您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
工業(yè)互聯(lián)網(wǎng)安全能力指南(防護(hù)及檢測(cè)審計(jì))
工業(yè)互聯(lián)網(wǎng)安全的落地第一步,是確保工控環(huán)境中的防護(hù)能力,之后是檢測(cè)/審計(jì)能力。本次《工業(yè)互聯(lián)網(wǎng)安全能力指南》的發(fā)布內(nèi)容為報(bào)告中的工控防護(hù)能力部分,以及工控檢測(cè)/審計(jì)能力部分。
工業(yè)互聯(lián)網(wǎng)安全能力指南——工控防護(hù)能力
在安全領(lǐng)域,最重要的工作之一是對(duì)威脅進(jìn)行處置,這就需要防護(hù)能力。在本報(bào)告中,工控防護(hù)能力的范圍如下:
在工業(yè)互聯(lián)網(wǎng)環(huán)境中,能夠?qū)T相關(guān)場(chǎng)景中發(fā)現(xiàn)的威脅、異常行為,進(jìn)行包括查殺、阻斷、攔截請(qǐng)求、禁止進(jìn)程等干涉或處置的技術(shù)、產(chǎn)品或解決方案。
工業(yè)互聯(lián)網(wǎng)環(huán)境中的防護(hù)能力在整個(gè)工業(yè)互聯(lián)網(wǎng)安全中有著舉足輕重的作用:工業(yè)互聯(lián)網(wǎng)場(chǎng)景中第一需要保障的是生產(chǎn)可持續(xù)性——即威脅不能產(chǎn)生生產(chǎn)事故,同時(shí)對(duì)威脅的處理不應(yīng)該過(guò)度干涉生產(chǎn)。尤其對(duì)于預(yù)算非常有限的企業(yè),工控防護(hù)產(chǎn)品會(huì)是最優(yōu)先分配的投入領(lǐng)域——只有先確保了生產(chǎn)穩(wěn)定,然后才有更多余力去發(fā)現(xiàn)環(huán)境中潛在的風(fēng)險(xiǎn),以及過(guò)去發(fā)生過(guò)的異常行為。
本報(bào)告中的工控防護(hù)能力屬于數(shù)字安全能力圖譜中,行業(yè)環(huán)境下,工業(yè)互聯(lián)網(wǎng)安全中的工控系統(tǒng)安全部分。由于工控系統(tǒng)安全涵蓋的產(chǎn)品與解決內(nèi)容較多,故在本報(bào)告中分為工控防護(hù)能力,以及工業(yè)互聯(lián)網(wǎng)安全檢測(cè)/審計(jì)能力。
關(guān)鍵發(fā)現(xiàn)
■ 工控防護(hù)能力的主要產(chǎn)品形態(tài)為三種:工控防火墻、工控網(wǎng)閘、以及工控終端安全防護(hù)/主機(jī)衛(wèi)士。但是根據(jù)不同廠(chǎng)商在應(yīng)對(duì)不同需求的情況下,產(chǎn)品形態(tài)也會(huì)發(fā)生一些改變。
■ 工控防護(hù)能力首先要做到“能運(yùn)行、不干擾”。關(guān)鍵能力在于“深度協(xié)議解析”與“白名單”技術(shù)。但是,需要注意的是,“深度協(xié)議解析”對(duì)于不同的廠(chǎng)商,可能代表著不同的意義,企業(yè)在選購(gòu)相關(guān)產(chǎn)品時(shí),需要明確廠(chǎng)商能夠解析協(xié)議的具體內(nèi)容。
■ 從市場(chǎng)層面來(lái)看,盡管工控防護(hù)產(chǎn)品的總體收入依然呈上升趨勢(shì),但是其在整個(gè)工業(yè)互聯(lián)網(wǎng)安全中的收入占比會(huì)逐漸下降。
工控防護(hù)能力點(diǎn)陣圖
本次參與工控檢測(cè)/審計(jì)能力的廠(chǎng)商共有23家,包括:安帝科技、安恒信息、安盟信息、博智安全、長(zhǎng)揚(yáng)科技、國(guó)泰網(wǎng)信、華境安全、惠而特、杰思安全、立思辰安科、六方云、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰、融安網(wǎng)絡(luò)、深信達(dá)、圣博潤(rùn)、天地和興、天融信、威努特、英賽克。
工控防護(hù)能力主要產(chǎn)品形態(tài)
本次調(diào)研中,工控防護(hù)能力的主要產(chǎn)品形態(tài)為以下三種:工控防火墻、工控網(wǎng)閘、工控終端安全防護(hù)/主機(jī)衛(wèi)士。
工控防火墻
工控防火墻部起到工業(yè)控制網(wǎng)絡(luò)中邊界分離的作用,確保一個(gè)分區(qū)不會(huì)受到來(lái)自于另一分區(qū)的攻擊。工控防火墻控制著不同網(wǎng)絡(luò)之間的指令交互,尤其在上位機(jī)遭到攻擊向工業(yè)生產(chǎn)機(jī)器發(fā)出非正常指令時(shí),工控防火墻需要能夠識(shí)別,并且采取告警在內(nèi)的相應(yīng)措施。因此,工控防火墻事當(dāng)下的工業(yè)互聯(lián)網(wǎng)場(chǎng)景中的首要防線(xiàn)。
工控防火墻由于其需要解析工業(yè)特有協(xié)議的特性,其在工業(yè)互聯(lián)網(wǎng)安全中的價(jià)值是傳統(tǒng)防火墻不可代替的。
工控網(wǎng)閘
工控網(wǎng)閘在工業(yè)互聯(lián)網(wǎng)中擔(dān)任著數(shù)據(jù)擺渡的作用——尤其是在將OT環(huán)境中的數(shù)據(jù)安全傳輸?shù)较鄬?duì)開(kāi)放的IT環(huán)境的時(shí)候。
工業(yè)互聯(lián)網(wǎng)相比傳統(tǒng)工業(yè)生產(chǎn)的一大變化,在于為了更好地提升生產(chǎn)效率,把握生產(chǎn)環(huán)境狀態(tài),需要將數(shù)據(jù)傳輸?shù)絀T環(huán)境——比如工業(yè)互聯(lián)網(wǎng)平臺(tái)。這就會(huì)增大針對(duì)工業(yè)數(shù)據(jù)的攻擊面。
工控網(wǎng)閘最重要的工作,是確保工業(yè)數(shù)據(jù)只傳輸給可信、被授權(quán)的接收方,從而不造成工業(yè)數(shù)據(jù)信息泄露。
工控終端安全防護(hù)/主機(jī)衛(wèi)士
工控終端安全防護(hù),又被許多廠(chǎng)商稱(chēng)為“主機(jī)衛(wèi)士”,是對(duì)工業(yè)互聯(lián)網(wǎng)場(chǎng)景中的相關(guān)主機(jī)進(jìn)行防護(hù)的安全能力。工控終端安全防護(hù)/主機(jī)衛(wèi)士由于其所處位置,是工業(yè)互聯(lián)網(wǎng)生產(chǎn)環(huán)境中的最后一道防線(xiàn)。
工控終端安全防護(hù)/主機(jī)衛(wèi)士主要采取的防護(hù)手段為白名單機(jī)制,只允許工業(yè)互聯(lián)網(wǎng)環(huán)境中的正常、被認(rèn)可的系統(tǒng)運(yùn)行,禁止非正常程序的運(yùn)行。
其他產(chǎn)品能力
以上三種是當(dāng)下工業(yè)互聯(lián)網(wǎng)安全中與OT場(chǎng)景相關(guān)的主要產(chǎn)品形態(tài)。另一方面,在實(shí)際調(diào)研中發(fā)現(xiàn),各個(gè)廠(chǎng)商會(huì)根據(jù)自身能力以及客戶(hù)的不同需求,會(huì)有一些不同的產(chǎn)品形態(tài):比如部分安全廠(chǎng)商會(huì)基于客戶(hù)的環(huán)境以及需求,提供工控IPS產(chǎn)品;有些廠(chǎng)商也會(huì)在銷(xiāo)售過(guò)程中,將USB管理等外接設(shè)備防護(hù)能力作為單獨(dú)產(chǎn)品,而非工控終端安全防護(hù)/主機(jī)衛(wèi)士產(chǎn)品的一部分;甚至有部分廠(chǎng)商也會(huì)針對(duì)外接設(shè)備,做包括額外的外接設(shè)備管理與監(jiān)控設(shè)備的一整套工控外接設(shè)備安全管理解決方案。
因此,客戶(hù)在選購(gòu)工控防護(hù)產(chǎn)品的時(shí)候,需要基于自身的安全需求,與廠(chǎng)商進(jìn)行產(chǎn)品具體能力的確認(rèn),確保選購(gòu)的產(chǎn)品能完全覆蓋自己的防護(hù)面。
同時(shí),在本次調(diào)研中發(fā)現(xiàn),未來(lái)的工業(yè)生產(chǎn)場(chǎng)景安全能力的一個(gè)方向,是網(wǎng)絡(luò)設(shè)備和安全設(shè)備的結(jié)合。在本次調(diào)研中,發(fā)現(xiàn)已經(jīng)有部分廠(chǎng)商開(kāi)始將自己的安全能力與工業(yè)生產(chǎn)環(huán)境中的網(wǎng)絡(luò)設(shè)備(如路由器)開(kāi)始融合,成為“帶有安全能力的工業(yè)網(wǎng)絡(luò)設(shè)備”。
工控防護(hù)能力落地要點(diǎn)
對(duì)于工控防護(hù)能力產(chǎn)品,有以下關(guān)鍵能力需要考慮:
工業(yè)環(huán)境可用
工業(yè)場(chǎng)景中,首先需要設(shè)備可用。設(shè)備可用不僅僅是指軟件層面,能夠理論上實(shí)現(xiàn)工業(yè)環(huán)境中的要求,最關(guān)鍵的前提,是硬件本身能夠在工業(yè)生產(chǎn)環(huán)境中可用。
在工業(yè)生產(chǎn)環(huán)境中,會(huì)遇到很多極端環(huán)境,如高溫、低溫、多塵等會(huì)對(duì)電子設(shè)備產(chǎn)生極大影響的惡劣因素。對(duì)于生產(chǎn)環(huán)境嚴(yán)苛的工業(yè)廠(chǎng)商,在挑選工控防護(hù)產(chǎn)品的時(shí)候,一定要考慮到設(shè)備的硬件防護(hù)本身能否抵御惡劣的生產(chǎn)環(huán)境。如果設(shè)備自身因硬件防護(hù)缺失導(dǎo)致無(wú)法正常運(yùn)作,那么即使有再?gòu)?qiáng)的信息防護(hù)能力,都不能對(duì)工業(yè)互聯(lián)網(wǎng)起到真正的保護(hù)作用。
生產(chǎn)無(wú)影響
工控防護(hù)能力是整個(gè)工業(yè)互聯(lián)網(wǎng)安全中,最需要在安全與業(yè)務(wù)之間尋求平衡的一塊領(lǐng)域。從工控防護(hù)能力的功能來(lái)看,需要能夠攔截請(qǐng)求、阻斷可疑來(lái)源、禁止某些應(yīng)用運(yùn)行。但是,這些行為都有可能會(huì)導(dǎo)致生產(chǎn)的中斷,甚至終止。
因此,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品能否在對(duì)生產(chǎn)無(wú)影響的前提下確保安全就尤為重要。即使在工業(yè)互聯(lián)網(wǎng)場(chǎng)景中,為了生產(chǎn)的可持續(xù)性,需要允許一些微小威脅的存在,但是對(duì)于可能會(huì)造成事故的威脅,就需要當(dāng)斷則斷。同時(shí),工控防護(hù)產(chǎn)品本身的操作,也不應(yīng)對(duì)整個(gè)生產(chǎn)環(huán)境產(chǎn)生不良的影響。
