工控安全威脅暗流涌動 綠盟科技為關(guān)鍵信息基礎(chǔ)設(shè)施護(hù)航

2010年“震網(wǎng)”破壞伊朗核設(shè)施、2012年的超級病毒“火焰”、2014年的Havex木馬、2015年烏克蘭電網(wǎng)停電......一個個針對工業(yè)控制系統(tǒng)的攻擊不斷爆發(fā)，工控系統(tǒng)正遭受前所未有的安全威脅。工控系統(tǒng)是國家基礎(chǔ)設(shè)施的核心，縱觀全球，不少國家都出臺了針對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的政策法令，包括美國、俄羅斯、日本、德國、加拿大等。

不要以為很少聽到來自中國的工控安全事件，就代表沒有。事實(shí)上，中國是全球網(wǎng)絡(luò)攻擊的嚴(yán)重受害國，據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示：2016年互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)網(wǎng)絡(luò)安全事件超過12萬起，其中30%是針對國家基礎(chǔ)設(shè)施。正因?yàn)槿绱耍诮衲?月正式實(shí)施的中國《網(wǎng)絡(luò)安全法》中就明確指出，國家對嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

并且，隨著國際國內(nèi)工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0、中國制造2025戰(zhàn)略的提出，業(yè)界對于工業(yè)控制系統(tǒng)安全的關(guān)注也將達(dá)到新的高度。

工控系統(tǒng)安全面臨的挑戰(zhàn)

為什么工控系統(tǒng)一旦遭受攻擊帶來的威脅巨大?因?yàn)楣た叵到y(tǒng)用于監(jiān)測和控制工業(yè)生產(chǎn)過程，確保工業(yè)設(shè)備正常運(yùn)行，它廣泛應(yīng)用于石油石化、水利、電力、生產(chǎn)制造等領(lǐng)域。這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會影響關(guān)鍵業(yè)務(wù)正常運(yùn)行，就像綠盟科技副總裁張念東在接受至頂網(wǎng)采訪時說的那樣，“工控系統(tǒng)安全涉及國家政治、環(huán)境安全，甚至人的生命安全。”

綠盟科技副總裁張念東

和IT信息系統(tǒng)不一樣，工控系統(tǒng)對安全尤為敏感。因?yàn)槠渑c物理世界進(jìn)行實(shí)時交互，張念東總結(jié)了工控系統(tǒng)的特點(diǎn)：

· 它對控制事件需實(shí)時響應(yīng)，甚至不允許哪怕毫秒級的宕機(jī);

· 從性能上對比IT信息系統(tǒng)，工控系統(tǒng)不允許發(fā)生秒級或毫秒級的延時或抖動;

· 穩(wěn)定性上工控系統(tǒng)原則上不允許重啟，系統(tǒng)一旦上線不允許中斷;

· IT信息系統(tǒng)以TCP/IP協(xié)議為主，工控系統(tǒng)協(xié)議復(fù)雜，采用大量專用和私有協(xié)議;

· IT信息系統(tǒng)生命周期為5年左右，工控系統(tǒng)更新?lián)Q代周期長，一般為15-20年，甚至更長;

· 維護(hù)上，IT信息系統(tǒng)維護(hù)便捷，工控系統(tǒng)需要現(xiàn)場操作維護(hù)，不允許自動化工具甚至半自動化方式操作等等。

正因?yàn)檫@些獨(dú)特特點(diǎn)，工控系統(tǒng)安全十分脆弱。而私有協(xié)議多、生命周期長，帶來的最大問題是隱藏漏洞數(shù)量巨大，CNVD的數(shù)據(jù)顯示，2010年之后工控漏洞數(shù)量顯著增長，很多漏洞難以被發(fā)現(xiàn)。并且，由于升級維護(hù)成本高，許多漏洞被長期擱置。此外，由于工控系統(tǒng)在設(shè)計之初更關(guān)注可用性，而忽略系統(tǒng)安全性。在制度設(shè)計上，工控系統(tǒng)安全制度設(shè)計相比IT信息系統(tǒng)設(shè)計也有比較大的缺失。

張念東強(qiáng)調(diào)，“無論是漏洞、運(yùn)維，還是基礎(chǔ)技術(shù)能力或制度的缺陷，導(dǎo)致工業(yè)控制系統(tǒng)沒有像IT領(lǐng)域一樣有完善的安全解決方案，而是修修補(bǔ)補(bǔ)或者進(jìn)行簡單的隔離，正因?yàn)槿狈v深成體系的安全防御，導(dǎo)致全球范圍內(nèi)不斷出現(xiàn)大大小小的工控安全事件?！?/p>

工控系統(tǒng)生產(chǎn)環(huán)境的特點(diǎn)決定了對它改造的難度非常大，有專家指出，目前可行的辦法是對存量已經(jīng)建設(shè)好的系統(tǒng)進(jìn)行監(jiān)控、以外圍防御進(jìn)行隔離、加密為主。另外一類對增量新建設(shè)的工控系統(tǒng)，應(yīng)建立全鏈條的安全監(jiān)管體系，例如上線系統(tǒng)要通過合規(guī)性安全檢查，從評估到保護(hù)、檢測、防御，從建設(shè)到運(yùn)營，覆蓋工控系統(tǒng)的全生命周期。

