您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
工業(yè)互聯(lián)網安全能力指南(防護及檢測審計)
工業(yè)互聯(lián)網安全的落地第一步,是確保工控環(huán)境中的防護能力,之后是檢測/審計能力。本次《工業(yè)互聯(lián)網安全能力指南》的發(fā)布內容為報告中的工控防護能力部分,以及工控檢測/審計能力部分。
工業(yè)互聯(lián)網安全能力指南——工控防護能力
在安全領域,最重要的工作之一是對威脅進行處置,這就需要防護能力。在本報告中,工控防護能力的范圍如下:
在工業(yè)互聯(lián)網環(huán)境中,能夠對OT相關場景中發(fā)現的威脅、異常行為,進行包括查殺、阻斷、攔截請求、禁止進程等干涉或處置的技術、產品或解決方案。
工業(yè)互聯(lián)網環(huán)境中的防護能力在整個工業(yè)互聯(lián)網安全中有著舉足輕重的作用:工業(yè)互聯(lián)網場景中第一需要保障的是生產可持續(xù)性——即威脅不能產生生產事故,同時對威脅的處理不應該過度干涉生產。尤其對于預算非常有限的企業(yè),工控防護產品會是最優(yōu)先分配的投入領域——只有先確保了生產穩(wěn)定,然后才有更多余力去發(fā)現環(huán)境中潛在的風險,以及過去發(fā)生過的異常行為。
本報告中的工控防護能力屬于數字安全能力圖譜中,行業(yè)環(huán)境下,工業(yè)互聯(lián)網安全中的工控系統(tǒng)安全部分。由于工控系統(tǒng)安全涵蓋的產品與解決內容較多,故在本報告中分為工控防護能力,以及工業(yè)互聯(lián)網安全檢測/審計能力。
關鍵發(fā)現
■ 工控防護能力的主要產品形態(tài)為三種:工控防火墻、工控網閘、以及工控終端安全防護/主機衛(wèi)士。但是根據不同廠商在應對不同需求的情況下,產品形態(tài)也會發(fā)生一些改變。
■ 工控防護能力首先要做到“能運行、不干擾”。關鍵能力在于“深度協(xié)議解析”與“白名單”技術。但是,需要注意的是,“深度協(xié)議解析”對于不同的廠商,可能代表著不同的意義,企業(yè)在選購相關產品時,需要明確廠商能夠解析協(xié)議的具體內容。
■ 從市場層面來看,盡管工控防護產品的總體收入依然呈上升趨勢,但是其在整個工業(yè)互聯(lián)網安全中的收入占比會逐漸下降。
工控防護能力點陣圖
本次參與工控檢測/審計能力的廠商共有23家,包括:安帝科技、安恒信息、安盟信息、博智安全、長揚科技、國泰網信、華境安全、惠而特、杰思安全、立思辰安科、六方云、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰、融安網絡、深信達、圣博潤、天地和興、天融信、威努特、英賽克。
工控防護能力主要產品形態(tài)
本次調研中,工控防護能力的主要產品形態(tài)為以下三種:工控防火墻、工控網閘、工控終端安全防護/主機衛(wèi)士。
工控防火墻
工控防火墻部起到工業(yè)控制網絡中邊界分離的作用,確保一個分區(qū)不會受到來自于另一分區(qū)的攻擊。工控防火墻控制著不同網絡之間的指令交互,尤其在上位機遭到攻擊向工業(yè)生產機器發(fā)出非正常指令時,工控防火墻需要能夠識別,并且采取告警在內的相應措施。因此,工控防火墻事當下的工業(yè)互聯(lián)網場景中的首要防線。
工控防火墻由于其需要解析工業(yè)特有協(xié)議的特性,其在工業(yè)互聯(lián)網安全中的價值是傳統(tǒng)防火墻不可代替的。
工控網閘
工控網閘在工業(yè)互聯(lián)網中擔任著數據擺渡的作用——尤其是在將OT環(huán)境中的數據安全傳輸到相對開放的IT環(huán)境的時候。
工業(yè)互聯(lián)網相比傳統(tǒng)工業(yè)生產的一大變化,在于為了更好地提升生產效率,把握生產環(huán)境狀態(tài),需要將數據傳輸到IT環(huán)境——比如工業(yè)互聯(lián)網平臺。這就會增大針對工業(yè)數據的攻擊面。
工控網閘最重要的工作,是確保工業(yè)數據只傳輸給可信、被授權的接收方,從而不造成工業(yè)數據信息泄露。
工控終端安全防護/主機衛(wèi)士
工控終端安全防護,又被許多廠商稱為“主機衛(wèi)士”,是對工業(yè)互聯(lián)網場景中的相關主機進行防護的安全能力。工控終端安全防護/主機衛(wèi)士由于其所處位置,是工業(yè)互聯(lián)網生產環(huán)境中的最后一道防線。
工控終端安全防護/主機衛(wèi)士主要采取的防護手段為白名單機制,只允許工業(yè)互聯(lián)網環(huán)境中的正常、被認可的系統(tǒng)運行,禁止非正常程序的運行。
其他產品能力
以上三種是當下工業(yè)互聯(lián)網安全中與OT場景相關的主要產品形態(tài)。另一方面,在實際調研中發(fā)現,各個廠商會根據自身能力以及客戶的不同需求,會有一些不同的產品形態(tài):比如部分安全廠商會基于客戶的環(huán)境以及需求,提供工控IPS產品;有些廠商也會在銷售過程中,將USB管理等外接設備防護能力作為單獨產品,而非工控終端安全防護/主機衛(wèi)士產品的一部分;甚至有部分廠商也會針對外接設備,做包括額外的外接設備管理與監(jiān)控設備的一整套工控外接設備安全管理解決方案。
因此,客戶在選購工控防護產品的時候,需要基于自身的安全需求,與廠商進行產品具體能力的確認,確保選購的產品能完全覆蓋自己的防護面。
同時,在本次調研中發(fā)現,未來的工業(yè)生產場景安全能力的一個方向,是網絡設備和安全設備的結合。在本次調研中,發(fā)現已經有部分廠商開始將自己的安全能力與工業(yè)生產環(huán)境中的網絡設備(如路由器)開始融合,成為“帶有安全能力的工業(yè)網絡設備”。
工控防護能力落地要點
對于工控防護能力產品,有以下關鍵能力需要考慮:
工業(yè)環(huán)境可用
工業(yè)場景中,首先需要設備可用。設備可用不僅僅是指軟件層面,能夠理論上實現工業(yè)環(huán)境中的要求,最關鍵的前提,是硬件本身能夠在工業(yè)生產環(huán)境中可用。
在工業(yè)生產環(huán)境中,會遇到很多極端環(huán)境,如高溫、低溫、多塵等會對電子設備產生極大影響的惡劣因素。對于生產環(huán)境嚴苛的工業(yè)廠商,在挑選工控防護產品的時候,一定要考慮到設備的硬件防護本身能否抵御惡劣的生產環(huán)境。如果設備自身因硬件防護缺失導致無法正常運作,那么即使有再強的信息防護能力,都不能對工業(yè)互聯(lián)網起到真正的保護作用。
生產無影響
工控防護能力是整個工業(yè)互聯(lián)網安全中,最需要在安全與業(yè)務之間尋求平衡的一塊領域。從工控防護能力的功能來看,需要能夠攔截請求、阻斷可疑來源、禁止某些應用運行。但是,這些行為都有可能會導致生產的中斷,甚至終止。
