(本文來自鈦媒體特色欄目創(chuàng)業(yè)者說,最有鈦度的創(chuàng)業(yè)者故事)
工業(yè)控制的安全正在成為未來網(wǎng)絡(luò)戰(zhàn)爭的主場地。
去年圣誕節(jié)前,烏克蘭電網(wǎng)遭到黑客攻擊,造成了大規(guī)模停電,影響到140萬名居民。黑客利用欺騙手段讓電力公司員工下載了一款名為BlackEnergy的惡意軟件,攻擊了約60座變電站。
同樣的,2014年10月至2015年9月,美國發(fā)生了295起入侵關(guān)鍵基礎(chǔ)設(shè)施的黑客攻擊案件,如機(jī)場、隧道和煉油廠等。在世界各地,還有許多攻擊事件未被曝光。
對于傳統(tǒng)互聯(lián)網(wǎng)安全軟件而言,工業(yè)安全領(lǐng)域依舊是一個(gè)盲點(diǎn)。國內(nèi)人口密集,電力、交通情況更為復(fù)雜,供電、供水這些基礎(chǔ)設(shè)施的核心控制器件是工控系統(tǒng),如果遭遇黑客攻擊,會面臨更大面積的癱瘓。
而一些創(chuàng)業(yè)者正在圍繞“這一盲點(diǎn)”嘗試著創(chuàng)業(yè)。
“工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)存在很大的差異,工控協(xié)議類型繁多、適用于不同的控制環(huán)境,我們在對這些協(xié)議進(jìn)行深度解析之后,推出了工控檢測審計(jì)系統(tǒng),這些軟件需要部署在客戶網(wǎng)絡(luò)的網(wǎng)關(guān)處,能記錄正在發(fā)生的網(wǎng)絡(luò)行為,并檢測到異常行為。”北京匡恩網(wǎng)絡(luò)科技高級副總裁李江力告訴鈦媒體。
匡恩網(wǎng)絡(luò)在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全領(lǐng)域探索多年,今年完成B輪融資,曾牽頭制定“工控網(wǎng)絡(luò)監(jiān)測”、“工控漏洞挖掘”、“智慧城市安全”、“數(shù)控安全”等多項(xiàng)國家和行業(yè)標(biāo)準(zhǔn)。最近,該公司發(fā)布了面向工業(yè)控制系統(tǒng)和物聯(lián)網(wǎng)安全的威脅態(tài)勢感知平臺和漏洞挖掘云服務(wù)平臺,試圖解決工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全和物聯(lián)網(wǎng)安全的問題。
智能制造時(shí)代的創(chuàng)業(yè)機(jī)遇
中國過去以工業(yè)制造為核心的產(chǎn)業(yè)結(jié)構(gòu)正在改變,早已經(jīng)不再是“世界工廠”,國家開始把“智能制造”作為國家產(chǎn)業(yè)轉(zhuǎn)型升級的一個(gè)必然的方向。
國內(nèi)一些企業(yè)已經(jīng)加入智能制造的浪潮,海爾這兩年先后建造了7家智能工廠,這對于匡恩網(wǎng)絡(luò)這樣的創(chuàng)業(yè)公司,是一個(gè)機(jī)遇。
在國家發(fā)改委提出的《智能制造2025白皮書》中,從價(jià)值鏈、生命周期和系統(tǒng)架構(gòu)三個(gè)緯度定義智能制造。李江力告訴鈦媒體:其中,系統(tǒng)架構(gòu)產(chǎn)業(yè)鏈包括設(shè)備層、控制層、管理層、企業(yè)層、網(wǎng)絡(luò)層,在設(shè)備層和控制層,尤其需要植入工業(yè)控制網(wǎng)絡(luò)安全基因。
在傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)中,底層是設(shè)備層,包括儀表、電動(dòng)機(jī)、機(jī)床等等,上一層是PLC、DCS,統(tǒng)控制機(jī)器運(yùn)行;再往上是操作層,比如工作站、服務(wù)器等;然后是企業(yè)管理、企業(yè)數(shù)據(jù);最頂端是企業(yè)層,比如企業(yè)OA、企業(yè)郵。
前三層和傳統(tǒng)IT相關(guān),四、五層是工業(yè)控制領(lǐng)域一個(gè)被忽視的地方。李江力說:
“智能制造時(shí)代,底層的智能設(shè)備,實(shí)際上是控制層和設(shè)備層的一個(gè)智能化融合,很多控制器件和我們的設(shè)備融為一體了,比如機(jī)器人。”
機(jī)器人本身是自帶智能控制的,同時(shí)它又是一個(gè)執(zhí)行終端,而智能儀表,智能電機(jī)等還具有感知功能,把數(shù)據(jù)往上傳,部分代替工業(yè)物聯(lián)網(wǎng)的感知層。從感知層到管理層、企業(yè)層、云端,都需要工業(yè)控制系統(tǒng)的安全保護(hù)。
所有底層設(shè)備,要實(shí)現(xiàn)自動(dòng)化與智能化,必須依靠工業(yè)控制系統(tǒng),工控系統(tǒng)一旦遭遇黑客攻擊,像烏克蘭的電力系統(tǒng)一樣崩潰,網(wǎng)絡(luò)戰(zhàn)爭的爆發(fā)會變得非常容易。
解決這些問題,是創(chuàng)業(yè)公司的機(jī)遇。
未來的工業(yè)控制風(fēng)險(xiǎn)有哪些?
