1. 背景
制造業(yè)是國民經(jīng)濟(jì)的主體����,是立國之本�����、興國之器���、強(qiáng)國之基�����。推進(jìn)信息化與工業(yè)化深度融合是我國實(shí)施制造強(qiáng)國戰(zhàn)略第一個(gè)十年行動(dòng)綱領(lǐng)《中國制造2025》的戰(zhàn)略任務(wù)和重點(diǎn)之一,而智能制造則是兩化深度融合的主攻方向。工業(yè)控制系統(tǒng)作為智能制造的重要組成部分�����,作用和影響巨大,其信息安全正面臨著嚴(yán)峻的挑戰(zhàn)��。
工業(yè)控制系統(tǒng)廣泛應(yīng)用于工業(yè)���、能源�����、交通、水利以及市政等領(lǐng)域���,用于控制生產(chǎn)設(shè)備的運(yùn)行���。一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞����,將對工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患��。
工業(yè)防火墻是一款應(yīng)用于工控網(wǎng)絡(luò)安全的防護(hù)產(chǎn)品����,用于解析、識(shí)別與控制所有通過工業(yè)控制網(wǎng)絡(luò)的數(shù)據(jù)流量��,以抵御來自內(nèi)外網(wǎng)對工控設(shè)備的攻擊���。同時(shí)可以監(jiān)控各種工控協(xié)議�����,對工控系統(tǒng)中的攻擊及時(shí)做出反應(yīng),實(shí)現(xiàn)工業(yè)控制系統(tǒng)縱向?qū)蛹壷g的安全控制�����。并對流通在工控網(wǎng)絡(luò)中的所有數(shù)據(jù)進(jìn)行全方位的解析��、判斷和控制�����,有效保障客戶正常生產(chǎn)數(shù)據(jù)的傳輸��,完全杜絕非法數(shù)據(jù)和病毒在客戶工控網(wǎng)絡(luò)中的分散和傳播���,最大程度上保證了客戶生產(chǎn)的長期穩(wěn)定運(yùn)行。
2016年10 月�,工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》���,明確提出利用工控邊界防護(hù)設(shè)備對OT網(wǎng)與IT網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù),禁止OT網(wǎng)直接與IT網(wǎng)或互聯(lián)網(wǎng)連接���。一個(gè)小小的病毒�、一個(gè)網(wǎng)絡(luò)的漏洞就可以導(dǎo)致大型工業(yè)系統(tǒng)、大型基礎(chǔ)設(shè)施運(yùn)轉(zhuǎn)出現(xiàn)巨大的經(jīng)濟(jì)損失�����。因此��,打造工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)生態(tài)鏈,持續(xù)提升保障體系迫在眉睫�����。
1.1 安全攻擊事件頻發(fā)
2010年,“震網(wǎng)”蠕蟲通過外圍設(shè)備U 盤����,侵入控制網(wǎng)絡(luò),更改PLC 中的程序和數(shù)據(jù)�����,對伊朗的核設(shè)施造成了嚴(yán)重的破壞����;2014年,黑客集團(tuán)Dragonfly 制造“超級電廠”病毒����,能夠阻斷電力供應(yīng)或破壞、劫持工業(yè)控制設(shè)備�����,全球上千座發(fā)電站遭到攻擊���;2016年,烏克蘭電力公司的網(wǎng)絡(luò)系統(tǒng)遭到黑客攻擊�����,導(dǎo)致大規(guī)模的停電��,成千上萬的家庭在黑暗中度過��。
信息化和工業(yè)化融合過程中,信息安全保障薄弱�����,但針對工業(yè)控制系統(tǒng)的攻擊技術(shù)卻呈現(xiàn)出日新月異的發(fā)展趨勢�,主要體現(xiàn)在:
一��、攻擊工具層出不窮,針對工業(yè)控制系統(tǒng)的攻擊工具��,被黑客制作并散布在互聯(lián)網(wǎng)上,使得攻擊成本越來越低�。