因此,工業(yè)互聯(lián)網安全產品能否在對生產無影響的前提下確保安全就尤為重要。即使在工業(yè)互聯(lián)網場景中,為了生產的可持續(xù)性,需要允許一些微小威脅的存在,但是對于可能會造成事故的威脅,就需要當斷則斷。同時,工控防護產品本身的操作,也不應對整個生產環(huán)境產生不良的影響。
協(xié)議解析能力
對于工控防護能力,尤其是工控防火墻而言,協(xié)議解析能力尤為關鍵。深度協(xié)議解析能力不只是對工業(yè)協(xié)議有所識別,更需要能夠在信息傳輸過程中,對工業(yè)協(xié)議中的具體內容進行解析。
協(xié)議的解析能力能夠從兩方面來看,一個是“深度協(xié)議解析能力”。但是,不同安全廠商對“深度協(xié)議解析”的定義并不完全相同。深度協(xié)議解析包含的內容,能夠包括協(xié)議指令碼、數據地址、數據數值的識別。在對工控防火墻進行選型的時候,需要明確安全廠商所謂的“深度協(xié)議解析”具體的解析內容。協(xié)議指令層面可以發(fā)現異常的指令通信,但是數據數值級別能夠識別出正常指令中的異常數值——避免因參數不當導致事故發(fā)生。
協(xié)議解析的另一個值得注意的能力是“自定義協(xié)議解析能力”。在工業(yè)互聯(lián)網環(huán)境中,有一部分私有協(xié)議,并不作為主流協(xié)議出現,因此不存在于安全廠商原有的協(xié)議能力中。這個情況下,就需要工控防護產品有對未知協(xié)議的學習能力,從而實現對未知協(xié)議的解析能力。
彈性白名單
白名單是工控終端安全防護/主機衛(wèi)士的主要防護手段。通過僅讓被許可的程序運行,達到確保工控主機安全的目的。
然而,白名單同樣需要基于企業(yè)的業(yè)務環(huán)境進行學習,從而制定出符合環(huán)境需求的白名單。從發(fā)展角度來看,工業(yè)互聯(lián)網會基于工業(yè)數據的分析,以及企業(yè)的業(yè)務需求,更為靈活地分配生產力。因此,對于一些數字化轉型較快的企業(yè),工業(yè)生產環(huán)境本身也會有相比之前更為頻繁的變化。這就需要白名單有同樣的彈性。
白名單的彈性可以從兩方面來看。一方面是白名單的學習速度,是否能夠快速學習并建立準確的工農業(yè)互聯(lián)網環(huán)境白名單;另一方面是白名單的部署效率是否高效。盡管說功能上,可以通過工業(yè)互聯(lián)網安全管理平臺實現一鍵下發(fā),但是在具體實踐環(huán)境中,經常需要對每個終端進行逐臺更新,這個時候白名單的部署速率就決定了生產恢復的速度。
部分廠商會使用一些黑名單或者灰名單機制,來增加白名單的彈性。但是,這一類機制同樣也是犧牲了一定的安全性來追求效率——這并不代表這類機制不會安全,只是相對純粹的白名單機制而言,安全保障會相對降低。企業(yè)在這個過程中,也需要平衡自己的需求:是追求純粹的安全性選擇完全的白名單機制,還是降低一點安全性,來確保業(yè)務轉換時的效率。
已知威脅防護能力
盡管敵對勢力極有可能會對我們國家的關鍵基礎設施發(fā)動攻擊,但是這一類APT攻擊依然是少數。工業(yè)企業(yè)面臨的更多還是來自日常的已知攻擊,或者因人員違規(guī)操作產生的病毒感染(比如移動存儲設備的違規(guī)使用)。這一類威脅往往是已知病毒攻擊,或者利用已知漏洞進行攻擊,因此防病毒能力能夠抵御絕大部分此類攻擊。
針對已知威脅的防護,一方面依賴于安全廠商自身對工業(yè)系統(tǒng)的漏洞研究能力以及病毒庫更新能力。這可以從廠商的工業(yè)互聯(lián)網相關漏洞提交數量,以及安全研究團隊能力上體現。另一方面,有強大攻擊特征庫能力的廠商可以通過已知的攻擊行為模式,更精準快速地發(fā)現攻擊行為,進行響應。
工控防護能力市場情況
? 工控系統(tǒng)安全(本報告中“工控防護能力”與“工控檢測/審計”部分)在數世咨詢定義的市場成熟度,概念市場、新興市場、發(fā)展市場與成熟市場四個階段中,位于發(fā)展市場階段。
? 根據本次調研的方向,2019年我國工控防護能力收入總體約為6.3億元,2020年總體收入約為10.3億元,預計2021年收入為14.1億元,2022年有望達到17.5億元。工控防護產品作為整個工業(yè)互聯(lián)網安全的關鍵,其收入占比在整個工業(yè)互聯(lián)網安全中當前最高。但是,隨著客戶的防護能力日漸成熟,以及工業(yè)互聯(lián)網安全產品數量增多,會將投入逐漸轉向工業(yè)互聯(lián)網安全管理平臺能力。工控防護類產品的總體收入占比將會逐步下降。
? 工控防護類產品當前還是以單一標準化產品交付為主,占72%。定制化產品及運營占17%;作為單一功能交付、訂閱模式及其他模式共占11%。
? 從銷售方式來看,廠商直接銷售和通過渠道銷售占比差距不大。直銷(46%)比渠道(44%)占比略高。
? 當前來看,工控防護能力的主要落地行業(yè)為電力,占31%。電力在整個工業(yè)互聯(lián)網領域起步較早,因此安全能力落地更多。其余占比超過10%的行業(yè)為軌道交通(16%)、燃氣/熱力/供水/電網(13%)、以及石油石化(11%)。從未來發(fā)展來看,石油石化將會成為下一個安全廠商爭奪的領域。
案例一:某水電站工控安全防護項目案例
場景介紹
某水電站作為國內首座大型水利樞紐,電力信息化集成越來越高,對電力系統(tǒng)的穩(wěn)定性、安全性、可用性均提出較高考驗。為提升水電站控制系統(tǒng)網絡安全防護能力,以水電站實際應用需求為出發(fā)點,結合電力行業(yè)相關標準,從工控終端安全、工控網絡安全、運維管理安全等方面,設計出水電站工控安全防護方案,并得到實際的應用,幫助水電站建立全方位多技術的防護手段。
安全隱患
◇ 生產控制區(qū)系統(tǒng)老舊,安全漏洞較多,易被攻擊者利用
◇ 操作站應用和移動介質缺少管控,無法辨別應用來源,可能引入惡意程序
◇ 業(yè)務調度和操作行為不規(guī)范,可能存在違規(guī)操作或誤操作
◇ 生產控制區(qū)域之間未執(zhí)行嚴格的訪問控制,可能存在跨域訪問
客戶需求
通過對水電站控制I和II區(qū)業(yè)務運行和日常管理進行現場溝通與調研,明確如下需求:
◆ 技術人員操作不規(guī)范,管理難2
◆ 難以對重要通信建立行之有效的審計監(jiān)測機制
◆ 工業(yè)控制系統(tǒng)漏洞較多,難以形成集識別和管理措施
◆ 常規(guī)安全檢測手段無法應對新型工業(yè)安全威脅
◆ 缺少基于全網的威脅態(tài)勢分析
◆ 網絡設備繁多,分布較遠,定期維護較為困難
解決方案