協(xié)議解析能力
對(duì)于工控防護(hù)能力,尤其是工控防火墻而言,協(xié)議解析能力尤為關(guān)鍵。深度協(xié)議解析能力不只是對(duì)工業(yè)協(xié)議有所識(shí)別,更需要能夠在信息傳輸過(guò)程中,對(duì)工業(yè)協(xié)議中的具體內(nèi)容進(jìn)行解析。
協(xié)議的解析能力能夠從兩方面來(lái)看,一個(gè)是“深度協(xié)議解析能力”。但是,不同安全廠(chǎng)商對(duì)“深度協(xié)議解析”的定義并不完全相同。深度協(xié)議解析包含的內(nèi)容,能夠包括協(xié)議指令碼、數(shù)據(jù)地址、數(shù)據(jù)數(shù)值的識(shí)別。在對(duì)工控防火墻進(jìn)行選型的時(shí)候,需要明確安全廠(chǎng)商所謂的“深度協(xié)議解析”具體的解析內(nèi)容。協(xié)議指令層面可以發(fā)現(xiàn)異常的指令通信,但是數(shù)據(jù)數(shù)值級(jí)別能夠識(shí)別出正常指令中的異常數(shù)值——避免因參數(shù)不當(dāng)導(dǎo)致事故發(fā)生。
協(xié)議解析的另一個(gè)值得注意的能力是“自定義協(xié)議解析能力”。在工業(yè)互聯(lián)網(wǎng)環(huán)境中,有一部分私有協(xié)議,并不作為主流協(xié)議出現(xiàn),因此不存在于安全廠(chǎng)商原有的協(xié)議能力中。這個(gè)情況下,就需要工控防護(hù)產(chǎn)品有對(duì)未知協(xié)議的學(xué)習(xí)能力,從而實(shí)現(xiàn)對(duì)未知協(xié)議的解析能力。
彈性白名單
白名單是工控終端安全防護(hù)/主機(jī)衛(wèi)士的主要防護(hù)手段。通過(guò)僅讓被許可的程序運(yùn)行,達(dá)到確保工控主機(jī)安全的目的。
然而,白名單同樣需要基于企業(yè)的業(yè)務(wù)環(huán)境進(jìn)行學(xué)習(xí),從而制定出符合環(huán)境需求的白名單。從發(fā)展角度來(lái)看,工業(yè)互聯(lián)網(wǎng)會(huì)基于工業(yè)數(shù)據(jù)的分析,以及企業(yè)的業(yè)務(wù)需求,更為靈活地分配生產(chǎn)力。因此,對(duì)于一些數(shù)字化轉(zhuǎn)型較快的企業(yè),工業(yè)生產(chǎn)環(huán)境本身也會(huì)有相比之前更為頻繁的變化。這就需要白名單有同樣的彈性。
白名單的彈性可以從兩方面來(lái)看。一方面是白名單的學(xué)習(xí)速度,是否能夠快速學(xué)習(xí)并建立準(zhǔn)確的工農(nóng)業(yè)互聯(lián)網(wǎng)環(huán)境白名單;另一方面是白名單的部署效率是否高效。盡管說(shuō)功能上,可以通過(guò)工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)實(shí)現(xiàn)一鍵下發(fā),但是在具體實(shí)踐環(huán)境中,經(jīng)常需要對(duì)每個(gè)終端進(jìn)行逐臺(tái)更新,這個(gè)時(shí)候白名單的部署速率就決定了生產(chǎn)恢復(fù)的速度。
部分廠(chǎng)商會(huì)使用一些黑名單或者灰名單機(jī)制,來(lái)增加白名單的彈性。但是,這一類(lèi)機(jī)制同樣也是犧牲了一定的安全性來(lái)追求效率——這并不代表這類(lèi)機(jī)制不會(huì)安全,只是相對(duì)純粹的白名單機(jī)制而言,安全保障會(huì)相對(duì)降低。企業(yè)在這個(gè)過(guò)程中,也需要平衡自己的需求:是追求純粹的安全性選擇完全的白名單機(jī)制,還是降低一點(diǎn)安全性,來(lái)確保業(yè)務(wù)轉(zhuǎn)換時(shí)的效率。
已知威脅防護(hù)能力
盡管敵對(duì)勢(shì)力極有可能會(huì)對(duì)我們國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊,但是這一類(lèi)APT攻擊依然是少數(shù)。工業(yè)企業(yè)面臨的更多還是來(lái)自日常的已知攻擊,或者因人員違規(guī)操作產(chǎn)生的病毒感染(比如移動(dòng)存儲(chǔ)設(shè)備的違規(guī)使用)。這一類(lèi)威脅往往是已知病毒攻擊,或者利用已知漏洞進(jìn)行攻擊,因此防病毒能力能夠抵御絕大部分此類(lèi)攻擊。
針對(duì)已知威脅的防護(hù),一方面依賴(lài)于安全廠(chǎng)商自身對(duì)工業(yè)系統(tǒng)的漏洞研究能力以及病毒庫(kù)更新能力。這可以從廠(chǎng)商的工業(yè)互聯(lián)網(wǎng)相關(guān)漏洞提交數(shù)量,以及安全研究團(tuán)隊(duì)能力上體現(xiàn)。另一方面,有強(qiáng)大攻擊特征庫(kù)能力的廠(chǎng)商可以通過(guò)已知的攻擊行為模式,更精準(zhǔn)快速地發(fā)現(xiàn)攻擊行為,進(jìn)行響應(yīng)。
工控防護(hù)能力市場(chǎng)情況
? 工控系統(tǒng)安全(本報(bào)告中“工控防護(hù)能力”與“工控檢測(cè)/審計(jì)”部分)在數(shù)世咨詢(xún)定義的市場(chǎng)成熟度,概念市場(chǎng)、新興市場(chǎng)、發(fā)展市場(chǎng)與成熟市場(chǎng)四個(gè)階段中,位于發(fā)展市場(chǎng)階段。
? 根據(jù)本次調(diào)研的方向,2019年我國(guó)工控防護(hù)能力收入總體約為6.3億元,2020年總體收入約為10.3億元,預(yù)計(jì)2021年收入為14.1億元,2022年有望達(dá)到17.5億元。工控防護(hù)產(chǎn)品作為整個(gè)工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵,其收入占比在整個(gè)工業(yè)互聯(lián)網(wǎng)安全中當(dāng)前最高。但是,隨著客戶(hù)的防護(hù)能力日漸成熟,以及工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品數(shù)量增多,會(huì)將投入逐漸轉(zhuǎn)向工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)能力。工控防護(hù)類(lèi)產(chǎn)品的總體收入占比將會(huì)逐步下降。
? 工控防護(hù)類(lèi)產(chǎn)品當(dāng)前還是以單一標(biāo)準(zhǔn)化產(chǎn)品交付為主,占72%。定制化產(chǎn)品及運(yùn)營(yíng)占17%;作為單一功能交付、訂閱模式及其他模式共占11%。
? 從銷(xiāo)售方式來(lái)看,廠(chǎng)商直接銷(xiāo)售和通過(guò)渠道銷(xiāo)售占比差距不大。直銷(xiāo)(46%)比渠道(44%)占比略高。
? 當(dāng)前來(lái)看,工控防護(hù)能力的主要落地行業(yè)為電力,占31%。電力在整個(gè)工業(yè)互聯(lián)網(wǎng)領(lǐng)域起步較早,因此安全能力落地更多。其余占比超過(guò)10%的行業(yè)為軌道交通(16%)、燃?xì)?熱力/供水/電網(wǎng)(13%)、以及石油石化(11%)。從未來(lái)發(fā)展來(lái)看,石油石化將會(huì)成為下一個(gè)安全廠(chǎng)商爭(zhēng)奪的領(lǐng)域。
案例一:某水電站工控安全防護(hù)項(xiàng)目案例
場(chǎng)景介紹
某水電站作為國(guó)內(nèi)首座大型水利樞紐,電力信息化集成越來(lái)越高,對(duì)電力系統(tǒng)的穩(wěn)定性、安全性、可用性均提出較高考驗(yàn)。為提升水電站控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力,以水電站實(shí)際應(yīng)用需求為出發(fā)點(diǎn),結(jié)合電力行業(yè)相關(guān)標(biāo)準(zhǔn),從工控終端安全、工控網(wǎng)絡(luò)安全、運(yùn)維管理安全等方面,設(shè)計(jì)出水電站工控安全防護(hù)方案,并得到實(shí)際的應(yīng)用,幫助水電站建立全方位多技術(shù)的防護(hù)手段。
安全隱患
◇ 生產(chǎn)控制區(qū)系統(tǒng)老舊,安全漏洞較多,易被攻擊者利用
◇ 操作站應(yīng)用和移動(dòng)介質(zhì)缺少管控,無(wú)法辨別應(yīng)用來(lái)源,可能引入惡意程序
◇ 業(yè)務(wù)調(diào)度和操作行為不規(guī)范,可能存在違規(guī)操作或誤操作
◇ 生產(chǎn)控制區(qū)域之間未執(zhí)行嚴(yán)格的訪(fǎng)問(wèn)控制,可能存在跨域訪(fǎng)問(wèn)
客戶(hù)需求
通過(guò)對(duì)水電站控制I和II區(qū)業(yè)務(wù)運(yùn)行和日常管理進(jìn)行現(xiàn)場(chǎng)溝通與調(diào)研,明確如下需求:
◆ 技術(shù)人員操作不規(guī)范,管理難2
◆ 難以對(duì)重要通信建立行之有效的審計(jì)監(jiān)測(cè)機(jī)制
◆ 工業(yè)控制系統(tǒng)漏洞較多,難以形成集識(shí)別和管理措施
◆ 常規(guī)安全檢測(cè)手段無(wú)法應(yīng)對(duì)新型工業(yè)安全威脅
◆ 缺少基于全網(wǎng)的威脅態(tài)勢(shì)分析
◆ 網(wǎng)絡(luò)設(shè)備繁多,分布較遠(yuǎn),定期維護(hù)較為困難
解決方案
為更好地解決水電站當(dāng)前面臨的安全問(wèn)題,首先需要對(duì)水電站的網(wǎng)絡(luò)結(jié)構(gòu)和資產(chǎn)信息進(jìn)行梳理:以“安全分區(qū)、網(wǎng)絡(luò)專(zhuān)用、橫向隔離、縱向認(rèn)證”為建設(shè)原則,細(xì)化生產(chǎn)控制區(qū)(I區(qū))業(yè)務(wù)系統(tǒng),強(qiáng)化對(duì)數(shù)據(jù)網(wǎng)邊界、重要資產(chǎn)或系統(tǒng)的安全防護(hù)與審計(jì),增強(qiáng)漏洞威脅識(shí)別與發(fā)現(xiàn)能力,建立基于全廠(chǎng)的安全信息匯總與展示,以及全網(wǎng)威脅態(tài)勢(shì)感知與分析。
結(jié)合水電站業(yè)務(wù)特點(diǎn)與網(wǎng)絡(luò)結(jié)構(gòu),安全專(zhuān)家提出了整體安全建設(shè)框架,基于安全防護(hù)體系和安全運(yùn)維感知體系,構(gòu)建對(duì)水電站生產(chǎn)控制區(qū)中的安全防護(hù)、安全檢測(cè)、安全審計(jì)、安全運(yùn)維、威脅識(shí)別、安全場(chǎng)景分析能力,形成基于工業(yè)控制系統(tǒng)的縱向防御架構(gòu)。
