电力、水务、燃气、交通……工业设施犹如城市的中枢神经和毛细血管,嵌入在我们生产生活的方方面面,面对日益升级的网络威胁和对抗,如何有效保障其安全运行,成为保证社会稳定运行和经济发展命脉的关键之一。
为了帮助厘清工业设施面临的真实安全威胁以及刚性合规要求,安全推出《工业网络安全解决方案》系列访谈选题,希望为工业企业运营者提升安全保障能力提供参考借鉴。本期,我们走进杭州中电安科现代科技有限公司(以下简称“中电安科”),邀请到其总经理赵峰,为大家介绍他们在该领域的积累和实践。
中电安科聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域工业网络安全产品体系,深耕电力、石油石化、轨道交通、智能制造、矿业开采、港口码头、军队军工等关键信息基础设施行业,公司自年起相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。
关基设施安全防护三大难:底子薄对手强影响大
近年来,全球针对关键信息基础设施的网络攻击从未间断,委内瑞拉全国大停电、美国天然气管道商遭网络攻击、乌克兰核电厂发生严重网络安全事故等事件历历在目。年以来,台达电子遭受勒索软件攻击、丰田日本受网络袭击生产停产、意大利铁路系统遭黑客攻击致多地车站受影响、伊朗国家铁路遭网络攻击……越来越多的网络安全事件凸显出工业网络威胁的严重性。
在我国,同样也面临着严峻的工控安全挑战,年某油田感染conficker蠕虫病毒,年某电厂PLC系统出现蓝屏重启,年台积电遭勒索病毒入侵……黑客的攻击手段、入侵方式层出不穷,给整个工业领域带来了不可估量的损失和影响。
纵观愈演愈烈的工业网络安全威胁,中电安科总经理赵峰对此表示,工业网络信息安全防护有其特殊性:
一是其防护的受攻击主体特殊,与以谋财、牟利为目的的网络诈骗、网络入侵等传统攻击不同,工业企业的入侵者不会是一般意义上的“黑客”,而很可能是恐怖组织甚至是敌对国家力量支撑的组织;
二是遭受攻击破坏后果严重,关键信息基础设施覆盖到我们日常生活的方方面面,是一国之“命脉”,大型工业装置的关键设施一旦遭受攻击,带来的可能不只是金钱的损失,影响到的可能是几亿人民的生活,会直接威胁到国民经济的发展和社会安定,因此针对关键信息基础设施的攻击还涉及到了社会政治问题。
而从网络安全防护措施来看,关键信息基础设施可谓非常脆弱。在工业互联网还不太发达的时候,大家的安全意识十分薄弱,安全措施不到位,埋下了很多隐患。由于这些设施是用来保障民生的,不能轻易停止运行,导致关键信息基础设施成为国家级黑客组织的“靶子”,漏洞及遭遇的网络攻击一直在持续增加。近些年,危害极大的勒索病毒也成为了工业领域面临的典型威胁之一。
合规与内控持续增强工业安全建设任重道远
为了有效避免严峻复杂的网络威胁,工业企业需要按照国家等保2.0、关键信息基础设施保护要求、密码法以及相关行业要求进行工控网络安全建设,重点加强网络边界隔离、主机防护加固、网络监测预警与审计、安全运维管理等技术措施,并结合管理制度全面提升工业企业的网络安全防护能力。
结合中电安科多年的实践经验,赵峰表示,工控系统的业务特点决定了基于传统信息安全防护技术(如防火墙、入侵、杀毒软件等)无法有效地保护工控网络的安全,大多工业企业在建设工控网络安全过程中都会面临以下几个难点:
1、互联网和工业的深度融合,打破了传统工业领域相对封闭可信的环境,将互联网的安全威胁渗透进工业领域,仅依赖边界设备无法有效抵御风险,网络攻击可以直达生产一线;
2、工业环境最大的威胁是专有的靶向类恶意代码,如震网、火焰等病毒,它们的攻击对象是工业控制系统中的工程师站、操作员站、服务器等主机以及DCS、PLC等控制器,需要有专业的技术发现工控类攻击;
3、工控系统由各种自动化控制组件构成,大量的工控系统采用私有协议通信,缺少安全设计和论证,多数情况是牺牲安全性以换取稳定性,安全更新维护不及时,不能实现自主可控,需要对工业安全与工业生产取得平衡。
随着国家等级保护制度实施力度和各行业内控与合规要求的不断增强,工业企业对工控网络安全衍生了更多需求,例如工业资产分级分类管理需求、风险可视化需求、能力聚合需求、运营能力提升及效率提升需求、攻防实战演习的需求,这些都成为了工业安全建设的下一个里程。
以轨道交通行业为例看如何实现关基设施可知、可管、可控
公开资料显示,中电安科自年起推出“大安全”“可知可管可控”的工控安全防护理念,长期深耕行业并积累经验,目前针对工业企业场景业务特点以及行业属性推出30+行业解决方案。赵峰以轨道交通行业为例,为我们介绍了中电安科的防护策略和落地实践。
地铁综合监控系统(ISCS)作为轨道交通信息化系统中子系统,承载了对PSCADA、BAS、FAS、UPS电源系统等进行实时集中监视和控制的基本功能,一旦系统被攻击入侵,将给地铁的正常运营、运行带来巨大的影响。为了避免我国城市轨道交通行业在数字化网络化发展过程中出现信息安全和网络安全问题,各城市轨道交通行业建立常态化、覆盖事前、事中、事后的全方位信息安全服务体系,形成动态防护、监测预警、响应处置的网络安全工作机制,覆盖智慧城轨全生命周期和运营全过程。