為更好地解決水電站當前面臨的安全問題,首先需要對水電站的網絡結構和資產信息進行梳理:以“安全分區(qū)、網絡專用、橫向隔離、縱向認證”為建設原則,細化生產控制區(qū)(I區(qū))業(yè)務系統(tǒng),強化對數據網邊界、重要資產或系統(tǒng)的安全防護與審計,增強漏洞威脅識別與發(fā)現能力,建立基于全廠的安全信息匯總與展示,以及全網威脅態(tài)勢感知與分析。
結合水電站業(yè)務特點與網絡結構,安全專家提出了整體安全建設框架,基于安全防護體系和安全運維感知體系,構建對水電站生產控制區(qū)中的安全防護、安全檢測、安全審計、安全運維、威脅識別、安全場景分析能力,形成基于工業(yè)控制系統(tǒng)的縱向防御架構。
安全防護體系
安全防護體系包含網絡中的安全防護設備、檢測設備、審計設備、終端管理、漏洞識別等,防護范圍覆蓋生產控制區(qū);在生產監(jiān)控區(qū)建立安全防護中心作為數據探知,將基于各個節(jié)點的安全數據、異常數據等上送至集中管理平臺,用作安全環(huán)境、基線的分析,并執(zhí)行分析的結果。
安全運維感知體系
安全運維感知體系作為水電站生產控制大區(qū)安全防護的“大腦”,承擔安全信息分析的作用,利用大數據手段,基于用戶的安全基線進行安全建模,通過模型間的組合進行流式分析,分析網絡中安全威脅及主機、應用脆弱性,后依據分析結果下發(fā)策略至安全防護設備、安全審計設備,形成基于用戶行為的縱向安全防護體系。
域間隔離
生產控制大區(qū)與非控制區(qū)域部署天融信工控防火墻,實現域間隔離控制。天融信工控防火墻基于白名單的工業(yè)指令級“四維一體”深度防護技術,可對工控協(xié)議的“完整性”、“功能碼”、“地址范圍”和“工藝參數范圍”進行深度解析和過濾,可對水電站生產控制區(qū)內的S7、Modbus、EIP、IEC104協(xié)議進行深度解析;同時,基于水電站業(yè)務實時特性,采用工控系統(tǒng)業(yè)務連續(xù)性保障技術,可在不影響工控業(yè)務連續(xù)性的基礎上阻斷異常指令、告警可疑操作、隔離威脅數據,保證電力生產數據安全上傳。
“四維一體”深度防護技術在傳統(tǒng)防火墻五元組安全檢測的基礎上,對應用層工控協(xié)議及數據進行四重深度安全檢測,以Modbus協(xié)議為例:
? 第一步對協(xié)議的完整性進行校驗。
? 第二步結合工控業(yè)務對功能碼進行分析,檢查協(xié)議功能碼是否合法、合規(guī)。
? 第三步檢查數據讀取地址范圍是否在業(yè)務允許范圍內,同時對源操作者的讀寫權限進行檢查。
? 第四步對工藝參數進行分析,如轉速、壓力、溫度等是否符合目標設備正常業(yè)務范圍。
工控防火墻協(xié)議解析模型
通過對工控協(xié)議、數據的四層安全檢測,可有效保證工控協(xié)議與數據的安全性,從而保障工控網絡、工控設備的安全穩(wěn)定運行。
基于業(yè)務的行為建模分析
工控安全監(jiān)測系統(tǒng)部署應用結合水電站業(yè)務的特性,采用工控業(yè)務規(guī)則模型,可有效對業(yè)務系統(tǒng)的攻擊行為、違規(guī)操作、誤操作、非法通訊等異常行為進行監(jiān)測,并對數據進行深度解析、分析、記錄、統(tǒng)計、匯報,通過關聯(lián)分析結果給出相應的防御策略和事件溯源的報文源碼,加強內外部網絡行為監(jiān)測,便于快速了解網絡基本情況的同時獲知網絡告警分布,輕松掌握網絡運行狀況。采用旁路部署,對業(yè)務生產過程“零”影響;具備完善的日志存儲、統(tǒng)計、審計與備份功能,針對安全事件便于篩選與回溯,有效保障了日志數據可靠性。
基于白名單的防護
工控主機衛(wèi)士部署在工控上位機和服務器上,能夠防范惡意程序的運行、控制USB移動存儲介質的濫用、管理非法外聯(lián)、為受信任的程序提供完整性保護等,具備完善的終端安全風險監(jiān)控和分析能力;同時支持新建、追加白名單,可通過自動掃描、自定義添加、軟件跟蹤等方式自動生成應用、腳本白名單庫,同時可根據文件表、HASH表對庫內白名單進行查看,并可配置白名單防護策略,禁止并審計白名單之外的進程、鏡像的啟動加載行為;滿足工控網絡中終端安全管理需求,實現對工控主機全面的安全防護。
工控主機衛(wèi)士功能架構
工業(yè)漏洞識別與發(fā)現
脆弱性掃描與管理系統(tǒng)可對國內外常見的SCADA、組態(tài)軟件、HMI、PLC、DCS、應用系統(tǒng)等多種類型的系統(tǒng)或設備進行針對性掃描,采用智能遍歷規(guī)則庫和多種掃描選項的組合手段,深入檢測出系統(tǒng)中存在的漏洞和弱點,準確定位其脆弱點和潛在威脅。根據掃描結果,系統(tǒng)可以提供測試用例來輔助驗證漏洞的準確性,同時提供整改方法和建議,幫助技術人員修補漏洞,全面提升整體安全性。
同時,系統(tǒng)柜可將掃描的結果生成在線或離線報表,也可以根據不同的用戶角色生成報表,并對掃描結果進行細致、全面的分析,并以圖、表、文字說明等多種形式進行展現,支持以HTML、PDF、Word、Excel、Xml等格式進行導出,便于對現場資產與威脅匯總分析。
工控漏洞掃描系統(tǒng)功能架構
外部入侵檢測
工控入侵檢測與審計系統(tǒng)內置專業(yè)的工控入侵規(guī)則庫,可根據業(yè)務功能需求制定白名單策略,滿足水電站關鍵節(jié)點防護需求,采用攻擊規(guī)則檢測+業(yè)務白名單兩種方式,對工業(yè)控制網絡上捕獲的數據包進行相應的行為匹配,及時發(fā)現來自生產網內外部攻擊威脅,為客戶提供直觀、落地的安全防護建議,保障生產網絡安全運行。實現了對水電站Modbus、S7、IEC104、EIP協(xié)議的深度解析,可根據業(yè)務系統(tǒng)的安全需求,制定符合應用場景的安全策略,可對安全事件詳情進行記錄和報文留存,為安全事件調查提供基礎依據,真正做到事前預警、事中監(jiān)控和事后追溯。
工控入侵檢測與審計系統(tǒng)架構圖
客戶價值
通過在客戶的環(huán)境中工控安全產品,最終實現:
? 終端管控:在重要服務器和操作站安裝天融信工控主機衛(wèi)士,實現終端主機的安全管控,避免人員惡意操控應用程序,減小惡意代碼和病毒木馬對生產控制造成影響。
? 安全隔離:在控制區(qū)和非控制區(qū)部署工業(yè)級防火墻,實現區(qū)域邊界安全隔離,通過實時過濾網絡中的非法誤操作和惡意攻擊行為,阻斷蠕蟲、病毒域間傳播,提升控制區(qū)防護能力。
? 安全審計與入侵檢測能力:在關鍵開關站、調度數據網接口處、非控制區(qū)(II區(qū))部署工控安全監(jiān)測和入侵防護系統(tǒng),增加重要資產的防護能力,提升外部威脅攻擊入侵檢測與安全審計能力。
? 漏洞識別與修復能力:通過在控制區(qū)域非控制區(qū)部署工控漏洞掃描系統(tǒng),可多維度檢測多種形式的系統(tǒng),快速定位漏洞威脅,并提供完整的修復指導。
客戶反饋
