工业互联网安全的落地第一步,是确保环境中的防护能力,之后是检测/审计能力。数世咨询本次发布的《工业互联网安全能力指南》为报告中的工控防护能力部分,以及工控检测/审计能力部分。
工业互联网安全能力指南——工控防护能力
在安全领域,最重要的工作之一是对威胁进行处置,这就需要防护能力。在本报告中,工控防护能力的范围如下:
在工业互联网环境中,能够对OT相关场景中发现的威胁、异常行为,进行包括查杀、阻断、拦截请求、禁止进程等干涉或处置的技术、产品或解决方案。
工业互联网环境中的防护能力在整个工业互联网安全中有着举足轻重的作用:工业互联网场景中第一需要保障的是生产可持续性——即威胁不能产生生产事故,同时对威胁的处理不应该过度干涉生产。尤其对于预算非常有限的企业,工控防护产品会是最优先分配的投入领域——只有先确保了生产稳定,然后才有更多余力去发现环境中潜在的风险,以及过去发生过的异常行为。
本报告中的工控防护能力属于数字安全能力图谱中,行业环境下,工业互联网安全中的工控系统安全部分。由于工控系统安全涵盖的产品与解决内容较多,故在本报告中分为工控防护能力,以及工业互联网安全检测/审计能力。
关键发现
工控防护能力的主要产品形态为三种:工控防火墙、工控网闸、以及工控终端安全防护/主机卫士。但是根据不同厂商在应对不同需求的情况下,产品形态也会发生一些改变。
工控防护能力首先要做到“能运行、不干扰”。关键能力在于“深度协议解析”与“白名单”技术。但是,需要注意的是,“深度协议解析”对于不同的厂商,可能代表着不同的意义,企业在选购相关产品时,需要明确厂商能够解析协议的具体内容。
从市场层面来看,尽管工控防护产品的总体收入依然呈上升趋势,但是其在整个工业互联网安全中的收入占比会逐渐下降。
工控防护能力点阵图
本次参与工控防护能力的厂商共有23家,包括:安帝科技、安恒信息、安盟信息、博智安全、长扬科技、国泰网信、华境安全、惠而特、杰思安全、立思辰安科、六方云、珞安科技、绿盟科技、木链科技、齐安科技、启明星辰、融安网络、深信达、圣博润、天地和兴、天融信、威努特、英赛克。
工控防护能力主要产品形态
本次调研中,工控防护能力的主要产品形态为以下三种:工控防火墙、工控网闸、工控终端安全防护/主机卫士。
工控防火墙
工控防火墙部起到工业控制网络中边界分离的作用,确保一个分区不会受到来自于另一分区的攻击。工控防火墙控制着不同网络之间的指令交互,尤其在上位机遭到攻击向工业生产机器发出非正常指令时,工控防火墙需要能够识别,并且采取告警在内的相应措施。因此,工控防火墙事当下的工业互联网场景中的首要防线。
工控防火墙由于其需要解析工业特有协议的特性,其在工业互联网安全中的价值是传统防火墙不可代替的。
工控网闸
工控网闸在工业互联网中担任着数据摆渡的作用——尤其是在将OT环境中的数据安全传输到相对开放的IT环境的时候。
工业互联网相比传统工业生产的一大变化,在于为了更好地提升生产效率,把握生产环境状态,需要将数据传输到IT环境——比如工业互联网平台。这就会增大针对工业数据的攻击面。
工控网闸最重要的工作,是确保工业数据只传输给可信、被授权的接收方,从而不造成工业数据信息泄露。
工控终端安全防护/主机卫士
工控终端安全防护,又被许多厂商称为“主机卫士”,是对工业互联网场景中的相关主机进行防护的安全能力。工控终端安全防护/主机卫士由于其所处位置,是工业互联网生产环境中的最后一道防线。
工控终端安全防护/主机卫士主要采取的防护手段为白名单机制,只允许工业互联网环境中的正常、被认可的系统运行,禁止非正常程序的运行。
其他产品能力
以上三种是当下工业互联网安全中与OT场景相关的主要产品形态。另一方面,在实际调研中发现,各个厂商会根据自身能力以及客户的不同需求,会有一些不同的产品形态:比如部分安全厂商会基于客户的环境以及需求,提供工控IPS产品;有些厂商也会在销售过程中,将USB管理等外接设备防护能力作为单独产品,而非工控终端安全防护/主机卫士产品的一部分;甚至有部分厂商也会针对外接设备,做包括额外的外接设备管理与监控设备的一整套工控外接设备安全管理解决方案。
因此,客户在选购工控防护产品的时候,需要基于自身的安全需求,与厂商进行产品具体能力的确认,确保选购的产品能完全覆盖自己的防护面。
同时,在本次调研中发现,未来的工业生产场景安全能力的一个方向,是网络设备和安全设备的结合。在本次调研中,发现已经有部分厂商开始将自己的安全能力与工业生产环境中的网络设备(如路由器)开始融合,成为“带有安全能力的工业网络设备”。
工控防护能力落地要点
对于工控防护能力产品,有以下关键能力需要考虑:
工业环境可用
工业场景中,首先需要设备可用。设备可用不仅仅是指软件层面,能够理论上实现工业环境中的要求,最关键的前提,是硬件本身能够在工业生产环境中可用。
在工业生产环境中,会遇到很多极端环境,如高温、低温、多尘等会对电子设备产生极大影响的恶劣因素。对于生产环境严苛的工业厂商,在挑选工控防护产品的时候,一定要考虑到设备的硬件防护本身能否抵御恶劣的生产环境。如果设备自身因硬件防护缺失导致无法正常运作,那么即使有再强的信息防护能力,都不能对工业互联网起到真正的保护作用。
生产无影响
工控防护能力是整个工业互联网安全中,最需要在安全与业务之间寻求平衡的一块领域。从工控防护能力的功能来看,需要能够拦截请求、阻断可疑来源、禁止某些应用运行。但是,这些行为都有可能会导致生产的中断,甚至终止。
因此,工业互联网安全产品能否在对生产无影响的前提下确保安全就尤为重要。即使在工业互联网场景中,为了生产的可持续性,需要允许一些微小威胁的存在,但是对于可能会造成事故的威胁,就需要当断则断。同时,工控防护产品本身的操作,也不应对整个生产环境产生不良的影响。
协议解析能力
