工业控制系统广泛用于冶金、电力、石油石化、核能等工业生产领域,以及航空、铁路、公路、地铁等公共服务领域,是国家关键生产设施和基础设施运行的“中枢”。
通用协议频繁使用 安全问题日益突出
从工业控制系统自身来看,随着计算机和网络技术的发展,尤其是信息化与工业化的深度融合,工业控制系统越来越多地采用通用协议、通用硬件和通用软件,通过互联网等公共网络连接的业务系统也越来越普遍,这使得针对工业控制系统的攻击行为大幅度增长,也使得工业控制系统的脆弱性正在逐渐显现,面临的信息安全问题日益突出。
2010年的“震网”病毒、2012年的超级病毒“火焰”、2014年的Havex病毒等专门针对工业控制系统的病毒给用户带来了巨大的损失,同时也直接或间接地威胁到国家安全。从2015年发生的乌克兰电力遭受攻击事件我们可以看到,在不需要利用复杂攻击手段、不需要完整还原业务系统运行过程的情况下,就可以对工控系统的运行造成影响。
3大工控厂商 爆出漏洞占30%
从实际攻击过程看,攻击的成本在降低,而攻击所带来的影响在进一步加重。下面是绿盟科技统计的2015年至2016Q1的工控漏洞统计情况:
]1 工控漏洞统计情况
]2 威胁分布类型
]3 系统分布类型
]4 厂商漏洞分布情况
从几封图表中可以看出,随着各方对工控系统的关注,近年来工控系统被挖掘的漏洞呈现总体上升的趋势,但由于工业控制系统漏洞具有更高的价值,仍有大量的工控漏洞已被发现,却未被曝光,因此,实际的工控漏洞数量应超出图标的统计,同时,SCADA、HMI、PLC、工业交换机等占曝光的漏洞数的前几位。从分布的厂商来看,Siemens、advantech、scheider仍是漏洞大户,他们的漏洞总和占全体工控漏洞总数的近30%。
国际工控发展态势
纵观国际工控安全的发展态势,美国是最早开始研究和执行工控安全标准的国家,北美电力可靠性公司给予 CIP系列标准的要求开展在北美电力开展针对电力企业安全安全检查(包含核电);欧洲已经按照 WIB标准来检测工控产品安全,并且以德国为代表的国家,已经开始基于 ISO 27000系列的ISO 27009 进行工控安全的建设;日本基于 IEC 62443要求结合阿基里斯认证要求,从 2013年起规定所有工控产品必须通过国家标准认证才能在国内使用,并且已经在一些重点行业如能源和化工行业开始了工控安全检查和建设;以色列已成立国家级工控产品安全检测中心,用于工控安全产品入网前的安全检测。
三令五申 工控刻不容缓
在我国国内,电力企业是最早开始工控系统安全建设的行业,大部分的大型电力企业已经基于原电监会 5号令(电力二次系统安全防护方案)的要求进行了网络专用、安全分区、横向隔离、纵向加密认证的建设,有效避免了原有开放网络所带来的安全隐患;石油、石化、冶金和关键制造等行业也已经在开展针对工业控制系统的试点建设。
震网病毒事件后,在 2010年国家信息安全标准委会( TC260)制定了《工控SCADA安全指南》。在 2011年工信部发布了《关于加强工业控制系统信息安全管理的通知》即 451号文,451 号文从连接管理要求、组网管理要求、配置管理要求、设备选择和升级管理要求、数据管理要求和应急管理要求等 6个方面提出了加强对工业企业工业控制系统安全管理的要求。国务也在 2012年国务院《关于大力推进信息化发展和切实保障信息安全的若干意见国发〔 2012〕23 号文>中明确提出保障工业控制系统安全。加强核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施等重要领域工业控制系统,以及物联网应用、数字城市建设中的安全防护和管理,定期开展安全检查和风险评估。重点对可能危及生命和公共财产安全的工业控制系统加强监管。对重点领域使用的关键产品开展安全测评,实行安全风险和漏洞通报制度。从2012年开展到2014 年工信部陆续开展了针对工业控制系统的安全检查,并且检查的内容逐步由安全检查向安全审查的方向发展。由于2015年底乌克兰电力攻击所导致的电网中断引起全世界范围内对电网安全的关注,国内两大主要电网基于自身电网安全的需求,陆续在开展相关的安全检查,通过检查发现电网中潜在的安全隐患,从而进行有针对性的安全加固。
