不少人说:“没有物质基础的爱情不会长久”。讲真,这句话宅宅是信的,因为这里的“物质”远不止指车子、票子、房子。
试想,一对情侣净身出户,或许身上的钱够买整月的饭,住一周的小旅馆,喝20箱水,那么之后呢?
so,所谓“物质基础”映射出的是人对于基础能源的稳定需求,而当这一需求面临危机时也就命不久矣,何谈爱情?
如此扩大,一个国家亦是如此,而工业互联网安全的重要性正是由此体现。
近几年,工控网络安全事件频发,无论是乌克兰电力系统遭破坏导致大规模停电,还是澳大利亚马卢奇污水处理厂遭非法入侵导致大量海洋生物死亡......无疑都是对人们的“物质基础”发起挑战。
随着各企业对工业互联网安全重视程度的提高,2019年工业互联网安全生态的构建明显加速。在这里,雷锋网根据中国信息通信研究院印发的《中国网络安全产业白皮书》进行了详细整理:
2019年的工业互联网安全
随着工业互联网、物联网、云计算、移动互联网等技术的深入发展,IT72与OT加速融合,工业体系逐渐由封闭走向开放,网络安全威胁开始向工业环境渗透,工业互联网安全问题日益凸显,市场需求随之攀升。
工业互联网安全产品形态与传统网络安全产品相近,但在具体技术实现上具有工业领域的特殊性,包括需要支持多种工业协议、满足业务生产的高可靠低时延要求等。
工控系统(OT网络)方面——边界和终端安全防护仍是主要手段。OT边界安全通常由部署在OT网络和IT网络之间控制区内的防火墙、入侵检测、单向网关等设备或采用软件定义的方式实现,终端安全与IT领域类似。
也有厂商基于对工业控制协议的深度解析(DPI78),结合“白名单+智能学习”机制,对各类工控协议进行快速捕获和指令级解析,并通过对工控系统重要区域内节点间的通信流量检测,发现工控系统中存在的异常行为和潜在威胁。
工厂IT网络和工业云方面——近些年,工厂IT网络和工业云平台相对OT网络更为开放,也更容易遭受网络攻击。
工业互联网安全监测与态势感知能力建设成为趋势,可基于工业环境,动态、整体地洞悉安全风险的能力,从全局视角对安全威胁进行发现识别、理解分析和响应处置。
工厂IT网络和工业云方面的安全产品,大都能自动发现网络中设备,识别配置异常,基于深度包检测技术识别协议每一层中需要分析的特定字段进行OT网络监视,从而提供态势感知能力。
有的厂商更是通过部署探针、网关等关键设备,对工业互联网平台、工业互联网应用设备和系统、企业内外网等的安全运行情况进行监测与感知,同步构建技术手段汇集来自各方的工业互联网安全态势信息。
厂商将火力聚焦在哪里?
正如开头提到,近年来工业领域安全事件频发,不断敲响网络安全警钟。
2017年,“永恒之蓝”蠕虫病毒入侵了全球150多个国家的信息系统,多家汽车制造商被迫停产,能源与通信等重要行业损失惨重;2018年,台积电多个工厂及营运总部遭遇勒索软件攻击,导致在台湾北、中、南三处重要生产基地生产线停摆;2019年挪威海德鲁铝业公司遭“LockerGoga”勒索攻击,多工厂关闭。
随着高频次工控安全事件的发生,工业领域网络安全意识逐步提升。
厂商开始有意识地开展安全评估、防范安全风险、培育工业领域安全人才等。国内部分工业互联网安全厂商能力介绍如图所示:
案例详情如下:
一、三六零:360工业互联网安全大脑系统实践
360工业互联网安全“安全大脑”系统,通过感知、决策、响应三个手段形成一套智能安全系统来应对安全威胁。
建立全天候多维度感知系统——横向感知,通过ICS全网资产扫描,全面探测工控企业内网资产暴露在互联网的资产所存在的漏洞,感知内外网攻击横向渗透行为。纵向感知,从IT系统到OT系统总线感知,监测由于信息安全导致的生产安全问题。交叉感知,内网数据与外网情报交叉分析可快速溯源,定位威胁。
工业互联网安全大脑