对于工控防护能力,尤其是工控防火墙而言,协议解析能力尤为关键。深度协议解析能力不只是对工业协议有所识别,更需要能够在信息传输过程中,对工业协议中的具体内容进行解析。
协议的解析能力能够从两方面来看,一个是“深度协议解析能力”。但是,不同安全厂商对“深度协议解析”的定义并不完全相同。深度协议解析包含的内容,能够包括协议指令码、数据地址、数据数值的识别。在对工控防火墙进行选型的时候,需要明确安全厂商所谓的“深度协议解析”具体的解析内容。协议指令层面可以发现异常的指令通信,但是数据数值级别能够识别出正常指令中的异常数值——避免因参数不当导致事故发生。
协议解析的另一个值得注意的能力是“自定义协议解析能力”。在工业互联网环境中,有一部分私有协议,并不作为主流协议出现,因此不存在于安全厂商原有的协议能力中。这个情况下,就需要工控防护产品有对未知协议的学习能力,从而实现对未知协议的解析能力。
弹性白名单
白名单是工控终端安全防护/主机卫士的主要防护手段。通过仅让被许可的程序运行,达到确保工控主机安全的目的。
然而,白名单同样需要基于企业的业务环境进行学习,从而制定出符合环境需求的白名单。从发展角度来看,工业互联网会基于工业数据的分析,以及企业的业务需求,更为灵活地分配生产力。因此,对于一些数字化转型较快的企业,工业生产环境本身也会有相比之前更为频繁的变化。这就需要白名单有同样的弹性。
白名单的弹性可以从两方面来看。一方面是白名单的学习速度,是否能够快速学习并建立准确的工农业互联网环境白名单;另一方面是白名单的部署效率是否高效。尽管说功能上,可以通过工业互联网安全管理平台实现一键下发,但是在具体实践环境中,经常需要对每个终端进行逐台更新,这个时候白名单的部署速率就决定了生产恢复的速度。
部分厂商会使用一些黑名单或者灰名单机制,来增加白名单的弹性。但是,这一类机制同样也是牺牲了一定的安全性来追求效率——这并不代表这类机制不会安全,只是相对纯粹的白名单机制而言,安全保障会相对降低。企业在这个过程中,也需要平衡自己的需求:是追求纯粹的安全性选择完全的白名单机制,还是降低一点安全性,来确保业务转换时的效率。
已知威胁防护能力
尽管敌对势力极有可能会对我们国家的关键基础设施发动攻击,但是这一类APT攻击依然是少数。工业企业面临的更多还是来自日常的已知攻击,或者因人员违规操作产生的病*感染(比如移动存储设备的违规使用)。这一类威胁往往是已知病*攻击,或者利用已知漏洞进行攻击,因此防病*能力能够抵御绝大部分此类攻击。
针对已知威胁的防护,一方面依赖于安全厂商自身对工业系统的漏洞研究能力以及病*库更新能力。这可以从厂商的工业互联网相关漏洞提交数量,以及安全研究团队能力上体现。另一方面,有强大攻击特征库能力的厂商可以通过已知的攻击行为模式,更精准快速地发现攻击行为,进行响应。
工控防护能力市场情况
工控系统安全(本报告中“工控防护能力”与“工控检测/审计”部分)在数世咨询定义的市场成熟度,概念市场、新兴市场、发展市场与成熟市场四个阶段中,位于发展市场阶段。
根据本次调研的方向,年我国工控防护能力收入总体约为6.3亿元,年总体收入约为10.3亿元,预计年收入为14.1亿元,年有望达到17.5亿元。工控防护产品作为整个工业互联网安全的关键,其收入占比在整个工业互联网安全中当前最高。但是,随着客户的防护能力日渐成熟,以及工业互联网安全产品数量增多,会将投入逐渐转向工业互联网安全管理平台能力。工控防护类产品的总体收入占比将会逐步下降。
工控防护类产品当前还是以单一标准化产品交付为主,占72%。定制化产品及运营占17%;作为单一功能交付、订阅模式及其他模式共占11%。
从销售方式来看,厂商直接销售和通过渠道销售占比差距不大。直销(46%)比渠道(44%)占比略高。
当前来看,工控防护能力的主要落地行业为电力,占31%。电力在整个工业互联网领域起步较早,因此安全能力落地更多。其余占比超过10%的行业为轨道交通(16%)、燃气/热力/供水/电网(13%)、以及石油石化(11%)。从未来发展来看,石油石化将会成为下一个安全厂商争夺的领域。
案例一:某水电站工控安全防护项目案例(本案例由天融信提供)
场景介绍
某水电站作为国内首座大型水利枢纽,电力信息化集成越来越高,对电力系统的稳定性、安全性、可用性均提出较高考验。为提升水电站控制系统网络安全防护能力,以水电站实际应用需求为出发点,结合电力行业相关标准,从工控终端安全、工控网络安全、运维管理安全等方面,设计出水电站工控安全防护方案,并得到实际的应用,帮助水电站建立全方位多技术的防护手段。
安全隐患
生产控制区系统老旧,安全漏洞较多,易被攻击者利用
操作站应用和移动介质缺少管控,无法辨别应用来源,可能引入恶意程序
业务调度和操作行为不规范,可能存在违规操作或误操作
生产控制区域之间未执行严格的访问控制,可能存在跨域访问
客户需求
通过对水电站控制I和II区业务运行和日常管理进行现场沟通与调研,明确如下需求:
技术人员操作不规范,管理难
难以对重要通信建立行之有效的审计监测机制
工业控制系统漏洞较多,难以形成集识别和管理措施
常规安全检测手段无法应对新型工业安全威胁
缺少基于全网的威胁态势分析
网络设备繁多,分布较远,定期维护较为困难
解决方案
(图片来源:天融信)
为更好地解决水电站当前面临的安全问题,首先需要对水电站的网络结构和资产信息进行梳理:以“安全分区、网络专用、横向隔离、纵向认证”为建设原则,细化生产控制区(I区)业务系统,强化对数据网边界、重要资产或系统的安全防护与审计,增强漏洞威胁识别与发现能力,建立基于全厂的安全信息汇总与展示,以及全网威胁态势感知与分析。
结合水电站业务特点与网络结构,安全专家提出了整体安全建设框架,基于安全防护体系和安全运维感知体系,构建对水电站生产控制区中的安全防护、安全检测、安全审计、安全运维、威胁识别、安全场景分析能力,形成基于工业控制系统的纵向防御架构。