簡化了運維管理工作,在面臨廠區(qū)較大,可以通過實現集中式運維管理,便于日常發(fā)現工控威脅,同時,針對威脅事件能夠快速響應處理。
終端防護能力升級,通過工控主機衛(wèi)士能夠設定有效的白名單程序,從系統(tǒng)層面封堵外設,有效應對外設違規(guī)使用以及操作不規(guī)范問題。
可視化運維操作,對一線操作行為能夠直觀顯示,方便安全管理人員分析操作行為。
規(guī)范生產區(qū)域之間行為,在不同生產區(qū)域間,通過工控防火墻能夠細粒度控制通信行為,杜絕跨區(qū)操作。
漏洞排查快速定位,面對全廠上萬套設備,能夠定期排查漏洞信息,同時給出修復意見,減少廠區(qū)工控設備脆弱性。
案例二:某油氣管道生產調控中心網絡安全防護案例
涉及領域:工業(yè)互聯(lián)網防護能力、工業(yè)互聯(lián)網檢測/審計能力
場景介紹
近年來,能源行業(yè)層出不窮的網絡安全事件表明油氣管道SCADA系統(tǒng)已經成為國內外黑客的攻擊目標,面臨愈發(fā)嚴峻的威脅。
物聯(lián)網、大數據、云平臺等新技術的應用,形成了油氣管道生產網絡的互聯(lián)互通,來自辦公管理層網絡的入侵、病毒等風險容易向生產網蔓延。同時攻擊者偽造身份從外部或內部網絡節(jié)點對生產系統(tǒng)進行滲透,不僅僅可以拿到工藝數據,甚至可以造成重大安全事故。管道SCADA系統(tǒng)一旦受攻擊容易發(fā)生惡意操控甚至生產事故,直接影響到管道輸送的正常生產運營,導致火災、爆炸、中毒事件的發(fā)生,造成重大經濟損失、人員傷亡和環(huán)境污染,直接威脅到國家能源安全和社會穩(wěn)定。因此保護油氣管道SCADA系統(tǒng)的安全,對我國能源安全具有重要的現實意義。
客戶需求
該油氣管道客戶有以下工業(yè)互聯(lián)網安全需求:
◆ 安全通信網絡安全需求:在通信過程中采用密碼技術保證通信過程中數據的保密性,在通信過程中采用校驗技術保證數據的完整性,通過應用工控防火墻搭載可信模塊的形式,實現可信驗證。
◆ 安全區(qū)域邊界安全需求:監(jiān)控網絡中存在的各類入侵風險、網絡病毒、非法訪問等行為并進行審計與阻斷,保障生產網絡的可用性與安全性。
◆ 安全計算環(huán)境安全需求:對各系統(tǒng)工程師站、操作員站、歷史站、接口站、服務器等實施定期巡檢式的安全掃描,進行針對性的安全加固,以白名單的方式限制可以執(zhí)行的程序,綜合提升主機系統(tǒng)的抗攻擊能力,保護分布廣泛的站控系統(tǒng)主機不被作為跳板入侵上級系統(tǒng)。
◆ 安全管理中心安全需求:建立安全教育與培訓、安全保密、應急響應機制,使安全管理成體系,安全管理常態(tài)化,管理與技防相結合,形成企業(yè)的綜合網絡安全防護體系。
解決方案
方案設計
本方案針對油氣管道SCADA系統(tǒng)實際需求,通過設計建設一套穩(wěn)定、高效、可靠的工控安全監(jiān)測防護體系,集中展現油氣管道SCADA系統(tǒng)的整體工控安全態(tài)勢,提升整體工控安全監(jiān)管水平和防御能力。針對SCADA系統(tǒng)的特點進行設計,以國家等級保護的“一個中心、三重防護”為整體防護思想,構建油氣管道SCADA系統(tǒng)網絡安全防護的技術體系,并完善安全管理體系,形成“技術+管理”的綜合安全防護體系,滿足實際安全防護需求,達到等保三級建設標準。
方案從實際出發(fā),以油氣管道SCADA系統(tǒng)為等級保護對象,以控制中心系統(tǒng)為主體,結合站控系統(tǒng)、現場設備等邊緣應用分布廣泛的特點,從安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心和安全管理要求等幾個維度來構建綜合安全防護體系:
? 安全通信網絡:對油氣管道SCADA系統(tǒng)的訪問邏輯進行梳理,優(yōu)化網絡結構,按照網絡資產的屬性與訪問邏輯,合理劃分網絡安全域。在油氣管道工控系統(tǒng)網絡的邊界部署安全隔離與訪問控制措施,實現必要的邊界安全防護,同時按照業(yè)務組網應用特點,酌情增加鏈路加密措施,保障鏈路通信的數據安全性。
? 安全區(qū)域邊界:在重要的安全域邊界設計部署安全隔離與訪問控制措施,對重要安全域進行必要的安全防護。在油氣管道工控系統(tǒng)網絡中,重點對首站、中間站和末站等所在的安全域進行安全隔離與訪問控制,保證油氣管道工控系統(tǒng)的運行安全。
? 安全計算環(huán)境:對全網的服務器、操作員站、工程師站等主機系統(tǒng)設計安裝必要的安全管控措施,實現對主機系統(tǒng)必要的安全管控,保障主機系統(tǒng)運行安全。主機安全管控措施包括主機進程管控、主機USB口外界管理等,實現主機防病毒、防第三方軟件非授權安裝使用、防USB設備非法連接與數據拷貝等功能,提升人機交互界面必要的安全防控與主機系統(tǒng)的安全性。同時,借助于在安全管理域內部署的主機系統(tǒng)脆弱性掃描工具,實現對主機系統(tǒng)弱口令、漏洞的安全管理,通過主機加固措施,提升主機系統(tǒng)自身的抗攻擊能力。
? 安全管理中心:在油氣管道工控網絡中新建安全管理域,部署集中安全管理手段,實現對全網用戶集中認證、權限管理與操作行為審計。同時,部署綜合日志審計與安全管理技術手段,建立全網安全風險的集中管理、分析、可視化與聯(lián)動處置機制,部署安全威脅掃描與管理工具,實現全網風險的集中管理與處置,保證風險的快速感知與處置,提升安全風險的管理與應對能力。
? 安全管理體系:基于油氣管道企業(yè)現有的安全管理組織結構與管理措施,由我方專業(yè)的安全服務人員以安全咨詢服務的形式,按照相關標準規(guī)范要求,為用戶梳理安全管理體系內容,幫助用戶健全與完善安全管理體系相關內容,從管理上完善安全管理的體系化建設,包括日常管理以及應急保障等相關內容,以構建綜合的安全防護體系,保障油氣管道工控系統(tǒng)的安全穩(wěn)定運行。
部署拓撲圖如下:
工控安全防護系統(tǒng)部署拓撲示意圖
產品部署
? 安全通信網絡建設:對油氣管道工控網絡進行優(yōu)化,劃分安全域,并對油氣管道工控網絡與辦公網互聯(lián)的網絡邊界部署工控防火墻進行邊界隔離與安全防護,保護油氣管道工控網絡免受來自上層辦公網及互聯(lián)網的入侵攻擊風險。
? 安全區(qū)域邊界建設:在油氣管道工控網絡中劃分不同的安全域,按照安全域的安全權重,有針對性進行安全域的隔離與訪問控制、安全審計、入侵檢測等必要的安全防護措施,保護個安全域的運行的安全。本方案中主要是在調控中心SCADA系統(tǒng)網絡中部署工控安全審計系統(tǒng)、入侵檢測系統(tǒng),以及在各個站控系統(tǒng)的生產數據匯聚到調度中心的網絡入口處部署工控防火墻。
