2017年伊始,匡恩網(wǎng)絡(luò)發(fā)布了《2016年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢報告》(以下簡稱 “報告”),匡恩網(wǎng)絡(luò)已連續(xù)三年撰寫并發(fā)布報告。報告全面介紹了國內(nèi)外工控系統(tǒng)網(wǎng)絡(luò)安全發(fā)展現(xiàn)狀以及當(dāng)前所面臨的主要問題,并在這些問題基礎(chǔ)上提出了針對性的對策與建議。以下我們將從技術(shù)維度重點解讀報告。
見微知著,深挖工控網(wǎng)絡(luò)安全
報告開篇以全球視野角度分析了當(dāng)前工業(yè)控制系統(tǒng)相關(guān)安全問題。文中指出,隨著全球物聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,工業(yè)控制系統(tǒng)安全逐步向工業(yè)物聯(lián)網(wǎng)安全演化,各類工控安全漏洞數(shù)量不斷增長造成重大安全事件頻發(fā),全球各國聯(lián)網(wǎng)工業(yè)控制系統(tǒng)安全面臨嚴(yán)重威脅,見下圖所示。
2016年全球重要工控安全事件分布圖
2016年,全球發(fā)達(dá)國家加快了工業(yè)控制網(wǎng)絡(luò)安全領(lǐng)域發(fā)展的步伐,采取了加大資金投入、制定國家層面戰(zhàn)略規(guī)劃和行動計劃、成立國家安全機(jī)構(gòu)和學(xué)院、組建網(wǎng)絡(luò)部隊等多方面的措施,以提升本國網(wǎng)絡(luò)安全保障能力。我國雖然在工業(yè)控制網(wǎng)絡(luò)安全方面起步較晚,但發(fā)展迅速,在2016年先后頒布了《中華人民共和國網(wǎng)絡(luò)安全法》、發(fā)布了6項工業(yè)控制系統(tǒng)安全相關(guān)標(biāo)準(zhǔn)、開展了全國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查和全國工業(yè)控制系統(tǒng)安全大檢查等一系列行動。
在產(chǎn)業(yè)發(fā)展態(tài)勢層面,文中對我國工業(yè)控制系統(tǒng)發(fā)展中面臨的風(fēng)險與隱患進(jìn)行了介紹,主要體現(xiàn)在兩個方面:
(一) 聯(lián)網(wǎng)工控設(shè)備日益增多,安全隱患日漸凸顯
報告中披露了來源于匡恩網(wǎng)絡(luò)工業(yè)控制網(wǎng)絡(luò)威脅情報中心的統(tǒng)計數(shù)據(jù),對我國暴露在互聯(lián)網(wǎng)中的工控設(shè)備數(shù)量、類型進(jìn)行了展示,從中我們可以發(fā)現(xiàn)聯(lián)網(wǎng)設(shè)備中可編程邏輯控制器(PLC)數(shù)量最多。
此外,從文中工控網(wǎng)絡(luò)安全漏洞歷年的增長情況、工控廠商漏洞數(shù)量、漏洞類型等詳細(xì)的數(shù)據(jù)統(tǒng)計我們可以感受到,國內(nèi)主要工控設(shè)備廠商產(chǎn)品的安全性愈發(fā)令人擔(dān)憂,尤其是PLC、SCADA、上位機(jī)軟件的漏洞數(shù)量十分驚人,一旦被利用所造成的損失巨大。隨著工控系統(tǒng)聯(lián)網(wǎng)設(shè)備逐步增多,潛在安全漏洞數(shù)量也逐步增長,長此以往設(shè)備安全的不可控將成為我國工控網(wǎng)絡(luò)安全的隱患點與風(fēng)險源。
(二)各地區(qū)工控安全發(fā)展水平差異較大,平均水平偏低
報告中指出匡恩網(wǎng)絡(luò)通過工業(yè)物聯(lián)網(wǎng)安全大數(shù)據(jù)分析平臺,結(jié)合近年來多次全國性的安全檢查任務(wù)及安全研究和項目實踐經(jīng)驗,對我國各區(qū)域、重點行業(yè)的工控網(wǎng)絡(luò)安全水平進(jìn)行了評價與分析。
根據(jù)各地區(qū)、各行業(yè)工控網(wǎng)絡(luò)安全綜合指數(shù)得分情況,我們不難發(fā)現(xiàn)全國各地區(qū)在工業(yè)控制系統(tǒng)保護(hù)措施方面普遍得分較低(平均76),華北、華東、華中較差,見下圖所示。
各區(qū)域工控網(wǎng)絡(luò)安全綜合指數(shù)統(tǒng)計
雖然,我國華東、華北、華中等地區(qū)工業(yè)、公共設(shè)施相對其他區(qū)域發(fā)達(dá),工業(yè)控制系統(tǒng)應(yīng)用范圍廣、數(shù)量大、發(fā)展速度快,漏洞、病毒木馬等網(wǎng)絡(luò)威脅及基層防護(hù)薄弱等問題反而更加突出,是得分較低的主要原因。
另外,我國相關(guān)重點行業(yè)得分也不容樂觀,大部分地區(qū)得分偏低,見下圖所示。
重點行業(yè)工控安全綜合指數(shù)統(tǒng)計
得分較高的電力、煙草、航空、航天、交通行業(yè)受到了國家層面的重視,各方面工作取得了一定的成效,發(fā)現(xiàn)的問題也相對較少。得分較低的地區(qū),主要在安全經(jīng)費、安全事件、安全培訓(xùn)等管理方面存在缺失。