安全防护体系
安全防护体系包含网络中的安全防护设备、检测设备、审计设备、终端管理、漏洞识别等,防护范围覆盖生产控制区;在生产监控区建立安全防护中心作为数据探知,将基于各个节点的安全数据、异常数据等上送至集中管理平台,用作安全环境、基线的分析,并执行分析的结果。
安全运维感知体系
安全运维感知体系作为水电站生产控制大区安全防护的“大脑”,承担安全信息分析的作用,利用大数据手段,基于用户的安全基线进行安全建模,通过模型间的组合进行流式分析,分析网络中安全威胁及主机、应用脆弱性,后依据分析结果下发策略至安全防护设备、安全审计设备,形成基于用户行为的纵向安全防护体系。
域间隔离
生产控制大区与非控制区域部署天融信工控防火墙,实现域间隔离控制。天融信工控防火墙基于白名单的工业指令级“四维一体”深度防护技术,可对工控协议的“完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析和过滤,可对水电站生产控制区内的S7、Modbus、EIP、IEC协议进行深度解析;同时,基于水电站业务实时特性,采用工控系统业务连续性保障技术,可在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据,保证电力生产数据安全上传。
“四维一体”深度防护技术在传统防火墙五元组安全检测的基础上,对应用层工控协议及数据进行四重深度安全检测,以Modbus协议为例:
第一步对协议的完整性进行校验。
第二步结合工控业务对功能码进行分析,检查协议功能码是否合法、合规。
第三步检查数据读取地址范围是否在业务允许范围内,同时对源操作者的读写权限进行检查。
第四步对工艺参数进行分析,如转速、压力、温度等是否符合目标设备正常业务范围。
(天融信工控防火墙协议解析模型)
通过对工控协议、数据的四层安全检测,可有效保证工控协议与数据的安全性,从而保障工控网络、工控设备的安全稳定运行。
基于业务的行为建模分析
天融信工控安全监测系统部署应用结合水电站业务的特性,采用工控业务规则模型,可有效对业务系统的攻击行为、违规操作、误操作、非法通讯等异常行为进行监测,并对数据进行深度解析、分析、记录、统计、汇报,通过关联分析结果给出相应的防御策略和事件溯源的报文源码,加强内外部网络行为监测,便于快速了解网络基本情况的同时获知网络告警分布,轻松掌握网络运行状况。采用旁路部署,对业务生产过程“零”影响;具备完善的日志存储、统计、审计与备份功能,针对安全事件便于筛选与回溯,有效保障了日志数据可靠性。
基于白名单的防护
天融信工控主机卫士部署在工控上位机和服务器上,能够防范恶意程序的运行、控制USB移动存储介质的滥用、管理非法外联、为受信任的程序提供完整性保护等,具备完善的终端安全风险监控和分析能力;同时支持新建、追加白名单,可通过自动扫描、自定义添加、软件跟踪等方式自动生成应用、脚本白名单库,同时可根据文件表、HASH表对库内白名单进行查看,并可配置白名单防护策略,禁止并审计白名单之外的进程、镜像的启动加载行为;满足工控网络中终端安全管理需求,实现对工控主机全面的安全防护。
(天融信工控主机卫士功能架构)
工业漏洞识别与发现
天融信脆弱性扫描与管理系统可对国内外常见的SCADA、组态软件、HMI、PLC、DCS、应用系统等多种类型的系统或设备进行针对性扫描,采用智能遍历规则库和多种扫描选项的组合手段,深入检测出系统中存在的漏洞和弱点,准确定位其脆弱点和潜在威胁。根据扫描结果,系统可以提供测试用例来辅助验证漏洞的准确性,同时提供整改方法和建议,帮助技术人员修补漏洞,全面提升整体安全性。
同时,系统柜可将扫描的结果生成在线或离线报表,也可以根据不同的用户角色生成报表,并对扫描结果进行细致、全面的分析,并以图、表、文字说明等多种形式进行展现,支持以HTML、PDF、Word、Excel、Xml等格式进行导出,便于对现场资产与威胁汇总分析。
(天融信工控漏洞扫描系统功能架构)
外部入侵检测
天融信工控入侵检测与审计系统内置专业的工控入侵规则库,可根据业务功能需求制定白名单策略,满足水电站关键节点防护需求,采用攻击规则检测+业务白名单两种方式,对工业控制网络上捕获的数据包进行相应的行为匹配,及时发现来自生产网内外部攻击威胁,为客户提供直观、落地的安全防护建议,保障生产网络安全运行。实现了对水电站Modbus、S7、IEC、EIP协议的深度解析,可根据业务系统的安全需求,制定符合应用场景的安全策略,可对安全事件详情进行记录和报文留存,为安全事件调查提供基础依据,真正做到事前预警、事中监控和事后追溯。
(天融信工控入侵检测与审计系统架构图)
客户价值
通过在客户的环境中部署天融信工控安全产品,最终实现:
终端管控:在重要服务器和操作站安装天融信工控主机卫士,实现终端主机的安全管控,避免人员恶意操控应用程序,减小恶意代码和病*木马对生产控制造成影响。
安全隔离:在控制区和非控制区部署工业级防火墙,实现区域边界安全隔离,通过实时过滤网络中的非法误操作和恶意攻击行为,阻断蠕虫、病*域间传播,提升控制区防护能力。
安全审计与入侵检测能力:在关键开关站、调度数据网接口处、非控制区(II区)部署工控安全监测和入侵防护系统,增加重要资产的防护能力,提升外部威胁攻击入侵检测与安全审计能力。
漏洞识别与修复能力:通过在控制区域非控制区部署工控漏洞扫描系统,可多维度检测多种形式的系统,快速定位漏洞威胁,并提供完整的修复指导。
客户反馈
简化了运维管理工作,在面临厂区较大,可以通过实现集中式运维管理,便于日常发现工控威胁,同时,针对威胁事件能够快速响应处理。
终端防护能力升级,通过工控主机卫士能够设定有效的白名单程序,从系统层面封堵外设,有效应对外设违规使用以及操作不规范问题。
