【導(dǎo)讀】隨著工業(yè)信息化、工業(yè)物聯(lián)網(wǎng)的快速發(fā)展以及工業(yè)4.0時(shí)代的到來(lái),工業(yè)化與信息化的融合趨勢(shì)越來(lái)越明顯,工業(yè)控制系統(tǒng)也在利用最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平。
工業(yè)4.0風(fēng)暴來(lái)襲,我們追求不僅是成功起飛,還要安全著陸
隨著工業(yè)信息化、工業(yè)物聯(lián)網(wǎng)的快速發(fā)展以及工業(yè)4.0時(shí)代的到來(lái),工業(yè)化與信息化的融合趨勢(shì)越來(lái)越明顯,工業(yè)控制系統(tǒng)也在利用最新的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)來(lái)提高系統(tǒng)間的集成、互聯(lián)以及信息化管理水平。繼蒸汽機(jī)、大規(guī)模生產(chǎn)和自動(dòng)化之后,一場(chǎng)智能工業(yè)革命風(fēng)暴席卷而來(lái),引領(lǐng)整個(gè)工業(yè)行業(yè)向著高度信息化、自動(dòng)化、智能化方向發(fā)展,業(yè)界稱(chēng)之為“第四次工業(yè)革命”。展望整個(gè)發(fā)展趨勢(shì),不難發(fā)現(xiàn)里面有太多和互聯(lián)網(wǎng)千絲萬(wàn)縷的聯(lián)系。小米總裁雷軍曾說(shuō)過(guò)“只要站在風(fēng)口,豬也能飛起來(lái)”。泛工業(yè)4.0概念在世界各國(guó)已經(jīng)達(dá)成共識(shí),并在不同國(guó)家衍生出不同的戰(zhàn)略、規(guī)劃版本,如德國(guó)的工業(yè)4.0戰(zhàn)略、美國(guó)的工業(yè)互聯(lián)網(wǎng)、中國(guó)的兩化融合等,以國(guó)內(nèi)為例,各行業(yè)單位、自動(dòng)化領(lǐng)軍企業(yè)、研究機(jī)構(gòu)也在迅速行動(dòng)、大力布局,以此達(dá)成了產(chǎn)、學(xué)、研高度共識(shí)的未來(lái)發(fā)展藍(lán)圖。由此看來(lái),中國(guó)以制造業(yè)為代表的工業(yè)領(lǐng)域借工業(yè)4.0的東風(fēng)順利起飛似乎已不成問(wèn)題。
然而套用一句流行語(yǔ)“退潮后,才知道誰(shuí)在裸泳”,2000年互聯(lián)網(wǎng)泡沫破滅引起經(jīng)濟(jì)衰退的傷痕尚在隱隱作痛,約有50%的網(wǎng)絡(luò)公司沒(méi)有活過(guò)2004年,當(dāng)概念的熱度退卻后沒(méi)有強(qiáng)有效安全保障體制的公司大多沒(méi)有挺過(guò)這一波嚴(yán)冬,迎接真正互聯(lián)網(wǎng)時(shí)代的到來(lái)。對(duì)網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)的抵御能力是工業(yè)4.0時(shí)代企業(yè)安全保障體制的重要一環(huán),工控安全專(zhuān)業(yè)廠(chǎng)商威努特公司CEO龍國(guó)東先生說(shuō):“面對(duì)工業(yè)4.0風(fēng)暴,業(yè)界更該思考、準(zhǔn)備的是風(fēng)過(guò)后,如何安全著陸。到那時(shí),誰(shuí)有降落傘,誰(shuí)有安全繩才一目了然。”以智能化為核心特征的工業(yè)4.0,工控安全無(wú)疑是這個(gè)安全繩上最粗的一股。
工控安全,即工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)是由工業(yè)自動(dòng)化生產(chǎn)設(shè)備,如PLC、RTU、DCS系統(tǒng)等組成的網(wǎng)絡(luò),不同于IT網(wǎng)絡(luò),工控網(wǎng)絡(luò)有著專(zhuān)有的通信協(xié)議和通信機(jī)制。由于歷史上相對(duì)封閉的使用環(huán)境,工業(yè)控制系統(tǒng)多重視系統(tǒng)的功能實(shí)現(xiàn),對(duì)安全的關(guān)注相對(duì)缺乏。