基于数据分析及算法建立安全引擎。通过感知获取数据,并对网络行为和数据进行记录,依托海量的安全大数据及安全检测规则。以此为基础,利用深度检测、智能分析和安全专家,对大数据进行分析、挖掘和关联,从而快速发现高级威胁。
同时通过人工智能算法结合外围威胁情报,安全编排等技术组成工业互联网安全引擎。形成“一体两翼”安全响应。360工业互联网安全大脑以打造安全生态模式和大多数工业信息安全厂商进行深度合作,实现“360工业互联网安全大脑形成决策——>下发策略更新到工业信息安全设备——>实现实时数据上报和动态策略部署——>阻断攻击行为并反馈”。
同时360设立应急响应中心及安全服务团队,为工业互联网突发事件形成一体两翼的响应体系。
二、上海观安:基于设备行为分析的网络态势感知系统实践
基于设备行为分析的电力监控网络态势感知系统能够对电力系统各种通信协议、流量信息,电力报文进行深度解析,对电力设备行为进行全面分析,平台在技术架构上采用“采集终端+大数据平台”的分布式部署方式,采集终端以旁路部署在电力网络的各区域和交换机侧,通过交换机镜像口获取网络流量,通过网络发送至大数据监控平台;大数据监控平台接收来自采集终端的报文,进行设备行为分析,主动感知安全威胁,并且对智能电力系统面临的风险进行量化分析,以可视化方式把分析结果展现给电力监控人员进行及时应对处理,确保电力网络的安全运行。关键技术包括:
1、基于设备行为分析的异常检测方法基于设备行为分析的异常检测方法基于深度解析引擎对数据包进行解析处理,把解析后的数据发送到基线学习模块处理产生设备行为基线;后续来自解码的设备行为数据与自学习模块的设备行为基线进行比对分析,发现其中是否存在不符合通信关系基线的通信行为及非法的新增资产,对异常通信或者异常资产进行告警。能够实时检测针对电力网络的攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒的传播等。
2、电力网络二次设备指纹学习及分层拓扑动态识别通过分析不同电力报文的特性,对设备进行特征值分析提取,分别通过监督式的分类算法和无监督式的聚类算法对电力网络中各电力设备的拓扑进行识别,用“分类指导聚类,聚类验证分类”的思想进行优化迭代,最终可以做到电力网络动态拓扑的识别。在平台上可以提示用户对新接入设备进行确认,规避非法设备的接入风险。
3、基于事件特征匹配的设备间流量异常检测方法基于电力报文的特性,在流量异常检测模型中引入各种特征,通过分析特征值,形成异常流量检测模型,用于后续的流量异常检测。
4、电力设备间异常指令检测方法
电力设备间指令异常检测场景包括:
(1)设备间高风险指令;
(2)设备间异常指令异常。通过引入规则引擎,可以实时检测电力网络中的高风险指令操作,给出告警提示,用户可以进行相应的规则增减。根据采集到电力网络流量,用机器学习模型来进行设备异常指令的检测,触发异常指令告警事件。对于异常指令事件,通过大数据展示平台向用户展示异常结果,提醒用户排查原因,避免后续风险发生。
三、中国网安:基于工控信息安全管理服务的实践
1.安全服务体系
项目服务体系架构按照ITSM理念,参照ITIL/ITSS等国际国内标准,实现安全服务过程中“服务工具”、“服务团队”和“服务流程”的有机整合。
2.服务平台
工业控制系统信息安全服务平台整体架构
3.安全服务
项目主要服务内容包括态势感知服务、在线监测服务、安全检查服务、应急响应服务和安全咨询服务等六大类服务。
四、天地和兴:集控模式下风电工控安全集中感知平台实践
针对集控模式下风电工控安全的实际问题,通过风场安全防护、汇总关联分析、中心集中展示的方式实现风电工控安全动态防御。
1.分布式技术架构,周到防护、全面采集、态势展示平台整体采用三层分布式技术架构,由数据采集层、汇聚处理层和分析展示
