伴随两化融合,智能制造发展大趋势,越来越多的工业企业直接或间接的连接到互联网,网络安全风险不断向工业领域蔓延,工业互联网网络安全态势异常严峻,需要不断增强对工业互联网网络安全的认识,提升其安全防护能力,从而保障我国制造强国、网络强国的建设战略方向。
工业控制系统是工业互联网的重要组成部分,是工业网络安全建设的核心,同时也是国家关键信息基础设施的重要组成部分,工业控制系统的安全直接关系到国家整体的战略安全。随着我国关于“中国制造2025”、“工业互联网”等一系列制造强国战略的实施,工业控制系统逐步实现人、机、料、法、环、信息的智能感知、互联互通、协同处理,我国也正式步入工业互联网时代,工业互联网使我国工业自动化、网络化、智能化水平得到快速发展的同时,也引入了诸多互联网信息安全威胁,工业网络安全隐患日益严峻。
工业网络安全指工业运行过程中的信息安全,涉及工业领域各个环节,包括工业控制系统安全(以下简称工控安全)、工业互联网安全、工业大数据安全、工业云安全、物联网安全等。与传统网络安全相比,工业网络安全需适应工业相对特殊的物理环境,同时还要适应设备实时性、高可靠性、业务的连续性等需求以及工业协议众多且私有化的行业特征。与构成计算机网络、互联网的传统信息系统相比,工业信息系统在保障对象、性能要求、安全需求、风险管控、技术支持、安全服务,以及安全故障影响范围等方面有其特殊性,其防护复杂性和防护成本也更高,防护难度更大。
工业信息系统对实时性和可用性要求较高,工业系统业务通信的时延需要控制在较低水平,以便生产业务系统能够7*24小时不间断有序运行。工业设备和系统通常依照生产需求和工艺要求进行定制配置,设备系统组合种类多、技术手段差异大、通信协议通用性低,即使是同一型号的设备,根据行业或业务场景的不同也有不同的配置方式。这些设备和系统的设计重点在于完成生产过程所需的动作,而对数据处理能力和安全防护能力的设计偏弱。工业信息系统升级需要提前制定详细计划,并由设备制造商、系统集成商等第三方专业人员进行操作,系统变更使用的补丁也需要提前进行全面测试,以确保系统变更不影响正常的生产流程,并尽量减少产能损失。
工业设备和系统的这些特性导致其防护方式有所不同,工业控制系统网络安全优先保障企业业务生产过程的稳定性,保证生产过程的实时控制,其次才考虑其安全性,传统网络安全则优先保障的数据保密性和完整性。工业控制系统无法使用安全可靠性高且计算资源消耗大的商用计算机设备加密算法、通用防护软件等安全产品,需要针对不同设备系统采取专用防护措施。工业生产使用的多数设备和系统无法使用第三方服务或置入第三方信息安全解决方案,设备和系统出现问题需要特定设备提供商、系统集成商进行处理。
基于上述工业网络安全的特殊防护需求,传统IT安全难以复用在工业网络,主要表现为以下几个方面:
( 1 ) 传统IT安全产品消耗资源多,工业设备相对老旧难以承受
传统IT安全产品消耗资源多主要体现在占用系统资源方面,以传统的杀毒软件为例,主要通过病毒扫描查杀引擎实现病毒及恶意代码的发现及删除,并且需要借助于病毒库的更新保证病毒扫描查杀引擎的有效性,但是无论是病毒查杀的过程,还是病毒库升级的过程,对工业设备来说消耗的资源都是非常巨大的,尤其是工业网络中存在非常多比较老旧的硬件设备,在支撑工业应用程序之外,已经没有过多额外的资源支撑病毒查杀引擎的运行以及病毒库的升级,如果安装杀毒软件,极易造成因资源的占用影响工业应用程序的正常运行,进而影响生产。所以工业网络更适用于资源消耗较少的安全防护技术。
( 2 ) 传统IT安全需要及时更新特征库,工业网络不具备条件