安全防護(hù)體系
安全防護(hù)體系包含網(wǎng)絡(luò)中的安全防護(hù)設(shè)備、檢測(cè)設(shè)備、審計(jì)設(shè)備、終端管理、漏洞識(shí)別等,防護(hù)范圍覆蓋生產(chǎn)控制區(qū);在生產(chǎn)監(jiān)控區(qū)建立安全防護(hù)中心作為數(shù)據(jù)探知,將基于各個(gè)節(jié)點(diǎn)的安全數(shù)據(jù)、異常數(shù)據(jù)等上送至集中管理平臺(tái),用作安全環(huán)境、基線(xiàn)的分析,并執(zhí)行分析的結(jié)果。
安全運(yùn)維感知體系
安全運(yùn)維感知體系作為水電站生產(chǎn)控制大區(qū)安全防護(hù)的“大腦”,承擔(dān)安全信息分析的作用,利用大數(shù)據(jù)手段,基于用戶(hù)的安全基線(xiàn)進(jìn)行安全建模,通過(guò)模型間的組合進(jìn)行流式分析,分析網(wǎng)絡(luò)中安全威脅及主機(jī)、應(yīng)用脆弱性,后依據(jù)分析結(jié)果下發(fā)策略至安全防護(hù)設(shè)備、安全審計(jì)設(shè)備,形成基于用戶(hù)行為的縱向安全防護(hù)體系。
域間隔離
生產(chǎn)控制大區(qū)與非控制區(qū)域部署天融信工控防火墻,實(shí)現(xiàn)域間隔離控制。天融信工控防火墻基于白名單的工業(yè)指令級(jí)“四維一體”深度防護(hù)技術(shù),可對(duì)工控協(xié)議的“完整性”、“功能碼”、“地址范圍”和“工藝參數(shù)范圍”進(jìn)行深度解析和過(guò)濾,可對(duì)水電站生產(chǎn)控制區(qū)內(nèi)的S7、Modbus、EIP、IEC104協(xié)議進(jìn)行深度解析;同時(shí),基于水電站業(yè)務(wù)實(shí)時(shí)特性,采用工控系統(tǒng)業(yè)務(wù)連續(xù)性保障技術(shù),可在不影響工控業(yè)務(wù)連續(xù)性的基礎(chǔ)上阻斷異常指令、告警可疑操作、隔離威脅數(shù)據(jù),保證電力生產(chǎn)數(shù)據(jù)安全上傳。
“四維一體”深度防護(hù)技術(shù)在傳統(tǒng)防火墻五元組安全檢測(cè)的基礎(chǔ)上,對(duì)應(yīng)用層工控協(xié)議及數(shù)據(jù)進(jìn)行四重深度安全檢測(cè),以Modbus協(xié)議為例:
? 第一步對(duì)協(xié)議的完整性進(jìn)行校驗(yàn)。
? 第二步結(jié)合工控業(yè)務(wù)對(duì)功能碼進(jìn)行分析,檢查協(xié)議功能碼是否合法、合規(guī)。
? 第三步檢查數(shù)據(jù)讀取地址范圍是否在業(yè)務(wù)允許范圍內(nèi),同時(shí)對(duì)源操作者的讀寫(xiě)權(quán)限進(jìn)行檢查。
? 第四步對(duì)工藝參數(shù)進(jìn)行分析,如轉(zhuǎn)速、壓力、溫度等是否符合目標(biāo)設(shè)備正常業(yè)務(wù)范圍。
工控防火墻協(xié)議解析模型
通過(guò)對(duì)工控協(xié)議、數(shù)據(jù)的四層安全檢測(cè),可有效保證工控協(xié)議與數(shù)據(jù)的安全性,從而保障工控網(wǎng)絡(luò)、工控設(shè)備的安全穩(wěn)定運(yùn)行。
基于業(yè)務(wù)的行為建模分析
工控安全監(jiān)測(cè)系統(tǒng)部署應(yīng)用結(jié)合水電站業(yè)務(wù)的特性,采用工控業(yè)務(wù)規(guī)則模型,可有效對(duì)業(yè)務(wù)系統(tǒng)的攻擊行為、違規(guī)操作、誤操作、非法通訊等異常行為進(jìn)行監(jiān)測(cè),并對(duì)數(shù)據(jù)進(jìn)行深度解析、分析、記錄、統(tǒng)計(jì)、匯報(bào),通過(guò)關(guān)聯(lián)分析結(jié)果給出相應(yīng)的防御策略和事件溯源的報(bào)文源碼,加強(qiáng)內(nèi)外部網(wǎng)絡(luò)行為監(jiān)測(cè),便于快速了解網(wǎng)絡(luò)基本情況的同時(shí)獲知網(wǎng)絡(luò)告警分布,輕松掌握網(wǎng)絡(luò)運(yùn)行狀況。采用旁路部署,對(duì)業(yè)務(wù)生產(chǎn)過(guò)程“零”影響;具備完善的日志存儲(chǔ)、統(tǒng)計(jì)、審計(jì)與備份功能,針對(duì)安全事件便于篩選與回溯,有效保障了日志數(shù)據(jù)可靠性。
基于白名單的防護(hù)
工控主機(jī)衛(wèi)士部署在工控上位機(jī)和服務(wù)器上,能夠防范惡意程序的運(yùn)行、控制USB移動(dòng)存儲(chǔ)介質(zhì)的濫用、管理非法外聯(lián)、為受信任的程序提供完整性保護(hù)等,具備完善的終端安全風(fēng)險(xiǎn)監(jiān)控和分析能力;同時(shí)支持新建、追加白名單,可通過(guò)自動(dòng)掃描、自定義添加、軟件跟蹤等方式自動(dòng)生成應(yīng)用、腳本白名單庫(kù),同時(shí)可根據(jù)文件表、HASH表對(duì)庫(kù)內(nèi)白名單進(jìn)行查看,并可配置白名單防護(hù)策略,禁止并審計(jì)白名單之外的進(jìn)程、鏡像的啟動(dòng)加載行為;滿(mǎn)足工控網(wǎng)絡(luò)中終端安全管理需求,實(shí)現(xiàn)對(duì)工控主機(jī)全面的安全防護(hù)。
工控主機(jī)衛(wèi)士功能架構(gòu)
工業(yè)漏洞識(shí)別與發(fā)現(xiàn)
脆弱性?huà)呙枧c管理系統(tǒng)可對(duì)國(guó)內(nèi)外常見(jiàn)的SCADA、組態(tài)軟件、HMI、PLC、DCS、應(yīng)用系統(tǒng)等多種類(lèi)型的系統(tǒng)或設(shè)備進(jìn)行針對(duì)性?huà)呙瑁捎弥悄鼙闅v規(guī)則庫(kù)和多種掃描選項(xiàng)的組合手段,深入檢測(cè)出系統(tǒng)中存在的漏洞和弱點(diǎn),準(zhǔn)確定位其脆弱點(diǎn)和潛在威脅。根據(jù)掃描結(jié)果,系統(tǒng)可以提供測(cè)試用例來(lái)輔助驗(yàn)證漏洞的準(zhǔn)確性,同時(shí)提供整改方法和建議,幫助技術(shù)人員修補(bǔ)漏洞,全面提升整體安全性。
同時(shí),系統(tǒng)柜可將掃描的結(jié)果生成在線(xiàn)或離線(xiàn)報(bào)表,也可以根據(jù)不同的用戶(hù)角色生成報(bào)表,并對(duì)掃描結(jié)果進(jìn)行細(xì)致、全面的分析,并以圖、表、文字說(shuō)明等多種形式進(jìn)行展現(xiàn),支持以HTML、PDF、Word、Excel、Xml等格式進(jìn)行導(dǎo)出,便于對(duì)現(xiàn)場(chǎng)資產(chǎn)與威脅匯總分析。
工控漏洞掃描系統(tǒng)功能架構(gòu)
外部入侵檢測(cè)
工控入侵檢測(cè)與審計(jì)系統(tǒng)內(nèi)置專(zhuān)業(yè)的工控入侵規(guī)則庫(kù),可根據(jù)業(yè)務(wù)功能需求制定白名單策略,滿(mǎn)足水電站關(guān)鍵節(jié)點(diǎn)防護(hù)需求,采用攻擊規(guī)則檢測(cè)+業(yè)務(wù)白名單兩種方式,對(duì)工業(yè)控制網(wǎng)絡(luò)上捕獲的數(shù)據(jù)包進(jìn)行相應(yīng)的行為匹配,及時(shí)發(fā)現(xiàn)來(lái)自生產(chǎn)網(wǎng)內(nèi)外部攻擊威脅,為客戶(hù)提供直觀、落地的安全防護(hù)建議,保障生產(chǎn)網(wǎng)絡(luò)安全運(yùn)行。實(shí)現(xiàn)了對(duì)水電站Modbus、S7、IEC104、EIP協(xié)議的深度解析,可根據(jù)業(yè)務(wù)系統(tǒng)的安全需求,制定符合應(yīng)用場(chǎng)景的安全策略,可對(duì)安全事件詳情進(jìn)行記錄和報(bào)文留存,為安全事件調(diào)查提供基礎(chǔ)依據(jù),真正做到事前預(yù)警、事中監(jiān)控和事后追溯。
工控入侵檢測(cè)與審計(jì)系統(tǒng)架構(gòu)圖
客戶(hù)價(jià)值
通過(guò)在客戶(hù)的環(huán)境中工控安全產(chǎn)品,最終實(shí)現(xiàn):
? 終端管控:在重要服務(wù)器和操作站安裝天融信工控主機(jī)衛(wèi)士,實(shí)現(xiàn)終端主機(jī)的安全管控,避免人員惡意操控應(yīng)用程序,減小惡意代碼和病毒木馬對(duì)生產(chǎn)控制造成影響。
? 安全隔離:在控制區(qū)和非控制區(qū)部署工業(yè)級(jí)防火墻,實(shí)現(xiàn)區(qū)域邊界安全隔離,通過(guò)實(shí)時(shí)過(guò)濾網(wǎng)絡(luò)中的非法誤操作和惡意攻擊行為,阻斷蠕蟲(chóng)、病毒域間傳播,提升控制區(qū)防護(hù)能力。
? 安全審計(jì)與入侵檢測(cè)能力:在關(guān)鍵開(kāi)關(guān)站、調(diào)度數(shù)據(jù)網(wǎng)接口處、非控制區(qū)(II區(qū))部署工控安全監(jiān)測(cè)和入侵防護(hù)系統(tǒng),增加重要資產(chǎn)的防護(hù)能力,提升外部威脅攻擊入侵檢測(cè)與安全審計(jì)能力。
? 漏洞識(shí)別與修復(fù)能力:通過(guò)在控制區(qū)域非控制區(qū)部署工控漏洞掃描系統(tǒng),可多維度檢測(cè)多種形式的系統(tǒng),快速定位漏洞威脅,并提供完整的修復(fù)指導(dǎo)。
客戶(hù)反饋
簡(jiǎn)化了運(yùn)維管理工作,在面臨廠(chǎng)區(qū)較大,可以通過(guò)實(shí)現(xiàn)集中式運(yùn)維管理,便于日常發(fā)現(xiàn)工控威脅,同時(shí),針對(duì)威脅事件能夠快速響應(yīng)處理。
終端防護(hù)能力升級(jí),通過(guò)工控主機(jī)衛(wèi)士能夠設(shè)定有效的白名單程序,從系統(tǒng)層面封堵外設(shè),有效應(yīng)對(duì)外設(shè)違規(guī)使用以及操作不規(guī)范問(wèn)題。
可視化運(yùn)維操作,對(duì)一線(xiàn)操作行為能夠直觀顯示,方便安全管理人員分析操作行為。
規(guī)范生產(chǎn)區(qū)域之間行為,在不同生產(chǎn)區(qū)域間,通過(guò)工控防火墻能夠細(xì)粒度控制通信行為,杜絕跨區(qū)操作。
漏洞排查快速定位,面對(duì)全廠(chǎng)上萬(wàn)套設(shè)備,能夠定期排查漏洞信息,同時(shí)給出修復(fù)意見(jiàn),減少?gòu)S區(qū)工控設(shè)備脆弱性。