(1)分析展示层功能定位:工控安全态势展示。作为支撑开展工控安全监督、考核、管理等工作业务的窗口和抓手,实现工控安全的合规监管和客观量化考核管理。集中保存全网网络安全监测信息,通过机器学习和关联分析完成各业务板块网络安全态势可视化展示。第一级视图:整体安全态势展示;第二级视图:基于物理位置的网络防护拓扑结构展示;第三级视图:下属电厂详细风险信息展示。
(2)汇聚处理层功能定位:平台数据采集的前置终端。集中收集数据采集层获取的生产控制区工控网络异常行为和事件、工控网络违规内外联、工控网络威胁事件、工控主机异常操作和违规U盘操作等工控网络安全信息,并完成所采集安全监测数据信息的归一、整形、压缩和转发等数据预处理功能。
(3)数据采集层功能定位:工控安全数据信息采集。一是计算环境数据采集,包括非法程序启动监测、主机非法内外联监测、违规U盘操作等;二是网络通信数据采集,包括设备资产发现、设备运行状态监测;三是区域边界数据采集,包括安全合规监测、异常攻击监测、非法外联监测、非法内联监测、内网异常访问监测、非法Web服务监测等数据信息。
2.动态化体系支撑,牢固基础、强化应对、落地运营
本项目在风电集控基础上应用了基于工业控制系统的防护手段,构建了安全可控为目标、监控审计为特征的风电厂控制系统新一代主动防御体系,提高工业控制系统在于工业互联网对接过程中的整体安全性。项目的成功实施,为发电企业工业控制系统网络安全防护体系建设开创行之有效的安全建设模式,提高发电厂一体化安全防护的能力。平台功能体系如图附3所示。
平台功能体系
平台结合生产控制系统实际设计,整体具有集中监测控制的特点,底层为各风场机组设备层,上层为区域监控层,分监测模块、审计模块、运维管理模块、主机防护模块、集中管控模块、预警模块等多个功能模块,在现场实现全方位的纵深防御及基础数据采集,在体系架构及运营管理的支撑运行下,达到多级联动、态势分析的效果。
五、天融信:基于行为基线分析的安全技术防护体系
天融信基于行为基线分析的安全技术防护体系涵盖了安全防护设备、检测设备等体系化的安全产品,解决生产网络信息系统安全问题。整体安全防护部署拓扑图如图附4所示。
整体安全防护部署拓扑图
(1)访问控制
在IT至OT网络间部署工业网闸,实现网络边界访问控制,满足等保2.0中控制区与非控制区边界实现单项隔离即协议剥离要求。在生产网OT网络区域边界部署访问控制手段,对接入访问行为进行管控。同时通过基于用户端的认证手段,实现接入目标的认证。关键节点采用工业防火墙+VPN的应用方式,实现通信数据保密性和完整性防护。
(2)网络行为监测
(3)工控主机卫士
(4)脆弱性检测工控漏洞作为一项重要脆弱性指标需有相应的安全防护措施进行应对,建议采用离线工控系统漏洞扫描和入网检测方式进行工控系统脆弱性检测。脆弱性检测对目标设备进行扫描,可发现生产系统中存在的工控漏洞等脆弱性。同时可对生产网中新增设备/系统进行上线前检测,检测合格后方能具备入网资格。
六、安天:智甲终端防御系统的工业部署实践
安天智甲终端防御系统(简称“智甲”)是专为各行业的业务网络、办公网络、专用网络、桌面虚拟化办公网络、数据中心以研发的终端安全防御产品。
安天智甲终端防御系统以私有查杀云技术为基石,以黑白双控检测为机制,以可信应用控制和主机安全策略为主线,以静态鉴定、程序动态安全分析为手段,以多维度多机制终端安全防护为目的,实现对APT高级攻击、勒索软件攻击的全面防护,实现对终端的有效防护。
安天智甲终端防御系统主要包括以下功能:系统管理、威胁展示、可视化展现、病毒查杀、漏洞检测与修复、主动防御、高级威胁防护、APT追溯、虚拟补丁防护、防勒索、终端管理、检测加固、网络保护、安全基线、移动介质管控、流量控制、威胁报表、日志与审计等功能。安天智甲终端防御系统如图附5所示。
安天智甲终端防御系统
(1)终端管理