二��、攻擊范圍迅速擴(kuò)大��,早期針對部署在關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)進(jìn)行攻擊�,需要較強(qiáng)的攻擊能力;但隨著工業(yè)控制系統(tǒng)信息安全問題公眾化后�����,許多黑客開始利用互聯(lián)網(wǎng)上輕易得到的攻擊工具�,瞄準(zhǔn)很多基本不具備信息安全防護(hù)能力的行業(yè)或企業(yè)進(jìn)行攻擊�,雖然沒有嚴(yán)重的惡性事件����,卻造成嚴(yán)重經(jīng)濟(jì)損失����。
三���、攻擊頻率不斷增加,越來越多的黑客開始借助工具���,對工業(yè)控制系統(tǒng)進(jìn)行持續(xù)攻擊,嚴(yán)重影響了生產(chǎn)效率����。
四��、攻擊后果愈發(fā)嚴(yán)重����,早期針對工業(yè)控制系統(tǒng)的攻擊以竊取資料為多�����,但隨著黑客攻擊的普及化�,為追求“轟動(dòng)效益”�,很多攻擊就演變?yōu)槠茐墓I(yè)控制系統(tǒng),直接導(dǎo)致停產(chǎn)甚至是生產(chǎn)線損毀����,給企業(yè)造成重大經(jīng)濟(jì)損失�����,例如有企業(yè)因?yàn)槿湎x攻擊導(dǎo)致?lián)p失3000萬元����。
1.2 信息安全基礎(chǔ)匱乏
工控系統(tǒng)在建設(shè)之初較少考慮信息安全問題���,主要關(guān)注的是功能安全�����,系統(tǒng)的穩(wěn)定性及可靠性方面。工控協(xié)議基本都是采用明文方式傳輸�,并且缺少身份認(rèn)證的支持,這在現(xiàn)代化IT領(lǐng)域是絕對無法接受的。同時(shí)較早建立的工控系統(tǒng)很少有與外網(wǎng)進(jìn)行信息交互的需求�����,因此主要采用物理隔離的方式部署�����,即使存在一些問題�,也沒有暴露出來���。隨著互聯(lián)網(wǎng)的發(fā)展�����,“兩化融合”����、“互聯(lián)網(wǎng)+”、“工業(yè)4.0”�����、 “等保2.0”���、 “關(guān)基”等概念的推進(jìn)�,工控系統(tǒng)與互聯(lián)網(wǎng)的信息交互變得十分必要且頻繁��,這就把系統(tǒng)中隱藏的風(fēng)險(xiǎn)�����、漏洞暴露出來,同時(shí)也會(huì)引入新的風(fēng)險(xiǎn)����。
工控系統(tǒng)逐漸與其他系統(tǒng)廣泛互聯(lián)導(dǎo)致其直接暴露在互聯(lián)網(wǎng)上的風(fēng)險(xiǎn)不斷增加,系統(tǒng)運(yùn)行環(huán)境存在大量漏洞和隱患�,設(shè)備外聯(lián)缺乏風(fēng)險(xiǎn)評估和安全保障措施����,系統(tǒng)體系架構(gòu)缺乏最基本的安全保障���。
2. 解決方案
工控安全解決方案是面向工業(yè)控制網(wǎng)絡(luò)而研發(fā)的涵蓋傳統(tǒng)防火墻、工控協(xié)議數(shù)據(jù)包深度解析����、工控協(xié)議指令控制等功能在內(nèi)的工控網(wǎng)絡(luò)安全防護(hù)產(chǎn)品,支持靈活的安全區(qū)域隔離和豐富的安全策略控制功能��。在實(shí)現(xiàn)精確訪問控制和細(xì)致指令內(nèi)容過濾的同時(shí)達(dá)到較高的性能水平,更好的適應(yīng)未來工控網(wǎng)絡(luò)高帶寬�����、大流量的發(fā)展方向����。
工控防火墻是針對工業(yè)控制系統(tǒng)環(huán)境設(shè)計(jì)開發(fā)的邊界隔離和安全防護(hù)產(chǎn)品���,產(chǎn)品基于工業(yè)級多核處理器芯片的硬件架構(gòu)和自主知識(shí)產(chǎn)權(quán)的智能工控安全操作系統(tǒng),基于優(yōu)化的軟硬件架構(gòu)提高報(bào)文的處理能力�����,對主流工業(yè)協(xié)議進(jìn)行深度報(bào)文解析��,保證只有可信任的流量可以在網(wǎng)絡(luò)上傳輸,為工控網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互聯(lián)����、工控網(wǎng)絡(luò)內(nèi)部區(qū)域之間的網(wǎng)絡(luò)連接提供安全保障�����。同時(shí)監(jiān)控各種工控協(xié)議�����,對工控系統(tǒng)中的攻擊及時(shí)做出反應(yīng)�����,實(shí)現(xiàn)工業(yè)控制系統(tǒng)縱向?qū)蛹壷g的安全控制���。