可视化运维操作,对一线操作行为能够直观显示,方便安全管理人员分析操作行为。
规范生产区域之间行为,在不同生产区域间,通过工控防火墙能够细粒度控制通信行为,杜绝跨区操作。
漏洞排查快速定位,面对全厂上万套设备,能够定期排查漏洞信息,同时给出修复意见,减少厂区工控设备脆弱性、
案例二:某油气管道生产调控中心网络安全防护案例(本案例由天地和兴提供)
涉及领域:工业互联网防护能力、工业互联网检测/审计能力
场景介绍
近年来,能源行业层出不穷的网络安全事件表明油气管道SCADA系统已经成为国内外黑客的攻击目标,面临愈发严峻的威胁。
物联网、大数据、云平台等新技术的应用,形成了油气管道生产网络的互联互通,来自办公管理层网络的入侵、病*等风险容易向生产网蔓延。同时攻击者伪造身份从外部或内部网络节点对生产系统进行渗透,不仅仅可以拿到工艺数据,甚至可以造成重大安全事故。管道SCADA系统一旦受攻击容易发生恶意操控甚至生产事故,直接影响到管道输送的正常生产运营,导致火灾、爆炸、中*事件的发生,造成重大经济损失、人员伤亡和环境污染,直接威胁到国家能源安全和社会稳定。因此保护油气管道SCADA系统的安全,对我国能源安全具有重要的现实意义。
客户需求
该油气管道客户有以下工业互联网安全需求
安全通信网络安全需求:在通信过程中采用密码技术保证通信过程中数据的保密性,在通信过程中采用校验技术保证数据的完整性,通过应用工控防火墙搭载可信模块的形式,实现可信验证。
安全区域边界安全需求:监控网络中存在的各类入侵风险、网络病*、非法访问等行为并进行审计与阻断,保障生产网络的可用性与安全性。
安全计算环境安全需求:对各系统工程师站、操作员站、历史站、接口站、服务器等实施定期巡检式的安全扫描,进行针对性的安全加固,以白名单的方式限制可以执行的程序,综合提升主机系统的抗攻击能力,保护分布广泛的站控系统主机不被作为跳板入侵上级系统。
安全管理中心安全需求:建立安全教育与培训、安全保密、应急响应机制,使安全管理成体系,安全管理常态化,管理与技防相结合,形成企业的综合网络安全防护体系。
解决方案
方案设计
本方案针对油气管道SCADA系统实际需求,通过设计建设一套稳定、高效、可靠的工控安全监测防护体系,集中展现油气管道SCADA系统的整体工控安全态势,提升整体工控安全监管水平和防御能力。针对SCADA系统的特点进行设计,以国家等级保护的“一个中心、三重防护”为整体防护思想,构建油气管道SCADA系统网络安全防护的技术体系,并完善安全管理体系,形成“技术+管理”的综合安全防护体系,满足实际安全防护需求,达到等保三级建设标准。
方案从实际出发,以油气管道SCADA系统为等级保护对象,以控制中心系统为主体,结合站控系统、现场设备等边缘应用分布广泛的特点,从安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理要求等几个维度来构建综合安全防护体系:
安全通信网络:对油气管道SCADA系统的访问逻辑进行梳理,优化网络结构,按照网络资产的属性与访问逻辑,合理划分网络安全域。在油气管道工控系统网络的边界部署安全隔离与访问控制措施,实现必要的边界安全防护,同时按照业务组网应用特点,酌情增加链路加密措施,保障链路通信的数据安全性。
安全区域边界:在重要的安全域边界设计部署安全隔离与访问控制措施,对重要安全域进行必要的安全防护。在油气管道工控系统网络中,重点对首站、中间站和末站等所在的安全域进行安全隔离与访问控制,保证油气管道工控系统的运行安全。
安全计算环境:对全网的服务器、操作员站、工程师站等主机系统设计安装必要的安全管控措施,实现对主机系统必要的安全管控,保障主机系统运行安全。主机安全管控措施包括主机进程管控、主机USB口外界管理等,实现主机防病*、防第三方软件非授权安装使用、防USB设备非法连接与数据拷贝等功能,提升人机交互界面必要的安全防控与主机系统的安全性。同时,借助于在安全管理域内部署的主机系统脆弱性扫描工具,实现对主机系统弱口令、漏洞的安全管理,通过主机加固措施,提升主机系统自身的抗攻击能力。
安全管理中心:在油气管道工控网络中新建安全管理域,部署集中安全管理手段,实现对全网用户集中认证、权限管理与操作行为审计。同时,部署综合日志审计与安全管理技术手段,建立全网安全风险的集中管理、分析、可视化与联动处置机制,部署安全威胁扫描与管理工具,实现全网风险的集中管理与处置,保证风险的快速感知与处置,提升安全风险的管理与应对能力。
安全管理体系:基于油气管道企业现有的安全管理组织结构与管理措施,由我方专业的安全服务人员以安全咨询服务的形式,按照相关标准规范要求,为用户梳理安全管理体系内容,帮助用户健全与完善安全管理体系相关内容,从管理上完善安全管理的体系化建设,包括日常管理以及应急保障等相关内容,以构建综合的安全防护体系,保障油气管道工控系统的安全稳定运行。
部署拓扑图如下:
(天地和兴工控安全防护系统部署拓扑示意图)
产品部署
安全通信网络建设:对油气管道工控网络进行优化,划分安全域,并对油气管道工控网络与办公网互联的网络边界部署工控防火墙进行边界隔离与安全防护,保护油气管道工控网络免受来自上层办公网及互联网的入侵攻击风险。
安全区域边界建设:在油气管道工控网络中划分不同的安全域,按照安全域的安全权重,有针对性进行安全域的隔离与访问控制、安全审计、入侵检测等必要的安全防护措施,保护个安全域的运行的安全。本方案中主要是在调控中心SCADA系统网络中部署工控安全审计系统、入侵检测系统,以及在各个站控系统的生产数据汇聚到调度中心的网络入口处部署工控防火墙。