? 安全計算環(huán)境的建設:在油氣管道工控網絡中的安全計算環(huán)境是指人機交互界面上的各主機系統(tǒng),包括各種相關的應用服務器(如SCADA歷史服務器、OPC服務器等)、操作員站、工程師站和歷史站等。主機系統(tǒng)要通過檢查工具對其安全漏洞與脆弱性進行發(fā)現和管理,對可修復的漏洞進行可行性驗證與修復,關閉不需要的默認賬號、服務,進行主機系統(tǒng)必要的安全加固,提升主機系統(tǒng)抗攻擊能力。本次設計將考慮部署主機安全防護系統(tǒng)技術措施來對主機系統(tǒng)進行必要的安全防護。
針對油氣管道工控網絡中的相關服務器、工程師站、操作員站等主機系統(tǒng),設計安裝部署主機安全防護軟件系統(tǒng),實現對人機交互界面的主機系統(tǒng)必要的安全管控。
白名單的主動防御機制可占用更小的系統(tǒng)計算資源,實現最大的防護效能,可有效實現主機防病毒、防第三方軟件的非授權安裝與使用、對主機系統(tǒng)外接口管控、對USB外接存儲設備的認證管控、防病毒與操作行為審計,為主機系統(tǒng)安全運行提供必要的安全保障。
本方案使用的主機安全防護系統(tǒng),是工控主機系統(tǒng)專用的安全防護系統(tǒng),系統(tǒng)運用白名單為主,灰名單、黑名單為輔的創(chuàng)新技術方式,監(jiān)控主機的進程狀態(tài)、網絡端口狀態(tài)、USB端口狀態(tài),嚴格對主機應用進程進行管控,外接端口管控,USB設備認證與使用管理,以及操作行為管理,強化工控主機的安全管理,提升主機系統(tǒng)抗攻擊能力。
客戶價值
通過部署一系列的工業(yè)互聯(lián)網安全產品,為客戶提供了如下價值:
? 先進安全防護技術提升企業(yè)工控安全防護能力:本方案采用工業(yè)協(xié)議深度解析技術、智能學習技術、白名單主動防御技術和威脅管理無損技術,并結合公司自有的工業(yè)漏洞庫、設備指紋庫,通過制定有效的安全策略和安全集中分析管控手段,在保證穩(wěn)定運行的前提下,對工控系統(tǒng)運行提供必要的網絡安全保障。
? 完善組織OT內控體系,滿足合規(guī)需求:本方案在設計時,參照了國家等級保護相關規(guī)范要求,并按照企業(yè)當前的工控系統(tǒng)信息化建設程度來提出符合實際需求的解決方案,實現了從OT應用控制、OT一般控制、OT審計等三個維度來打造合規(guī)的OT控制體系。
? 工控安全產品性能達到國內領先水平:包括獨有的專利技術的全機柜一體化解決方案、松耦合的安全框架設計具有極好的設備兼容性、一體化安全產品管理機制。網絡接入支持IPv6、ipsecVPN、可視化監(jiān)控、自定義協(xié)議規(guī)則、接口聯(lián)動、熱備機制、bypass、低延時等高可用性設計,真正做到了對工業(yè)網絡零影響。
? 自主可控的上送信息的數據對接:與同類別方案相比,增加的相關設備所采集的信息更加全面,也更具合規(guī)性,能完全適應工控系統(tǒng)安全防護在穩(wěn)定性與機密性的共同需求。方案中所有信息安全產品均為國產自主產品,可控性強,安全產品聯(lián)動安全性更高,并可提供定制化的功能開發(fā),方便支撐不斷迭代升級。
? 可信計算的融合技術:采用設備上加裝PCI可信控制卡的方式,實現可信功能。主要包括基于可信根對設備的bootloader、操作系統(tǒng)和應用程序等進行可信驗證;基于SM3 HASH對設備的bootloader、操作系統(tǒng)和應用程序等進行可信驗證;對系統(tǒng)中斷、關鍵內存區(qū)域等執(zhí)行資源進行可信驗證;對設備的網絡通信進行可信動態(tài)度量,監(jiān)測異常通信行為;將可信驗證結果形成審計記錄并發(fā)送至安管平臺;安管平臺處理所有安全設備上報的可信狀態(tài)值,并呈現整個安全防護系統(tǒng)的可信狀況。
客戶反饋
本方案以油氣管道工控系統(tǒng)應用為場景,構建了安全可控為目標,監(jiān)控審計、威脅分析、入侵檢測、主機防護為特征的油氣管道企業(yè)工業(yè)控制系統(tǒng)新一代主動防御體系,提高了工控系統(tǒng)整體安全性。將為企業(yè)工業(yè)控制系統(tǒng)網絡安全防護體系建設開創(chuàng)行之有效的安全建設模式,提高管控一體化安全防護的能力。
通過本方案中的主動安全防御建設,提高了工控安全防御能力。按照每年平均防御網絡攻擊1次,每次攻擊平均造成的停運損失500萬元計算,項目2020年11月份投運至2021年4月份,折算減少停運損失約200萬。由于該項目的建設,提高了運維效率,每年還可以降低工業(yè)控制系統(tǒng)的運維費用約30萬。
本方案具有很強的推廣價值,也適合在石油石化行業(yè)其它場景的工控系統(tǒng)中進行推廣應用。
?
工業(yè)互聯(lián)網安全能力指南 —— 工控檢測/審計部分
關鍵發(fā)現
? 傳統(tǒng)IT環(huán)境中安全優(yōu)先級要求:CIA,工控環(huán)境中安全優(yōu)先級要求正好相反:AIC。因此工控檢測/審計類產品——特別是主動掃描類檢測產品——首要要求是對業(yè)務連續(xù)性不能有影響;
? 對主流工業(yè)協(xié)議的識別與解析數量是該類產品的主要衡量標準,除此以外,也應考慮檢測結果可視化、與業(yè)務的相關性等軟性指標;
? 工控檢測/審計類產品仍然以合規(guī)需求為主要驅動力,但隨著關基類用戶的投入逐漸加大,實戰(zhàn)化高級威脅檢測的需求驅動正在逐漸增強;
? 隨著客戶的檢測能力日漸成熟,以及工業(yè)互聯(lián)網安全產品數量增多,會將投入逐漸轉向工業(yè)互聯(lián)網安全管理平臺能力。工業(yè)互聯(lián)網安全檢測類產品的總體收入占比將會逐步下降。
工控檢測/審計能力點陣圖
本次參與工控防護能力的廠商共有18家,包括:安恒信息、博智安全、烽臺科技、國泰網信、惠而特、立思辰安科、六方云、珞安科技、綠盟科技、木鏈科技、齊安科技、啟明星辰、融安網絡、圣博潤、天地和興、天融信、威努特、英賽克。
工控檢測/審計能力主要產品形態(tài)
在本次工業(yè)互聯(lián)網安全系列報告中,檢測是最重要的組成部分之一,“看見”是一切安全管理與安全服務的前提。經過近幾年的發(fā)展,工業(yè)互聯(lián)網安全檢測產品形態(tài)主要有以下幾大類:
? 工業(yè)資產發(fā)現與管理
在工業(yè)生產環(huán)境中,以安全視角對包括控制器、控制系統(tǒng)、上位機等工控設備,以及辦公網中的網絡設備、安全設備、主機設備等在內的各類資產進行主動/被動資產發(fā)現以及資產管理的安全產品。
? 工業(yè)合規(guī)檢查工具箱(等保工具箱、基線核查系統(tǒng)等)
以合規(guī)檢查為主要目的,內置工控系統(tǒng)等級保護檢查標準,支持漏洞檢測、流量分析、配置核查等自動化評估工具的便攜設備產品,一般這類產品還支持自動生成信息安全等級保護檢查報告以及整改通知書。主要用戶為測評機構與現場執(zhí)法檢查的單位(例如各級測評中心、公安、國安、網信、保密等)以及集團類客戶對下屬單位檢查使用。