传统IT安全防护产品大多以黑名单技术为主,无论是在主机安全产品还是在网络安全产品都是以特征匹配的方式进行安全防护,这就要求物理环境需要具备及时更新特征库的网络条件,否则特征库无法及时升级,也就导致安全防护产品无法对新发现的网络攻击检测和清除,达不到应用的防护效果。尤其是在当下的网络态势下,对于新型的网络攻击行为的检测是异常重要的,而工业网络虽然在向着工业互联网演进,但大部分的工业企业仍然无法直接连接互联网,也就不能提供及时更新特征库的条件,传统IT安全产品的防护能力大大的减弱。
( 3 ) 传统IT安全对实时性要求不高,不适合工业网络现场
传统信息系统关注的重点是保密性,一旦出现网络攻击的场景,首先要保证的是关键、重要信息不泄漏,或者一点泄露,对方也无法看懂,其次信息系统对于响应的实时性要求不高,短暂的重启或中断是可以接受的,由此可见,传统的IT网络安全在延时、抖动等方面要求不高;与传统信息系统不同的是,工业控制系统对于实时性要求非常高,尤其是像连续制造行业领域,其整体的工艺流程对实时性、连续性要求就非常高,对高延时和频抖动是不能接受的,一旦出现高延迟和频抖动的情况,可能直接造成生产事故,传统IT安全在延时和抖动方面不适合工业网络现场。
( 4 ) 传统IT安全产品对工业协议解析的深度与广度不够
与传统信息系统相比,工控系统大多是由传感器、控制装置、上位机设备等多装置形成的闭环系统,监控画面是供操作员进行工况监视和简单操作,组态软件是供工程师站进行控制设备的组态编程。工控系统的特点之一就是控制设备品牌众多,每种品牌都有固有的专用协议进行用于传输生产过程中的数据,所以对于工业网络安全一个首要是针对工业协议能够进行解析,且深度解析。其次要能通过模块化的方式对众多品牌固有的通讯协议进行定制化深度解析。目前众多传统的IT安全产品也将工业协议解析的模块加入安全产品中,但是多数为固有的几种通用的工业协议,如OPC,Modbus TCP等等,实际上在工业现场实际应用场景中没有办法做到对于工控协议的应用层的访问做到实质的控制及安全防护。
所以结合工业企业生产业务系统特点形成具有工业企业特色的网络安全综合防护平台是非常有必要的。
威努特结合多年工业网络安全建设经验总结出一套工业企业网络安全综合防护体系建立的最佳技术路线:
( 1 ) 对工业企业的OT/IT系统进行深入研究,分析企业的OT系统、IT系统的网络特点、系统特点、业务特点以及企业安全管理、流程等方面的特点;
( 2 ) 结合工业企业工业控制系统的工艺、生产流程、生产过程流量等特点,对企业生产业务系统进行风险评估,分析生产业务系统的脆弱性、威胁和风险,并最终输出风险评估报告;
( 3 ) 根据水电、新能源企业的风险评估报告,结合企业的OT/IT系统的特点,分析企业网络安全需求,并从设备安全、主机安全、网络安全、数据安全和态势感知等方面输出网络安全需求分析报告。
结合工业企业OT/IT系统特点、风险评估报告和网络安全需求分析报告,围绕设备安全、主机安全、网络安全、数据安全、安全管理、态势感知等方面,以基于白名单的主动防御和基于安全区域的纵深防御为基础,形成工业企业网络安全综合防护平台方案总体设计,构建包括攻击诱捕、工艺安全、资产管理、漏洞检测、配置核查、边界防护、入侵检测、态势感知、病毒防范、安全审计、数据保护等的一体化动态综合防御体系,全天候全方位监控关键生产设备及重要业务系统安全状况,及时发现、处置、阻断各类网络安全隐患风险,并支撑溯源取证。
当下工业网络安全已有如工业防火墙、工控安全监测与审计系统、网络威胁感知系统、工控主机卫士、统一安全管理平台、安全运维管理系统、日志审计与分析系统、工控漏洞扫描平台、工控漏洞挖掘平台、网络准入控制系统、工控蜜罐系统、态势感知系统等成熟的网络安全产品,但在实际建立网络安全综合防护体系中需针对工业企业OT/IT系统特点的及网络安全需求,需要对既有网络安全产品进行部分定制化开发改造。