美國工業(yè)互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心統(tǒng)計(jì)全球工控安全事件,基本上呈逐年遞增態(tài)勢,2015年是295件,2014年是245起。
再來看來自工信部互聯(lián)網(wǎng)響應(yīng)中心的數(shù)據(jù):國內(nèi)的漏洞,大概有65%以上是屬于中高危的,有33%是屬于高危的,漏洞的性質(zhì)大部分還是一些信息泄露、跨站攻擊、安全繞過。
李江力對鈦媒體表示,他們向有關(guān)部門提出兩個(gè)問題,一是工控設(shè)備的國產(chǎn)化率需要增加,第二個(gè)進(jìn)口設(shè)備的安全檢測需要有手段,發(fā)現(xiàn)漏洞他們需要解決辦法。工控環(huán)境的風(fēng)險(xiǎn),在現(xiàn)場控制層、監(jiān)控層、生產(chǎn)層、運(yùn)營層都存在。
比如,各網(wǎng)段之間可能缺乏有效的隔離,一些主機(jī)設(shè)備可能是一些弱口令,還有一些服務(wù)沒有口令就可以登陸。一些OPC服務(wù)器配置錯(cuò)誤造成數(shù)據(jù)被越權(quán)讀取,很多設(shè)備的日志安全問題沒有解決等等。
一個(gè)工業(yè)控制安全距離的案例是:Havex病毒是針對OPC的漏洞的,Havex病毒首先干擾目標(biāo)機(jī),然后非法獲取OPC的一些數(shù)據(jù),黑客拿到數(shù)據(jù)之后會上傳到數(shù)據(jù)端,進(jìn)行非法操作。
李江力為工業(yè)控制系統(tǒng)的安全問題做了歸納:
首先是工控設(shè)備漏洞,其次是外國設(shè)備存在后門,比如說遠(yuǎn)程維護(hù)功能,一旦遠(yuǎn)程維護(hù)功能被人惡意利用,可能就是一個(gè)安全風(fēng)險(xiǎn);以及針對工控環(huán)境的APT攻擊,比如烏克蘭電力事件,是典型的APT攻擊事件。
其他還有無線技術(shù)的應(yīng)用,比如說3G、4G、Wi-Fi,在方便現(xiàn)場使用的同時(shí),也會帶來安全的風(fēng)險(xiǎn)和數(shù)據(jù)丟失。
一個(gè)完整的安全網(wǎng)絡(luò)體系是什么樣?
匡恩網(wǎng)絡(luò)試圖搭建一個(gè)安全網(wǎng)絡(luò)體系。工業(yè)網(wǎng)絡(luò)安全保障體系需要考慮結(jié)構(gòu)安全、本體安全、行為安全、基因安全和時(shí)間持續(xù)性保護(hù)。李江力說,匡恩網(wǎng)絡(luò)的安全設(shè)計(jì)包括這幾塊:
首先是本體安全是指設(shè)備本身的安全性能,保證漏洞不出問題有,一個(gè)方法是原廠商直接打補(bǔ)丁,其次是給它額外加修補(bǔ)措施。
在結(jié)構(gòu)安全方面,通過合理的區(qū)域劃分,保障每個(gè)區(qū)域的安全。而烏克蘭電力事件是黑客不斷掃描嘗試,最后達(dá)成攻擊,這是很多行為的組合,需要安全保障系統(tǒng)對這些行為進(jìn)行綜合分析和統(tǒng)計(jì)。
基因安全是設(shè)備本身的安全屬性,也被稱為自主可控的安全性。這需要有國產(chǎn)的CPU、國產(chǎn)的操作系統(tǒng)、國產(chǎn)的芯片,還要加上輔助器件。此外還需要持續(xù)的安全管理和安全運(yùn)營。
談到時(shí)間持續(xù)性保護(hù),就是建立長效的安全防護(hù)機(jī)制,在持續(xù)對抗中保障工業(yè)控制系統(tǒng)安全。從技術(shù)、設(shè)備、人員、管理等多個(gè)維度,實(shí)現(xiàn)綜合安全服務(wù)能力,保障工業(yè)控制系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施全生命周期的安全性。
據(jù)李江力介紹,在不同的場合、區(qū)域之間,需要加入工業(yè)防火墻或工業(yè)網(wǎng)閘進(jìn)行網(wǎng)絡(luò)隔離,以及一些工業(yè)控制審計(jì)系統(tǒng)來審核網(wǎng)絡(luò)行為的風(fēng)險(xiǎn),由此得出報(bào)告,告訴用戶什么地方出了問題、有異常流量需要怎么解決。
在底層,通過國產(chǎn)化CPU國產(chǎn)化器件、國產(chǎn)化的數(shù)據(jù)庫和可信計(jì)算技術(shù)保證系統(tǒng)自主安全可控。
“匡恩網(wǎng)絡(luò)解決方案這幾年在能源電力、機(jī)械制造、軌道交通、冶金、煙草等行業(yè)廣泛實(shí)施,隨著智能制造進(jìn)程的加深,未來我們會進(jìn)入更多領(lǐng)域。”他說。