工控防火墻的主要功能包括工業(yè)協(xié)議深度解析、安全防護(hù)��、運(yùn)維管理�����、高適應(yīng)性等���。
2.1 工業(yè)協(xié)議解析
工控防火墻支持多種主流工控協(xié)議,可識(shí)別工控協(xié)議并解析協(xié)議里傳輸?shù)目刂浦噶?,并能對各類?shù)據(jù)包進(jìn)行快速有針對性的捕獲和深度解析���。
2.1.1 精準(zhǔn)的工業(yè)協(xié)議識(shí)別分析能力
工控防火墻能夠檢測出100多種工業(yè)協(xié)議,能夠?qū)?/span>OPC�����、Modbus��、IEC60870-5-104、IEC61850MMS����、SiemensS7�����、Ethernet/IP(CIP)等主流工控協(xié)議做深度報(bào)文解析,識(shí)別報(bào)文中的有效內(nèi)容特征、負(fù)載和可用匹配信息�,如惡意軟件、具體指令和應(yīng)用程序類型�����,對工控協(xié)議特征做到試試解析和精確的識(shí)別����。
2.1.2 細(xì)粒度指令級訪問控制
基于工業(yè)協(xié)議的精確識(shí)別能力�����,工控防火墻不僅可以實(shí)現(xiàn)傳統(tǒng)基于安全域����、ip�����、MAC ��、時(shí)間段����、服務(wù)��、執(zhí)行動(dòng)作等多個(gè)維度的訪問控制策略�����,對OPC����、Modbus TCP等十余種主流工控協(xié)議支持超過1000種的功能碼識(shí)別���,可以做到指令級甚至值域級更精細(xì)控制粒度�����。
2.1.3 流量控制
支持流量統(tǒng)計(jì)分析,可全面掌握當(dāng)前網(wǎng)絡(luò)的協(xié)議數(shù)據(jù)傳輸以及資源占用情況���,為網(wǎng)絡(luò)帶寬管理�、協(xié)議數(shù)據(jù)管理提供數(shù)據(jù)支持���,同時(shí)支持多類協(xié)議流量排行功能����,可對當(dāng)前網(wǎng)絡(luò)的主機(jī)、設(shè)備等通信流量進(jìn)行統(tǒng)計(jì)��,快速定位網(wǎng)絡(luò)資源占用“大戶”��,提高網(wǎng)絡(luò)利用效率�,保障網(wǎng)絡(luò)帶寬的合理、有序使用����。
在多個(gè)層面使用多種方式保障關(guān)鍵業(yè)務(wù)的帶寬��,限制低安全級別的帶寬使用�����,如:限制某段IP共享帶寬、限制每個(gè)IP最大帶寬��、通過策略配置實(shí)現(xiàn)流量控制�����。
2.2 安全防護(hù)
工控防火墻采用標(biāo)準(zhǔn)化Restful API接口��,實(shí)現(xiàn)了與安全分析平臺(tái)�、網(wǎng)管平臺(tái)、威脅情報(bào)云平臺(tái)�、策略可視化產(chǎn)品、入侵檢測系統(tǒng)�、EDR終端軟件等等一系列云管端產(chǎn)品聯(lián)動(dòng)����,形成能力互補(bǔ)��,加強(qiáng)安全防護(hù)效果。安全分析平臺(tái)是基于機(jī)器學(xué)習(xí)技術(shù)�����,搭建獨(dú)立于防火墻產(chǎn)品的分析平臺(tái),充足的計(jì)算性能和呈現(xiàn)能力��,分析從防火墻采集的安全日志����、網(wǎng)絡(luò)資產(chǎn)信息等��。實(shí)現(xiàn)基于人工智能的安全分析和報(bào)表呈現(xiàn)���。彌補(bǔ)防火墻本身算力有限的問題����。