工控安全从网关走向生命周期管理
从产品分布上,国内对工控安全产品的认识,也逐步从以边界防护为主工控安全网关类产品开发,向提供工控系统全生命周期安全保障的工控安全类产品开发迁移。目前主流的工控安全类产品主要涵盖,检测类产品、防护类产品、监测预警类产品,一些在传统信息系统中采用的技术开始在工控安全产品中得到应用,如大数据技术、感知技术等。从国内开发的工控安全产品的技术特点上看,原有以信息安全为背景的企业,开发出的产品在使用上仍然继承了原有信息安全产品在配置和应用上的特点,对于实际在工业现场中的应用看,缺乏与实际工业现场应用习惯等融合,现场人员的使用仍然存在的一定的障碍。而工业背景的企业开发的工控安全产品,在产品形态和易用性上存在较大的优势,但是对于信息安全基本功能的理解和攻击防护的规则匹配设置上仍然存在较大的问题,在应用真实攻击行为后,仍然略显苍白。
伴随着国家政策的指引(发改委安全专项支持、工信部互联网+时代产业转型项目的支持)以及行业内对工控安全的行业引导(如发改委14号令)以及相关国家相关工控安全标准的发布(如 GB/T30976)。在相关因素驱动下,工控安全产品应用实例的增多及实际应用效果得到业界的认可,预计在不久的将来,工业控制系统的安全必将迅猛发展。
从边界防御到资产安全 绿盟科技打造工控安保体系框架
绿盟科技作为国内最早一批从事信息安全的公司,也早已开始了对工控安全的战略部署,投入大量的人力物力,现已推出5款工控安全产品,分别是工控入侵检测系统,工控安全审计系统,工控漏洞扫描系统,工业安全网关,工业安全隔离装置。针对不同的工业环境,绿盟科技将结合实际业务情况给出切实有效的防护方案,帮助用户轻松应对工业控制系统的安全风险,保障业务的顺利运行。
绿盟工控入侵检测系统IDS-ICS(千兆)V5.6支持集中监管、分级部署的分布式多级管理方式,采用特征模式匹配、协议分析等技术,实时监控各种数据报文及来自网络外部或内部的多种攻击行为,并提供相应的报警响应机制及报告、统计功能。此外,该产品还支持ModBus TCP协议和IEC 104协议的解析,以及典型工控漏洞的识别和告警。
绿盟工业安全隔离装置支持OPC、ModBusTCP薛工业控制协议的传输和控制,可分别对服务器IP地址、客户端ip地址、采集数据点位等进行控制,通过硬件实现协议隔离。产品采用C/S方式远程管理,具有管理用户组、采集用户组、监视用户组多个管理员角色。
绿盟工业安全网关ISG提供了基于IP地址、传输层协议、端口等要素的包过滤具备抵御SynFlood等常见的DDoS网络攻击的能力,支持Modbus TCP协议深度过滤和OPC协议动态端口开放。
绿盟工控安全审计基于对工控环境的理解,针对工控环境使用的规约进行了相关的分析和研究,对于协议的内容进行了完全的解码,可以深入到指令级别的分析,对于从上位机控制端到下位机操控指令进行有效的合规性定义。通过镜像方式对流量进行深入解码,分析其中的操作是否符合定义的操作要求,如发现其中有任何的违规操作,及时进行报警,有管理员来进行相关的处理。
绿盟工控漏洞扫描系统(NSFOCUS Industrial Control Systems Vulnerability Scanning System,简称NSFOCUS ICSScan),实现了针对SCADA、现场总线、数字化设计制造软件的漏洞扫描,实现了针对Schneider、Siemens、VxWorks等DCS控制器嵌入式软件(包括PLC等)的漏洞扫描,具备了发现漏洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞管理能力。
关于绿盟科技
]6 绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。 基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。 北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:486207500
直接询问:010-68438880-8669