從各地區(qū)、各行業(yè)工控安全綜合指數(shù)結(jié)果來看,反映出部分地區(qū)、行業(yè)面對工控網(wǎng)絡(luò)安全工作缺乏全面的認(rèn)識,在一定程度上限制了工控安全的發(fā)展。
匡恩網(wǎng)絡(luò)基于自身對工控網(wǎng)絡(luò)安全的深入理解,結(jié)合全國工業(yè)企業(yè)網(wǎng)絡(luò)安全調(diào)研結(jié)果所反映的問題進(jìn)行了總結(jié),主要包括:
普遍存在工控網(wǎng)絡(luò)邊界防護(hù)機(jī)制缺失或無效,已經(jīng)成為了普遍現(xiàn)象。
在設(shè)備投運前既沒有進(jìn)行加固處理,也沒有采取補償性控制措施,在線工控系統(tǒng)長期“帶病”運行。
黑客入侵、病毒木馬的網(wǎng)絡(luò)攻擊行為在工控網(wǎng)絡(luò)中普遍存在,已經(jīng)成為了破壞工控系統(tǒng)的主要形式。
大量國外工控設(shè)備在線運行,短期難以實現(xiàn)自主可控。
在安全管理問題上主要體現(xiàn)在兩方面,一方面是行業(yè)標(biāo)準(zhǔn)體系不健全,缺乏引導(dǎo)和監(jiān)管依據(jù);另外一方面各單位重視程度不夠,在組織、人員、投入等多方面資源匱乏,在兩方面的綜合作用下安全管理的“死角”、“短板”頻現(xiàn)。
IN時代,最in技術(shù)開啟未來
自工控網(wǎng)絡(luò)安全被業(yè)界提出以來,國內(nèi)外工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)理念經(jīng)歷了一系列演變,匡恩網(wǎng)絡(luò)進(jìn)行了深入研究,進(jìn)而提出了工控網(wǎng)絡(luò)安全防護(hù)的總體思路與實踐參考。
匡恩網(wǎng)絡(luò)“4+1”安全防護(hù)理念
從匡恩網(wǎng)絡(luò)提出“結(jié)構(gòu)安全性、本體安全性、行為安全性、基因安全性、時間持續(xù)性”的內(nèi)涵中,我們可以了解到匡恩網(wǎng)絡(luò)把主動防護(hù)與被動防護(hù)的理念融入其中,同時引入安全防護(hù)機(jī)制、安全體系發(fā)展的思想,在攻擊技術(shù)不斷變化的條件下,確保企業(yè)的工業(yè)控制系統(tǒng)安全保障體系立于不敗之地。
匡恩網(wǎng)絡(luò)“4+1”工控網(wǎng)絡(luò)安全防護(hù)理念
匡恩網(wǎng)絡(luò)工控網(wǎng)絡(luò)安全防護(hù)體系
報告中展示了匡恩網(wǎng)絡(luò)構(gòu)建的大型工控網(wǎng)絡(luò)安全防護(hù)體系,見下圖所示。
匡恩網(wǎng)絡(luò)集團(tuán)化公司整體工控網(wǎng)絡(luò)安全藍(lán)圖
匡恩網(wǎng)絡(luò)基于“4+1”工控網(wǎng)絡(luò)安全防護(hù)理念,建立了以“集中管理、分層控制”為原則的持續(xù)性防御體系,適應(yīng)集團(tuán)多層級、多維度的管理需求,提供柔性化的管理框架,支持三級單位防護(hù)設(shè)備的水平擴(kuò)展,既保護(hù)了客戶硬件投資,又提高了管理效率。
另外,匡恩網(wǎng)絡(luò)安全產(chǎn)品秉承了“4+1”工控安全防護(hù)理念,采用了“外掛”的部署方式,適應(yīng)工業(yè)環(huán)境穩(wěn)定性、可靠性、完整性以及網(wǎng)絡(luò)延時低的要求,提供了系統(tǒng)檢測平臺、智能保護(hù)平臺、檢測審計平臺及安全大數(shù)據(jù)平臺等多樣化的產(chǎn)品系列以滿足各行業(yè)的不同需求,為客戶提供定制化安全產(chǎn)品,見下圖所示。
匡恩網(wǎng)絡(luò)由工業(yè)控制系統(tǒng)內(nèi)部生長的持續(xù)性防御體系
此外,匡恩網(wǎng)絡(luò)還在安全芯片、可信計算技術(shù)方面不斷進(jìn)行探索,力求向工控網(wǎng)絡(luò)安全的更底層技術(shù)下沉,聯(lián)同廣大安全廠商共同打造綠色產(chǎn)業(yè)生態(tài)環(huán)境。
匡恩網(wǎng)絡(luò)PDCA安全環(huán)整體服務(wù)方案
匡恩網(wǎng)絡(luò)基于全生命周期的安全服務(wù)方案,囊括計劃準(zhǔn)備、方案實施、結(jié)果評估和優(yōu)化提升四大階段,如下圖所示。
匡恩網(wǎng)絡(luò)PDCA安全環(huán)
每個階段都為客戶安全建設(shè)提供了豐富的服務(wù)內(nèi)容,其中包括設(shè)備檢測、安全服務(wù)、威脅管理、監(jiān)控審計、智能保護(hù)、安全數(shù)據(jù)庫等多個方面。
持續(xù)創(chuàng)新是推動產(chǎn)業(yè)發(fā)展的不竭動力。匡恩網(wǎng)絡(luò)的這些前沿創(chuàng)新技術(shù)和定制服務(wù),在關(guān)鍵基礎(chǔ)設(shè)施、智能制造、智慧城市、軍民融合四大領(lǐng)域的十多個行業(yè)深度實施應(yīng)用,取得了良好的效果和廣泛的贊譽。相信,這些前沿技術(shù)與防護(hù)理念將為兩化深度融合實施創(chuàng)造更多的可能性。