( 1 ) 针对工业企业的不同业务场景,建设仿真验证平台;
( 2 ) 对实际现场中应用的关键控制设备进行漏洞挖掘和漏洞扫描;
( 3 ) 利用专用攻击工具对关键控制系统进行渗透测试;
( 4 ) 根据技术方案设计,在仿真验证平台进行工业企业网络安全综合防护平台建设,并结合渗透测试对防护能力进行验证;
( 5 ) 根据验证结果,动态调整综合防护平台技术方案。
在工业企业进行工业企业网络安全综合防护平台建设,包括生产控制网安全建设、管理信息网安全建设、集控中心网络安全建设和集团侧工业网络安全态势感知平台建设。
工业企业的网络安全综合防护体系的总体应设计遵循主动防御、纵深防御、动态防御和统一管理的设计思想,依照“一个中心,三重防护”的设计思路,根据工业企业行业特性以及安全整体需求,从设备、主机、网络、数据等方面入手,形成设备安全、主机安全、网络安全和数据安全的纵深防护体系,同时在企业建设统一安全管理中心,包括集中管控和态势感知平台2个部分,形成集设备内生安全、边界防护、入侵检测、数据审计、主机防护、资产管控、统一管理、态势感知、网络诱捕、威胁感知等多种防御检测手段为一体的多层次纵深防御体系。同时建立工业企业网络安全综合防护验证平台,对于工业企业的生产控制网和管理信息网进行仿真,在验证平台进行基于业务的网络攻击及安全防护,验证网络安全综合防护平台对于工业企业提供的安全防护能力,并根据验证情况进行方案调整,从而达到抵御网络攻击的目的。
1.安全区域划分:根据工业企业生产控制系统特性,结合相关文件要求,对生产控制网、管理信息网进行安全区域的划分,明确区域边界;
2.设备安全:以设备内生安全为基础,通过技术手段实现关键控制设备的身份认证、访问控制、外设管控、安全运维,并对生产过程进行安全防护,保证生产工艺安全、生产运行安全;
3.主机安全:以国密算法为基础,保证应用程序的可信执行,并对主机进行安全基线加固,开启安全审计,提升其安全防护能力,同时实现主机的身份鉴别、访问控制、入侵和恶意代码防范、非法外联检测、外设管控;
4.网络安全:将工业企业的网络划分为生产网络和管理网络,通过技术手段实现网络边界隔离、入侵检测防范、恶意代码防范、APT攻击检测、异常流量监测,并采用基于工控协议深度解析技术为基础的异常控制指令监测,保证生产业务安全;
5.数据安全:涵盖工业企业生产数据的传输、存储、使用等各个流转环节,包括生产系统数据的完整性、保密性、可用性,以及数据备份与恢复、数据的安全销毁等;
6.统一安全管理中心:统一安全管理中心在功能架构上分为两个主体部分:一是集中管控,实现安全资产的管理、统一安全策略管理、安全配置核查、安全日志审计以及安全拓扑可视化;二是态势感知,包括生产系统资产可视化、威胁可视化、攻击诱捕、安全事件分析、威胁预警、攻击态势分析、安全合规性分析等方面;
7.综合防护验证平台:根据工业企业生产控制系统特点,建成工控仿真系统、工控漏洞挖掘系统、攻击渗透系统、安全防护系统、效果展示系统等五个子系统,充分展示恶意软件的攻击影响及防护方案的策略部署和防护效果。
通过建立企业级的网络安全综合防护体系,构建包括攻击诱捕、资产管理、漏洞检测、配置核查、边界防护、入侵检测、态势感知、病毒防范、安全审计、数据保护等的一体化动态综合防御体系,全天候全方位监控关键生产设备及重要业务系统安全状况,及时发现、处置、阻断各类网络安全隐患风险,并支撑溯源取证,提高工业企业安全综合防护能力。该平台可以向装备制造、石油石化、原材料生产、军工、能源、交通等行业规模企业推广应用,提升我国工业企业网络安全综合防护能力。
原文始发于微信公众号(关键基础设施安全应急响应中心):工业互联网已来,工业企业如何打造网络安全综合防护体系