对于客户来说,摆在眼前的实际需求在于:
首先,工控协议识别种类广泛,ISCS属于多系统深度集成的系统,在控制网络中存在多家自动化厂商PLC控制器,需要对多协议进行识别和分析及策略阻断能力;
其次,工控入侵行为检测能力的精确性,需要工控监测审计系统精准地识别基于工控协议的入侵行为,对异常的通信行为能够进行分析、告警的能力,实现风险、威胁“可知、可管”;
再者,基于ISCS系统业务特性实现网络隔离,通过与外部系统如PIS、SIG、AFC等与ISCS系统边界部署工控防火墙进行有效隔离,实现网络隔离、访问控制、边界完整性检查等功能。
赵峰介绍,ISCS由控制中心系统、各车站级控制系统、车辆段控制系统、培训管理系统、设备维护及网络管理系统等组成,各系统通过冗余环网连接。建设综合监控系统安全防护体系,主要集中在控制中心、各车站、车辆段、停车场以及主所/区间所等系统防护。
区域边界安全:
对线路级、车站级ISCS系统进行安全区域划分,在ISCS系统与PIS、SIG、AFC等外部系统互联边界处采用冗余模式部署工控防火墙,防范中央ISCS系统与集成、互联接口系统之间进行互连时违规访问现象的发生,以及防范外部恶意攻击和入侵。可识别多种工控协议如Modbus、IEC、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-U等,实现指令级的访问控制,同时可为系统内部的私有协议实现定制化功能。
通信网络安全:
对线路级、车站级ISCS系统部署工控监测审计系统,全面满足工控协议兼容性要求,通过集成工控漏洞库和工控级入侵特征库,智能识别利用协议漏洞发起的攻击并提供策略阻断。在控制中心部署工控终端防护系统(管理端软件),进行统一的安全策略下发和基线管理,并对客户端的状态进行统一监控和管理。采用自动学习生产工控网络流量白名单、形成白名单规则并进行策略一键部署,通过白名单规则匹配判断工控协议数据包是否有异常,生成告警信息,对工控协议流量实现指令级访问控制。
计算环境安全:
对线路级、车站级ISCS系统中的操作员站、工程师站上部署终端防护客户端,实现对操作站、工程师站进行安全加固,进程白名单管控和USB移动存储介质管控,切断病毒入口,能够有效地防止恶意代码感染。
安全管理中心:
通过在控制中心部署的安全管理平台、运维堡垒机对所有安全设备进行统一管理,可有效地防止非法入侵、工业数据篡改、非法指令下装等安全威胁,实现态势感知能力。全面提升ISCS系统网络的安全性,确保设备、系统、网络的可靠性和稳定性以及网络安全防护管理的合规性。
基于此,中电安科是从“技”、“管”两个维度来建立全面防护体系,从安全计算环境、安全通信网络、安全区域边界等多个维度实现安全防护建设,同时结合ISCS系统特性,构建符合国家等保监管要求的安全防护体系。能够有效识别和阻断ISCS系统网络中的非法访问、入侵等行为,通过与工控安全平台进行联动,快速定位风险入侵路径、风险阶段、风险源头,形成闭环动态的ISCS系统安全防御体系,为轨道交通ISCS系统的稳定运行、安全运行提供有效的安全保障支撑。
自主可控是工业网络安全市场的未来方向
随着“工业4.0”时代的到来、“互联网+”的步伐加速、以及“两化融合”的深度融合,工业控制网络也向着分布式、智能化的方向迅速发展。赵峰认为,工业企业下一步还需不断完善纵深防御体系的建设,从边界防护、监测预警方面入手,建立起涵盖边界、终端、监测、管理、运营为一体的综合防御体系,持续提高工业企业的安全防护能力,保障企业的工控网络安全。
谈及工业网络安全市场的发展趋势,赵峰表示,在当前的国际形势下,科技自立自强已经不可逆转,信创的逻辑一再被强化,国产化将是未来一段时间内的大势所趋。工业高质量发展离不开“安全”,工业网络安全市场的未来发展趋势之一也将会是自主可控。据了解,中电安科自提出“工控+国产化”、“工控安全+信创”等概念后,目前正加快脚步从CPU、数据库到操作系统的整个产品线实现国产化,并已在多个研究院进行相关试点工作。“未来三年,我们将继续明确主攻方向和核心技术突破口,专注工控安全领域,不断探索创新网络安全防护技术,并将持续应用于电力、石油石化、轨道交通、智能制造、矿业开采、港口码头、军队军工、水利水务等关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务。”赵峰说道。
写在最后
安全《工业网络安全解决方案》系列访谈意在探讨分析我国工业企业面临的重重安全挑战,通过分享展示不同的安全解决方案的差异和优势,为工业企业开展网络安全建设工作提供一定的参考。本系列选题将持续更新,欢迎更多有相关思考探索、技术能力的安全厂商和企业用户跟大家分享自己的实践经验,帮助更多企业用户在波谲云诡的网络空间和日益严苛的监管下安全发展。#工业控制系统#