干货分享 | 工业信息数据库安全现状与技术分析

发布时间:2020-01-17 作者:昂楷资讯

工业控制系统安全涉及国家关键基础设施和经济社会稳定大局,辐射范围广泛,其威慑力和影响力不亚于传统战争,已成为国家间对抗的全新手段。攻击者已经将工业控制系统作为其首选攻击目标。


在工业控制系统运行过程中通信协议复杂和相对的封闭性,以及数据在传输过程中基本无加密认证机制和当下对工业信息系统的安全防护技术一直发展的很缓慢的情况下,当前的安全防护手段很难满足全球范围内万物互联浪潮带来生产系统“开放后”的安全问题。



安全现状


工控系统安全与互联网安全或者办公网的安全有很大的不同。


工控系统安全从数据协议角度来看,其协议相对的封闭性、属于私有协议,较一般NOSQL数据库而言,协议的复杂度较传统协议复杂的多。造成协议解析难度大,从而缺乏对数据库操作行为的审计。


工控系统安全从数据存储、使用角度看,数据存储在实时数据库、内存数据库、关系型数据库这几种数据库中;数据还需要在网络设备、主机设备、防护设备、控制设备、现场设备等多种设备之间实时、高性能、无加密的交互。这些原因会造成当前工控系统无法进行统一的安全管理,对恶意代码无防护,网络连接无隔离、系统漏洞难修补、网络状况无监测、远程通信无保护的状况。


工控系统安全从其他角度看,系统账号权限的分配与使用存在职责不清晰、操作系统老旧安全漏洞较多很少进行升级更新补丁、缺失、缺乏专业系统技术维护人员,基本不安装杀毒软件等等原因最终会造成敏感数据越权访问,违规操作、使用数据等行为。


根据工业控制系统的安全现状分析出目前工控数据库面临的威胁,主要表现为:


1、专用工控通信协议在设计阶段仅强调通信实时性与可用性,普遍缺乏安全机制。


2、工控系统不具备安全审计功能、或安全审计功能不完善导致工控系统违规操作缺乏有效的监控、管理和审计,给工控系统埋下极大的安全隐患。


3、工控系统业务持续性要求,系统漏洞补丁更新不及时,工控设备长期处于"带病"作业状态。


安全需求


工业信息系统密集且技术高度集中,工业系统的安全现状迫使需要进行工控数据库的可视化监控和对数据库操作的全面管控。


1


可视化需求

解析工业数据库系统在传输时使用的专用通讯协议及私有协议,实现对应用系统、超级权限人员在对业务数据操作访问时的监控与审计,以及内部控制应用系统与外部应用系统共享交换数据的过程中进行实时监控与审计,以达到对工业信息数据库的可视化。


2


安全综合管控需求

工业数据库在自身的系统安全,敏感信息以及未来的安全态势无法做自我的管控与分析。因此需要对存储设备自身的性能安全进行监控与安全评估,在使用数据的过程中需要进行敏感数据的保护,对数据的朔源追踪,以及未来的安全态势研判,进行工业信息数据库的综合管控。


3


政策法规要求

在2016年10月,工业和信息化部印发《工业控制系统信息安全防护指南》,以及2019年5月发布《信息安全技术 网络安全等级保护基本要求》中指出工业企业必须开展工控安全防护工作。并针对管理、技术两方面明确工业企业工控安全防护要求,需要及时发现、报告并处理网络攻击或异常行为;需部署具备工业协议检测功能的防护设备,限制违法操作;在发现威胁导致工业控制系统出现异常或故障时,需要保护现场,以便进行调查取证。


安全规范建设目标


根据工业信息数据库安全的需求,在进行工业信息数据库安全规范建设时首先需要实现对工业信息数据库的全面可视化监控建设。而后需要实现对工业信息数据库的进行全面的安全综合管控。


1


实现可视化监控

实现对所有数据库的操作行为审计,对审计到的操作行为分析后进行可视化的展示;对审计分析到的危险风险行为能够及时阻断并告警;提供可视化监控报表以及审计系统操作日志记录等。


2


实现安全综合管控

实现对数据库自身的基础信息、数据库的活动状态、数据库的访问操作行为进行全方位状态监控、性能分析。


实现对数据库自身进行安全评估,发现隐藏的漏洞,便于数据库提升自身系统安全。


实现对敏感数据的自动发现,设置访问控制力度,不同权限人员访问敏感数据返回结果不同。


实现对数据库全面审计,对攻击危险行为及内部人员违规的删除表、修改数据等高危操作及时告警和阻断。


实现对数据的追踪朔源,防止数据的违规使用。


实现通过机器的自学习能力,进行危险态势研判。


安全技术分析


1


可视化监控技术分析

可通过协议解析技术,对DFI、DPI流量内容识别技术,不依赖协议描述的情况下,分析工业信息数据库api等接口的协议规律,识别协议语法、语义等信息,提取系统行为和指令执行内容。


可通过审计调用的各接口信息,研究监控的数据库各项活动指标。


可通过对协议的同时监控记录分析出对工业信息数据库的攻击、误操作、违规操作行为并告警。


2


安全综合管控技术分析

可通过对数据库自身运行的基础信息、数据库的活动状态、数据库的性能指标等参数采集,以及数据库自身的漏洞信息扫描进行数据库系统自身运行情况的监控。


可通过建立一个数据类型集,对系统中的数据进行分级分类,实现数据在应用过程中对敏感数据的去隐私化处理或加密处理。


可通过建立一个数据模型记录原始数据在整个生命周期内(从产生、传播到消亡)的演变信息和演变处理内容,实现溯本追源。


可通过对数据库系统自身的监测、操作数据库协议的审计、敏感数据信息的处理、数据的溯本追源、以及人工智能技术中的Adaboost迭代、神经网络、层次分析、灰色关联分析等算法实现数据库系统的综合管理以及当前安全态势分析。



小结:

基于对工业信息数据库的安全技术全面分析,我们需进一步深入工控数据库安全漏洞及弱点扫描技术、状态监控技术、攻击防范技术、综合治理及态势感知技术、AI技术、大数据技术等,构建工控工业信息数据库安全治理平台,从而实现对工控工业信息数据库系统的事前风险预防、事中主动防御、事后及时取证的综合防御效果。



400-622-8990