? 工業(yè)監(jiān)測審計
針對工業(yè)生產環(huán)境中的網絡流量進行安全監(jiān)測與行為分析的審計類產品。此類產品的目的在于識別非法操作、越權執(zhí)行、外部攻擊等安全事件并實時告警,同時全面記錄網絡中的網絡運行狀況及各協(xié)議通信行為,生成分析報告,給出合理化建議,為安全事件的調查取證提供依據。由于采用旁路監(jiān)聽方式進行部署,不影響現有系統(tǒng)的生產運行,審計類產品可以適用于大部分網絡環(huán)境,。
? 工業(yè)安全評估(包含工業(yè)漏掃、防病毒)
此類產品涵蓋了資產發(fā)現、漏洞掃描、配置核查、Windows安全加固、等保合規(guī)關聯(lián)、Wifi安全檢測等模塊,目的是發(fā)現工控環(huán)境中存在的各種脆弱性問題,包括各種已知安全漏洞、安全配置問題、不合規(guī)行為等風險。在信息系統(tǒng)受到實際危害之前為用戶的安全管理人員提供專業(yè)、有效的評估報告和修補建議。因此,這類產品一般都會具備直觀的報表功能。部分具備防病毒基因的安全企業(yè),還會在這類產品中內置脫殼引擎、解壓縮引擎、反病毒引擎,結合特征碼掃描、啟發(fā)式掃描等技術檢測各種已、未知病毒威脅。
? 工控漏洞挖掘
此類產品主要用于發(fā)現工控設備(PLC、RTU等)、工控系統(tǒng)(DCS、SCADA等)中的未知漏洞,以黑盒測試為主要技術實現方式,產出的測試報告應當能夠清晰定位問題并提供測試報文便于問題回溯,對于安全要求更高且預算較多的關基用戶,這類產品能夠進一步提升工業(yè)控制系統(tǒng)的安全性。
? 工業(yè)入侵檢測系統(tǒng)
顧名思義,應用于工業(yè)互聯(lián)網環(huán)境的IDS,主要對緩沖區(qū)溢出、SQL 注入、暴力破解、DDoS攻擊、掃描探測、蠕蟲病毒、木馬后門、間諜軟件、欺騙劫持、僵尸網絡等各類黑客攻擊和惡意流量進行實時檢測及報警。
工控檢測/審計能力落地要點
不影響用戶的業(yè)務為基本準則
傳統(tǒng)IT環(huán)境對安全的優(yōu)先級要求是CIA,工控環(huán)境中對安全的要求優(yōu)先級正好相反——AIC。工控環(huán)境中,絕大部分設備和系統(tǒng)都要求7*24小時不間斷運轉,所以主動掃描類檢測產品,首先要注意的就是不能影響用戶業(yè)務。如資產發(fā)現與漏洞掃描,應當以版本匹配為主,不能poc驗證式掃描。同時,要能夠對掃描策略進行靈活配置,注意產品的占用進程和資源。很多老舊設備的硬件水平與操作系統(tǒng)都經不起大流量的掃描行為沖擊。如果是流量檢測,則務必采用旁路監(jiān)聽方式,同時注意產品檢查點的范圍和深度,避免造成回環(huán)等形式的網絡擁塞,影響正常的業(yè)務流量。所有的產品部署要便捷,盡量不中斷或是只占用很短的中斷業(yè)務時間。
要能夠適應惡劣的工業(yè)環(huán)境
安全檢測類產品要具備IP40或以上級別的防護、抗電磁干擾、電源冗余、無風扇散熱、雙機熱備、端口冗余、寬溫寬壓等工業(yè)級的可靠性、穩(wěn)定性。對于軍工類用戶,某些便攜檢測類產品還應當具備三防(防塵,防水,防震)能力,自備電源,適合嚴苛環(huán)境應用。
白名單與黑名單的平衡使用
白名單是工控環(huán)境下安全檢測產品的基本技術實現思路,但單純依靠白名單其局限性,甚至有可能反被利用。比如2018年被發(fā)現的針對中東某石油天然氣廠工業(yè)控制系統(tǒng)的“海淵”(TRISIS)惡意代碼便是利用社工技巧偽裝成安全儀表系統(tǒng)的日志軟件繞過“白環(huán)境”機制成功進入目標網絡。除采用社工手段外,直接針對白名單設備、白名單軟件的攻擊行為也愈加頻繁,更有一些復雜攻擊采用哈希碰撞的攻擊方式繞過“白名單”機制,對系統(tǒng)造成威脅。因此,應當在基于白名單的基礎上,增加對已知病毒、已知漏洞庫、威脅情報等特征數據的檢測能力。而且,目前供應商的產品一般都具備一定程度的智能學習技術,通過自動學習生成白名單庫,并以此為起點按需進行安全檢測,使白名單也具備了一定的靈活性??傊?、黑之間的平衡點,要根據用戶自身的業(yè)務情況按需制定。
工控檢測/審計主要核心能力
針對以上產品形態(tài)及落地要點,工業(yè)互聯(lián)網安全產品的主要核心能力有五個:識別、解析、采集、知識庫、可視化。
識別
“檢測”能力的第一個主要核心能力是準確的工控設備指紋識別能力。能力衡量標準是能夠識別的主流協(xié)議的數量與準確度,例如西門子、施耐德、羅克韋爾、ABB、艾默生、倍福、歐姆龍、臺達、和利時、三菱、霍尼韋爾、英維思等國內外知名廠商的 OPC、Modbus、DNP3.0、S5、S7、Ethernet/IP、MBTP、IEC104、IEC1850、Profinet、BACnet、MMS、FOCAS、 ENIP、Melsec-Q、PCWorx、ProConOs、Crimson 等協(xié)議。識別的能力門檻相對較低,對設備協(xié)議、設備類型、軟硬件版本、廠商、 開放的端口、服務等信息的綜合判斷,能夠積累較多的協(xié)議識別數量,但更高的能力壁壘,就需要有專門的技術團隊,通過逆向分析等手段,分析協(xié)議架構、通信流程、報文結構、解析功能碼、敏感報文等信息。目前行業(yè)內的主要安全企業(yè),其協(xié)議識別能力的數量在數十個不等。用戶可以根據自身情況,對供應商加以考量。
解析
不同于“識別”,檢測能力中對“解析”的要求更高、更深入。要能夠對主流協(xié)議進行指令級、值域級深度解析,準確解析出協(xié)議中的功能碼、值域、操作碼、寄存器地址范圍等等,從而對報文格式、完整性進行檢測,判斷是否存在畸形報文——嘗試偽裝成正常通信協(xié)議內容的惡意代碼進入工業(yè)控制系統(tǒng)網絡內部或區(qū)域內部,聯(lián)動防火墻,防止畸形代碼攻擊等多種發(fā)生在工控以太網絡內部的攻擊。
有的審計類產品,還會記錄更為詳細的指令變更、負載變更、狀態(tài)變更等指令集的操作數據,兼具一些類似業(yè)務中斷告警這樣的功能,從安全生產的角度來講,當然這也屬于安全范疇。用戶可以按需選用。受限于工業(yè)生產設備的廠商現狀,目前行業(yè)內的主要安全企業(yè),其協(xié)議解析能力的數量在20-30個之間不等。用戶可以根據自身情況,對供應商加以考量。
采集
包括定時采集和實時采集,如資產、環(huán)境、漏洞等不會頻繁變化數據,將采用定時采集或者觸發(fā)式采集(管理中心下發(fā)指令),針對如進程、文件、網絡等會頻繁變化數據采用實時監(jiān)控模式,進行實時采集和上報。