案例二:某油氣管道生產(chǎn)調(diào)控中心網(wǎng)絡(luò)安全防護(hù)案例
涉及領(lǐng)域:工業(yè)互聯(lián)網(wǎng)防護(hù)能力、工業(yè)互聯(lián)網(wǎng)檢測(cè)/審計(jì)能力
場(chǎng)景介紹
近年來(lái),能源行業(yè)層出不窮的網(wǎng)絡(luò)安全事件表明油氣管道SCADA系統(tǒng)已經(jīng)成為國(guó)內(nèi)外黑客的攻擊目標(biāo),面臨愈發(fā)嚴(yán)峻的威脅。
物聯(lián)網(wǎng)、大數(shù)據(jù)、云平臺(tái)等新技術(shù)的應(yīng)用,形成了油氣管道生產(chǎn)網(wǎng)絡(luò)的互聯(lián)互通,來(lái)自辦公管理層網(wǎng)絡(luò)的入侵、病毒等風(fēng)險(xiǎn)容易向生產(chǎn)網(wǎng)蔓延。同時(shí)攻擊者偽造身份從外部或內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)對(duì)生產(chǎn)系統(tǒng)進(jìn)行滲透,不僅僅可以拿到工藝數(shù)據(jù),甚至可以造成重大安全事故。管道SCADA系統(tǒng)一旦受攻擊容易發(fā)生惡意操控甚至生產(chǎn)事故,直接影響到管道輸送的正常生產(chǎn)運(yùn)營(yíng),導(dǎo)致火災(zāi)、爆炸、中毒事件的發(fā)生,造成重大經(jīng)濟(jì)損失、人員傷亡和環(huán)境污染,直接威脅到國(guó)家能源安全和社會(huì)穩(wěn)定。因此保護(hù)油氣管道SCADA系統(tǒng)的安全,對(duì)我國(guó)能源安全具有重要的現(xiàn)實(shí)意義。
客戶(hù)需求
該油氣管道客戶(hù)有以下工業(yè)互聯(lián)網(wǎng)安全需求:
◆ 安全通信網(wǎng)絡(luò)安全需求:在通信過(guò)程中采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性,在通信過(guò)程中采用校驗(yàn)技術(shù)保證數(shù)據(jù)的完整性,通過(guò)應(yīng)用工控防火墻搭載可信模塊的形式,實(shí)現(xiàn)可信驗(yàn)證。
◆ 安全區(qū)域邊界安全需求:監(jiān)控網(wǎng)絡(luò)中存在的各類(lèi)入侵風(fēng)險(xiǎn)、網(wǎng)絡(luò)病毒、非法訪(fǎng)問(wèn)等行為并進(jìn)行審計(jì)與阻斷,保障生產(chǎn)網(wǎng)絡(luò)的可用性與安全性。
◆ 安全計(jì)算環(huán)境安全需求:對(duì)各系統(tǒng)工程師站、操作員站、歷史站、接口站、服務(wù)器等實(shí)施定期巡檢式的安全掃描,進(jìn)行針對(duì)性的安全加固,以白名單的方式限制可以執(zhí)行的程序,綜合提升主機(jī)系統(tǒng)的抗攻擊能力,保護(hù)分布廣泛的站控系統(tǒng)主機(jī)不被作為跳板入侵上級(jí)系統(tǒng)。
◆ 安全管理中心安全需求:建立安全教育與培訓(xùn)、安全保密、應(yīng)急響應(yīng)機(jī)制,使安全管理成體系,安全管理常態(tài)化,管理與技防相結(jié)合,形成企業(yè)的綜合網(wǎng)絡(luò)安全防護(hù)體系。
解決方案
方案設(shè)計(jì)
本方案針對(duì)油氣管道SCADA系統(tǒng)實(shí)際需求,通過(guò)設(shè)計(jì)建設(shè)一套穩(wěn)定、高效、可靠的工控安全監(jiān)測(cè)防護(hù)體系,集中展現(xiàn)油氣管道SCADA系統(tǒng)的整體工控安全態(tài)勢(shì),提升整體工控安全監(jiān)管水平和防御能力。針對(duì)SCADA系統(tǒng)的特點(diǎn)進(jìn)行設(shè)計(jì),以國(guó)家等級(jí)保護(hù)的“一個(gè)中心、三重防護(hù)”為整體防護(hù)思想,構(gòu)建油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的技術(shù)體系,并完善安全管理體系,形成“技術(shù)+管理”的綜合安全防護(hù)體系,滿(mǎn)足實(shí)際安全防護(hù)需求,達(dá)到等保三級(jí)建設(shè)標(biāo)準(zhǔn)。
方案從實(shí)際出發(fā),以油氣管道SCADA系統(tǒng)為等級(jí)保護(hù)對(duì)象,以控制中心系統(tǒng)為主體,結(jié)合站控系統(tǒng)、現(xiàn)場(chǎng)設(shè)備等邊緣應(yīng)用分布廣泛的特點(diǎn),從安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心和安全管理要求等幾個(gè)維度來(lái)構(gòu)建綜合安全防護(hù)體系:
? 安全通信網(wǎng)絡(luò):對(duì)油氣管道SCADA系統(tǒng)的訪(fǎng)問(wèn)邏輯進(jìn)行梳理,優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),按照網(wǎng)絡(luò)資產(chǎn)的屬性與訪(fǎng)問(wèn)邏輯,合理劃分網(wǎng)絡(luò)安全域。在油氣管道工控系統(tǒng)網(wǎng)絡(luò)的邊界部署安全隔離與訪(fǎng)問(wèn)控制措施,實(shí)現(xiàn)必要的邊界安全防護(hù),同時(shí)按照業(yè)務(wù)組網(wǎng)應(yīng)用特點(diǎn),酌情增加鏈路加密措施,保障鏈路通信的數(shù)據(jù)安全性。
? 安全區(qū)域邊界:在重要的安全域邊界設(shè)計(jì)部署安全隔離與訪(fǎng)問(wèn)控制措施,對(duì)重要安全域進(jìn)行必要的安全防護(hù)。在油氣管道工控系統(tǒng)網(wǎng)絡(luò)中,重點(diǎn)對(duì)首站、中間站和末站等所在的安全域進(jìn)行安全隔離與訪(fǎng)問(wèn)控制,保證油氣管道工控系統(tǒng)的運(yùn)行安全。
? 安全計(jì)算環(huán)境:對(duì)全網(wǎng)的服務(wù)器、操作員站、工程師站等主機(jī)系統(tǒng)設(shè)計(jì)安裝必要的安全管控措施,實(shí)現(xiàn)對(duì)主機(jī)系統(tǒng)必要的安全管控,保障主機(jī)系統(tǒng)運(yùn)行安全。主機(jī)安全管控措施包括主機(jī)進(jìn)程管控、主機(jī)USB口外界管理等,實(shí)現(xiàn)主機(jī)防病毒、防第三方軟件非授權(quán)安裝使用、防USB設(shè)備非法連接與數(shù)據(jù)拷貝等功能,提升人機(jī)交互界面必要的安全防控與主機(jī)系統(tǒng)的安全性。同時(shí),借助于在安全管理域內(nèi)部署的主機(jī)系統(tǒng)脆弱性?huà)呙韫ぞ?,?shí)現(xiàn)對(duì)主機(jī)系統(tǒng)弱口令、漏洞的安全管理,通過(guò)主機(jī)加固措施,提升主機(jī)系統(tǒng)自身的抗攻擊能力。
? 安全管理中心:在油氣管道工控網(wǎng)絡(luò)中新建安全管理域,部署集中安全管理手段,實(shí)現(xiàn)對(duì)全網(wǎng)用戶(hù)集中認(rèn)證、權(quán)限管理與操作行為審計(jì)。同時(shí),部署綜合日志審計(jì)與安全管理技術(shù)手段,建立全網(wǎng)安全風(fēng)險(xiǎn)的集中管理、分析、可視化與聯(lián)動(dòng)處置機(jī)制,部署安全威脅掃描與管理工具,實(shí)現(xiàn)全網(wǎng)風(fēng)險(xiǎn)的集中管理與處置,保證風(fēng)險(xiǎn)的快速感知與處置,提升安全風(fēng)險(xiǎn)的管理與應(yīng)對(duì)能力。
? 安全管理體系:基于油氣管道企業(yè)現(xiàn)有的安全管理組織結(jié)構(gòu)與管理措施,由我方專(zhuān)業(yè)的安全服務(wù)人員以安全咨詢(xún)服務(wù)的形式,按照相關(guān)標(biāo)準(zhǔn)規(guī)范要求,為用戶(hù)梳理安全管理體系內(nèi)容,幫助用戶(hù)健全與完善安全管理體系相關(guān)內(nèi)容,從管理上完善安全管理的體系化建設(shè),包括日常管理以及應(yīng)急保障等相關(guān)內(nèi)容,以構(gòu)建綜合的安全防護(hù)體系,保障油氣管道工控系統(tǒng)的安全穩(wěn)定運(yùn)行。
部署拓?fù)鋱D如下:
工控安全防護(hù)系統(tǒng)部署拓?fù)涫疽鈭D
產(chǎn)品部署
? 安全通信網(wǎng)絡(luò)建設(shè):對(duì)油氣管道工控網(wǎng)絡(luò)進(jìn)行優(yōu)化,劃分安全域,并對(duì)油氣管道工控網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)的網(wǎng)絡(luò)邊界部署工控防火墻進(jìn)行邊界隔離與安全防護(hù),保護(hù)油氣管道工控網(wǎng)絡(luò)免受來(lái)自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風(fēng)險(xiǎn)。
? 安全區(qū)域邊界建設(shè):在油氣管道工控網(wǎng)絡(luò)中劃分不同的安全域,按照安全域的安全權(quán)重,有針對(duì)性進(jìn)行安全域的隔離與訪(fǎng)問(wèn)控制、安全審計(jì)、入侵檢測(cè)等必要的安全防護(hù)措施,保護(hù)個(gè)安全域的運(yùn)行的安全。本方案中主要是在調(diào)控中心SCADA系統(tǒng)網(wǎng)絡(luò)中部署工控安全審計(jì)系統(tǒng)、入侵檢測(cè)系統(tǒng),以及在各個(gè)站控系統(tǒng)的生產(chǎn)數(shù)據(jù)匯聚到調(diào)度中心的網(wǎng)絡(luò)入口處部署工控防火墻。
? 安全計(jì)算環(huán)境的建設(shè):在油氣管道工控網(wǎng)絡(luò)中的安全計(jì)算環(huán)境是指人機(jī)交互界面上的各主機(jī)系統(tǒng),包括各種相關(guān)的應(yīng)用服務(wù)器(如SCADA歷史服務(wù)器、OPC服務(wù)器等)、操作員站、工程師站和歷史站等。主機(jī)系統(tǒng)要通過(guò)檢查工具對(duì)其安全漏洞與脆弱性進(jìn)行發(fā)現(xiàn)和管理,對(duì)可修復(fù)的漏洞進(jìn)行可行性驗(yàn)證與修復(fù),關(guān)閉不需要的默認(rèn)賬號(hào)、服務(wù),進(jìn)行主機(jī)系統(tǒng)必要的安全加固,提升主機(jī)系統(tǒng)抗攻擊能力。本次設(shè)計(jì)將考慮部署主機(jī)安全防護(hù)系統(tǒng)技術(shù)措施來(lái)對(duì)主機(jī)系統(tǒng)進(jìn)行必要的安全防護(hù)。
