智能制造时代安全隐患是啥? 中国如何应对? – 潮流家电网

工业控制系统面临国产比例低、安全防护措施少、企业主意识淡薄等威胁。这些都是中国制造业走向“工业4.0”必须补上的一课。
随着问题频发,工业控制系统安全不再是一个轻松的话题,而成为中国威尼斯城vnsc登入平台,智能制造的“拦路虎”。
工业控制系统是工业自动化生产线的控制软件,负责“告诉”工业设备“硬件”何时动、怎么动。也就是说,工业控制系统相当于“智慧工厂”的大脑,一旦像个人电脑一样感染网络病毒,“智慧工厂”很可能就会失去控制。
目前,尽管“网络安全”意识已渗入中国人的日常生活,但工业控制系统却还处在“裸奔”的时代。而在近日多地召开的国家网络安全宣传周上,工业控制系统的安全问题渐成前沿话题。业界人士呼吁,要强化对工业控制系统的安全防护,尤其要“守卫”好电力、石化、轨道交通等关键基础设施。
21世纪经济报道记者连日走访了解到,工业控制系统面临国产比例低、安全防护措施少、企业主意识淡薄等威胁。这些都是中国制造业走向“工业4.0”必须补上的一课。
事实上,国家已经注意到工业控制系统的重要性。2016年5月,公安部首次将工控系统纳入国家安全执法工作。
关键制造业易受攻击
老赵在东莞有一家做注塑机械手的工厂。9月22日,21世纪经济报道记者采访他的时候,他表示最近刚到广州找做工业控制系统的合作伙伴,这样就能用“互联网+”的方式让他的机械手“跑”起来。
不过,老赵只管问工业互联网这辆“汽车”能不能跑起来,却没有理会“汽车”的安全气囊。工业控制系统也需要网络防火墙吗?打算做“智慧工厂”的老赵没有想过。
但是,这是一个已经不能不考虑的问题。
据21世纪经济报道记者了解,在广州现场的网络安全周上,已有几家做工业控制系统安全防护国产厂家出现。比如北京匡恩网络科技有限公司,这是主做网络安全系统的企业,而另一家参展的广东嘉腾自动化有限公司,则是从自动化机器人扩展至安全软件领域。
而据匡恩网络早前援引美国机构ICS-CERT发布的报告分析,全球工控安全事件由2012年197个上市到2015年的295个,机会翻了1.5倍。
“国内正在智能化改造的工厂,尤其是中小企业的工厂,不少处于‘裸奔’状态。这些工厂的工业控制缺乏必要的网络安全防护。”9月下旬,赖文杰告诉21世纪经济报道记者。他是匡恩网络的高级安全顾问,从事工业控制网络安全的研究。
工业控制系统以往是相对封闭的,但现在已经逐渐开放。经过“工业化和信息化融合”、“智能制造”等浪潮后,不少工厂和企业甚至有许多数据存放在云端,以更好实现“工业4.0”的柔性化制造。
开放,同时意味着网络病毒的入侵有了更多渠道。赖文杰介绍,一旦网络病毒入侵,工业控制系统拦截无效,小则出现工厂某些生产环节停产、失灵,重则整个工厂瘫痪。如果遭受攻击的是电力、石化、轨道交通等关键行业,将有可能影响到国计民生。
这不是危言耸听。ICS-CERT发布的报告表明,遭受工控安全事件,关键制造业所占比重最高,达33%;紧随其后的是能源行业,占比为8%。
中小企业面临两难
而中小企业的情况更加不妙。冯子荣是广东网堤信息安全技术有限公司的销售经理。在9月23日,他告诉21世纪经济报道记者,一些中小企业并没有网络安全防护的意识,而另一些企业则觉得做工业控制的防火墙是“花冤枉钱”。
“很多人的心态是,我的企业这么小,不会有人注意到我的,也不会闲着没事做攻击我这家小企业的系统。”冯子荣接着说,“但企业遭受攻击的原因极其复杂,有的是商业对手的不正当竞争手段,有的是为了窃取信息做非法用途,甚至有的就是黑客为了炫耀技术。”
如果要构建安全系统,企业到底要花多少钱?多家信息安全企业表示,不同行业、不同安全标准,其花费的规模不尽相同。综合来看,一套工业控制系统较高的比重能占去企业一年经营成本的10%~20%,低的能控制在10%以下,一般能管三到五年,平摊到每年为3%左右。