安全计算环境的建设:在油气管道工控网络中的安全计算环境是指人机交互界面上的各主机系统,包括各种相关的应用服务器(如SCADA历史服务器、OPC服务器等)、操作员站、工程师站和历史站等。主机系统要通过检查工具对其安全漏洞与脆弱性进行发现和管理,对可修复的漏洞进行可行性验证与修复,关闭不需要的默认账号、服务,进行主机系统必要的安全加固,提升主机系统抗攻击能力。本次设计将考虑部署主机安全防护系统技术措施来对主机系统进行必要的安全防护。
针对油气管道工控网络中的相关服务器、工程师站、操作员站等主机系统,设计安装部署主机安全防护软件系统,实现对人机交互界面的主机系统必要的安全管控。
白名单的主动防御机制可占用更小的系统计算资源,实现最大的防护效能,可有效实现主机防病*、防第三方软件的非授权安装与使用、对主机系统外接口管控、对USB外接存储设备的认证管控、防病*与操作行为审计,为主机系统安全运行提供必要的安全保障。
本方案使用的主机安全防护系统,是工控主机系统专用的安全防护系统,系统运用白名单为主,灰名单、黑名单为辅的创新技术方式,监控主机的进程状态、网络端口状态、USB端口状态,严格对主机应用进程进行管控,外接端口管控,USB设备认证与使用管理,以及操作行为管理,强化工控主机的安全管理,提升主机系统抗攻击能力。
客户价值
通过部署一系列的工业互联网安全产品,为客户提供了如下价值:
先进安全防护技术提升企业工控安全防护能力:本方案采用工业协议深度解析技术、智能学习技术、白名单主动防御技术和威胁管理无损技术,并结合公司自有的工业漏洞库、设备指纹库,通过制定有效的安全策略和安全集中分析管控手段,在保证稳定运行的前提下,对工控系统运行提供必要的网络安全保障。
完善组织OT内控体系,满足合规需求:本方案在设计时,参照了国家等级保护相关规范要求,并按照企业当前的工控系统信息化建设程度来提出符合实际需求的解决方案,实现了从OT应用控制、OT一般控制、OT审计等三个维度来打造合规的OT控制体系。
工控安全产品性能达到国内领先水平:包括独有的专利技术的全机柜一体化解决方案、松耦合的安全框架设计具有极好的设备兼容性、一体化安全产品管理机制。网络接入支持IPv6、ipsecVPN、可视化监控、自定义协议规则、接口联动、热备机制、bypass、低延时等高可用性设计,真正做到了对工业网络零影响。
自主可控的上送信息的数据对接:与同类别方案相比,增加的相关设备所采集的信息更加全面,也更具合规性,能完全适应工控系统安全防护在稳定性与机密性的共同需求。方案中所有信息安全产品均为国产自主产品,可控性强,安全产品联动安全性更高,并可提供定制化的功能开发,方便支撑不断迭代升级。
可信计算的融合技术:采用设备上加装PCI可信控制卡的方式,实现可信功能。主要包括基于可信根对设备的bootloader、操作系统和应用程序等进行可信验证;基于SM3HASH对设备的bootloader、操作系统和应用程序等进行可信验证;对系统中断、关键内存区域等执行资源进行可信验证;对设备的网络通信进行可信动态度量,监测异常通信行为;将可信验证结果形成审计记录并发送至安管平台;安管平台处理所有安全设备上报的可信状态值,并呈现整个安全防护系统的可信状况。
客户反馈
本方案以油气管道工控系统应用为场景,构建了安全可控为目标,监控审计、威胁分析、入侵检测、主机防护为特征的油气管道企业工业控制系统新一代主动防御体系,提高了工控系统整体安全性。将为企业工业控制系统网络安全防护体系建设开创行之有效的安全建设模式,提高管控一体化安全防护的能力。
通过本方案中的主动安全防御建设,提高了工控安全防御能力。按照每年平均防御网络攻击1次,每次攻击平均造成的停运损失万元计算,项目年11月份投运至年4月份,折算减少停运损失约万。由于该项目的建设,提高了运维效率,每年还可以降低工业控制系统的运维费用约30万。
本方案具有很强的推广价值,也适合在石油石化行业其它场景的工控系统中进行推广应用。
工业互联网安全能力指南——工控检测/审计部分
关键发现
传统IT环境中安全优先级要求:CIA,工控环境中安全优先级要求正好相反:AIC。因此工控检测/审计类产品——特别是主动扫描类检测产品——首要要求是对业务连续性不能有影响;
对主流工业协议的识别与解析数量是该类产品的主要衡量标准,除此以外,也应考虑检测结果可视化、与业务的相关性等软性指标;
工控检测/审计类产品仍然以合规需求为主要驱动力,但随着关基类用户的投入逐渐加大,实战化高级威胁检测的需求驱动正在逐渐增强;
随着客户的检测能力日渐成熟,以及工业互联网安全产品数量增多,会将投入逐渐转向工业互联网安全管理平台能力。工业互联网安全检测类产品的总体收入占比将会逐步下降。
工控检测/审计能力点阵图
本次参与工控防护能力的厂商共有18家,包括:安恒信息、博智安全、烽台科技、国泰网信、惠而特、立思辰安科、六方云、珞安科技、绿盟科技、木链科技、齐安科技、启明星辰、融安网络、圣博润、天地和兴、天融信、威努特、英赛克。
工控检测/审计能力主要产品形态
在本次工业互联网安全系列报告中,检测是最重要的组成部分之一,“看见”是一切安全管理与安全服务的前提。经过近几年的发展,工业互联网安全检测产品形态主要有以下几大类:
工业资产发现与管理
在工业生产环境中,以安全视角对包括控制器、控制系统、上位机等工控设备,以及办公网中的网络设备、安全设备、主机设备等在内的各类资产进行主动/被动资产发现以及资产管理的安全产品。
工业合规检查工具箱(等保工具箱、基线核查系统等)
以合规检查为主要目的,内置工控系统等级保护检查标准,支持漏洞检测、流量分析、配置核查等自动化评估工具的便携设备产品,一般这类产品还支持自动生成信息安全等级保护检查报告以及整改通知书。主要用户为测评机构与现场执法检查的单位(例如各级测评中心、公安、国安、网信、保密等)以及集团类客户对下属单位检查使用。
工业监测审计
