結合工業(yè)企業(yè)生產(chǎn)業(yè)務系統(tǒng)特點形成具有工業(yè)企業(yè)特色的網(wǎng)絡安全綜合防護平臺是非常有必要的。

　　伴隨兩化融合，智能制造發(fā)展大趨勢，越來越多的工業(yè)企業(yè)直接或間接的連接到互聯(lián)網(wǎng)，網(wǎng)絡安全風險不斷向工業(yè)領域蔓延，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢異常嚴峻，需要不斷增強對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全的認識，提升其安全防護能力，從而保障我國制造強國、網(wǎng)絡強國的建設戰(zhàn)略方向。

　　工業(yè)控制系統(tǒng)是工業(yè)互聯(lián)網(wǎng)的重要組成部分，是工業(yè)網(wǎng)絡安全建設的核心，同時也是國家關鍵信息基礎設施的重要組成部分，工業(yè)控制系統(tǒng)的安全直接關系到國家整體的戰(zhàn)略安全。隨著我國關于“中國制造2025”、“工業(yè)互聯(lián)網(wǎng)”等一系列制造強國戰(zhàn)略的實施，工業(yè)控制系統(tǒng)逐步實現(xiàn)人、機、料、法、環(huán)、信息的智能感知、互聯(lián)互通、協(xié)同處理，我國也正式步入工業(yè)互聯(lián)網(wǎng)時代，工業(yè)互聯(lián)網(wǎng)使我國工業(yè)自動化、網(wǎng)絡化、智能化水平得到快速發(fā)展的同時，也引入了諸多互聯(lián)網(wǎng)信息安全威脅，工業(yè)網(wǎng)絡安全隱患日益嚴峻。

　　工業(yè)企業(yè)網(wǎng)絡安全防護要求特殊性

　　工業(yè)網(wǎng)絡安全指工業(yè)運行過程中的信息安全，涉及工業(yè)領域各個環(huán)節(jié)，包括工業(yè)控制系統(tǒng)安全(以下簡稱工控安全)、工業(yè)互聯(lián)網(wǎng)安全、工業(yè)大數(shù)據(jù)安全、工業(yè)云安全、物聯(lián)網(wǎng)安全等。與傳統(tǒng)網(wǎng)絡安全相比，工業(yè)網(wǎng)絡安全需適應工業(yè)相對特殊的物理環(huán)境，同時還要適應設備實時性、高可靠性、業(yè)務的連續(xù)性等需求以及工業(yè)協(xié)議眾多且私有化的行業(yè)特征。與構成計算機網(wǎng)絡、互聯(lián)網(wǎng)的傳統(tǒng)信息系統(tǒng)相比，工業(yè)信息系統(tǒng)在保障對象、性能要求、安全需求、風險管控、技術支持、安全服務，以及安全故障影響范圍等方面有其特殊性，其防護復雜性和防護成本也更高，防護難度更大。

　　工業(yè)信息系統(tǒng)對實時性和可用性要求較高，工業(yè)系統(tǒng)業(yè)務通信的時延需要控制在較低水平，以便生產(chǎn)業(yè)務系統(tǒng)能夠7*24小時不間斷有序運行。工業(yè)設備和系統(tǒng)通常依照生產(chǎn)需求和工藝要求進行定制配置，設備系統(tǒng)組合種類多、技術手段差異大、通信協(xié)議通用性低，即使是同一型號的設備，根據(jù)行業(yè)或業(yè)務場景的不同也有不同的配置方式。這些設備和系統(tǒng)的設計重點在于完成生產(chǎn)過程所需的動作，而對數(shù)據(jù)處理能力和安全防護能力的設計偏弱。工業(yè)信息系統(tǒng)升級需要提前制定詳細計劃，并由設備制造商、系統(tǒng)集成商等第三方專業(yè)人員進行操作，系統(tǒng)變更使用的補丁也需要提前進行全面測試，以確保系統(tǒng)變更不影響正常的生產(chǎn)流程，并盡量減少產(chǎn)能損失。