但对中小企业来说,一下子拿出10%的成本并不容易。专门针对信息安全的启明星辰客户经理佘琅在9月下旬对记者表示,从未来趋势看,很可能是电力、石化等关键制造业和关键基础设施领域的企业率先兴起安全意识,布局工业控制系统的安全防护体系。
而对老赵这样的中小企业主来说,要构建全套“智慧工厂”的软硬件,没有上百万搞不定。促使他们接受工业控制安全理念,其关键是需要有“物美价廉”的安全防护产品。在国内工业控制系统尚处起步的背景下,国产厂商要提供这样的产品并不容易。
不过,国内已经有厂家尝试改变,试图通过压缩使用成本让中小型工厂用上安全的工业控制系统。据21世纪经济报道记者了解,广东嘉腾自动化有限公司本是一家国内自动牵引机器人的明星企业,近日开始发布面向中小企业的工业控制系统“嘉腾大脑”,其技术来源于多年AGV控制的经验。像智能手机一样,“嘉腾大脑”分高中低配置,低配版本低至5万元,其商业模式是通过开放共享的互联网操作方式,而不是仅仅靠卖产品赚钱。
该公司副总裁陈洪波在9月下旬表示,他们的工程师试图将工业控制涉及的各类信息系统放在一起,不仅是该公司的AGV产品可以接入,其他厂家的工业机器人也可以接入,其后台使用类似智能手机一样便捷。工程师多年研发成功攻关的是,如何让“嘉腾大脑”这一系统兼容不同厂家机器人产品的驱动系统,并保障让使用者的操作足够便捷。
国产安全系统尚待发力
多种尝试是必须的。从发展来说,目前中国的工业控制系统“安全锁”还处在初级阶段。
在9月举行的广东网络安全宣传周的高峰论坛上,匡恩网络首席安全顾问肖存峰就专门论及了关键基础设施信息安全的前沿问题。这一问题是工业控制系统的难题。在肖存峰的分析中,除了安全意识“软环境”之外,还有一系列硬性的难题需要攻关。这些难题主要包括,工业设备的高危漏洞和后门、运营维护的安全风险、工业网络病毒、无线技术应用的风险以及高级持续性威胁。高级持续性威胁(AdvancedPersistentThreat)是一种以商业和政治为目的的网络犯罪类别,其特点是经过长期经营与策划,并具备高度的隐蔽性,而其攻击往往更难防备。
例如,肖存峰就在调研中发现,某电力企业外资的集散控制系统的通讯协议存在设计缺陷,而生产控制大区与管理信息大区之前的网闸,只能观察到告警灯,却无法查询告警信息及溯源。这也就是说,这个系统只能告知有危险,却不告知危险是什么,也就很难解决危险问题。
肖存峰担忧的问题是,目前国内工业控制系统以国外品牌为主导,对国外依赖将加剧。如果不能掌握自主可控的技术,国内的工业控制系统将要承担信息泄露的风险。在广东网络安全宣传周的高峰论坛上,不少学界和业界的发言者也认为“自主可控”应当是方向。
但国产自主的安全装置目前并不好。从信息的传输次序看,“智慧工厂”一般需要经历四个层级:一是信息层,也就是企业和工厂的办公网络,发出生产指令,由于与公共网络连接,最容易受到攻击;二是监测层,也就是工厂监测各种机械手、传送带等设备工作情况的系统;三是控制层,将传输而来的生产信息转化为工业设备工作的参数;最后是设备层,也就是机械手、传送带等装备。赖文杰表示,而目前国内大部分企业能做的是,只会在信息层加上一道网闸,而这样网闸很容易失效。
匡恩网络想要做的改进是,在监测层的设备中植入威胁态势感知平台和漏洞挖掘云服务平台,将一道“安全锁”变成三道。两个平台通过危险侵入和漏洞两个方面的实时监测,一旦发现有安全隐患即可补救。另一家企业的启明星辰的思路也大同小异,强调在线、实时的监测扫描。而这两家企业也代表了国产工控安全系统的崛起方向。

科技世界网     发布时间:2017-06-16   
随着工业信息化进程的深入,信息技术广泛应用于工业领域,
现有工业控制系统的软硬件、通信协议等均存在信息安全隐患,并在一定程度上对国家和地区的关键信息基础设施安全和重要基础设施安全产生重大影响。
信息技术在工业领域的深度应用,以及逐年增加的工控网络安全事件,倒逼推动工业控制网络安全产业和创新技术的发展。工控网络安全非同于IT安全。工业生产对于可靠性、实时性、稳定性要求极为严苛。因此,如何在不影响工业正常生产的情况下,对工控系统进行实时监测、实时告警和精准安全审计非常关键。匡恩网络监测审计平台正是这样一款产品,它更大程度的满足了工业企业对工控网络安全产品的技术和应用需求。