针对工业生产环境中的网络流量进行安全监测与行为分析的审计类产品。此类产品的目的在于识别非法操作、越权执行、外部攻击等安全事件并实时告警,同时全面记录网络中的网络运行状况及各协议通信行为,生成分析报告,给出合理化建议,为安全事件的调查取证提供依据。由于采用旁路监听方式进行部署,不影响现有系统的生产运行,审计类产品可以适用于大部分网络环境,。
工业安全评估(包含工业漏扫、防病*)
此类产品涵盖了资产发现、漏洞扫描、配置核查、Windows安全加固、等保合规关联、Wifi安全检测等模块,目的是发现工控环境中存在的各种脆弱性问题,包括各种已知安全漏洞、安全配置问题、不合规行为等风险。在信息系统受到实际危害之前为用户的安全管理人员提供专业、有效的评估报告和修补建议。因此,这类产品一般都会具备直观的报表功能。部分具备防病*基因的安全企业,还会在这类产品中内置脱壳引擎、解压缩引擎、反病*引擎,结合特征码扫描、启发式扫描等技术检测各种已、未知病*威胁。
工控漏洞挖掘
此类产品主要用于发现工控设备(PLC、RTU等)、工控系统(DCS、SCADA等)中的未知漏洞,以黑盒测试为主要技术实现方式,产出的测试报告应当能够清晰定位问题并提供测试报文便于问题回溯,对于安全要求更高且预算较多的关基用户,这类产品能够进一步提升工业控制系统的安全性。
工业入侵检测系统
顾名思义,应用于工业互联网环境的IDS,主要对缓冲区溢出、SQL注入、暴力破解、DDoS攻击、扫描探测、蠕虫病*、木马后门、间谍软件、欺骗劫持、僵尸网络等各类黑客攻击和恶意流量进行实时检测及报警。
工控检测/审计能力落地要点
不影响用户的业务为基本准则
传统IT环境对安全的优先级要求是CIA,工控环境中对安全的要求优先级正好相反——AIC。工控环境中,绝大部分设备和系统都要求7*24小时不间断运转,所以主动扫描类检测产品,首先要注意的就是不能影响用户业务。如资产发现与漏洞扫描,应当以版本匹配为主,不能poc验证式扫描。同时,要能够对扫描策略进行灵活配置,注意产品的占用进程和资源。很多老旧设备的硬件水平与操作系统都经不起大流量的扫描行为冲击。如果是流量检测,则务必采用旁路监听方式,同时注意产品检查点的范围和深度,避免造成回环等形式的网络拥塞,影响正常的业务流量。所有的产品部署要便捷,尽量不中断或是只占用很短的中断业务时间。
要能够适应恶劣的工业环境
安全检测类产品要具备IP40或以上级别的防护、抗电磁干扰、电源冗余、无风扇散热、双机热备、端口冗余、宽温宽压等工业级的可靠性、稳定性。对于*工类用户,某些便携检测类产品还应当具备三防(防尘,防水,防震)能力,自备电源,适合严苛环境应用。
白名单与黑名单的平衡使用
白名单是工控环境下安全检测产品的基本技术实现思路,但单纯依靠白名单其局限性,甚至有可能反被利用。比如年被发现的针对中东某石油天然气厂工业控制系统的“海渊”(TRISIS)恶意代码便是利用社工技巧伪装成安全仪表系统的日志软件绕过“白环境”机制成功进入目标网络。除采用社工手段外,直接针对白名单设备、白名单软件的攻击行为也愈加频繁,更有一些复杂攻击采用哈希碰撞的攻击方式绕过“白名单”机制,对系统造成威胁。因此,应当在基于白名单的基础上,增加对已知病*、已知漏洞库、威胁情报等特征数据的检测能力。而且,目前供应商的产品一般都具备一定程度的智能学习技术,通过自动学习生成白名单库,并以此为起点按需进行安全检测,使白名单也具备了一定的灵活性。总之,白、黑之间的平衡点,要根据用户自身的业务情况按需制定。
工控检测/审计主要核心能力
针对以上产品形态及落地要点,工业互联网安全产品的主要核心能力有五个:识别、解析、采集、知识库、可视化。
1.识别
“检测”能力的第一个主要核心能力是准确的工控设备指纹识别能力。能力衡量标准是能够识别的主流协议的数量与准确度,例如西门子、施耐德、罗克韦尔、ABB、艾默生、倍福、欧姆龙、台达、和利时、三菱、霍尼韦尔、英维思等国内外知名厂商的OPC、Modbus、DNP3.0、S5、S7、Ethernet/IP、MBTP、IEC、IEC、Profinet、BACnet、MMS、FOCAS、ENIP、Melsec-Q、PCWorx、ProConOs、Crimson等协议。识别的能力门槛相对较低,对设备协议、设备类型、软硬件版本、厂商、开放的端口、服务等信息的综合判断,能够积累较多的协议识别数量,但更高的能力壁垒,就需要有专门的技术团队,通过逆向分析等手段,分析协议架构、通信流程、报文结构、解析功能码、敏感报文等信息。目前行业内的主要安全企业,其协议识别能力的数量在数十个不等。用户可以根据自身情况,对供应商加以考量。
2.解析
不同于“识别”,检测能力中对“解析”的要求更高、更深入。要能够对主流协议进行指令级、值域级深度解析,准确解析出协议中的功能码、值域、操作码、寄存器地址范围等等,从而对报文格式、完整性进行检测,判断是否存在畸形报文——尝试伪装成正常通信协议内容的恶意代码进入工业控制系统网络内部或区域内部,联动防火墙,防止畸形代码攻击等多种发生在工控以太网络内部的攻击。
有的审计类产品,还会记录更为详细的指令变更、负载变更、状态变更等指令集的操作数据,兼具一些类似业务中断告警这样的功能,从安全生产的角度来讲,当然这也属于安全范畴。用户可以按需选用。受限于工业生产设备的厂商现状,目前行业内的主要安全企业,其协议解析能力的数量在20-30个之间不等。用户可以根据自身情况,对供应商加以考量。
3.采集
包括定时采集和实时采集,如资产、环境、漏洞等不会频繁变化数据,将采用定时采集或者触发式采集(管理中心下发指令),针对如进程、文件、网络等会频繁变化数据采用实时监控模式,进行实时采集和上报。