　　工業(yè)設備和系統(tǒng)的這些特性導致其防護方式有所不同，工業(yè)控制系統(tǒng)網(wǎng)絡安全優(yōu)先保障企業(yè)業(yè)務生產(chǎn)過程的穩(wěn)定性，保證生產(chǎn)過程的實時控制，其次才考慮其安全性，傳統(tǒng)網(wǎng)絡安全則優(yōu)先保障的數(shù)據(jù)保密性和完整性。工業(yè)控制系統(tǒng)無法使用安全可靠性高且計算資源消耗大的商用計算機設備加密算法、通用防護軟件等安全產(chǎn)品，需要針對不同設備系統(tǒng)采取專用防護措施。工業(yè)生產(chǎn)使用的多數(shù)設備和系統(tǒng)無法使用第三方服務或置入第三方信息安全解決方案，設備和系統(tǒng)出現(xiàn)問題需要特定設備提供商、系統(tǒng)集成商進行處理。

　　傳統(tǒng)IT安全建設思路難以復用在工業(yè)網(wǎng)絡

　　基于上述工業(yè)網(wǎng)絡安全的特殊防護需求，傳統(tǒng)IT安全難以復用在工業(yè)網(wǎng)絡，主要表現(xiàn)為以下幾個方面：

　　1)傳統(tǒng)IT安全產(chǎn)品消耗資源多，工業(yè)設備相對老舊難以承受

　　傳統(tǒng)IT安全產(chǎn)品消耗資源多主要體現(xiàn)在占用系統(tǒng)資源方面，以傳統(tǒng)的殺毒軟件為例，主要通過病毒掃描查殺引擎實現(xiàn)病毒及惡意代碼的發(fā)現(xiàn)及刪除，并且需要借助于病毒庫的更新保證病毒掃描查殺引擎的有效性，但是無論是病毒查殺的過程，還是病毒庫升級的過程，對工業(yè)設備來說消耗的資源都是非常巨大的，尤其是工業(yè)網(wǎng)絡中存在非常多比較老舊的硬件設備，在支撐工業(yè)應用程序之外，已經(jīng)沒有過多額外的資源支撐病毒查殺引擎的運行以及病毒庫的升級，如果安裝殺毒軟件，極易造成因資源的占用影響工業(yè)應用程序的正常運行，進而影響生產(chǎn)。所以工業(yè)網(wǎng)絡更適用于資源消耗較少的安全防護技術。

　　2)傳統(tǒng)IT安全需要及時更新特征庫，工業(yè)網(wǎng)絡不具備條件

　　傳統(tǒng)IT安全防護產(chǎn)品大多以黑名單技術為主，無論是在主機安全產(chǎn)品還是在網(wǎng)絡安全產(chǎn)品都是以特征匹配的方式進行安全防護，這就要求物理環(huán)境需要具備及時更新特征庫的網(wǎng)絡條件，否則特征庫無法及時升級，也就導致安全防護產(chǎn)品無法對新發(fā)現(xiàn)的網(wǎng)絡攻擊檢測和清除，達不到應用的防護效果。尤其是在當下的網(wǎng)絡態(tài)勢下，對于新型的網(wǎng)絡攻擊行為的檢測是異常重要的，而工業(yè)網(wǎng)絡雖然在向著工業(yè)互聯(lián)網(wǎng)演進，但大部分的工業(yè)企業(yè)仍然無法直接連接互聯(lián)網(wǎng)，也就不能提供及時更新特征庫的條件，傳統(tǒng)IT安全產(chǎn)品的防護能力大大的減弱。

　　3)傳統(tǒng)IT安全對實時性要求不高，不適合工業(yè)網(wǎng)絡現(xiàn)場

　　傳統(tǒng)信息系統(tǒng)關注的重點是保密性，一旦出現(xiàn)網(wǎng)絡攻擊的場景，首先要保證的是關鍵、重要信息不泄漏，或者一點泄露，對方也無法看懂，其次信息系統(tǒng)對于響應的實時性要求不高，短暫的重啟或中斷是可以接受的，由此可見，傳統(tǒng)的IT網(wǎng)絡安全在延時、抖動等方面要求不高;與傳統(tǒng)信息系統(tǒng)不同的是，工業(yè)控制系統(tǒng)對于實時性要求非常高，尤其是像連續(xù)制造行業(yè)領域，其整體的工藝流程對實時性、連續(xù)性要求就非常高，對高延時和頻抖動是不能接受的，一旦出現(xiàn)高延遲和頻抖動的情況，可能直接造成生產(chǎn)事故，傳統(tǒng)IT安全在延時和抖動方面不適合工業(yè)網(wǎng)絡現(xiàn)場。