針對(duì)油氣管道工控網(wǎng)絡(luò)中的相關(guān)服務(wù)器、工程師站、操作員站等主機(jī)系統(tǒng),設(shè)計(jì)安裝部署主機(jī)安全防護(hù)軟件系統(tǒng),實(shí)現(xiàn)對(duì)人機(jī)交互界面的主機(jī)系統(tǒng)必要的安全管控。
白名單的主動(dòng)防御機(jī)制可占用更小的系統(tǒng)計(jì)算資源,實(shí)現(xiàn)最大的防護(hù)效能,可有效實(shí)現(xiàn)主機(jī)防病毒、防第三方軟件的非授權(quán)安裝與使用、對(duì)主機(jī)系統(tǒng)外接口管控、對(duì)USB外接存儲(chǔ)設(shè)備的認(rèn)證管控、防病毒與操作行為審計(jì),為主機(jī)系統(tǒng)安全運(yùn)行提供必要的安全保障。
本方案使用的主機(jī)安全防護(hù)系統(tǒng),是工控主機(jī)系統(tǒng)專(zhuān)用的安全防護(hù)系統(tǒng),系統(tǒng)運(yùn)用白名單為主,灰名單、黑名單為輔的創(chuàng)新技術(shù)方式,監(jiān)控主機(jī)的進(jìn)程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB端口狀態(tài),嚴(yán)格對(duì)主機(jī)應(yīng)用進(jìn)程進(jìn)行管控,外接端口管控,USB設(shè)備認(rèn)證與使用管理,以及操作行為管理,強(qiáng)化工控主機(jī)的安全管理,提升主機(jī)系統(tǒng)抗攻擊能力。
客戶(hù)價(jià)值
通過(guò)部署一系列的工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品,為客戶(hù)提供了如下價(jià)值:
? 先進(jìn)安全防護(hù)技術(shù)提升企業(yè)工控安全防護(hù)能力:本方案采用工業(yè)協(xié)議深度解析技術(shù)、智能學(xué)習(xí)技術(shù)、白名單主動(dòng)防御技術(shù)和威脅管理無(wú)損技術(shù),并結(jié)合公司自有的工業(yè)漏洞庫(kù)、設(shè)備指紋庫(kù),通過(guò)制定有效的安全策略和安全集中分析管控手段,在保證穩(wěn)定運(yùn)行的前提下,對(duì)工控系統(tǒng)運(yùn)行提供必要的網(wǎng)絡(luò)安全保障。
? 完善組織OT內(nèi)控體系,滿(mǎn)足合規(guī)需求:本方案在設(shè)計(jì)時(shí),參照了國(guó)家等級(jí)保護(hù)相關(guān)規(guī)范要求,并按照企業(yè)當(dāng)前的工控系統(tǒng)信息化建設(shè)程度來(lái)提出符合實(shí)際需求的解決方案,實(shí)現(xiàn)了從OT應(yīng)用控制、OT一般控制、OT審計(jì)等三個(gè)維度來(lái)打造合規(guī)的OT控制體系。
? 工控安全產(chǎn)品性能達(dá)到國(guó)內(nèi)領(lǐng)先水平:包括獨(dú)有的專(zhuān)利技術(shù)的全機(jī)柜一體化解決方案、松耦合的安全框架設(shè)計(jì)具有極好的設(shè)備兼容性、一體化安全產(chǎn)品管理機(jī)制。網(wǎng)絡(luò)接入支持IPv6、ipsecVPN、可視化監(jiān)控、自定義協(xié)議規(guī)則、接口聯(lián)動(dòng)、熱備機(jī)制、bypass、低延時(shí)等高可用性設(shè)計(jì),真正做到了對(duì)工業(yè)網(wǎng)絡(luò)零影響。
? 自主可控的上送信息的數(shù)據(jù)對(duì)接:與同類(lèi)別方案相比,增加的相關(guān)設(shè)備所采集的信息更加全面,也更具合規(guī)性,能完全適應(yīng)工控系統(tǒng)安全防護(hù)在穩(wěn)定性與機(jī)密性的共同需求。方案中所有信息安全產(chǎn)品均為國(guó)產(chǎn)自主產(chǎn)品,可控性強(qiáng),安全產(chǎn)品聯(lián)動(dòng)安全性更高,并可提供定制化的功能開(kāi)發(fā),方便支撐不斷迭代升級(jí)。
? 可信計(jì)算的融合技術(shù):采用設(shè)備上加裝PCI可信控制卡的方式,實(shí)現(xiàn)可信功能。主要包括基于可信根對(duì)設(shè)備的bootloader、操作系統(tǒng)和應(yīng)用程序等進(jìn)行可信驗(yàn)證;基于SM3 HASH對(duì)設(shè)備的bootloader、操作系統(tǒng)和應(yīng)用程序等進(jìn)行可信驗(yàn)證;對(duì)系統(tǒng)中斷、關(guān)鍵內(nèi)存區(qū)域等執(zhí)行資源進(jìn)行可信驗(yàn)證;對(duì)設(shè)備的網(wǎng)絡(luò)通信進(jìn)行可信動(dòng)態(tài)度量,監(jiān)測(cè)異常通信行為;將可信驗(yàn)證結(jié)果形成審計(jì)記錄并發(fā)送至安管平臺(tái);安管平臺(tái)處理所有安全設(shè)備上報(bào)的可信狀態(tài)值,并呈現(xiàn)整個(gè)安全防護(hù)系統(tǒng)的可信狀況。
客戶(hù)反饋
本方案以油氣管道工控系統(tǒng)應(yīng)用為場(chǎng)景,構(gòu)建了安全可控為目標(biāo),監(jiān)控審計(jì)、威脅分析、入侵檢測(cè)、主機(jī)防護(hù)為特征的油氣管道企業(yè)工業(yè)控制系統(tǒng)新一代主動(dòng)防御體系,提高了工控系統(tǒng)整體安全性。將為企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系建設(shè)開(kāi)創(chuàng)行之有效的安全建設(shè)模式,提高管控一體化安全防護(hù)的能力。
通過(guò)本方案中的主動(dòng)安全防御建設(shè),提高了工控安全防御能力。按照每年平均防御網(wǎng)絡(luò)攻擊1次,每次攻擊平均造成的停運(yùn)損失500萬(wàn)元計(jì)算,項(xiàng)目2020年11月份投運(yùn)至2021年4月份,折算減少停運(yùn)損失約200萬(wàn)。由于該項(xiàng)目的建設(shè),提高了運(yùn)維效率,每年還可以降低工業(yè)控制系統(tǒng)的運(yùn)維費(fèi)用約30萬(wàn)。
本方案具有很強(qiáng)的推廣價(jià)值,也適合在石油石化行業(yè)其它場(chǎng)景的工控系統(tǒng)中進(jìn)行推廣應(yīng)用。
?
工業(yè)互聯(lián)網(wǎng)安全能力指南 —— 工控檢測(cè)/審計(jì)部分
關(guān)鍵發(fā)現(xiàn)
? 傳統(tǒng)IT環(huán)境中安全優(yōu)先級(jí)要求:CIA,工控環(huán)境中安全優(yōu)先級(jí)要求正好相反:AIC。因此工控檢測(cè)/審計(jì)類(lèi)產(chǎn)品——特別是主動(dòng)掃描類(lèi)檢測(cè)產(chǎn)品——首要要求是對(duì)業(yè)務(wù)連續(xù)性不能有影響;
? 對(duì)主流工業(yè)協(xié)議的識(shí)別與解析數(shù)量是該類(lèi)產(chǎn)品的主要衡量標(biāo)準(zhǔn),除此以外,也應(yīng)考慮檢測(cè)結(jié)果可視化、與業(yè)務(wù)的相關(guān)性等軟性指標(biāo);
? 工控檢測(cè)/審計(jì)類(lèi)產(chǎn)品仍然以合規(guī)需求為主要驅(qū)動(dòng)力,但隨著關(guān)基類(lèi)用戶(hù)的投入逐漸加大,實(shí)戰(zhàn)化高級(jí)威脅檢測(cè)的需求驅(qū)動(dòng)正在逐漸增強(qiáng);
? 隨著客戶(hù)的檢測(cè)能力日漸成熟,以及工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品數(shù)量增多,會(huì)將投入逐漸轉(zhuǎn)向工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)能力。工業(yè)互聯(lián)網(wǎng)安全檢測(cè)類(lèi)產(chǎn)品的總體收入占比將會(huì)逐步下降。
工控檢測(cè)/審計(jì)能力點(diǎn)陣圖
本次參與工控防護(hù)能力的廠(chǎng)商共有18家,包括:安恒信息、博智安全、烽臺(tái)科技、國(guó)泰網(wǎng)信、惠而特、立思辰安科、六方云、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰、融安網(wǎng)絡(luò)、圣博潤(rùn)、天地和興、天融信、威努特、英賽克。
工控檢測(cè)/審計(jì)能力主要產(chǎn)品形態(tài)
在本次工業(yè)互聯(lián)網(wǎng)安全系列報(bào)告中,檢測(cè)是最重要的組成部分之一,“看見(jiàn)”是一切安全管理與安全服務(wù)的前提。經(jīng)過(guò)近幾年的發(fā)展,工業(yè)互聯(lián)網(wǎng)安全檢測(cè)產(chǎn)品形態(tài)主要有以下幾大類(lèi):
? 工業(yè)資產(chǎn)發(fā)現(xiàn)與管理
在工業(yè)生產(chǎn)環(huán)境中,以安全視角對(duì)包括控制器、控制系統(tǒng)、上位機(jī)等工控設(shè)備,以及辦公網(wǎng)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備等在內(nèi)的各類(lèi)資產(chǎn)進(jìn)行主動(dòng)/被動(dòng)資產(chǎn)發(fā)現(xiàn)以及資產(chǎn)管理的安全產(chǎn)品。
? 工業(yè)合規(guī)檢查工具箱(等保工具箱、基線(xiàn)核查系統(tǒng)等)
以合規(guī)檢查為主要目的,內(nèi)置工控系統(tǒng)等級(jí)保護(hù)檢查標(biāo)準(zhǔn),支持漏洞檢測(cè)、流量分析、配置核查等自動(dòng)化評(píng)估工具的便攜設(shè)備產(chǎn)品,一般這類(lèi)產(chǎn)品還支持自動(dòng)生成信息安全等級(jí)保護(hù)檢查報(bào)告以及整改通知書(shū)。主要用戶(hù)為測(cè)評(píng)機(jī)構(gòu)與現(xiàn)場(chǎng)執(zhí)法檢查的單位(例如各級(jí)測(cè)評(píng)中心、公安、國(guó)安、網(wǎng)信、保密等)以及集團(tuán)類(lèi)客戶(hù)對(duì)下屬單位檢查使用。
? 工業(yè)監(jiān)測(cè)審計(jì)