审计类产品,要具备原始数据的采集与存储能力,有些行业的审计要求数据留存时间不少于六个月。采集方式可以是实时采集,也可以是定时采集。采集方式可以是直接采集工业数据,比如连接串口收集数据,或是根据工控设备、网络设备、主机设备、安全设备等目标的不同,分别通过Syslog、SNMP、SNMPTrap、ICMP、SSH、NMAP、流量嗅探等方式进行收集数据。
这里主要考量数据采集的全面性。例如主机设备包括操作系统层面所有的用户登录、操作信息、各类数据库、中间件的重要运行信息以及外设设备(键盘、鼠标以及所有移动存储设备)的接入信息;网络设备的配置变更、流量信息、网口状态等安全事件信息;安全防护设备包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、入侵检测系统(IDS)、运维操作审计系统、蜜罐、web应用防火墙等安全设备等;日志则包括系统日志、配置日志、流量日志、攻击日志、访问日志等。
4.知识库
构建工控协议解析库,完善安全事件特征库,丰富网络攻击知识库,对多环境、多业务流量进行深度分析、识别、发现、追踪、评估。(木链)
这里的知识库,主要指检测类产品所需要的资产指纹库、漏洞库、病*库、入侵检测规则库、安全攻击特征库等。各家的分类及计数方式各有标准,因此我们并不强调,也不鼓励单纯的比较各家的知识库数量。不过有两个能力点要说明,一是不论知识库数量多或少,检测还应当考量效率和准确率。二是对私有协议是否提供开发接口或是SDK,方便用户自行扩展支持私有协议和做定制化开发;
5.可视化
工控环境下,安全的很多状态不像IT环境下直观,因此需要更加注重可视化能力。例如资产状态数据、基于协议的网络拓扑视图和网络流量视图、带有时间维度的统计数据、分析结果数据、异常行为告警信息、突出重点的处置建议等。
在初步检测出威胁并加以确认后,如果能够具备一定的可视化分析能力就更好,例如将受到威胁风险的资产与业务属性做关联,或是接入用户的工业生产数据,将安全风险与生产数据结合,显示其潜在的停机、停产带来的业务风险。可视化的目的一定不只是美观,更重要的是体现出安全的价值。
6.创新尝试
此次调研,我们发现安全企业的检测能力具有一定的趋同性,差异点主要集中在对协议的识别与解析上,但是部分企业还是尝试在作出一些创新尝试,我们列在这里,供用户参考:
融合零信任理念的自适应工控安全检测;
在工业安全领域研究并应用SOAR、UEBA等先进技术,对工业协议中的生产过程关键参数进行趋势分析与建模,识别正常生产活动与关键参数异常变化;
初步的追踪溯源能力:支持流量回溯,追溯攻击过程,支持关联分析攻击路径,保存攻击证据;
在安全设备上加装PCI可信控制卡的方式,实现可信功能。实时监测操作系统、应用程序、关键内存区域、网络通信等关键点,最终将可信验证结果形成审计记录并发送至安管平台;安管平台处理所有安全设备上报的可信状态值,并呈现整个安全防护系统的可信状况;
对网络中漏洞、攻击等进行监测、梳理和分析,并对探测的漏洞与权威漏洞库进行关联评测,给出量化评估(风险值),并进行预警与展示;
基于资产、事件、威胁、时间、空间、业务行为等多个维度进行关联分析,全面、多维、系统的统计、分析,以可视化的图表进行展示;
基于AI算法和模型的威胁检测,不依赖特征库升级方式来检测威胁。
需求变化:实战化威胁检测
工业互联网安全检测需求的用户中,有很多关基类用户,它们面临的威胁等级在逐步提高。对于电力、石油石化、轨道交通、智能制造、钢铁冶金和*工等多个国家关键信息基础设施行业来说,威胁检测的场景越来越趋于实战化,对工业互联网安全检测类产品的要求也正在趋于“能力化”。例如对工业协议的深度解析、基于正常通信行为建模后的异常流量监测、对安全事件一定程度的自动化分析、对威胁风险的统一管理与可视化展现、对高级威胁的检测及防御、基于资产的风险识别等等。这就要求供应商能够将以上检测类产品与本系列报告中的工控蜜罐、安全管理平台、安全服务等内容整合以后,实战化安全运营,才能发挥出最大的能力效果。
工业互联网安全检测/审计能力市场情况
根据本次调研的方向,年我国工业互联网安全检测能力收入总体约为4.11亿元,年总体收入约为6.89亿元,预计年收入为10.56亿元,年有望达到14.2亿元。随着客户的检测能力日渐成熟,以及工业互联网安全产品数量增多,会将投入逐渐转向工业互联网安全管理平台能力。工业互联网安全检测类产品的总体收入占比将会逐步下降。
工业互联网安全检测类产品当前还是以单一标准化产品交付为主,占57.15%。定制化产品及运营占24.19%;作为单一功能交付、订阅模式及其他模式共占18.66%。
从销售方式来看,厂商直接销售和通过渠道销售占比差距不大。直销(44.81%)比渠道(38.91%)占比略高,OEM的占比为16.29%。
当前来看,工业互联网安全检测能力的主要落地行业为电力,占29%。电力在整个工业互联网领域起步较早,投入也更多,因此安全能力落地更多。其余占比超过10%的行业为轨道交通(17%)、石油石化(12%)、以及烟草、教育、*工等其他行业,汇总后也占到了15%。从未来发展来看,石油石化将会成为下一个安全厂商争夺的领域。
案例三:轨道交通-综合监控系统安全防护建设项目(本案例由立思辰安科提供)
一、场景介绍
当前,世界各国广泛采用以信息化促进城市轨道交通发展的战略,信息化已覆盖城市轨道交通的建设、运营、管理、安全、服务等各个方面,我国强力推进“互联网+城市轨道交通”战略。地铁综合监控系统(ISCS)作为轨道交通信息化系统中子系统,承载了对电力设备、火灾报警、车站环控设备、区间环控设备、环境参数、屏蔽门、防掩门、电扶梯设备、照明设备、门禁设备、自动售检票设备等进行实时集中监视和控制的基本功能,同时担负着非运营时间、正常运营时间以及紧急突发事件设备故障情况下的相关系统设备之间协调互动等高级功能,一旦系统被攻击入侵,将给地铁的正常运营、运行带来巨大的影响。为了避免我国城市轨道交通行业在数字化网络化发展过程中出现信息安全和网络安全问题,各城市轨道交通行业建立常态化、覆盖事前、事中、事后的全方位信息安全服务体系,形成动态防护、监测预警、响应处置的网络安全工作机制,覆盖智慧城轨全生命周期和运营全过程。