可查看网内终端信息,包括:计算机名、IP地址、MAC地址、CUP占用率、内存容量、TCP连接数、硬盘容量、客户端版本、操作系统、数据库、应用软件版本等信息。可管控配置客户端防护策略,包括:客户端启动策略、升级策略、防护策略、上传策略、扫描策略等。可进行终端安全状态评估,对全局终端安全性进行监控。评估终端安全状态,可查看终端威胁文件、未知文件、未知文件执行、系统高危漏洞、终端安全状态等信息。支持分组管理,可对不同组下终端配置不同防护策略。
(2)威胁展示
展示全局安全状态信息,包括病毒事件统计信息、高级威胁统计信息、系统高危漏洞统计信息;以未知文件统计信息、文件云鉴定统计信息、威胁可视化等。还有系统通知信息,安全基线,威胁终端排名。显示当前分级以及当前分级以下分级的威胁统计信息,以分级为统计对象,显示各级的病毒、漏洞统计信息以及文件鉴定建议统计信息。
七、绿盟:工业网络安全智能监控预警平台实践
绿盟工业网络安全监测预警平台可以对工业网络中各类上位机服务器、工控终端、网络交换设备、工控安全设备进行集中化的性能状态监控、安全事件的集中展示、安全风险的评估、工控分区分域的健康等级,以及依赖于工控知识库的安全响应与处置。绿盟工业网络安全监测预警平台如图附6所示。
绿盟工业网络安全监测预警平台
(1)工业网络数据采集
绿盟工控预警平台可以支持代理日志采集方式和多种标准协议。通过数据采集、数据理解、数据抽取和数据清洗等操作,将各种应用系统和设备的日志进行预处理,帮助管理员把工业网络日志进行去噪,提取其中人们事先不知道,但有潜在有用的信息和知识。
(2)数据强化技术
绿盟工控预警平台根据绿盟科技对攻防研究的长期积累,提供一套简洁有效的日志统一分类,使用独有的技术将日志快速标准化,并基于安全分析需要进行数据的过滤和强化,丢弃无法用的噪音信息,提升日志查询和分析效率。
(3)分析引擎
平台中预制关联分析引擎,预制引擎构成分析平台的核心功能并且对专项分析提供基础能力,如风险分析、脆弱性分析、态势分析、资产分析、攻击链条分析等。分析引擎采用分布式设计能够进行横向扩展,面临工业网络数据量时能够实现按需扩展,将分析引擎分散到其他更多的机器中,实现按需进行计算资源扩展。
(4)面向业务的插件化设计
绿盟工控预警平台采用全新大数据框架,将上层业务模块插件化处理,使业务模块与平台功能进行一对一设计,业务模块的改善和增加就不会造成其他模块或平台功能的调整,也就是将业务模块抽象并与平台功能实现分离,从而提高研发效率,降低企业维护成本。
(5)可靠性
绿盟工控预警平台采用大数据组件,对数据对象弹性分布存储3个存储节点中,并采用线程级监控,一旦发现问题,可迅速恢复并告警,同时3备份可以提供完整的灾难恢复功能。
(6)多地部署
针对大型多组织的企业和机构,采集器可以部署在异地站点或二级单位(保持网络可达),分析中心部署在总部节点,异地站点将采集到的数据定时通过FTP或SFTP上传到上级分析中心,供本地留存和查询服务。
八、威努特:基于无损探测的工业互联网设备测绘实践
威努特自主研发的工业互联网雷达iRadar旨在发现暴露在互联网上的工业设备、工业系统、物联网设备等。工业互联网雷达产品架构图如图附7所示。
工业互联网雷达产品架构图
(1)IoT设备扫描
工业互联网雷达iRadar采用分布式并行扫描技术,扫描节点动态可扩展,实现了网络空间设备快速扫描。工业互联网雷达采用了流水线作业式探测技术,来提高探测效率。设备探测过程包括端口存活、服务判别、设备识别、漏洞发现等多个步骤,每个步骤作为流水线的一个环节,实现了细粒度的扫描任务调度。工业互联网雷达引入了无状态极速扫描技术,使用了TCP半连接扫描和异步状态统计的相结合的模式,大幅度的提升了单次扫描的速度。
(2)基于指纹的设备类型识别
工业互联网雷达引入了多维度的协议识别技术实现了广泛的协议解析。此外,平台采用会话深度交互技术,可获取工控设备固件的型号、版本等多种信息。