針對(duì)工業(yè)生產(chǎn)環(huán)境中的網(wǎng)絡(luò)流量進(jìn)行安全監(jiān)測(cè)與行為分析的審計(jì)類(lèi)產(chǎn)品。此類(lèi)產(chǎn)品的目的在于識(shí)別非法操作、越權(quán)執(zhí)行、外部攻擊等安全事件并實(shí)時(shí)告警,同時(shí)全面記錄網(wǎng)絡(luò)中的網(wǎng)絡(luò)運(yùn)行狀況及各協(xié)議通信行為,生成分析報(bào)告,給出合理化建議,為安全事件的調(diào)查取證提供依據(jù)。由于采用旁路監(jiān)聽(tīng)方式進(jìn)行部署,不影響現(xiàn)有系統(tǒng)的生產(chǎn)運(yùn)行,審計(jì)類(lèi)產(chǎn)品可以適用于大部分網(wǎng)絡(luò)環(huán)境,。
? 工業(yè)安全評(píng)估(包含工業(yè)漏掃、防病毒)
此類(lèi)產(chǎn)品涵蓋了資產(chǎn)發(fā)現(xiàn)、漏洞掃描、配置核查、Windows安全加固、等保合規(guī)關(guān)聯(lián)、Wifi安全檢測(cè)等模塊,目的是發(fā)現(xiàn)工控環(huán)境中存在的各種脆弱性問(wèn)題,包括各種已知安全漏洞、安全配置問(wèn)題、不合規(guī)行為等風(fēng)險(xiǎn)。在信息系統(tǒng)受到實(shí)際危害之前為用戶(hù)的安全管理人員提供專(zhuān)業(yè)、有效的評(píng)估報(bào)告和修補(bǔ)建議。因此,這類(lèi)產(chǎn)品一般都會(huì)具備直觀的報(bào)表功能。部分具備防病毒基因的安全企業(yè),還會(huì)在這類(lèi)產(chǎn)品中內(nèi)置脫殼引擎、解壓縮引擎、反病毒引擎,結(jié)合特征碼掃描、啟發(fā)式掃描等技術(shù)檢測(cè)各種已、未知病毒威脅。
? 工控漏洞挖掘
此類(lèi)產(chǎn)品主要用于發(fā)現(xiàn)工控設(shè)備(PLC、RTU等)、工控系統(tǒng)(DCS、SCADA等)中的未知漏洞,以黑盒測(cè)試為主要技術(shù)實(shí)現(xiàn)方式,產(chǎn)出的測(cè)試報(bào)告應(yīng)當(dāng)能夠清晰定位問(wèn)題并提供測(cè)試報(bào)文便于問(wèn)題回溯,對(duì)于安全要求更高且預(yù)算較多的關(guān)基用戶(hù),這類(lèi)產(chǎn)品能夠進(jìn)一步提升工業(yè)控制系統(tǒng)的安全性。
? 工業(yè)入侵檢測(cè)系統(tǒng)
顧名思義,應(yīng)用于工業(yè)互聯(lián)網(wǎng)環(huán)境的IDS,主要對(duì)緩沖區(qū)溢出、SQL 注入、暴力破解、DDoS攻擊、掃描探測(cè)、蠕蟲(chóng)病毒、木馬后門(mén)、間諜軟件、欺騙劫持、僵尸網(wǎng)絡(luò)等各類(lèi)黑客攻擊和惡意流量進(jìn)行實(shí)時(shí)檢測(cè)及報(bào)警。
工控檢測(cè)/審計(jì)能力落地要點(diǎn)
不影響用戶(hù)的業(yè)務(wù)為基本準(zhǔn)則
傳統(tǒng)IT環(huán)境對(duì)安全的優(yōu)先級(jí)要求是CIA,工控環(huán)境中對(duì)安全的要求優(yōu)先級(jí)正好相反——AIC。工控環(huán)境中,絕大部分設(shè)備和系統(tǒng)都要求7*24小時(shí)不間斷運(yùn)轉(zhuǎn),所以主動(dòng)掃描類(lèi)檢測(cè)產(chǎn)品,首先要注意的就是不能影響用戶(hù)業(yè)務(wù)。如資產(chǎn)發(fā)現(xiàn)與漏洞掃描,應(yīng)當(dāng)以版本匹配為主,不能poc驗(yàn)證式掃描。同時(shí),要能夠?qū)呙璨呗赃M(jìn)行靈活配置,注意產(chǎn)品的占用進(jìn)程和資源。很多老舊設(shè)備的硬件水平與操作系統(tǒng)都經(jīng)不起大流量的掃描行為沖擊。如果是流量檢測(cè),則務(wù)必采用旁路監(jiān)聽(tīng)方式,同時(shí)注意產(chǎn)品檢查點(diǎn)的范圍和深度,避免造成回環(huán)等形式的網(wǎng)絡(luò)擁塞,影響正常的業(yè)務(wù)流量。所有的產(chǎn)品部署要便捷,盡量不中斷或是只占用很短的中斷業(yè)務(wù)時(shí)間。
要能夠適應(yīng)惡劣的工業(yè)環(huán)境
安全檢測(cè)類(lèi)產(chǎn)品要具備IP40或以上級(jí)別的防護(hù)、抗電磁干擾、電源冗余、無(wú)風(fēng)扇散熱、雙機(jī)熱備、端口冗余、寬溫寬壓等工業(yè)級(jí)的可靠性、穩(wěn)定性。對(duì)于軍工類(lèi)用戶(hù),某些便攜檢測(cè)類(lèi)產(chǎn)品還應(yīng)當(dāng)具備三防(防塵,防水,防震)能力,自備電源,適合嚴(yán)苛環(huán)境應(yīng)用。
白名單與黑名單的平衡使用
白名單是工控環(huán)境下安全檢測(cè)產(chǎn)品的基本技術(shù)實(shí)現(xiàn)思路,但單純依靠白名單其局限性,甚至有可能反被利用。比如2018年被發(fā)現(xiàn)的針對(duì)中東某石油天然氣廠(chǎng)工業(yè)控制系統(tǒng)的“海淵”(TRISIS)惡意代碼便是利用社工技巧偽裝成安全儀表系統(tǒng)的日志軟件繞過(guò)“白環(huán)境”機(jī)制成功進(jìn)入目標(biāo)網(wǎng)絡(luò)。除采用社工手段外,直接針對(duì)白名單設(shè)備、白名單軟件的攻擊行為也愈加頻繁,更有一些復(fù)雜攻擊采用哈希碰撞的攻擊方式繞過(guò)“白名單”機(jī)制,對(duì)系統(tǒng)造成威脅。因此,應(yīng)當(dāng)在基于白名單的基礎(chǔ)上,增加對(duì)已知病毒、已知漏洞庫(kù)、威脅情報(bào)等特征數(shù)據(jù)的檢測(cè)能力。而且,目前供應(yīng)商的產(chǎn)品一般都具備一定程度的智能學(xué)習(xí)技術(shù),通過(guò)自動(dòng)學(xué)習(xí)生成白名單庫(kù),并以此為起點(diǎn)按需進(jìn)行安全檢測(cè),使白名單也具備了一定的靈活性。總之,白、黑之間的平衡點(diǎn),要根據(jù)用戶(hù)自身的業(yè)務(wù)情況按需制定。
工控檢測(cè)/審計(jì)主要核心能力
針對(duì)以上產(chǎn)品形態(tài)及落地要點(diǎn),工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品的主要核心能力有五個(gè):識(shí)別、解析、采集、知識(shí)庫(kù)、可視化。
識(shí)別
“檢測(cè)”能力的第一個(gè)主要核心能力是準(zhǔn)確的工控設(shè)備指紋識(shí)別能力。能力衡量標(biāo)準(zhǔn)是能夠識(shí)別的主流協(xié)議的數(shù)量與準(zhǔn)確度,例如西門(mén)子、施耐德、羅克韋爾、ABB、艾默生、倍福、歐姆龍、臺(tái)達(dá)、和利時(shí)、三菱、霍尼韋爾、英維思等國(guó)內(nèi)外知名廠(chǎng)商的 OPC、Modbus、DNP3.0、S5、S7、Ethernet/IP、MBTP、IEC104、IEC1850、Profinet、BACnet、MMS、FOCAS、 ENIP、Melsec-Q、PCWorx、ProConOs、Crimson 等協(xié)議。識(shí)別的能力門(mén)檻相對(duì)較低,對(duì)設(shè)備協(xié)議、設(shè)備類(lèi)型、軟硬件版本、廠(chǎng)商、 開(kāi)放的端口、服務(wù)等信息的綜合判斷,能夠積累較多的協(xié)議識(shí)別數(shù)量,但更高的能力壁壘,就需要有專(zhuān)門(mén)的技術(shù)團(tuán)隊(duì),通過(guò)逆向分析等手段,分析協(xié)議架構(gòu)、通信流程、報(bào)文結(jié)構(gòu)、解析功能碼、敏感報(bào)文等信息。目前行業(yè)內(nèi)的主要安全企業(yè),其協(xié)議識(shí)別能力的數(shù)量在數(shù)十個(gè)不等。用戶(hù)可以根據(jù)自身情況,對(duì)供應(yīng)商加以考量。
解析
不同于“識(shí)別”,檢測(cè)能力中對(duì)“解析”的要求更高、更深入。要能夠?qū)χ髁鲄f(xié)議進(jìn)行指令級(jí)、值域級(jí)深度解析,準(zhǔn)確解析出協(xié)議中的功能碼、值域、操作碼、寄存器地址范圍等等,從而對(duì)報(bào)文格式、完整性進(jìn)行檢測(cè),判斷是否存在畸形報(bào)文——嘗試偽裝成正常通信協(xié)議內(nèi)容的惡意代碼進(jìn)入工業(yè)控制系統(tǒng)網(wǎng)絡(luò)內(nèi)部或區(qū)域內(nèi)部,聯(lián)動(dòng)防火墻,防止畸形代碼攻擊等多種發(fā)生在工控以太網(wǎng)絡(luò)內(nèi)部的攻擊。
有的審計(jì)類(lèi)產(chǎn)品,還會(huì)記錄更為詳細(xì)的指令變更、負(fù)載變更、狀態(tài)變更等指令集的操作數(shù)據(jù),兼具一些類(lèi)似業(yè)務(wù)中斷告警這樣的功能,從安全生產(chǎn)的角度來(lái)講,當(dāng)然這也屬于安全范疇。用戶(hù)可以按需選用。受限于工業(yè)生產(chǎn)設(shè)備的廠(chǎng)商現(xiàn)狀,目前行業(yè)內(nèi)的主要安全企業(yè),其協(xié)議解析能力的數(shù)量在20-30個(gè)之間不等。用戶(hù)可以根據(jù)自身情況,對(duì)供應(yīng)商加以考量。
采集
包括定時(shí)采集和實(shí)時(shí)采集,如資產(chǎn)、環(huán)境、漏洞等不會(huì)頻繁變化數(shù)據(jù),將采用定時(shí)采集或者觸發(fā)式采集(管理中心下發(fā)指令),針對(duì)如進(jìn)程、文件、網(wǎng)絡(luò)等會(huì)頻繁變化數(shù)據(jù)采用實(shí)時(shí)監(jiān)控模式,進(jìn)行實(shí)時(shí)采集和上報(bào)。
審計(jì)類(lèi)產(chǎn)品,要具備原始數(shù)據(jù)的采集與存儲(chǔ)能力,有些行業(yè)的審計(jì)要求數(shù)據(jù)留存時(shí)間不少于六個(gè)月。采集方式可以是實(shí)時(shí)采集,也可以是定時(shí)采集。采集方式可以是直接采集工業(yè)數(shù)據(jù),比如連接485串口收集數(shù)據(jù),或是根據(jù)工控設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備等目標(biāo)的不同,分別通過(guò)Syslog、SNMP、SNMP Trap、ICMP、SSH、NMAP、流量嗅探等方式進(jìn)行收集數(shù)據(jù)。
