您好!歡迎登錄 奈特原動力官網!

新聞資訊
中國到底需要什么樣的工控安全
2016-08-16 來源:http://www.354895.buzz 作者:奈特原動力官網 查看次數:14398次

一 工控安全市場現狀

其實工控安全并不是一個新課題,早在2006年8月,中國工業設備網就刊發了一篇文章《工控軟件安全性的設計問題探討》,文章中針對工控軟件存在的信息安全問題提出了針對性的解決方案,要求工控軟件要在用戶身份認證、訪問控制、操作審計以及與殺毒軟件的兼容性等多方面采取解決措施。

這樣一篇文章,當時并沒有引起業界很多的關注。然而時隔8年之后,工控安全在2014年忽然間就成為了大眾話題,從年頭到年尾,各路英雄是你方唱罷我登臺,恨不能一夜之間,將工控安全市場炒個底朝天。

在這一年里,市場上突然出現了接近10家專業的工控安全解決方案廠商;

在這一年里,工控安全第一次以獨立論壇的方式亮相2014中國互聯網安全大會;

在這一年里,工控安全產品發布會此起彼伏,威努特、海天煒業、啟明星辰、綠盟以及三零衛士陸續發布新產品;

在這一年里,工控系統信息安全國家標準首次發布;

在這一年里,“工業控制系統信息安全技術國家工程實驗室”在電子部六所揭牌成立。

……

物聯網、工業4.0以及兩化融合等國家政策的引導,讓眾多廠家都敏銳的感到了工控市場興起的前兆??偟膩碚f,這一年的確稱得上是工控安全元年!

工控安全廠商現狀工控安全廠商作為這個市場中最重要、最活躍的推動力量,在工控安全元年的各項重大活動中都扮演著非常重要的角色。

二 工控安全真實情況

在過去一年里,所有關于工控安全的演講、文章中,出現最多的就是震網病毒和Havex。每逢論壇、展會,無一不講震網病毒。在2014年7月發現的Havex病毒,也很快被某些廠商大肆加以宣傳利用。

實際上,震網病毒和Havex跟中國幾乎沒有直接關系,震網病毒主要破壞了伊朗的核設施,而Havex病毒的影響也主要在歐洲。中國的工控系統到底面臨哪些實實在在的威脅,好像沒有人能真正說清楚。

中國有沒有工控安全事件,有多少,影響如何?在國內由于這類事件很快被處理,信息傳播被控制,公開資料非常有限,在網上幾乎搜索不到。筆者作為工控安全的從業者,通過跟眾多客戶的真實接觸,得到了很多一手的資料,在這里與大家分享。

2011年,某石化企業某裝置控制系統分別感染Conficker病毒,造成控制系統服務器與控制器通訊不同程度地中斷。

筆者曾出差到江蘇某地級市,該市自來水公司將所有小區泵站的PLC都通過某公司企業路由器直接聯網,通過VPN遠程進行控制訪問,實時得到各泵站PLC的數據;結果發現大量的PLC聯網狀態不穩定,出現時斷時續的現象。經過現場診斷,發現是PLC的TCP/IP協議棧存在明顯缺陷導致,最后靠廠家升級PLC固件解決。

某大型石化公司,控制網內已經部署了大量某外國品牌的工業防火墻,以為可以從此高枕無憂。但實際情況卻是控制網內大量工程師站、操作員站感染了大量病毒,導致控制軟件運行緩慢,正常操作無法進行。

2014年,某大型冶金廠車間控制系統發現病毒,是因為員工在某一臺工作站上私自安裝娛樂軟件帶入在控制網擴散。

從以上筆者獲得的部分實際案例來看,中國的工控安全威脅長期以來就已存在,但由于信息的曝光度不高,并沒有獲得更高層面的足夠重視。并且往往一些簡單的電腦病毒,就能在企業工控網內肆虐,對生產造成嚴重影響。