因此工業(yè)控制系統(tǒng)存在大量的安全缺陷,這些缺陷使工控系統(tǒng)極其脆弱,給安全生產(chǎn)帶來(lái)重大隱患。隨著工業(yè)4.0的深入,工控網(wǎng)絡(luò)會(huì)越來(lái)越開(kāi)放,不可能完全的隔離,所以工控安全防護(hù)已經(jīng)不能只考慮簡(jiǎn)單的辦公網(wǎng)信息網(wǎng)、生產(chǎn)網(wǎng)與控制網(wǎng)間的物理隔離,而是需要從一個(gè)整體去考慮。而且由于工業(yè)控制系統(tǒng)多被應(yīng)用在電力、交通、石油、化工、核工業(yè)等國(guó)家命脈行業(yè)中,其安全事故造成的社會(huì)影響和經(jīng)濟(jì)損失尤為嚴(yán)重。出于政治、軍事、經(jīng)濟(jì)、信仰等諸多目的,敵對(duì)的國(guó)家、勢(shì)力以及恐怖犯罪分子都可能把工業(yè)控制系統(tǒng)作為達(dá)成其目的的攻擊目標(biāo)。
工控安全事件只是冰山一角,更多的威脅潛伏在我們身邊
工業(yè)控制網(wǎng)絡(luò)安全事故數(shù)量逐年大幅上升,據(jù)來(lái)源于美國(guó)國(guó)土安全部的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)和OSVDB工控網(wǎng)絡(luò)安全數(shù)據(jù)庫(kù)的數(shù)據(jù)表明,自2010年起,重大工業(yè)控制網(wǎng)絡(luò)安全事件呈現(xiàn)爆炸式增長(zhǎng),由2010年的39起增長(zhǎng)為2013年的256起。2013年間對(duì)中國(guó)各個(gè)行業(yè)的黑客攻擊較2009年增長(zhǎng)15倍以上,30%是針對(duì)國(guó)家基礎(chǔ)設(shè)施。近年來(lái),根據(jù)各個(gè)工業(yè)行業(yè)頻發(fā)的信息安全事故表明,一直以來(lái)被認(rèn)為相對(duì)安全、相對(duì)封閉的工業(yè)控制系統(tǒng)已經(jīng)成為不法組織和黑客的攻擊目標(biāo),黑客攻擊正在從開(kāi)放的互聯(lián)網(wǎng)向相對(duì)封閉的工控網(wǎng)蔓延,攻擊手段和惡意工具也日新月異,如從大家耳熟能詳?shù)腟tuxnet“震網(wǎng)”蠕蟲(chóng)、Flame“火焰”病毒到2014年出現(xiàn)的Dragonfly“超級(jí)電廠(chǎng)”病毒等。而這些還只是浮上水面的“冰山一角”,更多的潛在威脅和漏洞隱藏在看似安全的工控網(wǎng)絡(luò)中,通過(guò)如SHODAN這類(lèi)搜索引擎我們就可以找到很多毫不設(shè)防的工控設(shè)備。在工業(yè)4.0時(shí)代,管理網(wǎng)和生產(chǎn)控制網(wǎng)的雙向信息交互更是成為常態(tài),到那時(shí)工控網(wǎng)絡(luò)面臨的安全威脅會(huì)千百倍的激增。
工控系統(tǒng)不是世外桃源,打造可信“白環(huán)境”才能常保平安
傳統(tǒng)的工控網(wǎng)絡(luò),可以類(lèi)比傳說(shuō)中的“世外桃源”,安全防護(hù)多采用的是隔離
網(wǎng)關(guān)加殺毒軟件的方式:控制網(wǎng)對(duì)外基本“與世隔絕”,內(nèi)部被認(rèn)為是一個(gè)完全可靠的安全網(wǎng)絡(luò);各功能區(qū)域之間很少信息傳遞——“雞犬之聲相聞,老死不相往來(lái)”;各個(gè)主機(jī)由于系統(tǒng)漏洞長(zhǎng)期不打補(bǔ)丁、殺毒軟件病毒特征庫(kù)長(zhǎng)期得不到升級(jí),基本也是處于“夜不閉戶(hù)”的狀態(tài)。隨著互聯(lián)網(wǎng)的滲透、工業(yè)4.0的發(fā)展,就像桃源通了公路,外來(lái)人口大量涌入,這種“無(wú)為而治”的防護(hù)方式必須加以改變。
