng)應(yīng)該予以認(rèn)真考慮�。
參考文獻(xiàn)
[1] 王孝良,崔保紅�����,李思其.關(guān)于工控系統(tǒng)的安全思考與建議.第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)��,2012.08.
[2] 張帥.ics工業(yè)控制系統(tǒng)安全分析.計(jì)算機(jī)安全�,2012.01.
[3] 唐文.工業(yè)基礎(chǔ)設(shè)施信息安全.2011.
[4] 石勇,劉巍偉��,劉博.工業(yè)控制系統(tǒng)(ics)的安全研究.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用����,2008.04.
作者簡(jiǎn)介:
