電力,、水務(wù),、燃?xì)?、交通……工業(yè)設(shè)施猶如城市的中樞神經(jīng)和毛細(xì)血管,嵌入在我們生產(chǎn)生活的方方面面,,面對(duì)日益升級(jí)的網(wǎng)絡(luò)威脅和對(duì)抗,,如何有效保障其安全運(yùn)行,成為保證社會(huì)穩(wěn)定運(yùn)行和經(jīng)濟(jì)發(fā)展命脈的關(guān)鍵之一,。
為了幫助厘清工業(yè)設(shè)施面臨的真實(shí)安全威脅以及剛性合規(guī)要求,,安全419推出《工業(yè)網(wǎng)絡(luò)安全解決方案》系列訪談選題,希望為工業(yè)企業(yè)運(yùn)營(yíng)者提升安全保障能力提供參考借鑒,。本期,,我們走進(jìn)杭州中電安科現(xiàn)代科技有限公司(以下簡(jiǎn)稱“中電安科”),邀請(qǐng)到其總經(jīng)理趙峰,,為大家介紹他們?cè)谠擃I(lǐng)域的積累和實(shí)踐,。
中電安科聚焦工控網(wǎng)絡(luò)安全產(chǎn)品的自主研發(fā),覆蓋安全審計(jì),、邊界防護(hù),、安全管理、終端防護(hù),、云安全等全域工業(yè)網(wǎng)絡(luò)安全產(chǎn)品體系,,深耕電力、石油石化,、軌道交通、智能制造,、礦業(yè)開采,、港口碼頭、軍隊(duì)軍工等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè),,公司自2021年起相繼獲中國(guó)電科,、中國(guó)中車、國(guó)家電網(wǎng)等央企旗下產(chǎn)業(yè)基金戰(zhàn)略投資,,正式進(jìn)入網(wǎng)絡(luò)安全“國(guó)家隊(duì)”,。
關(guān)基設(shè)施安全防護(hù)三大難:
底子薄 對(duì)手強(qiáng) 影響大
近年來(lái),全球針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊從未間斷,,委內(nèi)瑞拉全國(guó)大停電,、美國(guó)天然氣管道商遭網(wǎng)絡(luò)攻擊,、烏克蘭核電廠發(fā)生嚴(yán)重網(wǎng)絡(luò)安全事故等事件歷歷在目。2022年以來(lái),,臺(tái)達(dá)電子遭受勒索軟件攻擊,、豐田日本受網(wǎng)絡(luò)襲擊生產(chǎn)停產(chǎn)、意大利鐵路系統(tǒng)遭黑客攻擊致多地車站受影響,、伊朗國(guó)家鐵路遭網(wǎng)絡(luò)攻擊……越來(lái)越多的網(wǎng)絡(luò)安全事件凸顯出工業(yè)網(wǎng)絡(luò)威脅的嚴(yán)重性,。
在我國(guó),同樣也面臨著嚴(yán)峻的工控安全挑戰(zhàn),,2016年某油田感染conficker蠕蟲病毒,,2017年某電廠PLC系統(tǒng)出現(xiàn)藍(lán)屏重啟,2018年臺(tái)積電遭勒索病毒入侵……黑客的攻擊手段,、入侵方式層出不窮,,給整個(gè)工業(yè)領(lǐng)域帶來(lái)了不可估量的損失和影響。
縱觀愈演愈烈的工業(yè)網(wǎng)絡(luò)安全威脅,,中電安科總經(jīng)理趙峰對(duì)此表示,,工業(yè)網(wǎng)絡(luò)信息安全防護(hù)有其特殊性:
01 其防護(hù)的受攻擊主體特殊,與以謀財(cái),、牟利為目的的網(wǎng)絡(luò)詐騙,、網(wǎng)絡(luò)入侵等傳統(tǒng)攻擊不同,工業(yè)企業(yè)的入侵者不會(huì)是一般意義上的“黑客”,,而很可能是恐怖組織甚至是敵對(duì)國(guó)家力量支撐的組織,;
02 遭受攻擊破壞后果嚴(yán)重,關(guān)鍵信息基礎(chǔ)設(shè)施覆蓋到我們?nèi)粘I畹姆椒矫婷?,是一?guó)之“命脈”,,大型工業(yè)裝置的關(guān)鍵設(shè)施一旦遭受攻擊,帶來(lái)的可能不只是金錢的損失,,影響到的可能是幾億人民的生活,,會(huì)直接威脅到國(guó)民經(jīng)濟(jì)的發(fā)展和社會(huì)安定,因此針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊還涉及到了社會(huì)政治問(wèn)題,。
03 從網(wǎng)絡(luò)安全防護(hù)措施來(lái)看,,關(guān)鍵信息基礎(chǔ)設(shè)施可謂非常脆弱。在工業(yè)互聯(lián)網(wǎng)還不太發(fā)達(dá)的時(shí)候,,大家的安全意識(shí)十分薄弱,,安全措施不到位,埋下了很多隱患,。由于這些設(shè)施是用來(lái)保障民生的,,不能輕易停止運(yùn)行,導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施成為國(guó)家級(jí)黑客組織的“靶子”,漏洞及遭遇的網(wǎng)絡(luò)攻擊一直在持續(xù)增加,。近些年,,危害極大的勒索病毒也成為了工業(yè)領(lǐng)域面臨的典型威脅之一。
合規(guī)與內(nèi)控持續(xù)增強(qiáng)
工業(yè)安全建設(shè)任重道遠(yuǎn)
為了有效避免嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)威脅,,工業(yè)企業(yè)需要按照國(guó)家等保2.0,、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求、密碼法以及相關(guān)行業(yè)要求進(jìn)行工控網(wǎng)絡(luò)安全建設(shè),,重點(diǎn)加強(qiáng)網(wǎng)絡(luò)邊界隔離,、主機(jī)防護(hù)加固、網(wǎng)絡(luò)監(jiān)測(cè)預(yù)警與審計(jì),、安全運(yùn)維管理等技術(shù)措施,,并結(jié)合管理制度全面提升工業(yè)企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力。
結(jié)合中電安科多年的實(shí)踐經(jīng)驗(yàn),,趙峰表示,,工控系統(tǒng)的業(yè)務(wù)特點(diǎn)決定了基于傳統(tǒng)信息安全防護(hù)技術(shù)(如防火墻、入侵,、殺毒軟件等)無(wú)法有效地保護(hù)工控網(wǎng)絡(luò)的安全,,大多工業(yè)企業(yè)在建設(shè)工控網(wǎng)絡(luò)安全過(guò)程中都會(huì)面臨以下幾個(gè)難點(diǎn):
互聯(lián)網(wǎng)和工業(yè)的深度融合,打破了傳統(tǒng)工業(yè)領(lǐng)域相對(duì)封閉可信的環(huán)境,,將互聯(lián)網(wǎng)的安全威脅滲透進(jìn)工業(yè)領(lǐng)域,,僅依賴邊界設(shè)備無(wú)法有效抵御風(fēng)險(xiǎn),網(wǎng)絡(luò)攻擊可以直達(dá)生產(chǎn)一線,;
工業(yè)環(huán)境最大的威脅是專有的靶向類惡意代碼,,如震網(wǎng)、火焰等病毒,,它們的攻擊對(duì)象是工業(yè)控制系統(tǒng)中的工程師站,、操作員站、服務(wù)器等主機(jī)以及DCS,、PLC等控制器,,需要有專業(yè)的技術(shù)發(fā)現(xiàn)工控類攻擊;
工控系統(tǒng)由各種自動(dòng)化控制組件構(gòu)成,,大量的工控系統(tǒng)采用私有協(xié)議通信,,缺少安全設(shè)計(jì)和論證,多數(shù)情況是犧牲安全性以換取穩(wěn)定性,,安全更新維護(hù)不及時(shí),,不能實(shí)現(xiàn)自主可控,,需要對(duì)工業(yè)安全與工業(yè)生產(chǎn)取得平衡,。
隨著國(guó)家等級(jí)保護(hù)制度實(shí)施力度和各行業(yè)內(nèi)控與合規(guī)要求的不斷增強(qiáng),工業(yè)企業(yè)對(duì)工控網(wǎng)絡(luò)安全衍生了更多需求,例如工業(yè)資產(chǎn)分級(jí)分類管理需求,、風(fēng)險(xiǎn)可視化需求,、能力聚合需求、運(yùn)營(yíng)能力提升及效率提升需求,、攻防實(shí)戰(zhàn)演習(xí)的需求,,這些都成為了工業(yè)安全建設(shè)的下一個(gè)里程。
以軌道交通行業(yè)為例
看如何實(shí)現(xiàn)關(guān)基設(shè)施可知,、可管,、可控
公開資料顯示,中電安科自2016年起推出“大安全”“可知可管可控”的工控安全防護(hù)理念,,長(zhǎng)期深耕行業(yè)并積累經(jīng)驗(yàn),,目前針對(duì)工業(yè)企業(yè)場(chǎng)景業(yè)務(wù)特點(diǎn)以及行業(yè)屬性推出30+行業(yè)解決方案。趙峰以軌道交通行業(yè)為例,,為我們介紹了中電安科的防護(hù)策略和落地實(shí)踐,。
地鐵綜合監(jiān)控系統(tǒng)(ISCS)作為軌道交通信息化系統(tǒng)中子系統(tǒng),承載了對(duì)PSCADA,、BAS,、FAS、UPS電源系統(tǒng)等進(jìn)行實(shí)時(shí)集中監(jiān)視和控制的基本功能,,一旦系統(tǒng)被攻擊入侵,,將給地鐵的正常運(yùn)營(yíng)、運(yùn)行帶來(lái)巨大的影響,。為了避免我國(guó)城市軌道交通行業(yè)在數(shù)字化網(wǎng)絡(luò)化發(fā)展過(guò)程中出現(xiàn)信息安全和網(wǎng)絡(luò)安全問(wèn)題,,各城市軌道交通行業(yè)建立常態(tài)化、覆蓋事前,、事中,、事后的全方位信息安全服務(wù)體系,形成動(dòng)態(tài)防護(hù),、監(jiān)測(cè)預(yù)警,、響應(yīng)處置的網(wǎng)絡(luò)安全工作機(jī)制,覆蓋智慧城軌全生命周期和運(yùn)營(yíng)全過(guò)程,。
對(duì)于客戶來(lái)說(shuō),,擺在眼前的實(shí)際需求在于:
工控協(xié)議識(shí)別種類廣泛
ISCS屬于多系統(tǒng)深度集成的系統(tǒng),在控制網(wǎng)絡(luò)中存在多家自動(dòng)化廠商PLC控制器,,需要對(duì)多協(xié)議進(jìn)行識(shí)別和分析及策略阻斷能力,;
工控入侵行為檢測(cè)能力的精確性
需要工控監(jiān)測(cè)審計(jì)系統(tǒng)精準(zhǔn)地識(shí)別基于工控協(xié)議的入侵行為,對(duì)異常的通信行為能夠進(jìn)行分析,、告警的能力,,實(shí)現(xiàn)風(fēng)險(xiǎn)、威脅“可知、可管”,;
基于ISCS系統(tǒng)業(yè)務(wù)特性實(shí)現(xiàn)網(wǎng)絡(luò)隔離
通過(guò)與外部系統(tǒng)如PIS,、SIG、AFC等與ISCS系統(tǒng)邊界部署工控防火墻進(jìn)行有效隔離,,實(shí)現(xiàn)網(wǎng)絡(luò)隔離,、訪問(wèn)控制、邊界完整性檢查等功能,。
趙峰介紹,,ISCS由控制中心系統(tǒng)、各車站級(jí)控制系統(tǒng),、車輛段控制系統(tǒng),、培訓(xùn)管理系統(tǒng)、設(shè)備維護(hù)及網(wǎng)絡(luò)管理系統(tǒng)等組成,,各系統(tǒng)通過(guò)冗余環(huán)網(wǎng)連接,。建設(shè)綜合監(jiān)控系統(tǒng)安全防護(hù)體系,主要集中在控制中心,、各車站,、車輛段、停車場(chǎng)以及主所/區(qū)間所等系統(tǒng)防護(hù),。
區(qū)域邊界安全:
對(duì)線路級(jí),、車站級(jí)ISCS系統(tǒng)進(jìn)行安全區(qū)域劃分,在ISCS系統(tǒng)與PIS,、SIG,、AFC等外部系統(tǒng)互聯(lián)邊界處采用冗余模式部署工控防火墻,防范中央ISCS系統(tǒng)與集成,、互聯(lián)接口系統(tǒng)之間進(jìn)行互連時(shí)違規(guī)訪問(wèn)現(xiàn)象的發(fā)生,,以及防范外部惡意攻擊和入侵??勺R(shí)別多種工控協(xié)議如Modbus,、IEC61850、S7,、S7-Plus,、Profinet、CIP,、OPC-DA,、OPC-U等,實(shí)現(xiàn)指令級(jí)的訪問(wèn)控制,,同時(shí)可為系統(tǒng)內(nèi)部的私有協(xié)議實(shí)現(xiàn)定制化功能,。
通信網(wǎng)絡(luò)安全:
對(duì)線路級(jí),、車站級(jí)ISCS系統(tǒng)部署工控監(jiān)測(cè)審計(jì)系統(tǒng),全面滿足工控協(xié)議兼容性要求,,通過(guò)集成工控漏洞庫(kù)和工控級(jí)入侵特征庫(kù),智能識(shí)別利用協(xié)議漏洞發(fā)起的攻擊并提供策略阻斷,。在控制中心部署工控終端防護(hù)系統(tǒng)(管理端軟件),,進(jìn)行統(tǒng)一的安全策略下發(fā)和基線管理,并對(duì)客戶端的狀態(tài)進(jìn)行統(tǒng)一監(jiān)控和管理,。采用自動(dòng)學(xué)習(xí)生產(chǎn)工控網(wǎng)絡(luò)流量白名單,、形成白名單規(guī)則并進(jìn)行策略一鍵部署,通過(guò)白名單規(guī)則匹配判斷工控協(xié)議數(shù)據(jù)包是否有異常,,生成告警信息,,對(duì)工控協(xié)議流量實(shí)現(xiàn)指令級(jí)訪問(wèn)控制。
計(jì)算環(huán)境安全:
對(duì)線路級(jí),、車站級(jí)ISCS系統(tǒng)中的操作員站,、工程師站上部署終端防護(hù)客戶端,實(shí)現(xiàn)對(duì)操作站,、工程師站進(jìn)行安全加固,,進(jìn)程白名單管控和USB移動(dòng)存儲(chǔ)介質(zhì)管控,切斷病毒入口,,能夠有效地防止惡意代碼感染,。
安全管理中心:
通過(guò)在控制中心部署的安全管理平臺(tái)、運(yùn)維堡壘機(jī)對(duì)所有安全設(shè)備進(jìn)行統(tǒng)一管理,,可有效地防止非法入侵,、工業(yè)數(shù)據(jù)篡改、非法指令下裝等安全威脅,,實(shí)現(xiàn)態(tài)勢(shì)感知能力,。全面提升ISCS系統(tǒng)網(wǎng)絡(luò)的安全性,確保設(shè)備,、系統(tǒng),、網(wǎng)絡(luò)的可靠性和穩(wěn)定性以及網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性。
基于此,,中電安科是從“技”,、“管”兩個(gè)維度來(lái)建立全面防護(hù)體系,從安全計(jì)算環(huán)境,、安全通信網(wǎng)絡(luò),、安全區(qū)域邊界等多個(gè)維度實(shí)現(xiàn)安全防護(hù)建設(shè),同時(shí)結(jié)合ISCS系統(tǒng)特性,,構(gòu)建符合國(guó)家等保監(jiān)管要求的安全防護(hù)體系,。能夠有效識(shí)別和阻斷ISCS系統(tǒng)網(wǎng)絡(luò)中的非法訪問(wèn),、入侵等行為,通過(guò)與工控安全平臺(tái)進(jìn)行聯(lián)動(dòng),,快速定位風(fēng)險(xiǎn)入侵路徑,、風(fēng)險(xiǎn)階段、風(fēng)險(xiǎn)源頭,,形成閉環(huán)動(dòng)態(tài)的ISCS系統(tǒng)安全防御體系,,為軌道交通ISCS系統(tǒng)的穩(wěn)定運(yùn)行、安全運(yùn)行提供有效的安全保障支撐,。