工业互联网雷达除可识别HTTP、HTTPS、FTP、Telnet、SNMP等通用协议外,还支持主流工控协议识别,如Modbus、S7、DNP3、IEC104等,覆盖西门子、施耐德、罗克韦尔等国内外知名厂商的PLC、DCS、RTU、SCADA、HMI等工控系统。
(1)基于业务报文的无损漏洞探测
对于工控系统等重要信息基础设施,业务的连续性与稳定性是至关重要的。传统的有损漏洞探测方式并不适用此类设备。传统的扫描产品为了保证漏洞识别的精准度,探测器会向被探测设备发送含有一定攻击特征的报文,会对目标系统带来攻击性和不稳定性。
工业互联网雷达采用无损漏洞探测技术,利用正常协议控制命令,获取设备漏洞信息,保证探测行为与业务行为的一致,从而实现了在不影响系统正常作业基础上的漏洞探测。
九、亚信安全:工业互联网安全解决方案及应用实践
针对工业互联网的安全需求,基于亚信安全目前成熟的解决方案,将工业互联网划分为工业互联网云平台、工厂外部网络和工厂内部网络来提供安全能力架构。安全能力架构如图附8所示。
安全能力架构
(1)针对工业互联网云平台提供了工业云平台安全、工业网络威胁检测、工业网络威胁防护、威胁取证、安全沙箱、邮件威胁防护、安全监测与管理、工业数据安全、工业移动终端及APP安全、身份管理安全等能力;
(2)针对工厂外部网络提供了协议标识解析、网络威胁检测、网络威胁防护、安全监测与管理等能力;
(3)针对工厂内部OT网络提供了工厂控制系统网络威胁检测、网络威胁防护、恶意软件清除、软件运行安全能力;针对工厂内部IT网络提供了云平台、主机安全、数据安全、邮件威胁防护、安全沙箱、身份安全、安全监测与管理等能力。
在汽车制造业中提供了以精密联动为核心的APT防护系统解决方案,作为未知威胁信息采集(邮件网关IMSA、DDEI)、网关(下一代安全网关DeepEdge)及终端处理节点(TMCM\OSCE),并新增未知威胁分析、网络传输已知威胁检测及未知威胁采集(TDA)、网络防毒墙阻断新威胁IP/URL/文件/漏洞利用(DE),形成威胁源头捕获、威胁分析、威胁处理的一个完善流程,通过联动方式自动完成,将APT威胁得到有效及时的处理。
十、启明星辰:基于流量自学习的工业互联网设备深度网络逻
辑隔离安全防护实践天清汉马工业防火墙可部署在工业网络每层的边界位置,或部署设备层的边界对不同的工厂进行逻辑隔离。
1.工业协议访问控制
工业防火墙可以对专用的工业协议进行白名单或黑名单的访问控制:
(1)预置了百种以上工业协议,可实现工业协议的白名单安全防护;
(2)预置了常用的PLC防护模型,可快速实现控制器的白名单防护;
(3)支持基于二层协议号和三层网络端口号的自定义工业协议白名单安全防护。
2.工业协议深度过滤
天清汉马工业防火墙针对工业协议的安全防护,除了具备白名单访问控制等基本功能外,还需要对工业协议有应用层的理解与控制,可以实现对工业指令的过滤。天清汉马工业防火墙支持基于Modbus/TCP、Modbus/RTU、IEC104等协议的深度过滤功能。以下以Modbus/TCP和Modbus/RTU为例进行说明:
(1)MODBUS/TCP深度解析防护
天清汉马工业防火墙的Modbus/TCP深度解析模块可以支持应用层细粒度控制,具体包括:功能码的访问控制、设备地址的访问控制、线圈范围的读写访问控制、寄存器范围的读写访问控制、输入地址访问控制等。此外还通过支持阻断时Reset回复、阻断时异常回复和黑白名单机制来保证工业网络在防护设备阻断时不会出现异常。
管理员通过对业务和实际生产网络的梳理,可以建立起合法业务的Modbus指令列表,通过Modbus深度解析防护模块可以建立合法白名单,阻止非法和入侵的报文通过,极大提高Modbus网络的安全防护能力。
(2)MODBUS/RTU深度解析防护
虽然工业以太网是发展趋势,但很多生产线仍是基于串行链路进行通信。天清汉马工业防火墙支持基于RS232/440/485链路的数据通信,同时可以支持引用Modbus/RTU的深度解析防护策略。