2.2.1 漏洞防護(hù)
工控防火墻預(yù)置8000+IPS防護(hù)規(guī)則�,防護(hù)規(guī)則中涵蓋CVE����、CNVD、CNVVD編號(hào)的物聯(lián)網(wǎng)的漏洞����,涵蓋廠商零日漏洞庫����。防護(hù)規(guī)則每兩周更新�����,關(guān)注業(yè)界最新發(fā)現(xiàn)的安全漏洞和接收全球用戶反饋的攻擊特征��,并在第一時(shí)間做出響應(yīng)和提供更新��,實(shí)時(shí)完善攻擊特征庫,提供最及時(shí)�、最全面的入侵防御。針對能對各種物聯(lián)網(wǎng)設(shè)備���、智能硬件系統(tǒng)的各種漏洞進(jìn)行監(jiān)測�。
工控防火墻提供虛擬補(bǔ)丁管理,管理員無需在IPC和其他終端中安裝升級組件補(bǔ)丁���,于防火墻中部署配置安全防護(hù)規(guī)則即可規(guī)避漏洞風(fēng)險(xiǎn)。
2.2.2 威脅情報(bào)
隨著攻擊的復(fù)雜性�����、多元化不斷提升��,傳統(tǒng)安全設(shè)備不斷受到挑戰(zhàn);新一代的攻擊者常常向企業(yè)和組織發(fā)起針對性的網(wǎng)絡(luò)攻擊��,也就是高級持續(xù)攻擊(APT)����。攻擊者不斷改變現(xiàn)有的攻擊方式�����,開發(fā)新的方法���。傳統(tǒng)的規(guī)則匹配已經(jīng)無法防御這樣的攻擊。視頻防火墻通過自研威脅情報(bào)云平臺(tái)�����,整合對接60余家商業(yè)����、開源威脅情報(bào)����,包括微步在線����、IBM安全�����、VirusTotal���、天際友盟�����、PluseDive等等。提供全網(wǎng)威脅情報(bào)查詢功能���,支持對可疑IP、域名�、文件Hash進(jìn)行搜索���,并查看關(guān)聯(lián)分析。
支持展示全球熱門和新型的威脅事件�,支持?jǐn)?shù)據(jù)下鉆查看該威脅事件的時(shí)間、威脅級別�����、描述、類型����、應(yīng)用措施和指示器等信息���。支持針對威脅事件提供安全防護(hù)的配置向?qū)Вㄟ^引導(dǎo)方式幫助用戶完成安全加固�����,規(guī)避威脅風(fēng)險(xiǎn)���;支持通過一鍵添加的方式,新增防護(hù)措施����,減輕管理員的運(yùn)維工作量�����。
2.2.3 智能“白名單”
基于“白名單”技術(shù)針對工控協(xié)議進(jìn)行全方面的管控�,通過白名單追加功能�,對要運(yùn)行新的程序��、網(wǎng)絡(luò)服務(wù)和主機(jī)外設(shè)設(shè)備時(shí)�,可以將這些新的設(shè)置追加到白名單中�����。
通過“白名單+智能學(xué)習(xí)”技術(shù)建立數(shù)采通信及工控網(wǎng)絡(luò)區(qū)域間通信模型���,保證只有可信任的流量可以在網(wǎng)絡(luò)上傳輸�,為工控網(wǎng)絡(luò)和外部網(wǎng)互聯(lián)、工控網(wǎng)絡(luò)內(nèi)部區(qū)域之間的網(wǎng)絡(luò)連接提供安全保障�。
支持非法外聯(lián)學(xué)習(xí)和防護(hù)特性,可定義外聯(lián)白名單地址和端口�;支持通過流量自學(xué)習(xí)能獲得服務(wù)器合法的外聯(lián)行為���,檢測流量中的異常訪問流量,可以自動(dòng)攔截����。
2.3 運(yùn)維管理
工控防火墻支持路由模式����、透明橋接模式、混合模式以及旁路部署方式����,靈活的部署在用戶的網(wǎng)絡(luò)中�,并包含下一代防火墻中全部網(wǎng)絡(luò)特性和運(yùn)維特性����。
2.3.1 VPN功能
支持IPsec�、SSL���、GRE等多種VPN模式,可實(shí)現(xiàn)遠(yuǎn)程安全接入和不同區(qū)域之間的加密通信��。
