工控安全威脅暗流涌動 綠盟科技為關(guān)鍵信息基礎(chǔ)設(shè)施護航

2010年“震網(wǎng)”破壞伊朗核設(shè)施、2012年的超級病毒“火焰”、2014年的Havex木馬、2015年烏克蘭電網(wǎng)停電......一個個針對工業(yè)控制系統(tǒng)的攻擊不斷爆發(fā)，工控系統(tǒng)正遭受前所未有的安全威脅。工控系統(tǒng)是國家基礎(chǔ)設(shè)施的核心，縱觀全球，不少國家都出臺了針對關(guān)鍵信息基礎(chǔ)設(shè)施保護的政策法令，包括美國、俄羅斯、日本、德國、加拿大等。

不要以為很少聽到來自中國的工控安全事件，就代表沒有。事實上，中國是全球網(wǎng)絡(luò)攻擊的嚴重受害國，據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示：2016年互聯(lián)網(wǎng)應(yīng)急中心發(fā)現(xiàn)網(wǎng)絡(luò)安全事件超過12萬起，其中30%是針對國家基礎(chǔ)設(shè)施。正因為如此，在今年6月正式實施的中國《網(wǎng)絡(luò)安全法》中就明確指出，國家對嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。

并且，隨著國際國內(nèi)工業(yè)互聯(lián)網(wǎng)、工業(yè)4.0、中國制造2025戰(zhàn)略的提出，業(yè)界對于工業(yè)控制系統(tǒng)安全的關(guān)注也將達到新的高度。

工控系統(tǒng)安全面臨的挑戰(zhàn)

為什么工控系統(tǒng)一旦遭受攻擊帶來的威脅巨大?因為工控系統(tǒng)用于監(jiān)測和控制工業(yè)生產(chǎn)過程，確保工業(yè)設(shè)備正常運行，它廣泛應(yīng)用于石油石化、水利、電力、生產(chǎn)制造等領(lǐng)域。這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會影響關(guān)鍵業(yè)務(wù)正常運行，就像綠盟科技副總裁張念東在接受至頂網(wǎng)采訪時說的那樣，“工控系統(tǒng)安全涉及國家政治、環(huán)境安全，甚至人的生命安全?！?/p>

綠盟科技副總裁張念東

和IT信息系統(tǒng)不一樣，工控系統(tǒng)對安全尤為敏感。因為其與物理世界進行實時交互，張念東總結(jié)了工控系統(tǒng)的特點：

· 它對控制事件需實時響應(yīng)，甚至不允許哪怕毫秒級的宕機;

· 從性能上對比IT信息系統(tǒng)，工控系統(tǒng)不允許發(fā)生秒級或毫秒級的延時或抖動;

· 穩(wěn)定性上工控系統(tǒng)原則上不允許重啟，系統(tǒng)一旦上線不允許中斷;

· IT信息系統(tǒng)以TCP/IP協(xié)議為主，工控系統(tǒng)協(xié)議復(fù)雜，采用大量專用和私有協(xié)議;

· IT信息系統(tǒng)生命周期為5年左右，工控系統(tǒng)更新?lián)Q代周期長，一般為15-20年，甚至更長;

· 維護上，IT信息系統(tǒng)維護便捷，工控系統(tǒng)需要現(xiàn)場操作維護，不允許自動化工具甚至半自動化方式操作等等。

正因為這些獨特特點，工控系統(tǒng)安全十分脆弱。而私有協(xié)議多、生命周期長，帶來的最大問題是隱藏漏洞數(shù)量巨大，CNVD的數(shù)據(jù)顯示，2010年之后工控漏洞數(shù)量顯著增長，很多漏洞難以被發(fā)現(xiàn)。并且，由于升級維護成本高，許多漏洞被長期擱置。此外，由于工控系統(tǒng)在設(shè)計之初更關(guān)注可用性，而忽略系統(tǒng)安全性。在制度設(shè)計上，工控系統(tǒng)安全制度設(shè)計相比IT信息系統(tǒng)設(shè)計也有比較大的缺失。

張念東強調(diào)，“無論是漏洞、運維，還是基礎(chǔ)技術(shù)能力或制度的缺陷，導(dǎo)致工業(yè)控制系統(tǒng)沒有像IT領(lǐng)域一樣有完善的安全解決方案，而是修修補補或者進行簡單的隔離，正因為缺乏縱深成體系的安全防御，導(dǎo)致全球范圍內(nèi)不斷出現(xiàn)大大小小的工控安全事件?！?/p>

工控系統(tǒng)生產(chǎn)環(huán)境的特點決定了對它改造的難度非常大，有專家指出，目前可行的辦法是對存量已經(jīng)建設(shè)好的系統(tǒng)進行監(jiān)控、以外圍防御進行隔離、加密為主。另外一類對增量新建設(shè)的工控系統(tǒng)，應(yīng)建立全鏈條的安全監(jiān)管體系，例如上線系統(tǒng)要通過合規(guī)性安全檢查，從評估到保護、檢測、防御，從建設(shè)到運營，覆蓋工控系統(tǒng)的全生命周期。

