2017年伊始,匡恩网络发布了《2016年工业控制网络安全态势报告》(以下简称 “报告”),匡恩网络已连续三年撰写并发布报告。报告全面介绍了国内外工控系统网络安全发展现状以及当前所面临的主要问题,并在这些问题基础上提出了针对性的对策与建议。以下我们将从技术维度重点解读报告。
见微知著,深挖工控网络安全
报告开篇以全球视野角度分析了当前工业控制系统相关安全问题。文中指出,随着全球物联网技术的迅猛发展,工业控制系统安全逐步向工业物联网安全演化,各类工控安全漏洞数量不断增长造成重大安全事件频发,全球各国联网工业控制系统安全面临严重威胁,见下图所示。
2016年全球重要工控安全事件分布图
2016年,全球发达国家加快了工业控制网络安全领域发展的步伐,采取了加大资金投入、制定国家层面战略规划和行动计划、成立国家安全机构和学院、组建网络部队等多方面的措施,以提升本国网络安全保障能力。我国虽然在工业控制网络安全方面起步较晚,但发展迅速,在2016年先后颁布了《中华人民共和国网络安全法》、发布了6项工业控制系统安全相关标准、开展了全国关键信息基础设施网络安全检查和全国工业控制系统安全大检查等一系列行动。
在产业发展态势层面,文中对我国工业控制系统发展中面临的风险与隐患进行了介绍,主要体现在两个方面:
(一) 联网工控设备日益增多,安全隐患日渐凸显
报告中披露了来源于匡恩网络工业控制网络威胁情报中心的统计数据,对我国暴露在互联网中的工控设备数量、类型进行了展示,从中我们可以发现联网设备中可编程逻辑控制器(PLC)数量最多。
此外,从文中工控网络安全漏洞历年的增长情况、工控厂商漏洞数量、漏洞类型等详细的数据统计我们可以感受到,国内主要工控设备厂商产品的安全性愈发令人担忧,尤其是PLC、SCADA、上位机软件的漏洞数量十分惊人,一旦被利用所造成的损失巨大。随着工控系统联网设备逐步增多,潜在安全漏洞数量也逐步增长,长此以往设备安全的不可控将成为我国工控网络安全的隐患点与风险源。
(二)各地区工控安全发展水平差异较大,平均水平偏低
报告中指出匡恩网络通过工业物联网安全大数据分析平台,结合近年来多次全国性的安全检查任务及安全研究和项目实践经验,对我国各区域、重点行业的工控网络安全水平进行了评价与分析。
根据各地区、各行业工控网络安全综合指数得分情况,我们不难发现全国各地区在工业控制系统保护措施方面普遍得分较低(平均76),华北、华东、华中较差,见下图所示。
各区域工控网络安全综合指数统计
虽然,我国华东、华北、华中等地区工业、公共设施相对其他区域发达,工业控制系统应用范围广、数量大、发展速度快,漏洞、病毒木马等网络威胁及基层防护薄弱等问题反而更加突出,是得分较低的主要原因。
另外,我国相关重点行业得分也不容乐观,大部分地区得分偏低,见下图所示。
重点行业工控安全综合指数统计
得分较高的电力、烟草、航空、航天、交通行业受到了国家层面的重视,各方面工作取得了一定的成效,发现的问题也相对较少。得分较低的地区,主要在安全经费、安全事件、安全培训等管理方面存在缺失。
从各地区、各行业工控安全综合指数结果来看,反映出部分地区、行业面对工控网络安全工作缺乏全面的认识,在一定程度上限制了工控安全的发展。
匡恩网络基于自身对工控网络安全的深入理解,结合全国工业企业网络安全调研结果所反映的问题进行了总结,主要包括:
- 普遍存在工控网络边界防护机制缺失或无效,已经成为了普遍现象。
- 在设备投运前既没有进行加固处理,也没有采取补偿性控制措施,在线工控系统长期“带病”运行。
- 黑客入侵、病毒木马的网络攻击行为在工控网络中普遍存在,已经成为了破坏工控系统的主要形式。
- 大量国外工控设备在线运行,短期难以实现自主可控。
- 在安全管理问题上主要体现在两方面,一方面是行业标准体系不健全,缺乏引导和监管依据;另外一方面各单位重视程度不够,在组织、人员、投入等多方面资源匮乏,在两方面的综合作用下安全管理的“死角”、“短板”频现。
IN时代,最in技术开启未来
自工控网络安全被业界提出以来,国内外工业控制系统网络安全防护理念经历了一系列演变,匡恩网络进行了深入研究,进而提出了工控网络安全防护的总体思路与实践参考。
- 匡恩网络“4+1”安全防护理念
从匡恩网络提出“结构安全性、本体安全性、行为安全性、基因安全性、时间持续性”的内涵中,我们可以了解到匡恩网络把主动防护与被动防护的理念融入其中,同时引入安全防护机制、安全体系发展的思想,在攻击技术不断变化的条件下,确保企业的工业控制系统安全保障体系立于不败之地。
匡恩网络“4+1”工控网络安全防护理念
- 匡恩网络工控网络安全防护体系
报告中展示了匡恩网络构建的大型工控网络安全防护体系,见下图所示。
匡恩网络集团化公司整体工控网络安全蓝图
匡恩网络基于“4+1”工控网络安全防护理念,建立了以“集中管理、分层控制”为原则的持续性防御体系,适应集团多层级、多维度的管理需求,提供柔性化的管理框架,支持三级单位防护设备的水平扩展,既保护了客户硬件投资,又提高了管理效率。
另外,匡恩网络安全产品秉承了“4+1”工控安全防护理念,采用了“外挂”的部署方式,适应工业环境稳定性、可靠性、完整性以及网络延时低的要求,提供了系统检测平台、智能保护平台、检测审计平台及安全大数据平台等多样化的产品系列以满足各行业的不同需求,为客户提供定制化安全产品,见下图所示。
匡恩网络由工业控制系统内部生长的持续性防御体系
此外,匡恩网络还在安全芯片、可信计算技术方面不断进行探索,力求向工控网络安全的更底层技术下沉,联同广大安全厂商共同打造绿色产业生态环境。
- 匡恩网络PDCA安全环整体服务方案
匡恩网络基于全生命周期的安全服务方案,囊括计划准备、方案实施、结果评估和优化提升四大阶段,如下图所示。
匡恩网络PDCA安全环
每个阶段都为客户安全建设提供了丰富的服务内容,其中包括设备检测、安全服务、威胁管理、监控审计、智能保护、安全数据库等多个方面。
持续创新是推动产业发展的不竭动力。匡恩网络的这些前沿创新技术和定制服务,在关键基础设施、智能制造、智慧城市、军民融合四大领域的十多个行业深度实施应用,取得了良好的效果和广泛的赞誉。相信,这些前沿技术与防护理念将为两化深度融合实施创造更多的可能性。