乾貨分享 | 工業信息數據庫安全現狀與技術分析

背景概述

工業控制系統安全涉及國家關鍵基礎設施和經濟社會穩定大局，輻射範圍廣泛，其威懾力和影響力不亞於傳統戰爭，已成爲國家間對抗的全新手段。攻擊者已經將工業控制系統作爲其首選攻擊目標。

 

在工業控制系統運行過程中通信協議複雜和相對的封閉性，以及數據在傳輸過程中基本無加密認證機制和當下對工業信息系統的安全防護技術一直髮展的很緩慢的情況下，當前的安全防護手段很難滿足全球範圍內萬物互聯浪潮帶來生產系統“開放後”的安全問題。

 

工業控制系統安全現狀

工控系統安全與互聯網安全或者辦公網的安全有很大的不同。

 

工控系統安全從數據協議角度來看，其協議相對的封閉性、屬於私有協議，較一般NOSQL數據庫而言，協議的複雜度較傳統協議複雜的多。造成協議解析難度大，從而缺乏對數據庫操作行爲的審計。

 

工控系統安全從數據存儲、使用角度看，數據存儲在實時數據庫、內存數據庫、關係型數據庫這幾種數據庫中；數據還需要在網絡設備、主機設備、防護設備、控制設備、現場設備等多種設備之間實時、高性能、無加密的交互。這些原因會造成當前工控系統無法進行統一的安全管理，對惡意代碼無防護，網絡連接無隔離、系統漏洞難修補、網絡狀況無監測、遠程通信無保護的狀況。

 

工控系統安全從其他角度看，系統賬號權限的分配與使用存在職責不清晰、操作系統老舊安全漏洞較多很少進行升級更新補丁、缺失、缺乏專業系統技術維護人員，基本不安裝殺毒軟件等等原因最終會造成敏感數據越權訪問，違規操作、使用數據等行爲。

 

根據工業控制系統的安全現狀分析出目前工控數據庫面臨的威脅，主要表現爲：

1、專用工控通信協議在設計階段僅強調通信實時性與可用性，普遍缺乏安全機制。

2、工控系統不具備安全審計功能、或安全審計功能不完善導致工控系統違規操作缺乏有效的監控、管理和審計，給工控系統埋下極大的安全隱患。

3、工控系統業務持續性要求，系統漏洞補丁更新不及時，工控設備長期處於"帶病"作業狀態。

 

工業信息數據庫安全需求

工業信息系統密集且技術高度集中，工業系統的安全現狀迫使需要進行工控數據庫的可視化監控和對數據庫操作的全面管控。

 

1.可視化需求

解析工業數據庫系統在傳輸時使用的專用通訊協議及私有協議，實現對應用系統、超級權限人員在對業務數據操作訪問時的監控與審計，以及內部控制應用系統與外部應用系統共享交換數據的過程中進行實時監控與審計，以達到對工業信息數據庫的可視化。

 

2.安全綜合管控需求

工業數據庫在自身的系統安全，敏感信息以及未來的安全態勢無法做自我的管控與分析。因此需要對存儲設備自身的性能安全進行監控與安全評估，在使用數據的過程中需要進行敏感數據的保護，對數據的朔源追蹤，以及未來的安全態勢研判，進行工業信息數據庫的綜合管控。

 

3.政策法規要求

在2016年10月，工業和信息化部印發《工業控制系統信息安全防護指南》，以及2019年5月發佈《信息安全技術 網絡安全等級保護基本要求》中指出工業企業必須開展工控安全防護工作。並針對管理、技術兩方面明確工業企業工控安全防護要求，需要及時發現、報告並處理網絡攻擊或異常行爲；需部署具備工業協議檢測功能的防護設備，限制違法操作；在發現威脅導致工業控制系統出現異常或故障時，需要保護現場，以便進行調查取證。

 

工業信息數據庫安全規範建設目標

根據工業信息數據庫安全的需求，在進行工業信息數據庫安全規範建設時首先需要實現對工業信息數據庫的全面可視化監控建設。而後需要實現對工業信息數據庫的進行全面的安全綜合管控。

 

1.實現可視化監控

實現對所有數據庫的操作行爲審計，對審計到的操作行爲分析後進行可視化的展示；對審計分析到的危險風險行爲能夠及時阻斷並告警；提供可視化監控報表以及審計系統操作日誌記錄等。

 

2.實現安全綜合管控

實現對數據庫自身的基礎信息、數據庫的活動狀態、數據庫的訪問操作行爲進行全方位狀態監控、性能分析。

 

實現對數據庫自身進行安全評估，發現隱藏的漏洞，便於數據庫提升自身系統安全。

 

實現對敏感數據的自動發現，設置訪問控制力度，不同權限人員訪問敏感數據返回結果不同。

 

實現對數據庫全面審計，對攻擊危險行爲及內部人員違規的刪除表、修改數據等高危操作及時告警和阻斷。

 

實現對數據的追蹤朔源，防止數據的違規使用。

 

實現通過機器的自學習能力，進行危險態勢研判。

 

工業信息數據庫安全技術分析

1.可視化監控技術分析

可通過協議解析技術，對DFI、DPI流量內容識別技術，不依賴協議描述的情況下，分析工業信息數據庫api等接口的協議規律，識別協議語法、語義等信息，提取系統行爲和指令執行內容。

 

可通過審計調用的各接口信息，研究監控的數據庫各項活動指標。

 

可通過對協議的同時監控記錄分析出對工業信息數據庫的攻擊、誤操作、違規操作行爲並告警。

 

2.安全綜合管控技術分析

可通過對數據庫自身運行的基礎信息、數據庫的活動狀態、數據庫的性能指標等參數採集，以及數據庫自身的漏洞信息掃描進行數據庫系統自身運行情況的監控。

 

可通過建立一個數據類型集，對系統中的數據進行分級分類，實現數據在應用過程中對敏感數據的去隱私化處理或加密處理。

 

可通過建立一個數據模型記錄原始數據在整個生命週期內(從產生、傳播到消亡)的演變信息和演變處理內容，實現溯本追源。

 

可通過對數據庫系統自身的監測、操作數據庫協議的審計、敏感數據信息的處理、數據的朔本追源、以及人工智能技術中的Adaboost迭代、神經網絡、層次分析、灰色關聯分析等算法實現數據庫系統的綜合管理以及當前安全態勢分析。

 

小結

基於對工業工業信息數據庫的安全技術全面分析，我們需進一步深入工控數據庫安全漏洞及弱點掃描技術、狀態監控技術、攻擊防範技術、綜合治理及態勢感知技術、AI技術、大數據技術等，構建工控工業信息數據庫安全治理平臺，從而實現對工控工業信息數據庫系統的事前風險預防、事中主動防禦、事後及時取證的綜合防禦效果。