三 工控安全問題根源分析

從上一章節我們可以看出,我國的工業控制網絡的確存在著較為明顯的網絡安全問題,導致這些問題的根源,主要可以概括為以下幾個方面:

1)工控系統以可用性為第一位,系統的穩定可靠運行是管理人員關注的重點。設備停車帶來的經濟損失、甚至人員傷亡事故是所有人不愿意看到的。這就導致了對工控設備的管理維護非常保守謹慎,工作人員只會按照設備廠商的要求做已經驗證的、必要的軟硬件升級,而防病毒軟件、防火墻等網絡安全設備的軟硬件升級幾乎不予考慮。這就給病毒、惡意程序以可乘之機,可以輕松繞過形同虛設的防火墻和病毒庫陳舊的殺毒軟件,直接攻陷對工控系統至關重要的操作控制主機。筆者一位長期從事石化行業維護的朋友就說他們寧可工作站出了問題重裝系統,也不敢升級系統補丁和病毒庫。

2)工控系統的生命周期普遍較長,現場存在很多老舊設備。這些老舊設備因為歷史的技術所限,或多或少都存在一定的設計缺陷。在新的應用條件下,一些以前不太明顯的缺陷會暴露出來。比如上一章節提到的PLC的TCP/IP協議棧缺陷問題,在以前的應用中,PLC的通訊網口很少會直接連接到互聯網,所以沒有發生這類問題,是用戶新的需求導致了問題的暴露。

3)工廠對于信息類設備的管理流程和制度,往往也存在明顯漏洞。比如員工個人的筆記本、U盤可以隨時接入控制網絡,可以隨時從工作站拷貝資料到個人電腦等。這些操作無疑會給工控網絡帶來顯而易見的風險——眾所周知,Stuxnet震網病毒就是從U盤流入完全隔離的伊朗核設施網絡的。

傳統的工控網絡一直被認為是一片祥和的“世外桃源”,彼此之間是一個完全信任的體系,“小國寡民、夜不閉戶、路不拾遺”,當其不得不對外開放時,何來抵御外來盜匪的能力?

四 工控安全解決之道

首先,筆者先說明一下關于安全的三個概念:第一,安全不免費;第二,安全的最高境界是感覺不到安全;第三,安全無僥幸。

安全不免費,這個概念很好理解,世上沒有白吃的午餐,企業要想做安全就要做好投入的準備,這個概念誰都同意,但是很多人就未必愿意做。為什么呢?他會說以前我沒做安全也一直都運行的很好,為什么還要花錢、花精力去搞這些。做個對比就很好理解,以前國內有些大山內的村子,家家戶戶根本沒有鎖的,但是現在隨著社會發展,交流增多,誰家還敢不上鎖?

從控制網發布的《2014年中國工業控制系統信息安全藍皮書》數據看,2014年狹義的工控安全市場不足2億,只占信息安全整體市場的1%!而作為對比,中國2014年PLC、DCS、SCADA等都有接近百億的市場規模,按IT行業通用標準,安全產品及服務應該占整個信息化投入的8%~10%。即正常來講,工控安全應該每年有20-30億投入,才能達到IT界平均的安全水準。并且在工控安全市場剛起步時,產品和解決方案都不完善,各個企業的投入并不平均,考慮“智豬博弈”的原理,那些行業內的大企業需要先期投入更多。

第二個概念,安全的最高境界是感覺不到安全。從投入效益比來說,預防永遠比治療更劃算。正所謂善戰者無赫赫之功,一個真正好的安全解決方案,是能夠把所有隱患消除在萌芽階段,讓使用的人甚至完全感覺不到它在起作用。但是,正如保健品永遠不如特效藥有名,一個真正好的安全產品也無法給用戶那么明顯的存在感??傊?,我們這個行業,不但需要一批真正懂安全的賣家,也需要一批真正懂安全的買家。