天清汉马工业防火墙支持串行通信参数配置,可以针对波特率、数据位、奇偶校验、停止位、流控参数进行配置。
3.工业入侵防御
天清汉马工业防火墙集成特有工业入侵防御引擎,可以对工业系统的私有协议或者特定攻击进行防护。其引擎独创的规则定义语言支持TCP、UDP、HTTP、DNS等60多种协议解析;支持300多种协议变量的解析,且协议变量名称遵循国际标准;提供百余种功能函数专用于规则描述,简化复杂规则功能的定义;支持24种算术运算符、逻辑运算符和多种数据类型。可以精确表达类似自然语言的丰富的检测需求,减少误报的同时可增强发现各种多样化、复杂化、隐蔽化的攻击。
4.流量自学习
为了解决现场工程师熟悉业务但对工控网络协议不太了解的情况,设备支持在添加防护策略前,在工控环境中进行流量自学习。设备首先通过自学习获取工控设备的IP、MAC地址、工业协议等信息;然后对工控设备进行自动命名,以资产和协议的角度更加形象化地梳理并呈现工控网络情况,并进行向导式的安全策略推荐。
5.多工作模式
工业网络对可用性要求最高,管理员需要完全掌握工业网络的运行情况后,才能根据实际情况制定合适和有效的安全策略。天清汉马工业防火墙支持三种工作模式,分别是:
(1)全通模式:所有报文都通过,保障网络畅通。
(2)测试模式:针对要阻断的报文并不实际丢弃,而是以日志报警的方式告知管理员,主要用于管理员理解策略的效果是否符合预期。
(3)防护模式:安全策略经过测试模式的考验,管理员对效果进行了充分的评估,并将策略调整到最优,此时可以切换到防护模式,对工业网络进行安全防护。
十一、安恒信息:发电厂电力监控系统信息安全防护实践
电厂工控网络和信息安全防护体系建设是根据“纵深防御”安全原则。不仅加固管理大区信息安全防护手段,同时通过对工业控制系统进行安全区域划分,建立不同区域之间的数据通讯管道,对管道数据进行全面的分析与管控。中央管理与控制平台必须使企业管理者能够总揽全局,时刻了解工业控制系统网络安全的状况,指导企业建立合理的安全策略,规范安全管理流程,建立工业控制系统网络安全的“纵深防御”体系。
在本电厂中建立“纵深防御”体系如图附9所示。
工控及信息系统智能防护解决方案网络图
(1)在四区核心交换机上采用旁路接入的方式部署数据库安全审计系统;
(2)在四区核心交换机上采用旁路接入的方式部署APT攻击预警平台;
(3)在四区在IPS与防火墙之间部署Web应用防火墙。
2.实现生产大区工控安全防护
在生产大区部署工控安全防护产品,提高工控系统在边界隔离、入侵检测及安全审计等方面的防护能力,具体措施如下:
(1)在1号DCS根交换机上采用旁路接入的方式部署工控威胁感知系统;
(2)在2号DCS根交换机上采用旁路接入的方式部署工控威胁感知系统;
(3)在辅网核心交换机交换机上采用旁路接入的方式部署工控威胁感知系统;
(4)在1号机DCSOPCServer与PI接口机之间部署工业防火墙;
(5)在工业废水处理PLC与水网核心交换机之间部署工业防火墙;
3.实现全厂安全信息运营
在四区部署企业安全感知中心,收集部署在生产大区及管理大区安全设备提供的安全数据,其中生产区的安全数据通过单向隔离装置导出,保障生产大区的物理隔离。
企业安全感知中心为本方案中的工业控制系统信息安全的中央管理与控制平台,实现对工业控制系统及设备、安全设备等的监控。
十二、杭州迪普:智能工业交换机助力工业互联网高可靠通讯的实践
迪普科技基于白名单分析的安全通讯体系包含了智能工业交换机、物联网应用安全控制系统等产品,是为满足灵活多变的工业应用需求而提供的一种工业以太网通讯解决方案,解决用户网络的环境适应性、通信实时性、网络安全性等问题。
(1)适应恶劣环境