張念東長期跟蹤電力、石油、石化等行業(yè)，在他看來，工控系統(tǒng)存在的風(fēng)險按分類可以進行或轉(zhuǎn)移、或消納、或接受、或處置。這也是很多關(guān)鍵行業(yè)實施的策略，采取漸進式的主動安全防護，例如針對遺留系統(tǒng)建立安全區(qū)域、進行邊界防護、和加固、監(jiān)管預(yù)警等。

綠盟科技的工控系統(tǒng)安全實踐

綠盟科技在國內(nèi)實施了不少工控系統(tǒng)安全項目，作為國內(nèi)最早一批從事工控網(wǎng)絡(luò)信息安全的公司，早在2010年就已開始了對工控安全的戰(zhàn)略部署。2010年9月，其承接泉州220KV變電站工控安全評估項目，是國內(nèi)第一個工控安全評估項目。

張念東介紹，2011年起，綠盟開始著眼于工控安全的戰(zhàn)略方向，在工控安全領(lǐng)域持續(xù)發(fā)力，幾乎是國內(nèi)最早的開始工控安全研究及應(yīng)用的安全廠商。“尤其在漏洞研究能力方面，無論在國內(nèi)還是國外綠盟科技都有獨樹一幟的地方。”

據(jù)介紹，綠盟科技于2016年復(fù)現(xiàn)PLC工控蠕蟲病毒，是國內(nèi)最早在實驗環(huán)境復(fù)現(xiàn)工控蠕蟲病毒的安全廠商。綠盟還通過自研的Fuzzing工控漏洞挖掘系統(tǒng)發(fā)現(xiàn)了西門子PLC存在的工控安全漏洞，并申報CVE、CNNVD，獲得了西門子公司的高度關(guān)注并給出相關(guān)的解決方案，是國內(nèi)第一家申報PLC核心漏洞的廠家。

在針對工控系統(tǒng)安全方案上，綠盟科技已推出5款工控安全產(chǎn)品，分別是工控入侵檢測系統(tǒng)，工控安全審計系統(tǒng)，工控漏洞掃描系統(tǒng)，工業(yè)安全網(wǎng)關(guān)，和工業(yè)安全隔離裝置，張念東介紹：

· 工控入侵檢測系統(tǒng)提供針對工控協(xié)議的強識別能力，對工控系統(tǒng)攻擊行為進行有效檢測;

· 工控安全審計系統(tǒng)感知系統(tǒng)中潛在的異常操作行為;

· 工控漏洞掃描系統(tǒng)實現(xiàn)了針對SCADA、現(xiàn)場總線、數(shù)字化設(shè)計制造軟件的漏洞掃描，從而對工控系統(tǒng)進行全面檢查;

· 工業(yè)安全網(wǎng)關(guān)進行邊界防護，不影響生產(chǎn);

· 工業(yè)安全隔離裝置用于解決控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題以及控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護的問題。

結(jié)合國內(nèi)外形式，工控系統(tǒng)還需要一個縱深的防御體系和閉環(huán)的處置機制，綠盟科技為此推出工控系統(tǒng)態(tài)勢感知平臺，通過把設(shè)備連接起來，讓行業(yè)用戶有一個宏觀的安全感知。

張念東強調(diào)，“綠盟科技針對工控系統(tǒng)安全保護的核心思想是幫助用戶準(zhǔn)確地掌握工業(yè)控制系統(tǒng)當(dāng)前的安全狀況，同時又不影響業(yè)務(wù)生產(chǎn)的連續(xù)性。所以我們盡量選擇旁路的設(shè)備、或者旁路審計的方式，漏掃也是非生產(chǎn)環(huán)節(jié)或者非生產(chǎn)狀態(tài)時進行檢測，保證業(yè)務(wù)連續(xù)可靠正常運行?！?/p>

此外，綠盟科技基于電力、石油石化、煙草等工控安全領(lǐng)域多年積累的經(jīng)驗，總結(jié)出工業(yè)控制系統(tǒng)的攻擊路線圖，并在此基礎(chǔ)上給出工控系統(tǒng)總體安全保障框架，提出從技術(shù)、管理和運行三個維度來保障工控系統(tǒng)安全。這些維度包含網(wǎng)絡(luò)邊界防護、安全縱深防護、安全運行管理和安全管理制度要求等幾個方面，涉及從系統(tǒng)上線前的安全檢測、安全能力部署、安全運行三個階段，覆蓋工業(yè)控制系統(tǒng)運行全周期的安全保障，為客戶工控網(wǎng)絡(luò)安全保駕護航。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。