審計類產品,要具備原始數據的采集與存儲能力,有些行業(yè)的審計要求數據留存時間不少于六個月。采集方式可以是實時采集,也可以是定時采集。采集方式可以是直接采集工業(yè)數據,比如連接485串口收集數據,或是根據工控設備、網絡設備、主機設備、安全設備等目標的不同,分別通過Syslog、SNMP、SNMP Trap、ICMP、SSH、NMAP、流量嗅探等方式進行收集數據。
這里主要考量數據采集的全面性。例如主機設備包括操作系統(tǒng)層面所有的用戶登錄、操作信息、各類數據庫、中間件的重要運行信息以及外設設備(鍵盤、鼠標以及所有移動存儲設備)的接入信息;網絡設備的配置變更、流量信息、網口狀態(tài)等安全事件信息;安全防護設備包括防火墻、縱向加密認證裝置、正向隔離裝置、反向隔離裝置、入侵檢測系統(tǒng)(IDS)、運維操作審計系統(tǒng)、蜜罐、web應用防火墻等安全設備等;日志則包括系統(tǒng)日志、配置日志、流量日志、攻擊日志、訪問日志等。
知識庫
構建工控協(xié)議解析庫,完善安全事件特征庫,豐富網絡攻擊知識庫,對多環(huán)境、多業(yè)務流量進行深度分析、識別、發(fā)現、追蹤、評估。
這里的知識庫,主要指檢測類產品所需要的資產指紋庫、漏洞庫、病毒庫、入侵檢測規(guī)則庫、安全攻擊特征庫等。各家的分類及計數方式各有標準,因此我們并不強調,也不鼓勵單純的比較各家的知識庫數量。不過有兩個能力點要說明,一是不論知識庫數量多或少,檢測還應當考量效率和準確率。二是對私有協(xié)議是否提供開發(fā)接口或是SDK,方便用戶自行擴展支持私有協(xié)議和做定制化開發(fā)。
可視化
工控環(huán)境下,安全的很多狀態(tài)不像IT環(huán)境下直觀,因此需要更加注重可視化能力。例如資產狀態(tài)數據、基于協(xié)議的網絡拓撲視圖和網絡流量視圖、帶有時間維度的統(tǒng)計數據、分析結果數據、異常行為告警信息、突出重點的處置建議等。
在初步檢測出威脅并加以確認后,如果能夠具備一定的可視化分析能力就更好,例如將受到威脅風險的資產與業(yè)務屬性做關聯(lián), 或是接入用戶的工業(yè)生產數據,將安全風險與生產數據結合,顯示其潛在的停機、停產帶來的業(yè)務風險??梢暬哪康囊欢ú恢皇敲烙^,更重要的是體現出安全的價值。
創(chuàng)新嘗試
此次調研,我們發(fā)現安全企業(yè)的檢測能力具有一定的趨同性,差異點主要集中在對協(xié)議的識別與解析上,但是部分企業(yè)還是嘗試在作出一些創(chuàng)新嘗試,我們列在這里,供用戶參考:
? 融合零信任理念的自適應工控安全檢測;
? 在工業(yè)安全領域研究并應用SOAR、UEBA等先進技術,對工業(yè)協(xié)議中的生產過程關鍵參數進行趨勢分析與建模,識別正常生產活動與關鍵參數異常變化;
? 初步的追蹤溯源能力:支持流量回溯,追溯攻擊過程,支持關聯(lián)分析攻擊路徑,保存攻擊證據;
? 在安全設備上加裝PCI可信控制卡的方式,實現可信功能。實時監(jiān)測操作系統(tǒng)、應用程序、關鍵內存區(qū)域、網絡通信等關鍵點,最終將可信驗證結果形成審計記錄并發(fā)送至安管平臺;安管平臺處理所有安全設備上報的可信狀態(tài)值,并呈現整個安全防護系統(tǒng)的可信狀況;
? 對網絡中漏洞、攻擊等進行監(jiān)測、梳理和分析,并對探測的漏洞與權威漏洞庫進行關聯(lián)評測,給出量化評估(風險值),并進行預警與展示;
? 基于資產、事件、威脅、時間、空間、業(yè)務行為等多個維度進行關聯(lián)分析,全面、多維、系統(tǒng)的統(tǒng)計、分析,以可視化的圖表進行展示;
? 基于AI算法和模型的威脅檢測,不依賴特征庫升級方式來檢測威脅。
需求變化:實戰(zhàn)化威脅檢測
工業(yè)互聯(lián)網安全檢測需求的用戶中,有很多關基類用戶,它們面臨的威脅等級在逐步提高。對于電力、石油石化、軌道交通、智能制造、鋼鐵冶金和軍工等多個國家關鍵信息基礎設施行業(yè)來說,威脅檢測的場景越來越趨于實戰(zhàn)化,對工業(yè)互聯(lián)網安全檢測類產品的要求也正在趨于“能力化”。例如對工業(yè)協(xié)議的深度解析、基于正常通信行為建模后的異常流量監(jiān)測、對安全事件一定程度的自動化分析、對威脅風險的統(tǒng)一管理與可視化展現、對高級威脅的檢測及防御、基于資產的風險識別等等。這就要求供應商能夠將以上檢測類產品與本系列報告中的工控蜜罐、安全管理平臺、安全服務等內容整合以后,實戰(zhàn)化安全運營,才能發(fā)揮出最大的能力效果。
工業(yè)互聯(lián)網安全檢測/審計能力市場情況
? 根據本次調研的方向,2019年我國工業(yè)互聯(lián)網安全檢測能力收入總體約為4.11億元,2020年總體收入約為6.89億元,預計2021年收入為10.56億元,2022年有望達到14.2億元。隨著客戶的檢測能力日漸成熟,以及工業(yè)互聯(lián)網安全產品數量增多,會將投入逐漸轉向工業(yè)互聯(lián)網安全管理平臺能力。工業(yè)互聯(lián)網安全檢測類產品的總體收入占比將會逐步下降。
? 工業(yè)互聯(lián)網安全檢測類產品當前還是以單一標準化產品交付為主,占57.15%。定制化產品及運營占24.19%;作為單一功能交付、訂閱模式及其他模式共占18.66%。
? 從銷售方式來看,廠商直接銷售和通過渠道銷售占比差距不大。直銷(44.81%)比渠道(38.91%)占比略高,OEM的占比為16.29%。
? 當前來看,工業(yè)互聯(lián)網安全檢測能力的主要落地行業(yè)為電力,占29%。電力在整個工業(yè)互聯(lián)網領域起步較早,投入也更多,因此安全能力落地更多。其余占比超過10%的行業(yè)為軌道交通(17%)、石油石化(12%)、以及煙草、教育、軍工等其他行業(yè),匯總后也占到了15%。從未來發(fā)展來看,石油石化將會成為下一個安全廠商爭奪的領域。
案例三:軌道交通-綜合監(jiān)控系統(tǒng)安全防護建設項目
場景介紹
當前,世界各國廣泛采用以信息化促進城市軌道交通發(fā)展的戰(zhàn)略,信息化已覆蓋城市軌道交通的建設、運營、管理、安全、服務等各個方面,我國強力推進“互聯(lián)網+城市軌道交通”戰(zhàn)略。地鐵綜合監(jiān)控系統(tǒng)(ISCS)作為軌道交通信息化系統(tǒng)中子系統(tǒng),承載了對電力設備、火災報警、車站環(huán)控設備、區(qū)間環(huán)控設備、環(huán)境參數、屏蔽門、防掩門、電扶梯設備、照明設備、門禁設備、自動售檢票設備等進行實時集中監(jiān)視和控制的基本功能,同時擔負著非運營時間、正常運營時間以及緊急突發(fā)事件設備故障情況下的相關系統(tǒng)設備之間協(xié)調互動等高級功能,一旦系統(tǒng)被攻擊入侵,將給地鐵的正常運營、運行帶來巨大的影響。為了避免我國城市軌道交通行業(yè)在數字化網絡化發(fā)展過程中出現信息安全和網絡安全問題,各城市軌道交通行業(yè)建立常態(tài)化、覆蓋事前、事中、事后的全方位信息安全服務體系,形成動態(tài)防護、監(jiān)測預警、響應處置的網絡安全工作機制,覆蓋智慧城軌全生命周期和運營全過程。