智能工业交换机严格遵守工业规范要求而开发,整机采用工业级元器件,无风扇散热电路设计,经过严苛的环境测试,设备能够在-40~85℃宽温环境下稳定工作。提供了耐振动、耐冲击、耐高/低温、耐腐蚀、防尘、脉冲磁场抗扰等卓越的工业级品质,确保在各类恶劣环境下可持续可靠运行。
(2)整机掉电告警机制
(3)视频数据探测安全防护技术
智能工业交换机使用视频数据探测安全防护技术,可实现不同厂商的摄像头接入到交换机时,交换机能够自动识别摄像机厂商的型号以及TCP端口、摄像机IP、MAC等信息,对正确识别到的摄像机信息进行端口数据绑定操作,只放通绑定的摄像头流量,保证数据正常转发,当非绑定设备接入交换机时,会对其接入端口进行隔离,防止黑客通过PC进入视频传输网进行一系列违规操作,对网络进行安全防护。
(4)白名单防护机制
智能工业交换机可与物联网应用安全控制系统DAC进行联动,信息监控平台将两者收集到的接入终端信息形成资产库白名单,配合DAC设备内置的协议白名单,实时识别非法设备及非法业务流量,并将日志发送到信息监控平台,平台将通知交换机,交换机可溯源到终端接入端口并对其进行阻断,将安全防线前移。
十三、奇安信:工业主机安全防护系统应用实践
面对工业主机补丁打不了、漏洞防不了、资产查不了等安全问题,奇安信集团自主研发了一款面向工控环境专用的工业主机安全防护系统。该系统能够防范恶意程序运行、集中安全风险分析和配置管理,实现对工业主机全面的安全防护。
(1)白名单管控
工业主机安全防护系统采用“白名单”防护技术并结合外设管控技术,全方位地保护主机的资源使用。根据白名单策略,工业主机安全防护系统会禁止非法进程的运行,并通过基于单个ID的USB移动存储外设管控,禁止非法USB设备的接入以及合法USB设备的权限管控。
(2)工业主机“永恒之蓝”防御,关卡式病毒拦截
针对“永恒之蓝”勒索病毒,白名单在防护模式下会放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,同时结合漏洞防御进行永恒之蓝的超前防御,可以形成从“病毒入口-病毒运行-病毒扩散”三个环节的层层设防,步步拦截,从而做到病毒进不来、启不动、扩散不了,实现主机安全无死角病毒防护。
(3)工业资产全方位梳理
工业主机安全防护系统通过定义网络IP段分组,对指定的网络分组进行周期性地发现并统计网络中的终端数量及类型,自动获取工业主机CPU、内存、硬盘等基础信息,形成资产清单,为企业进行工业主机管理和安全运维提供有效的参考。
(4)集中管理,统一运维
工业主机安全防护系统控制中心采用软件化方式安装在客户的服务器以及虚拟机上,方便系统管理员通过控制中心对网内所有工业主机进行安全策略管理、配置下发等,实现统一管控和安全风险分析,集中管理会显著降低运维成本。
工业主机安全防护系统创新性地采用“漏洞利用分析-流量解析比对-可疑攻击阻断”的超前防御模式,通过白名单智能匹配、“入口-运行-扩散”三重关卡拦截技术及“永恒之蓝”专杀技术,保护工业主机不受病毒等恶意软件侵害。工业主机安全防护系统部署如图附10所示。
工业主机安全防护系统部署
未来展望
根据Gartner统计,2018年,10%以资产为中心的企业采用将传统安全与专业OT安全技术混合部署模式来保护OT环境,这一比例将在2022年达到30%。
由此可见,日趋频繁的网络攻击事件和持续加码的政策要求为提升工业企业安全意识、推动工业互联网安全能力建设提供良好契机。
第二,以IT视角为主的安全产品和服务难以满足工业互联网的实际需求,工业互联网安全仍需突破瓶颈,面向OT纵深发展。
第三,工业领域网络安全宣传教育亟需加强。人是安全的尺度,通过培训提升OT人员的安全意识和技能是最快最有效的网络安全风险规避方式。
在特殊性能需求方面,工业互联网需要保障生产的连续性和可靠性,IT网络中常见的影响网络时延或开销的操作在OT网络中可能无法适用,提供平衡安全风险和业务影响的方案将成为工业互联网安全厂商追求的目标。