　　4)傳統(tǒng)IT安全產(chǎn)品對工業(yè)協(xié)議解析的深度與廣度不夠

　　與傳統(tǒng)信息系統(tǒng)相比，工控系統(tǒng)大多是由傳感器、控制裝置、上位機設備等多裝置形成的閉環(huán)系統(tǒng)，監(jiān)控畫面是供操作員進行工況監(jiān)視和簡單操作，組態(tài)軟件是供工程師站進行控制設備的組態(tài)編程。工控系統(tǒng)的特點之一就是控制設備品牌眾多，每種品牌都有固有的專用協(xié)議進行用于傳輸生產(chǎn)過程中的數(shù)據(jù)，所以對于工業(yè)網(wǎng)絡安全一個首要是針對工業(yè)協(xié)議能夠進行解析，且深度解析。其次要能通過模塊化的方式對眾多品牌固有的通訊協(xié)議進行定制化深度解析。目前眾多傳統(tǒng)的IT安全產(chǎn)品也將工業(yè)協(xié)議解析的模塊加入安全產(chǎn)品中，但是多數(shù)為固有的幾種通用的工業(yè)協(xié)議，如OPC,Modbus TCP等等，實際上在工業(yè)現(xiàn)場實際應用場景中沒有辦法做到對于工控協(xié)議的應用層的訪問做到實質的控制及安全防護。

　　所以結合工業(yè)企業(yè)生產(chǎn)業(yè)務系統(tǒng)特點形成具有工業(yè)企業(yè)特色的網(wǎng)絡安全綜合防護平臺是非常有必要的。

　　網(wǎng)絡安全綜合防護體系的技術路線指導

　　威努特結合多年工業(yè)網(wǎng)絡安全建設經(jīng)驗總結出一套工業(yè)企業(yè)網(wǎng)絡安全綜合防護體系建立的最佳技術路線：

　　圖表 1 工業(yè)企業(yè)網(wǎng)絡安全綜合防護體系技術路線

　　1.需求調研

　　本項目需求調研包括3個方面：

　　1)對工業(yè)企業(yè)的OT/IT系統(tǒng)進行深入研究，分析企業(yè)的OT系統(tǒng)、IT系統(tǒng)的網(wǎng)絡特點、系統(tǒng)特點、業(yè)務特點以及企業(yè)安全管理、流程等方面的特點;

　　2)結合工業(yè)企業(yè)工業(yè)控制系統(tǒng)的工藝、生產(chǎn)流程、生產(chǎn)過程流量等特點，對企業(yè)生產(chǎn)業(yè)務系統(tǒng)進行風險評估，分析生產(chǎn)業(yè)務系統(tǒng)的脆弱性、威脅和風險，并最終輸出風險評估報告;

　　3)根據(jù)水電、新能源企業(yè)的風險評估報告，結合企業(yè)的OT/IT系統(tǒng)的特點，分析企業(yè)網(wǎng)絡安全需求，并從設備安全、主機安全、網(wǎng)絡安全、數(shù)據(jù)安全和態(tài)勢感知等方面輸出網(wǎng)絡安全需求分析報告。