客戶需求
◆ 工控協(xié)議識別種類廣泛:綜合監(jiān)控系統(tǒng)(ISCS)屬于多系統(tǒng)深度集成的系統(tǒng),在控制網絡中存在多家自動化廠商PLC控制器,需要對全部進行協(xié)議的識別和分析;
◆ 工控入侵行為檢測能力精確性:能夠精準的識別基于工控協(xié)議的入侵行為,對異常的通信行為進行分析和告警,實現風險、威脅“可知、可管”;
◆ 工控協(xié)議指令級的異常監(jiān)控和行為取證:能夠對工控網絡流量基于“字節(jié)和位”的協(xié)議分析,能夠對關鍵操作行為、控制命令等進行實時監(jiān)測和分析;
◆ 從“技”、“管”兩個維度建立全面防護體系:從安全計算環(huán)境、安全通信網絡、安全區(qū)域邊界等多個維度實現安全防護建設,同時結合綜合監(jiān)控系統(tǒng)特性,構建符合國家“等保”監(jiān)管要求的安全防護體系。
解決方案
地鐵綜合監(jiān)控系統(tǒng)由控制中心系統(tǒng)、各車站級控制系統(tǒng)、車輛段控制系統(tǒng)、培訓管理系統(tǒng)、設備維護及網絡管理系統(tǒng)等組成,各系統(tǒng)通過冗余環(huán)網連接。針對本項目綜合監(jiān)控系統(tǒng)安全防護體系建設,主要集中在控制中心、各車站、車輛段、停車場以及主所/區(qū)間所等系統(tǒng)防護。
地鐵安全防護總體架構如下圖所示:
依據網絡安全等級保護“三級”系統(tǒng)保護要求,結合地鐵綜合監(jiān)控系統(tǒng)安全防護面臨的諸多安全問題,我們在本項目安全防護體系建設方面遵循“系統(tǒng)內主機加固和風險監(jiān)控,互聯(lián)系統(tǒng)間邏輯隔離和防護,審計和告警數據集中管理和統(tǒng)一呈現”的工控系統(tǒng)安全建設原則。具體防護思路如下:
? 在控制中心、車站、車輛段部署工控安全監(jiān)測與審計系統(tǒng),實時監(jiān)測系統(tǒng)內部異常行為,異常流量告警。進行全面的異常行為檢測和深度分析,提供現場設備故障報警和惡意入侵活動報警;
? 基于機器學習及大數據技術,對綜合監(jiān)控系統(tǒng)運行一段時間的工控網絡數據進行智能分析和自主學習,一鍵自動穿件白名單策略;持續(xù)監(jiān)視網絡流量,自動識別合規(guī)數據,及時發(fā)現違規(guī)行為并實施告警;
? 系統(tǒng)基于網絡通信數據的深度分析繪制獨特的ISCS工控網絡拓撲圖,可直觀展示ISCS系統(tǒng)工控網絡中各個設備節(jié)點間的通信連接情況,便于發(fā)現工業(yè)資產,并提供可視化的異常展示與告警。當存在潛在威脅時,節(jié)點間的連線可采用高亮的方式進行展示;
? 內置海量已知工控漏洞庫,當監(jiān)測到發(fā)生工控漏洞入侵行為時自動產生告警并提供系統(tǒng)運營人員,工控監(jiān)測審計系統(tǒng)與多個SIEM平臺進行無縫集成,實現分析網絡數據;
? 基于通訊數據的資產自動發(fā)現和自動鏈路繪制,識別國內外主流的IT設備和工控設備,并通過通訊拓撲和報表兩種方式進行展示,同時對工控網絡中的多IP資產提供特殊的管理方式,呈現ISCS系統(tǒng)工控網絡實際情況。
? 對ISCS系統(tǒng)中Modbus、IEC61850、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-UA、MMS等工控協(xié)議進行深度的解析和防護,同時可支持特有的工控協(xié)議自定義功能。
客戶價值
建立ISCS網絡異常監(jiān)控、行為取證分析的閉環(huán)防護措施:通過深度協(xié)議分析技術,實時對工控網絡流量進行細粒度(字節(jié)和位)的協(xié)議分析,通過黑白名單方式識別異常行為(異常設備接入、異常網絡連接、異??刂泼钕掳l(fā)等)并自動報警,支持安全基線和白名單的自動創(chuàng)建。安全系統(tǒng)自身可提供專用取證分析工具,對采集到的工控網絡流量進行分析和調查取證,系統(tǒng)既可對歷史數據也可對實時數據進行取證分析,發(fā)現和追蹤工控網絡安全威脅,方便管理人員能夠快速及時的做出應對措施。
實現通信行為、威脅、資產的“可知、可管”:通過自主的網絡流量采集探針,收集ISCS網絡環(huán)境中的所有網絡行為進行協(xié)議解析和識別,包含源、目的地址,源、目的端口,協(xié)議、時間、會話量等,統(tǒng)一上傳給管理平臺。平臺提供行為分析引擎,利用機器自學習、行為分析模型等分析網絡異常行為,并對網絡行為進行聚類分析。能夠對工控網絡中的各種PLC、操作員站等設備進行自動發(fā)現并自動生成設備臺賬設備信息包括IP地址、MAC地址和設備類型等。可快速定位和發(fā)現接入工控網絡的非法資產,同時可識別僵尸資產,降低工控網絡安全風險。
實現基于流量的可視化“掛圖”作戰(zhàn):提供完整全面的ISCS系統(tǒng)網絡流量拓撲圖,在拓撲圖中顯示設備位置和設備之間的連接關系,可識別IP連接和串行連接。同時能夠顯示設備之間連接所使用的協(xié)議,并對具有潛在安全風險的設備進行高亮顯示。對網絡環(huán)境中的流量數據及安全數據,在“安全管理平臺”上進行直觀展示,管理員可直觀地看到流量傳輸情況,及系統(tǒng)檢測出的告警情況,識別危險鏈路和危險區(qū)域,從而進行適當的防控。
基于工業(yè)特性,從“技術”、“管”兩個維度形成全面的ISCS系統(tǒng)防護系統(tǒng):從網絡、終端、通信、數據、運維、管理等多個層面提供完整的安全防護與管理手段,實現生產網絡全面的安全保護。所有安全組件均采用非侵入式安全監(jiān)測與防護工作方式,可確保安全防護措施對生產網絡的干擾降到最低,同時安全不是單純的技術問題,在采用安全技術和產品的同時,結合ISCS系統(tǒng)的業(yè)務特性,從管理制度、應急預案等維度進行完善全面提高安全管理水平。形成“技”、“管”并重的方式,加強ISCS系統(tǒng)控制網絡的安全。
客戶反饋
基于ISCS系統(tǒng)安全防護技術方案,采用旁路非入侵式防護技術能夠動態(tài)識別ISCS工業(yè)控制網絡過程風險,對所有資產情況進行監(jiān)視,及時發(fā)現僵尸資產的入侵行為,能夠快速定位風險入侵路徑、風險階段、風險源頭,將安全風險遏制在源頭、遏制在攻擊過程中,形成閉環(huán)動態(tài)的ISCS系統(tǒng)安全防御體系,為軌道交通ISCS系統(tǒng)的穩(wěn)定運行、安全運行提供有效的安全保障支撐。
來源:數世咨詢