工控安全威脅暗流涌動 綠盟科技為關鍵信息基礎設施護航

2010年“震網”破壞伊朗核設施、2012年的超級病毒“火焰”、2014年的Havex木馬、2015年烏克蘭電網停電......一個個針對工業(yè)控制系統的攻擊不斷爆發(fā)，工控系統正遭受前所未有的安全威脅。工控系統是國家基礎設施的核心，縱觀全球，不少國家都出臺了針對關鍵信息基礎設施保護的政策法令，包括美國、俄羅斯、日本、德國、加拿大等。

不要以為很少聽到來自中國的工控安全事件，就代表沒有。事實上，中國是全球網絡攻擊的嚴重受害國，據國家互聯網應急中心發(fā)布的《2016年中國互聯網網絡安全報告》顯示：2016年互聯網應急中心發(fā)現網絡安全事件超過12萬起，其中30%是針對國家基礎設施。正因為如此，在今年6月正式實施的中國《網絡安全法》中就明確指出，國家對嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。

并且，隨著國際國內工業(yè)互聯網、工業(yè)4.0、中國制造2025戰(zhàn)略的提出，業(yè)界對于工業(yè)控制系統安全的關注也將達到新的高度。

工控系統安全面臨的挑戰(zhàn)

為什么工控系統一旦遭受攻擊帶來的威脅巨大?因為工控系統用于監(jiān)測和控制工業(yè)生產過程，確保工業(yè)設備正常運行，它廣泛應用于石油石化、水利、電力、生產制造等領域。這些系統一旦發(fā)生網絡安全事故，會影響關鍵業(yè)務正常運行，就像綠盟科技副總裁張念東在接受至頂網采訪時說的那樣，“工控系統安全涉及國家政治、環(huán)境安全，甚至人的生命安全。”

綠盟科技副總裁張念東

和IT信息系統不一樣，工控系統對安全尤為敏感。因為其與物理世界進行實時交互，張念東總結了工控系統的特點：

· 它對控制事件需實時響應，甚至不允許哪怕毫秒級的宕機;

· 從性能上對比IT信息系統，工控系統不允許發(fā)生秒級或毫秒級的延時或抖動;

· 穩(wěn)定性上工控系統原則上不允許重啟，系統一旦上線不允許中斷;

· IT信息系統以TCP/IP協議為主，工控系統協議復雜，采用大量專用和私有協議;

· IT信息系統生命周期為5年左右，工控系統更新換代周期長，一般為15-20年，甚至更長;

· 維護上，IT信息系統維護便捷，工控系統需要現場操作維護，不允許自動化工具甚至半自動化方式操作等等。

正因為這些獨特特點，工控系統安全十分脆弱。而私有協議多、生命周期長，帶來的最大問題是隱藏漏洞數量巨大，CNVD的數據顯示，2010年之后工控漏洞數量顯著增長，很多漏洞難以被發(fā)現。并且，由于升級維護成本高，許多漏洞被長期擱置。此外，由于工控系統在設計之初更關注可用性，而忽略系統安全性。在制度設計上，工控系統安全制度設計相比IT信息系統設計也有比較大的缺失。

張念東強調，“無論是漏洞、運維，還是基礎技術能力或制度的缺陷，導致工業(yè)控制系統沒有像IT領域一樣有完善的安全解決方案，而是修修補補或者進行簡單的隔離，正因為缺乏縱深成體系的安全防御，導致全球范圍內不斷出現大大小小的工控安全事件?！?/p>

工控系統生產環(huán)境的特點決定了對它改造的難度非常大，有專家指出，目前可行的辦法是對存量已經建設好的系統進行監(jiān)控、以外圍防御進行隔離、加密為主。另外一類對增量新建設的工控系統，應建立全鏈條的安全監(jiān)管體系，例如上線系統要通過合規(guī)性安全檢查，從評估到保護、檢測、防御，從建設到運營，覆蓋工控系統的全生命周期。

張念東長期跟蹤電力、石油、石化等行業(yè)，在他看來，工控系統存在的風險按分類可以進行或轉移、或消納、或接受、或處置。這也是很多關鍵行業(yè)實施的策略，采取漸進式的主動安全防護，例如針對遺留系統建立安全區(qū)域、進行邊界防護、和加固、監(jiān)管預警等。

綠盟科技的工控系統安全實踐

綠盟科技在國內實施了不少工控系統安全項目，作為國內最早一批從事工控網絡信息安全的公司，早在2010年就已開始了對工控安全的戰(zhàn)略部署。2010年9月，其承接泉州220KV變電站工控安全評估項目，是國內第一個工控安全評估項目。

張念東介紹，2011年起，綠盟開始著眼于工控安全的戰(zhàn)略方向，在工控安全領域持續(xù)發(fā)力，幾乎是國內最早的開始工控安全研究及應用的安全廠商?！坝绕湓诼┒囱芯磕芰Ψ矫妫瑹o論在國內還是國外綠盟科技都有獨樹一幟的地方。”

據介紹，綠盟科技于2016年復現PLC工控蠕蟲病毒，是國內最早在實驗環(huán)境復現工控蠕蟲病毒的安全廠商。綠盟還通過自研的Fuzzing工控漏洞挖掘系統發(fā)現了西門子PLC存在的工控安全漏洞，并申報CVE、CNNVD，獲得了西門子公司的高度關注并給出相關的解決方案，是國內第一家申報PLC核心漏洞的廠家。

在針對工控系統安全方案上，綠盟科技已推出5款工控安全產品，分別是工控入侵檢測系統，工控安全審計系統，工控漏洞掃描系統，工業(yè)安全網關，和工業(yè)安全隔離裝置，張念東介紹：

· 工控入侵檢測系統提供針對工控協議的強識別能力，對工控系統攻擊行為進行有效檢測;

· 工控安全審計系統感知系統中潛在的異常操作行為;

· 工控漏洞掃描系統實現了針對SCADA、現場總線、數字化設計制造軟件的漏洞掃描，從而對工控系統進行全面檢查;

· 工業(yè)安全網關進行邊界防護，不影響生產;

· 工業(yè)安全隔離裝置用于解決控制網絡如何安全接入信息網絡的問題以及控制網絡內部不同安全區(qū)域之間安全防護的問題。

結合國內外形式，工控系統還需要一個縱深的防御體系和閉環(huán)的處置機制，綠盟科技為此推出工控系統態(tài)勢感知平臺，通過把設備連接起來，讓行業(yè)用戶有一個宏觀的安全感知。

張念東強調，“綠盟科技針對工控系統安全保護的核心思想是幫助用戶準確地掌握工業(yè)控制系統當前的安全狀況，同時又不影響業(yè)務生產的連續(xù)性。所以我們盡量選擇旁路的設備、或者旁路審計的方式，漏掃也是非生產環(huán)節(jié)或者非生產狀態(tài)時進行檢測，保證業(yè)務連續(xù)可靠正常運行?！?/p>

此外，綠盟科技基于電力、石油石化、煙草等工控安全領域多年積累的經驗，總結出工業(yè)控制系統的攻擊路線圖，并在此基礎上給出工控系統總體安全保障框架，提出從技術、管理和運行三個維度來保障工控系統安全。這些維度包含網絡邊界防護、安全縱深防護、安全運行管理和安全管理制度要求等幾個方面，涉及從系統上線前的安全檢測、安全能力部署、安全運行三個階段，覆蓋工業(yè)控制系統運行全周期的安全保障，為客戶工控網絡安全保駕護航。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。