　　2.技術方案設計

　　結合工業(yè)企業(yè)OT/IT系統(tǒng)特點、風險評估報告和網(wǎng)絡安全需求分析報告，圍繞設備安全、主機安全、網(wǎng)絡安全、數(shù)據(jù)安全、安全管理、態(tài)勢感知等方面，以基于白名單的主動防御和基于安全區(qū)域的縱深防御為基礎，形成工業(yè)企業(yè)網(wǎng)絡安全綜合防護平臺方案總體設計，構建包括攻擊誘捕、工藝安全、資產(chǎn)管理、漏洞檢測、配置核查、邊界防護、入侵檢測、態(tài)勢感知、病毒防范、安全審計、數(shù)據(jù)保護等的一體化動態(tài)綜合防御體系，全天候全方位監(jiān)控關鍵生產(chǎn)設備及重要業(yè)務系統(tǒng)安全狀況，及時發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡安全隱患風險，并支撐溯源取證。

　　3.產(chǎn)品研發(fā)改造

　　當下工業(yè)網(wǎng)絡安全已有如工業(yè)防火墻、工控安全監(jiān)測與審計系統(tǒng)、網(wǎng)絡威脅感知系統(tǒng)、工控主機衛(wèi)士、統(tǒng)一安全管理平臺、安全運維管理系統(tǒng)、日志審計與分析系統(tǒng)、工控漏洞掃描平臺、工控漏洞挖掘平臺、網(wǎng)絡準入控制系統(tǒng)、工控蜜罐系統(tǒng)、態(tài)勢感知系統(tǒng)等成熟的網(wǎng)絡安全產(chǎn)品，但在實際建立網(wǎng)絡安全綜合防護體系中需針對工業(yè)企業(yè)OT/IT系統(tǒng)特點的及網(wǎng)絡安全需求，需要對既有網(wǎng)絡安全產(chǎn)品進行部分定制化開發(fā)改造。

　　4.測試驗證

　　1)針對工業(yè)企業(yè)的不同業(yè)務場景，建設仿真驗證平臺;

　　2)對實際現(xiàn)場中應用的關鍵控制設備進行漏洞挖掘和漏洞掃描;

　　3)利用專用攻擊工具對關鍵控制系統(tǒng)進行滲透測試;

　　4)根據(jù)技術方案設計，在仿真驗證平臺進行工業(yè)企業(yè)網(wǎng)絡安全綜合防護平臺建設，并結合滲透測試對防護能力進行驗證;

　　5)根據(jù)驗證結果，動態(tài)調整綜合防護平臺技術方案。

　　5.示范應用

　　在工業(yè)企業(yè)進行工業(yè)企業(yè)網(wǎng)絡安全綜合防護平臺建設，包括生產(chǎn)控制網(wǎng)安全建設、管理信息網(wǎng)安全建設、集控中心網(wǎng)絡安全建設和集團側工業(yè)網(wǎng)絡安全態(tài)勢感知平臺建設。

　　網(wǎng)絡安全綜合防護體系設計

　　工業(yè)企業(yè)的網(wǎng)絡安全綜合防護體系的總體應設計遵循主動防御、縱深防御、動態(tài)防御和統(tǒng)一管理的設計思想，依照“一個中心，三重防護”的設計思路，根據(jù)工業(yè)企業(yè)行業(yè)特性以及安全整體需求，從設備、主機、網(wǎng)絡、數(shù)據(jù)等方面入手，形成設備安全、主機安全、網(wǎng)絡安全和數(shù)據(jù)安全的縱深防護體系，同時在企業(yè)建設統(tǒng)一安全管理中心，包括集中管控和態(tài)勢感知平臺2個部分，形成集設備內(nèi)生安全、邊界防護、入侵檢測、數(shù)據(jù)審計、主機防護、資產(chǎn)管控、統(tǒng)一管理、態(tài)勢感知、網(wǎng)絡誘捕、威脅感知等多種防御檢測手段為一體的多層次縱深防御體系。同時建立工業(yè)企業(yè)網(wǎng)絡安全綜合防護驗證平臺，對于工業(yè)企業(yè)的生產(chǎn)控制網(wǎng)和管理信息網(wǎng)進行仿真，在驗證平臺進行基于業(yè)務的網(wǎng)絡攻擊及安全防護，驗證網(wǎng)絡安全綜合防護平臺對于工業(yè)企業(yè)提供的安全防護能力，并根據(jù)驗證情況進行方案調整，從而達到抵御網(wǎng)絡攻擊的目的。