這里主要考量數(shù)據(jù)采集的全面性。例如主機(jī)設(shè)備包括操作系統(tǒng)層面所有的用戶(hù)登錄、操作信息、各類(lèi)數(shù)據(jù)庫(kù)、中間件的重要運(yùn)行信息以及外設(shè)設(shè)備(鍵盤(pán)、鼠標(biāo)以及所有移動(dòng)存儲(chǔ)設(shè)備)的接入信息;網(wǎng)絡(luò)設(shè)備的配置變更、流量信息、網(wǎng)口狀態(tài)等安全事件信息;安全防護(hù)設(shè)備包括防火墻、縱向加密認(rèn)證裝置、正向隔離裝置、反向隔離裝置、入侵檢測(cè)系統(tǒng)(IDS)、運(yùn)維操作審計(jì)系統(tǒng)、蜜罐、web應(yīng)用防火墻等安全設(shè)備等;日志則包括系統(tǒng)日志、配置日志、流量日志、攻擊日志、訪(fǎng)問(wèn)日志等。
知識(shí)庫(kù)
構(gòu)建工控協(xié)議解析庫(kù),完善安全事件特征庫(kù),豐富網(wǎng)絡(luò)攻擊知識(shí)庫(kù),對(duì)多環(huán)境、多業(yè)務(wù)流量進(jìn)行深度分析、識(shí)別、發(fā)現(xiàn)、追蹤、評(píng)估。
這里的知識(shí)庫(kù),主要指檢測(cè)類(lèi)產(chǎn)品所需要的資產(chǎn)指紋庫(kù)、漏洞庫(kù)、病毒庫(kù)、入侵檢測(cè)規(guī)則庫(kù)、安全攻擊特征庫(kù)等。各家的分類(lèi)及計(jì)數(shù)方式各有標(biāo)準(zhǔn),因此我們并不強(qiáng)調(diào),也不鼓勵(lì)單純的比較各家的知識(shí)庫(kù)數(shù)量。不過(guò)有兩個(gè)能力點(diǎn)要說(shuō)明,一是不論知識(shí)庫(kù)數(shù)量多或少,檢測(cè)還應(yīng)當(dāng)考量效率和準(zhǔn)確率。二是對(duì)私有協(xié)議是否提供開(kāi)發(fā)接口或是SDK,方便用戶(hù)自行擴(kuò)展支持私有協(xié)議和做定制化開(kāi)發(fā)。
可視化
工控環(huán)境下,安全的很多狀態(tài)不像IT環(huán)境下直觀,因此需要更加注重可視化能力。例如資產(chǎn)狀態(tài)數(shù)據(jù)、基于協(xié)議的網(wǎng)絡(luò)拓?fù)湟晥D和網(wǎng)絡(luò)流量視圖、帶有時(shí)間維度的統(tǒng)計(jì)數(shù)據(jù)、分析結(jié)果數(shù)據(jù)、異常行為告警信息、突出重點(diǎn)的處置建議等。
在初步檢測(cè)出威脅并加以確認(rèn)后,如果能夠具備一定的可視化分析能力就更好,例如將受到威脅風(fēng)險(xiǎn)的資產(chǎn)與業(yè)務(wù)屬性做關(guān)聯(lián), 或是接入用戶(hù)的工業(yè)生產(chǎn)數(shù)據(jù),將安全風(fēng)險(xiǎn)與生產(chǎn)數(shù)據(jù)結(jié)合,顯示其潛在的停機(jī)、停產(chǎn)帶來(lái)的業(yè)務(wù)風(fēng)險(xiǎn)??梢暬哪康囊欢ú恢皇敲烙^,更重要的是體現(xiàn)出安全的價(jià)值。
創(chuàng)新嘗試
此次調(diào)研,我們發(fā)現(xiàn)安全企業(yè)的檢測(cè)能力具有一定的趨同性,差異點(diǎn)主要集中在對(duì)協(xié)議的識(shí)別與解析上,但是部分企業(yè)還是嘗試在作出一些創(chuàng)新嘗試,我們列在這里,供用戶(hù)參考:
? 融合零信任理念的自適應(yīng)工控安全檢測(cè);
? 在工業(yè)安全領(lǐng)域研究并應(yīng)用SOAR、UEBA等先進(jìn)技術(shù),對(duì)工業(yè)協(xié)議中的生產(chǎn)過(guò)程關(guān)鍵參數(shù)進(jìn)行趨勢(shì)分析與建模,識(shí)別正常生產(chǎn)活動(dòng)與關(guān)鍵參數(shù)異常變化;
? 初步的追蹤溯源能力:支持流量回溯,追溯攻擊過(guò)程,支持關(guān)聯(lián)分析攻擊路徑,保存攻擊證據(jù);
? 在安全設(shè)備上加裝PCI可信控制卡的方式,實(shí)現(xiàn)可信功能。實(shí)時(shí)監(jiān)測(cè)操作系統(tǒng)、應(yīng)用程序、關(guān)鍵內(nèi)存區(qū)域、網(wǎng)絡(luò)通信等關(guān)鍵點(diǎn),最終將可信驗(yàn)證結(jié)果形成審計(jì)記錄并發(fā)送至安管平臺(tái);安管平臺(tái)處理所有安全設(shè)備上報(bào)的可信狀態(tài)值,并呈現(xiàn)整個(gè)安全防護(hù)系統(tǒng)的可信狀況;
? 對(duì)網(wǎng)絡(luò)中漏洞、攻擊等進(jìn)行監(jiān)測(cè)、梳理和分析,并對(duì)探測(cè)的漏洞與權(quán)威漏洞庫(kù)進(jìn)行關(guān)聯(lián)評(píng)測(cè),給出量化評(píng)估(風(fēng)險(xiǎn)值),并進(jìn)行預(yù)警與展示;
? 基于資產(chǎn)、事件、威脅、時(shí)間、空間、業(yè)務(wù)行為等多個(gè)維度進(jìn)行關(guān)聯(lián)分析,全面、多維、系統(tǒng)的統(tǒng)計(jì)、分析,以可視化的圖表進(jìn)行展示;
? 基于AI算法和模型的威脅檢測(cè),不依賴(lài)特征庫(kù)升級(jí)方式來(lái)檢測(cè)威脅。
需求變化:實(shí)戰(zhàn)化威脅檢測(cè)
工業(yè)互聯(lián)網(wǎng)安全檢測(cè)需求的用戶(hù)中,有很多關(guān)基類(lèi)用戶(hù),它們面臨的威脅等級(jí)在逐步提高。對(duì)于電力、石油石化、軌道交通、智能制造、鋼鐵冶金和軍工等多個(gè)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)來(lái)說(shuō),威脅檢測(cè)的場(chǎng)景越來(lái)越趨于實(shí)戰(zhàn)化,對(duì)工業(yè)互聯(lián)網(wǎng)安全檢測(cè)類(lèi)產(chǎn)品的要求也正在趨于“能力化”。例如對(duì)工業(yè)協(xié)議的深度解析、基于正常通信行為建模后的異常流量監(jiān)測(cè)、對(duì)安全事件一定程度的自動(dòng)化分析、對(duì)威脅風(fēng)險(xiǎn)的統(tǒng)一管理與可視化展現(xiàn)、對(duì)高級(jí)威脅的檢測(cè)及防御、基于資產(chǎn)的風(fēng)險(xiǎn)識(shí)別等等。這就要求供應(yīng)商能夠?qū)⒁陨蠙z測(cè)類(lèi)產(chǎn)品與本系列報(bào)告中的工控蜜罐、安全管理平臺(tái)、安全服務(wù)等內(nèi)容整合以后,實(shí)戰(zhàn)化安全運(yùn)營(yíng),才能發(fā)揮出最大的能力效果。
工業(yè)互聯(lián)網(wǎng)安全檢測(cè)/審計(jì)能力市場(chǎng)情況
? 根據(jù)本次調(diào)研的方向,2019年我國(guó)工業(yè)互聯(lián)網(wǎng)安全檢測(cè)能力收入總體約為4.11億元,2020年總體收入約為6.89億元,預(yù)計(jì)2021年收入為10.56億元,2022年有望達(dá)到14.2億元。隨著客戶(hù)的檢測(cè)能力日漸成熟,以及工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品數(shù)量增多,會(huì)將投入逐漸轉(zhuǎn)向工業(yè)互聯(lián)網(wǎng)安全管理平臺(tái)能力。工業(yè)互聯(lián)網(wǎng)安全檢測(cè)類(lèi)產(chǎn)品的總體收入占比將會(huì)逐步下降。
? 工業(yè)互聯(lián)網(wǎng)安全檢測(cè)類(lèi)產(chǎn)品當(dāng)前還是以單一標(biāo)準(zhǔn)化產(chǎn)品交付為主,占57.15%。定制化產(chǎn)品及運(yùn)營(yíng)占24.19%;作為單一功能交付、訂閱模式及其他模式共占18.66%。
? 從銷(xiāo)售方式來(lái)看,廠(chǎng)商直接銷(xiāo)售和通過(guò)渠道銷(xiāo)售占比差距不大。直銷(xiāo)(44.81%)比渠道(38.91%)占比略高,OEM的占比為16.29%。
? 當(dāng)前來(lái)看,工業(yè)互聯(lián)網(wǎng)安全檢測(cè)能力的主要落地行業(yè)為電力,占29%。電力在整個(gè)工業(yè)互聯(lián)網(wǎng)領(lǐng)域起步較早,投入也更多,因此安全能力落地更多。其余占比超過(guò)10%的行業(yè)為軌道交通(17%)、石油石化(12%)、以及煙草、教育、軍工等其他行業(yè),匯總后也占到了15%。從未來(lái)發(fā)展來(lái)看,石油石化將會(huì)成為下一個(gè)安全廠(chǎng)商爭(zhēng)奪的領(lǐng)域。
案例三:軌道交通-綜合監(jiān)控系統(tǒng)安全防護(hù)建設(shè)項(xiàng)目
場(chǎng)景介紹
當(dāng)前,世界各國(guó)廣泛采用以信息化促進(jìn)城市軌道交通發(fā)展的戰(zhàn)略,信息化已覆蓋城市軌道交通的建設(shè)、運(yùn)營(yíng)、管理、安全、服務(wù)等各個(gè)方面,我國(guó)強(qiáng)力推進(jìn)“互聯(lián)網(wǎng)+城市軌道交通”戰(zhàn)略。地鐵綜合監(jiān)控系統(tǒng)(ISCS)作為軌道交通信息化系統(tǒng)中子系統(tǒng),承載了對(duì)電力設(shè)備、火災(zāi)報(bào)警、車(chē)站環(huán)控設(shè)備、區(qū)間環(huán)控設(shè)備、環(huán)境參數(shù)、屏蔽門(mén)、防掩門(mén)、電扶梯設(shè)備、照明設(shè)備、門(mén)禁設(shè)備、自動(dòng)售檢票設(shè)備等進(jìn)行實(shí)時(shí)集中監(jiān)視和控制的基本功能,同時(shí)擔(dān)負(fù)著非運(yùn)營(yíng)時(shí)間、正常運(yùn)營(yíng)時(shí)間以及緊急突發(fā)事件設(shè)備故障情況下的相關(guān)系統(tǒng)設(shè)備之間協(xié)調(diào)互動(dòng)等高級(jí)功能,一旦系統(tǒng)被攻擊入侵,將給地鐵的正常運(yùn)營(yíng)、運(yùn)行帶來(lái)巨大的影響。為了避免我國(guó)城市軌道交通行業(yè)在數(shù)字化網(wǎng)絡(luò)化發(fā)展過(guò)程中出現(xiàn)信息安全和網(wǎng)絡(luò)安全問(wèn)題,各城市軌道交通行業(yè)建立常態(tài)化、覆蓋事前、事中、事后的全方位信息安全服務(wù)體系,形成動(dòng)態(tài)防護(hù)、監(jiān)測(cè)預(yù)警、響應(yīng)處置的網(wǎng)絡(luò)安全工作機(jī)制,覆蓋智慧城軌全生命周期和運(yùn)營(yíng)全過(guò)程。
客戶(hù)需求