張念東長期跟蹤電力、石油、石化等行業(yè)，在他看來，工控系統(tǒng)存在的風(fēng)險按分類可以進(jìn)行或轉(zhuǎn)移、或消納、或接受、或處置。這也是很多關(guān)鍵行業(yè)實(shí)施的策略，采取漸進(jìn)式的主動安全防護(hù)，例如針對遺留系統(tǒng)建立安全區(qū)域、進(jìn)行邊界防護(hù)、和加固、監(jiān)管預(yù)警等。

綠盟科技的工控系統(tǒng)安全實(shí)踐

綠盟科技在國內(nèi)實(shí)施了不少工控系統(tǒng)安全項目，作為國內(nèi)最早一批從事工控網(wǎng)絡(luò)信息安全的公司，早在2010年就已開始了對工控安全的戰(zhàn)略部署。2010年9月，其承接泉州220KV變電站工控安全評估項目，是國內(nèi)第一個工控安全評估項目。

張念東介紹，2011年起，綠盟開始著眼于工控安全的戰(zhàn)略方向，在工控安全領(lǐng)域持續(xù)發(fā)力，幾乎是國內(nèi)最早的開始工控安全研究及應(yīng)用的安全廠商?！坝绕湓诼┒囱芯磕芰Ψ矫?，無論在國內(nèi)還是國外綠盟科技都有獨(dú)樹一幟的地方?！?/p>

據(jù)介紹，綠盟科技于2016年復(fù)現(xiàn)PLC工控蠕蟲病毒，是國內(nèi)最早在實(shí)驗(yàn)環(huán)境復(fù)現(xiàn)工控蠕蟲病毒的安全廠商。綠盟還通過自研的Fuzzing工控漏洞挖掘系統(tǒng)發(fā)現(xiàn)了西門子PLC存在的工控安全漏洞，并申報CVE、CNNVD，獲得了西門子公司的高度關(guān)注并給出相關(guān)的解決方案，是國內(nèi)第一家申報PLC核心漏洞的廠家。

在針對工控系統(tǒng)安全方案上，綠盟科技已推出5款工控安全產(chǎn)品，分別是工控入侵檢測系統(tǒng)，工控安全審計系統(tǒng)，工控漏洞掃描系統(tǒng)，工業(yè)安全網(wǎng)關(guān)，和工業(yè)安全隔離裝置，張念東介紹：

· 工控入侵檢測系統(tǒng)提供針對工控協(xié)議的強(qiáng)識別能力，對工控系統(tǒng)攻擊行為進(jìn)行有效檢測;

· 工控安全審計系統(tǒng)感知系統(tǒng)中潛在的異常操作行為;

· 工控漏洞掃描系統(tǒng)實(shí)現(xiàn)了針對SCADA、現(xiàn)場總線、數(shù)字化設(shè)計制造軟件的漏洞掃描，從而對工控系統(tǒng)進(jìn)行全面檢查;

· 工業(yè)安全網(wǎng)關(guān)進(jìn)行邊界防護(hù)，不影響生產(chǎn);

· 工業(yè)安全隔離裝置用于解決控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題以及控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護(hù)的問題。

結(jié)合國內(nèi)外形式，工控系統(tǒng)還需要一個縱深的防御體系和閉環(huán)的處置機(jī)制，綠盟科技為此推出工控系統(tǒng)態(tài)勢感知平臺，通過把設(shè)備連接起來，讓行業(yè)用戶有一個宏觀的安全感知。

張念東強(qiáng)調(diào)，“綠盟科技針對工控系統(tǒng)安全保護(hù)的核心思想是幫助用戶準(zhǔn)確地掌握工業(yè)控制系統(tǒng)當(dāng)前的安全狀況，同時又不影響業(yè)務(wù)生產(chǎn)的連續(xù)性。所以我們盡量選擇旁路的設(shè)備、或者旁路審計的方式，漏掃也是非生產(chǎn)環(huán)節(jié)或者非生產(chǎn)狀態(tài)時進(jìn)行檢測，保證業(yè)務(wù)連續(xù)可靠正常運(yùn)行?！?/p>

此外，綠盟科技基于電力、石油石化、煙草等工控安全領(lǐng)域多年積累的經(jīng)驗(yàn)，總結(jié)出工業(yè)控制系統(tǒng)的攻擊路線圖，并在此基礎(chǔ)上給出工控系統(tǒng)總體安全保障框架，提出從技術(shù)、管理和運(yùn)行三個維度來保障工控系統(tǒng)安全。這些維度包含網(wǎng)絡(luò)邊界防護(hù)、安全縱深防護(hù)、安全運(yùn)行管理和安全管理制度要求等幾個方面，涉及從系統(tǒng)上線前的安全檢測、安全能力部署、安全運(yùn)行三個階段，覆蓋工業(yè)控制系統(tǒng)運(yùn)行全周期的安全保障，為客戶工控網(wǎng)絡(luò)安全保駕護(hù)航。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。