自主可控是工業(yè)網(wǎng)絡(luò)安全市場(chǎng)的未來(lái)方向
隨著“工業(yè)4.0”時(shí)代的到來(lái),、“互聯(lián)網(wǎng)+”的步伐加速、以及“兩化融合”的深度融合,,工業(yè)控制網(wǎng)絡(luò)也向著分布式,、智能化的方向迅速發(fā)展。趙峰認(rèn)為,,工業(yè)企業(yè)下一步還需不斷完善縱深防御體系的建設(shè),,從邊界防護(hù)、監(jiān)測(cè)預(yù)警方面入手,,建立起涵蓋邊界,、終端、監(jiān)測(cè),、管理,、運(yùn)營(yíng)為一體的綜合防御體系,持續(xù)提高工業(yè)企業(yè)的安全防護(hù)能力,,保障企業(yè)的工控網(wǎng)絡(luò)安全,。
談及工業(yè)網(wǎng)絡(luò)安全市場(chǎng)的發(fā)展趨勢(shì),趙峰表示,,在當(dāng)前的國(guó)際形勢(shì)下,,科技自立自強(qiáng)已經(jīng)不可逆轉(zhuǎn),信創(chuàng)的邏輯一再被強(qiáng)化,,國(guó)產(chǎn)化將是未來(lái)一段時(shí)間內(nèi)的大勢(shì)所趨,。工業(yè)高質(zhì)量發(fā)展離不開“安全”,工業(yè)網(wǎng)絡(luò)安全市場(chǎng)的未來(lái)發(fā)展趨勢(shì)之一也將會(huì)是自主可控,。據(jù)了解,,中電安科自提出“工控+國(guó)產(chǎn)化”、“工控安全+信創(chuàng)”等概念后,,目前正加快腳步從CPU,、數(shù)據(jù)庫(kù)到操作系統(tǒng)的整個(gè)產(chǎn)品線實(shí)現(xiàn)國(guó)產(chǎn)化,并已在多個(gè)研究院進(jìn)行相關(guān)試點(diǎn)工作,?!拔磥?lái)三年,,我們將繼續(xù)明確主攻方向和核心技術(shù)突破口,專注工控安全領(lǐng)域,,不斷探索創(chuàng)新網(wǎng)絡(luò)安全防護(hù)技術(shù),,并將持續(xù)應(yīng)用于電力、石油石化,、軌道交通,、智能制造、礦業(yè)開采,、港口碼頭、軍隊(duì)軍工,、水利水務(wù)等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè),,為用戶提供具有核心競(jìng)爭(zhēng)力的工控網(wǎng)絡(luò)安全解決方案及服務(wù)?!壁w峰說(shuō)道,。
寫在最后:
《工業(yè)網(wǎng)絡(luò)安全解決方案》系列訪談意在探討分析我國(guó)工業(yè)企業(yè)面臨的重重安全挑戰(zhàn),通過(guò)分享展示不同的安全解決方案的差異和優(yōu)勢(shì),,為工業(yè)企業(yè)開展網(wǎng)絡(luò)安全建設(shè)工作提供一定的參考,。本系列選題將持續(xù)更新,歡迎更多有相關(guān)思考探索,、技術(shù)能力的安全廠商和企業(yè)用戶跟大家分享自己的實(shí)踐經(jīng)驗(yàn),,幫助更多企業(yè)用戶在波譎云詭的網(wǎng)絡(luò)空間和日益嚴(yán)苛的監(jiān)管下安全發(fā)展。
更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<