但是相比較于以個(gè)人終端、互聯(lián)網(wǎng)為防護(hù)目標(biāo)的傳統(tǒng)IT防護(hù)方案,工控安全領(lǐng)域又有其獨(dú)特性。首先,不同于IT安全防護(hù)以機(jī)密性為第一目標(biāo),在工控領(lǐng)域,保障系統(tǒng)的實(shí)時(shí)可用性才是最重要的目標(biāo),所以誤阻斷的情況是不可接受的。其次,不同的行業(yè)領(lǐng)域內(nèi)部使用了不同的網(wǎng)絡(luò)數(shù)據(jù)通信協(xié)議和標(biāo)準(zhǔn),最常見(jiàn)的協(xié)議和標(biāo)準(zhǔn)包括ModBus、OPC、IEC-104、MMS、DNP3等,傳統(tǒng)IT防護(hù)產(chǎn)品對(duì)這些協(xié)議的識(shí)別和解析無(wú)能為力。最后,工控網(wǎng)絡(luò)設(shè)備使用人員、用途和軟件更加明確,不可預(yù)知性大大減少。綜合以上特點(diǎn),照搬傳統(tǒng)IT防護(hù)產(chǎn)品和解決方案也不能有效的解決工控網(wǎng)絡(luò)安全威脅。
作為一家對(duì)工控安全有著自己深入研究的企業(yè),威努特公司沒(méi)有簡(jiǎn)單照搬傳統(tǒng)IT安全思維,而是以工控系統(tǒng)安全的視角,針對(duì)工控系統(tǒng)對(duì)可靠性、穩(wěn)定性、業(yè)務(wù)連續(xù)性的嚴(yán)格要求,以及工控系統(tǒng)軟件和設(shè)備更新不頻繁,通信和數(shù)據(jù)較為特定的特點(diǎn),提出了建立工控系統(tǒng)安全生產(chǎn)與運(yùn)行的“可信網(wǎng)絡(luò)白環(huán)境”以及“軟件應(yīng)用白名單”概念,進(jìn)而構(gòu)筑工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全“白環(huán)境”。區(qū)別傳統(tǒng)防護(hù)“黑名單”的方式,所謂“白”指的好的、可信的,即只有可信任的設(shè)備、軟件和數(shù)據(jù),才允許在工控網(wǎng)絡(luò)內(nèi)部流通,其他惡意的、不明確的或者規(guī)定不允許的東西都不允許流通使用。
●只有可信任的設(shè)備,才能接入控制網(wǎng)絡(luò);
●只有可信任的消息,才能在網(wǎng)絡(luò)上傳輸;
●只有可信任的軟件,才允許被執(zhí)行。
方案包含數(shù)采可信網(wǎng)關(guān)、區(qū)域可信網(wǎng)關(guān)、服務(wù)器可信衛(wèi)士、工作站可信衛(wèi)士、智能安全監(jiān)測(cè)分析平臺(tái)等產(chǎn)品,并具有專(zhuān)業(yè)的安全研究實(shí)驗(yàn)室,提供專(zhuān)業(yè)的安全咨詢(xún)、安全培訓(xùn)、漏洞挖掘和攻防演練等服務(wù)。建立了集一套人員能力、規(guī)章制度、安全產(chǎn)品和可信環(huán)境于一體的整體解決方案,基于科學(xué)的方法和專(zhuān)業(yè)的產(chǎn)品,將原來(lái)想當(dāng)然的信任轉(zhuǎn)化為有實(shí)實(shí)在在保障的信任,重構(gòu)工控網(wǎng)絡(luò)信任體系。
該方案具有完全自主知識(shí)產(chǎn)權(quán),能夠幫助涉密單位、關(guān)系國(guó)計(jì)民生的大型工業(yè)企業(yè)對(duì)工控網(wǎng)絡(luò)進(jìn)行安全防護(hù)和安全加固,杜絕安全后門(mén)隱患,響應(yīng)國(guó)家信息安全國(guó)產(chǎn)化政策及號(hào)召。能夠解決工控安全問(wèn)題,減少安全生產(chǎn)事故;提高工控系統(tǒng)穩(wěn)定性,減少系統(tǒng)停車(chē)時(shí)間;提高運(yùn)維效率,降低維護(hù)成本。并且具備靈活擴(kuò)展能力,適用于老舊系統(tǒng)改造,能持續(xù)安全升級(jí),保護(hù)企業(yè)工控安全投資。
結(jié)語(yǔ):打造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全“白環(huán)境”是威努特公司“贏在工控安全”戰(zhàn)略的核心解決方案,該方案以可信防護(hù)為核心、以運(yùn)維管控為重點(diǎn)、以可視化管理為支撐、以可靠服務(wù)為保障,能夠?yàn)橛脩?hù)構(gòu)建有效抵御工控系統(tǒng)病毒木馬以及網(wǎng)絡(luò)攻擊的新一代工控安全防御體系,為客戶(hù)帶來(lái)工控安全防護(hù)和管理的真正價(jià)值。