◆ 工控協(xié)議識(shí)別種類(lèi)廣泛:綜合監(jiān)控系統(tǒng)(ISCS)屬于多系統(tǒng)深度集成的系統(tǒng),在控制網(wǎng)絡(luò)中存在多家自動(dòng)化廠(chǎng)商PLC控制器,需要對(duì)全部進(jìn)行協(xié)議的識(shí)別和分析;
◆ 工控入侵行為檢測(cè)能力精確性:能夠精準(zhǔn)的識(shí)別基于工控協(xié)議的入侵行為,對(duì)異常的通信行為進(jìn)行分析和告警,實(shí)現(xiàn)風(fēng)險(xiǎn)、威脅“可知、可管”;
◆ 工控協(xié)議指令級(jí)的異常監(jiān)控和行為取證:能夠?qū)た鼐W(wǎng)絡(luò)流量基于“字節(jié)和位”的協(xié)議分析,能夠?qū)﹃P(guān)鍵操作行為、控制命令等進(jìn)行實(shí)時(shí)監(jiān)測(cè)和分析;
◆ 從“技”、“管”兩個(gè)維度建立全面防護(hù)體系:從安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界等多個(gè)維度實(shí)現(xiàn)安全防護(hù)建設(shè),同時(shí)結(jié)合綜合監(jiān)控系統(tǒng)特性,構(gòu)建符合國(guó)家“等?!北O(jiān)管要求的安全防護(hù)體系。
解決方案
地鐵綜合監(jiān)控系統(tǒng)由控制中心系統(tǒng)、各車(chē)站級(jí)控制系統(tǒng)、車(chē)輛段控制系統(tǒng)、培訓(xùn)管理系統(tǒng)、設(shè)備維護(hù)及網(wǎng)絡(luò)管理系統(tǒng)等組成,各系統(tǒng)通過(guò)冗余環(huán)網(wǎng)連接。針對(duì)本項(xiàng)目綜合監(jiān)控系統(tǒng)安全防護(hù)體系建設(shè),主要集中在控制中心、各車(chē)站、車(chē)輛段、停車(chē)場(chǎng)以及主所/區(qū)間所等系統(tǒng)防護(hù)。
地鐵安全防護(hù)總體架構(gòu)如下圖所示:
依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)“三級(jí)”系統(tǒng)保護(hù)要求,結(jié)合地鐵綜合監(jiān)控系統(tǒng)安全防護(hù)面臨的諸多安全問(wèn)題,我們?cè)诒卷?xiàng)目安全防護(hù)體系建設(shè)方面遵循“系統(tǒng)內(nèi)主機(jī)加固和風(fēng)險(xiǎn)監(jiān)控,互聯(lián)系統(tǒng)間邏輯隔離和防護(hù),審計(jì)和告警數(shù)據(jù)集中管理和統(tǒng)一呈現(xiàn)”的工控系統(tǒng)安全建設(shè)原則。具體防護(hù)思路如下:
? 在控制中心、車(chē)站、車(chē)輛段部署工控安全監(jiān)測(cè)與審計(jì)系統(tǒng),實(shí)時(shí)監(jiān)測(cè)系統(tǒng)內(nèi)部異常行為,異常流量告警。進(jìn)行全面的異常行為檢測(cè)和深度分析,提供現(xiàn)場(chǎng)設(shè)備故障報(bào)警和惡意入侵活動(dòng)報(bào)警;
? 基于機(jī)器學(xué)習(xí)及大數(shù)據(jù)技術(shù),對(duì)綜合監(jiān)控系統(tǒng)運(yùn)行一段時(shí)間的工控網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行智能分析和自主學(xué)習(xí),一鍵自動(dòng)穿件白名單策略;持續(xù)監(jiān)視網(wǎng)絡(luò)流量,自動(dòng)識(shí)別合規(guī)數(shù)據(jù),及時(shí)發(fā)現(xiàn)違規(guī)行為并實(shí)施告警;
? 系統(tǒng)基于網(wǎng)絡(luò)通信數(shù)據(jù)的深度分析繪制獨(dú)特的ISCS工控網(wǎng)絡(luò)拓?fù)鋱D,可直觀展示ISCS系統(tǒng)工控網(wǎng)絡(luò)中各個(gè)設(shè)備節(jié)點(diǎn)間的通信連接情況,便于發(fā)現(xiàn)工業(yè)資產(chǎn),并提供可視化的異常展示與告警。當(dāng)存在潛在威脅時(shí),節(jié)點(diǎn)間的連線(xiàn)可采用高亮的方式進(jìn)行展示;
? 內(nèi)置海量已知工控漏洞庫(kù),當(dāng)監(jiān)測(cè)到發(fā)生工控漏洞入侵行為時(shí)自動(dòng)產(chǎn)生告警并提供系統(tǒng)運(yùn)營(yíng)人員,工控監(jiān)測(cè)審計(jì)系統(tǒng)與多個(gè)SIEM平臺(tái)進(jìn)行無(wú)縫集成,實(shí)現(xiàn)分析網(wǎng)絡(luò)數(shù)據(jù);
? 基于通訊數(shù)據(jù)的資產(chǎn)自動(dòng)發(fā)現(xiàn)和自動(dòng)鏈路繪制,識(shí)別國(guó)內(nèi)外主流的IT設(shè)備和工控設(shè)備,并通過(guò)通訊拓?fù)浜蛨?bào)表兩種方式進(jìn)行展示,同時(shí)對(duì)工控網(wǎng)絡(luò)中的多IP資產(chǎn)提供特殊的管理方式,呈現(xiàn)ISCS系統(tǒng)工控網(wǎng)絡(luò)實(shí)際情況。
? 對(duì)ISCS系統(tǒng)中Modbus、IEC61850、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-UA、MMS等工控協(xié)議進(jìn)行深度的解析和防護(hù),同時(shí)可支持特有的工控協(xié)議自定義功能。
客戶(hù)價(jià)值
建立ISCS網(wǎng)絡(luò)異常監(jiān)控、行為取證分析的閉環(huán)防護(hù)措施:通過(guò)深度協(xié)議分析技術(shù),實(shí)時(shí)對(duì)工控網(wǎng)絡(luò)流量進(jìn)行細(xì)粒度(字節(jié)和位)的協(xié)議分析,通過(guò)黑白名單方式識(shí)別異常行為(異常設(shè)備接入、異常網(wǎng)絡(luò)連接、異??刂泼钕掳l(fā)等)并自動(dòng)報(bào)警,支持安全基線(xiàn)和白名單的自動(dòng)創(chuàng)建。安全系統(tǒng)自身可提供專(zhuān)用取證分析工具,對(duì)采集到的工控網(wǎng)絡(luò)流量進(jìn)行分析和調(diào)查取證,系統(tǒng)既可對(duì)歷史數(shù)據(jù)也可對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行取證分析,發(fā)現(xiàn)和追蹤工控網(wǎng)絡(luò)安全威脅,方便管理人員能夠快速及時(shí)的做出應(yīng)對(duì)措施。
實(shí)現(xiàn)通信行為、威脅、資產(chǎn)的“可知、可管”:通過(guò)自主的網(wǎng)絡(luò)流量采集探針,收集ISCS網(wǎng)絡(luò)環(huán)境中的所有網(wǎng)絡(luò)行為進(jìn)行協(xié)議解析和識(shí)別,包含源、目的地址,源、目的端口,協(xié)議、時(shí)間、會(huì)話(huà)量等,統(tǒng)一上傳給管理平臺(tái)。平臺(tái)提供行為分析引擎,利用機(jī)器自學(xué)習(xí)、行為分析模型等分析網(wǎng)絡(luò)異常行為,并對(duì)網(wǎng)絡(luò)行為進(jìn)行聚類(lèi)分析。能夠?qū)た鼐W(wǎng)絡(luò)中的各種PLC、操作員站等設(shè)備進(jìn)行自動(dòng)發(fā)現(xiàn)并自動(dòng)生成設(shè)備臺(tái)賬設(shè)備信息包括IP地址、MAC地址和設(shè)備類(lèi)型等??煽焖俣ㄎ缓桶l(fā)現(xiàn)接入工控網(wǎng)絡(luò)的非法資產(chǎn),同時(shí)可識(shí)別僵尸資產(chǎn),降低工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
實(shí)現(xiàn)基于流量的可視化“掛圖”作戰(zhàn):提供完整全面的ISCS系統(tǒng)網(wǎng)絡(luò)流量拓?fù)鋱D,在拓?fù)鋱D中顯示設(shè)備位置和設(shè)備之間的連接關(guān)系,可識(shí)別IP連接和串行連接。同時(shí)能夠顯示設(shè)備之間連接所使用的協(xié)議,并對(duì)具有潛在安全風(fēng)險(xiǎn)的設(shè)備進(jìn)行高亮顯示。對(duì)網(wǎng)絡(luò)環(huán)境中的流量數(shù)據(jù)及安全數(shù)據(jù),在“安全管理平臺(tái)”上進(jìn)行直觀展示,管理員可直觀地看到流量傳輸情況,及系統(tǒng)檢測(cè)出的告警情況,識(shí)別危險(xiǎn)鏈路和危險(xiǎn)區(qū)域,從而進(jìn)行適當(dāng)?shù)姆揽亍?/span>
基于工業(yè)特性,從“技術(shù)”、“管”兩個(gè)維度形成全面的ISCS系統(tǒng)防護(hù)系統(tǒng):從網(wǎng)絡(luò)、終端、通信、數(shù)據(jù)、運(yùn)維、管理等多個(gè)層面提供完整的安全防護(hù)與管理手段,實(shí)現(xiàn)生產(chǎn)網(wǎng)絡(luò)全面的安全保護(hù)。所有安全組件均采用非侵入式安全監(jiān)測(cè)與防護(hù)工作方式,可確保安全防護(hù)措施對(duì)生產(chǎn)網(wǎng)絡(luò)的干擾降到最低,同時(shí)安全不是單純的技術(shù)問(wèn)題,在采用安全技術(shù)和產(chǎn)品的同時(shí),結(jié)合ISCS系統(tǒng)的業(yè)務(wù)特性,從管理制度、應(yīng)急預(yù)案等維度進(jìn)行完善全面提高安全管理水平。形成“技”、“管”并重的方式,加強(qiáng)ISCS系統(tǒng)控制網(wǎng)絡(luò)的安全。
客戶(hù)反饋
基于ISCS系統(tǒng)安全防護(hù)技術(shù)方案,采用旁路非入侵式防護(hù)技術(shù)能夠動(dòng)態(tài)識(shí)別ISCS工業(yè)控制網(wǎng)絡(luò)過(guò)程風(fēng)險(xiǎn),對(duì)所有資產(chǎn)情況進(jìn)行監(jiān)視,及時(shí)發(fā)現(xiàn)僵尸資產(chǎn)的入侵行為,能夠快速定位風(fēng)險(xiǎn)入侵路徑、風(fēng)險(xiǎn)階段、風(fēng)險(xiǎn)源頭,將安全風(fēng)險(xiǎn)遏制在源頭、遏制在攻擊過(guò)程中,形成閉環(huán)動(dòng)態(tài)的ISCS系統(tǒng)安全防御體系,為軌道交通ISCS系統(tǒng)的穩(wěn)定運(yùn)行、安全運(yùn)行提供有效的安全保障支撐。
來(lái)源:數(shù)世咨詢(xún)