二、客户需求
工控协议识别种类广泛:综合监控系统(ISCS)属于多系统深度集成的系统,在控制网络中存在多家自动化厂商PLC控制器,需要对全部进行协议的识别和分析;
工控入侵行为检测能力精确性:能够精准的识别基于工控协议的入侵行为,对异常的通信行为进行分析和告警,实现风险、威胁“可知、可管”;
工控协议指令级的异常监控和行为取证:能够对工控网络流量基于“字节和位”的协议分析,能够对关键操作行为、控制命令等进行实时监测和分析;
从“技”、“管”两个维度建立全面防护体系:从安全计算环境、安全通信网络、安全区域边界等多个维度实现安全防护建设,同时结合综合监控系统特性,构建符合国家“等保”监管要求的安全防护体系;
三、解决方案
地铁综合监控系统由控制中心系统、各车站级控制系统、车辆段控制系统、培训管理系统、设备维护及网络管理系统等组成,各系统通过冗余环网连接。针对本项目综合监控系统安全防护体系建设,主要集中在控制中心、各车站、车辆段、停车场以及主所/区间所等系统防护。
地铁安全防护总体架构如下图所示:
依据网络安全等级保护“三级”系统保护要求,结合地铁综合监控系统安全防护面临的诸多安全问题,我们在本项目安全防护体系建设方面遵循“系统内主机加固和风险监控,互联系统间逻辑隔离和防护,审计和告警数据集中管理和统一呈现”的工控系统安全建设原则。具体防护思路如下:
在控制中心、车站、车辆段部署工控安全监测与审计系统,实时监测系统内部异常行为,异常流量告警。进行全面的异常行为检测和深度分析,提供现场设备故障报警和恶意入侵活动报警;
基于机器学习及大数据技术,对综合监控系统运行一段时间的工控网络数据进行智能分析和自主学习,一键自动穿件白名单策略;持续监视网络流量,自动识别合规数据,及时发现违规行为并实施告警;
系统基于网络通信数据的深度分析绘制独特的ISCS工控网络拓扑图,可直观展示ISCS系统工控网络中各个设备节点间的通信连接情况,便于发现工业资产,并提供可视化的异常展示与告警。当存在潜在威胁时,节点间的连线可采用高亮的方式进行展示;
内置海量已知工控漏洞库,当监测到发生工控漏洞入侵行为时自动产生告警并提供系统运营人员,工控监测审计系统与多个SIEM平台进行无缝集成,实现分析网络数据;
基于通讯数据的资产自动发现和自动链路绘制,识别国内外主流的IT设备和工控设备,并通过通讯拓扑和报表两种方式进行展示,同时对工控网络中的多IP资产提供特殊的管理方式,呈现ISCS系统工控网络实际情况。
对ISCS系统中Modbus、IEC6、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-UA、MMS等工控协议进行深度的解析和防护,同时可支持特有的工控协议自定义功能。
四、客户价值
建立ISCS网络异常监控、行为取证分析的闭环防护措施:通过深度协议分析技术,实时对工控网络流量进行细粒度(字节和位)的协议分析,通过黑白名单方式识别异常行为(异常设备接入、异常网络连接、异常控制命令下发等)并自动报警,支持安全基线和白名单的自动创建。安全系统自身可提供专用取证分析工具,对采集到的工控网络流量进行分析和调查取证,系统既可对历史数据也可对实时数据进行取证分析,发现和追踪工控网络安全威胁,方便管理人员能够快速及时的做出应对措施。
实现通信行为、威胁、资产的“可知、可管”:通过自主的网络流量采集探针,收集ISCS网络环境中的所有网络行为进行协议解析和识别,包含源、目的地址,源、目的端口,协议、时间、会话量等,统一上传给管理平台。平台提供行为分析引擎,利用机器自学习、行为分析模型等分析网络异常行为,并对网络行为进行聚类分析。能够对工控网络中的各种PLC、操作员站等设备进行自动发现并自动生成设备台账设备信息包括IP地址、MAC地址和设备类型等。可快速定位和发现接入工控网络的非法资产,同时可识别僵尸资产,降低工控网络安全风险。
实现基于流量的可视化“挂图”作战:提供完整全面的ISCS系统网络流量拓扑图,在拓扑图中显示设备位置和设备之间的连接关系,可识别IP连接和串行连接。同时能够显示设备之间连接所使用的协议,并对具有潜在安全风险的设备进行高亮显示。对网络环境中的流量数据及安全数据,在“安全管理平台”上进行直观展示,管理员可直观地看到流量传输情况,及系统检测出的告警情况,识别危险链路和危险区域,从而进行适当的防控。
基于工业特性,从“技术”、“管”两个维度形成全面的ISCS系统防护系统:从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与管理手段,实现生产网络全面的安全保护。所有安全组件均采用非侵入式安全监测与防护工作方式,可确保安全防护措施对生产网络的干扰降到最低,同时安全不是单纯的技术问题,在采用安全技术和产品的同时,结合ISCS系统的业务特性,从管理制度、应急预案等维度进行完善全面提高安全管理水平。形成“技”、“管”并重的方式,加强ISCS系统控制网络的安全。
五、客户反馈
基于立思辰提供的ISCS系统安全防护技术方案,采用旁路非入侵式防护技术能够动态识别ISCS工业控制网络过程风险,对所有资产情况进行监视,及时发现僵尸资产的入侵行为,能够快速定位风险入侵路径、风险阶段、风险源头,将安全风险遏制在源头、遏制在攻击过程中,形成闭环动态的ISCS系统安全防御体系,为轨道交通ISCS系统的稳定运行、安全运行提供有效的安全保障支撑。
《工业互联网安全能力指南》下一次发布的内容为安全服务部分(包括该领域点阵图)。