　　圖表 2 工業(yè)企業(yè)網(wǎng)絡安全綜合防護體系技術架構

　　總體技術架構解釋如下：

　　1.安全區(qū)域劃分：根據(jù)工業(yè)企業(yè)生產(chǎn)控制系統(tǒng)特性，結合相關文件要求，對生產(chǎn)控制網(wǎng)、管理信息網(wǎng)進行安全區(qū)域的劃分，明確區(qū)域邊界;

　　2.設備安全：以設備內(nèi)生安全為基礎，通過技術手段實現(xiàn)關鍵控制設備的身份認證、訪問控制、外設管控、安全運維，并對生產(chǎn)過程進行安全防護，保證生產(chǎn)工藝安全、生產(chǎn)運行安全;

　　3.主機安全：以國密算法為基礎，保證應用程序的可信執(zhí)行，并對主機進行安全基線加固，開啟安全審計，提升其安全防護能力，同時實現(xiàn)主機的身份鑒別、訪問控制、入侵和惡意代碼防范、非法外聯(lián)檢測、外設管控;

　　4.網(wǎng)絡安全：將工業(yè)企業(yè)的網(wǎng)絡劃分為生產(chǎn)網(wǎng)絡和管理網(wǎng)絡，通過技術手段實現(xiàn)網(wǎng)絡邊界隔離、入侵檢測防范、惡意代碼防范、APT攻擊檢測、異常流量監(jiān)測，并采用基于工控協(xié)議深度解析技術為基礎的異?？刂浦噶畋O(jiān)測，保證生產(chǎn)業(yè)務安全;

　　5.數(shù)據(jù)安全：涵蓋工業(yè)企業(yè)生產(chǎn)數(shù)據(jù)的傳輸、存儲、使用等各個流轉環(huán)節(jié)，包括生產(chǎn)系統(tǒng)數(shù)據(jù)的完整性、保密性、可用性，以及數(shù)據(jù)備份與恢復、數(shù)據(jù)的安全銷毀等;

　　6.統(tǒng)一安全管理中心：統(tǒng)一安全管理中心在功能架構上分為兩個主體部分：一是集中管控，實現(xiàn)安全資產(chǎn)的管理、統(tǒng)一安全策略管理、安全配置核查、安全日志審計以及安全拓撲可視化;二是態(tài)勢感知，包括生產(chǎn)系統(tǒng)資產(chǎn)可視化、威脅可視化、攻擊誘捕、安全事件分析、威脅預警、攻擊態(tài)勢分析、安全合規(guī)性分析等方面;

　　7.綜合防護驗證平臺：根據(jù)工業(yè)企業(yè)生產(chǎn)控制系統(tǒng)特點，建成工控仿真系統(tǒng)、工控漏洞挖掘系統(tǒng)、攻擊滲透系統(tǒng)、安全防護系統(tǒng)、效果展示系統(tǒng)等五個子系統(tǒng)，充分展示惡意軟件的攻擊影響及防護方案的策略部署和防護效果。

　　結束語

　　通過建立企業(yè)級的網(wǎng)絡安全綜合防護體系，構建包括攻擊誘捕、資產(chǎn)管理、漏洞檢測、配置核查、邊界防護、入侵檢測、態(tài)勢感知、病毒防范、安全審計、數(shù)據(jù)保護等的一體化動態(tài)綜合防御體系，全天候全方位監(jiān)控關鍵生產(chǎn)設備及重要業(yè)務系統(tǒng)安全狀況，及時發(fā)現(xiàn)、處置、阻斷各類網(wǎng)絡安全隱患風險，并支撐溯源取證，提高工業(yè)企業(yè)安全綜合防護能力。該平臺可以向裝備制造、石油石化、原材料生產(chǎn)、軍工、能源、交通等行業(yè)規(guī)模企業(yè)推廣應用，提升我國工業(yè)企業(yè)網(wǎng)絡安全綜合防護能力。

　　聲明：本文來自威努特工控安全，版權歸作者所有。文章內(nèi)容僅代表作者獨立觀點，不代表本站(網(wǎng)絡安全等級保護資訊網(wǎng))立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系刪除。