第三個概念,安全無僥幸。既然安全又花錢效果又不明顯,是不是我們就可以不去做了呢?事實告訴我們,這種僥幸的心理是千萬要不得的。墨菲定律告訴我們,如果事情有變壞的可能,無論它的幾率多么小,它一定會發生。以震網病毒為例,為了攻擊網絡完全隔離、只能使用U盤進行數據交換的伊朗核設施工廠,在它被發現之前,它感染了全球超過45000個網絡,6000萬臺主機作為跳板,互聯網時代的網絡攻擊就是如此恐怖。又比如Havex病毒,其后期對主要SCADA供應商的官網下載軟件進行了掛馬的水坑攻擊,使得很多國家的電網、水壩等設施中招,目前它的最終攻擊目標還不明。面臨著可自我復制,可通過多種途徑傳播的網絡病毒、木馬,企業網絡沒有一個自身強健的“免疫系統”,是一定要感冒的。所以,網絡安全是一定要做的。但是想做新、做好很難,可能需要很多人、很多廠家前仆后繼的投入,最后能夠活下來的就那么幾家。技術和理念不能太超前,又不能不超前,這個窗口是非常小的。有這么一句話“我們只領先別人半步,領先一步的都成了烈士?!?/span>

在技術和理念上,我們是怎么做到領先別人半步的呢?作為一家繼承了傳統IT安全廠家深厚技術積累,并對工控安全有著自己深入研究的企業,威努特公司沒有簡單照搬傳統IT安全思維,而是以工控系統安全的視角,針對工控系統對可靠性、穩定性、業務連續性的嚴格要求,以及工控系統軟件和設備更新不頻繁、通信和數據較為特定的特點,提出了建立工控系統安全生產與運行的“可信網絡白環境”以及“軟件應用白名單”概念,進而構筑工業控制系統的整體網絡安全“白環境”。

區別于傳統防護“黑名單”的方式,所謂“白”指的是好的、可信的,即只有可信任的設備、軟件和數據,才允許在工控網絡內部流通;其他惡意的、不明確的或者規定不允許的東西都不允許流通使用。

●只有可信任的設備,才能接入控制網絡;

●只有可信任的消息,才能在網絡上傳輸;

●只有可信任的軟件,才允許被執行。

其次,要加強工控企業對操作維護人員的網絡安全意識的培訓,杜絕一些高危操作的發生,如將個人U盤插入控制主機,將個人電腦連入控制網絡;讓每個員工都對網絡安全有明確的認識,同時也有切實可行的操作方式。

另外,要建立健全工廠的整體網絡安全操作規章制度,讓所有人的行為都有章可循,有章可依,有章可查;把所有可能的隱患都列入制度的管理之中,這樣才能保證網絡安全問題長治久安。

其實在安全領域,一個普遍的觀點是沒有100%的安全,再強大的產品、再完善的制度都有漏洞,都會被攻破。我們做安全的目的都不是防住所有的攻擊,而是盡可能提高攻擊者的成本,使得攻擊者攻破安全防御體系付出的代價遠遠高于其可能獲得的利益。威努特構建工控網絡“白環境”的解決方案既能最大限度保證工控用戶原有系統的可用,又能有效利用IT安全積累的成果,保證最大限度的安全性,能夠為用戶構建有效抵御工控系統攻擊的工控安全防御體系,為客戶帶來工控安全防護的真正價值。

結語:

中國到底需要什么樣的工控安全,這個問題不但是所有的工控安全廠商應該考慮的問題,而且是所有相關從業者都應該回答的問題。筆者在這里拋磚引玉,希望工控安全不僅是大家討論的焦點,更能早日形成真正的產業化。

捕鱼游戏加牛牛 下载最新股票行情 山西快乐十分百科 七乐彩网上怎样购买 期货配资什么时候出现的 北京快3助手免越狱苹果版 排列五宗合板走势图 福彩3d精准三天计划王 股票推荐书 广西十一选五网址 七星彩论坛精选