IPsec VPN模塊具有業(yè)界領(lǐng)先技術(shù)��,在復(fù)雜網(wǎng)絡(luò)環(huán)境下大大簡化了管理員的維護(hù)工作量���,配合集中管理和日志分析平臺(tái),可實(shí)現(xiàn)IPsec VPN快速零配置上線�?��?焖賹幽K式下,隧道接口感興趣流等可無需配置自動(dòng)協(xié)商����,整個(gè)IPsec VPN網(wǎng)絡(luò)全自動(dòng)收斂,自適應(yīng)多線路�,完美的解決了分支運(yùn)維能力弱的問題�。而獨(dú)創(chuàng)的主備切換0丟包技術(shù)�����,可實(shí)現(xiàn)TCP業(yè)務(wù)不中斷���,完美的解決HA切換業(yè)務(wù)中斷的問題,可讓管理員高枕無憂��。
2.3.2 日志審計(jì)
工控防火墻支持詳細(xì)�、清晰���、易用的日志特性����,可以全面記錄審計(jì)用戶上網(wǎng)行為��、使用流量、訪問網(wǎng)站���、所用終端系統(tǒng)及設(shè)備類型平臺(tái)等信息���,可滿足公安部要求的上網(wǎng)日志留存6個(gè)月的要求�;日志支持定制化過濾器�,可根據(jù)IP地址、認(rèn)證用戶�、訪問應(yīng)用���、訪問URL��、發(fā)帖內(nèi)容等要素進(jìn)行搜索���,讓事后審計(jì)省時(shí)省力,可支持對HTTPS、郵箱類解密策略的配置���。同時(shí),視頻防火墻產(chǎn)品提供豐富美觀的報(bào)表�,以柱狀圖���、餅狀圖�、百分比等形式最直觀地體現(xiàn)網(wǎng)絡(luò)運(yùn)行狀況�,讓網(wǎng)絡(luò)管理規(guī)劃有據(jù)可循����、有的放矢�����。
2.3.3 豐富的統(tǒng)計(jì)報(bào)表
工控防火墻為滿足廣泛而復(fù)雜的需求場景����,運(yùn)用領(lǐng)先的設(shè)計(jì)理念設(shè)計(jì)出強(qiáng)大的審計(jì)報(bào)表功能。高度可配置的報(bào)表管理功能��,方便用戶進(jìn)行報(bào)表的分類管理�����、在線查看����、定時(shí)發(fā)布等����。用戶可自主添加新報(bào)表,及時(shí)滿足大數(shù)據(jù)時(shí)代企業(yè)的快速業(yè)務(wù)變化和安全需求���。針對中大型企業(yè)多人并發(fā)訪問的場景,提供報(bào)表緩存����,歷史報(bào)表下載等功能�����,有效提高功能可用性。
統(tǒng)計(jì)報(bào)表可以定期將網(wǎng)絡(luò)狀況����,用戶行為����,安全狀況等匯報(bào)給相關(guān)管理人員��,支持配置單次發(fā)送�,周期性自動(dòng)發(fā)送等�,可將網(wǎng)絡(luò)整體狀況完整的呈現(xiàn)在管理人員面前。報(bào)表支持最常見的HTML����,PDF等格式��,可以跨設(shè)備無障礙瀏覽��。
2.4 高適應(yīng)性
工業(yè)防火墻相比傳統(tǒng)防火墻具備更強(qiáng)的環(huán)境適應(yīng)性�����、可靠性�����、穩(wěn)定性和實(shí)時(shí)性����。具備硬件BYPASS��、冗余電源���、雙機(jī)熱備等功能���,滿足工業(yè)級寬溫、防塵���、抗電磁�、抗震、低功耗�、防塵防潮��、全封閉設(shè)計(jì)等要求。
結(jié)束語
伴隨著工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展�����,IT和OT的融合不斷深入�����,工業(yè)網(wǎng)絡(luò)所面臨的安全威脅與日俱增���。而解決工業(yè)網(wǎng)絡(luò)面臨的諸多安全問題,提供從網(wǎng)絡(luò)邊界�����、區(qū)域到設(shè)備終端的完整防護(hù)體系也是企業(yè)所必需的。
本文依照智能制造中工控信息安全的需求,結(jié)合工控防火墻的功能和產(chǎn)品特性,實(shí)現(xiàn)工業(yè)控制系統(tǒng)信息安全的縱深防御�����,切實(shí)有效的保護(hù)工控系統(tǒng)遠(yuǎn)離蠕蟲、黑客等各種威脅和攻擊����,保障企業(yè)生產(chǎn)安全穩(wěn)定運(yùn)行���。