工控网络安全事件发生频率远超想象
工控网络安全真正进入公众视野并得到高度重视,始于2010年震网病毒奇袭伊朗核电站事件。其实,早在
1992 年 2 月,立陶宛 Inalina
核电站就曾遭遇核心控制系统网络安全危机。该核电站计算机中心员工因为发泄对管理当局不满,在电厂控制程序内植入恶意程序
,使控制系统功能异常。从90年代初,全球范围内就已暴露出对于工控网络安全重视和监管问题。尤其近年来,针对于工控网络安全的攻击事件发生频率远超外界想象,工控企业面临的安全威胁越发多样化,遭受攻击的程和力度也逐渐升级。
“K鹰”监测审计平台 助力物联网“智”能飞翔
2016年8月,网络安全界监测到了OperaTIon Ghoul网络攻击,OperaTIon
Ghoul针对30多个国家的工业、制造业和工程管理机构发起了定向渗透入侵。攻击者通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。
目前,网络安全界发现全球130多个受攻击目标,其中大多为石化、海洋、军事、航空航天、重型机械和轨道交通等行业,涉及西班牙、巴基斯坦、阿联酋、印度、中国、埃及等国。攻击使用的鱼叉式邮件主要发送对象为目标机构的高级管理人员,如销售和市场经理、财务和行政经理、采购主管、工程师等。
事实上,能够披露公布出来的工控网络安全事件仅为冰山一角,工控网络安全形势远比所知所见更为严峻。
工控网络安全迎全面爆发期
工业信息化已成大势所趋,控制系统网络安全是其重要组成部分。国家对于对于关键信息基础设施安全和重要基础设施安全的高度重视,推动了工控网络安全的产业化发展。从工信部2011年下发451号文件《关于加强工业控制系统信息安全管理的通知》,明确规定加强重点领域工控信息系统安全管理措施;到2014年2月27日,
中央网络安全和信息化领导小组宣告成立,标志着网络安全已被提升到国家战略层面。2016年11月3日,工信部网站正式发布“工业和信息化部关于印发《工业控制系统信息安全防护指南》(工信软函〔2016〕338号),对工控信息安全做了标准化的技术要求。
受益于政策的支持,从事IIoT工业物联网安全和工控网络安全企业如雨后春笋般涌现。作为产业发展和技术创新的主体,这些网络安全企业的涌现进一步推动了产业化发展,更大程度满足工业企业对工控网络安全产品的技术和应用需求。从工业企业层面,随工业信息化发展所趋和企业转型升级所需,工业企业的网络安全意识提升,企业逐渐意识到工控网络安全的重要性与必要性,对部署于工业现场的工控网络安全产品需求相应提高。
监测审计是工控网络安全的切入点,应常态化
结合匡恩网络近三年来的工程实施经验,工控网络安全防护的防御应从结构安全、本体安全、行为安全、基因安全加时间持续性五方面着手。在网络安全生态闭环中,检测评估是工控网络安全的基础,而实时监测和实时告警及有效安全审计是工控网络安全的切入点,应成为工业企业工控网络防护的常态化。
鉴于工业控制网络的特殊性,有众多和传统信息安全不同的元素,如使用协议和应用场景等,匡恩网络针对工控网络提出并研究出利于现场发现安全事件的产品——“K鹰”监测审计平台,是一款专门针对工业控制网络设计的实时监测、实时告警、安全审计系统,通过特定的安全策略,快速识别出系统中存在的非法操作、异常事件、外部攻击。“K鹰”监测审计除了深度解析功能外,高度覆盖绝大多数工控厂商的工业协议外,还能够实时给用户展示当前现场网络及设备运行状况,对突发事件进行实时告警和事件追溯提供证据,对远程了解现场生产情况尤为重要。
结合工业现场环境和工控特性,产品在技术和设计上的创新更符合工业网络安全防护需求:
旁路监测审计:旁路监测审计不影响原有工业生产正常运行;
避免增加威胁端口:部署于交换机镜像端口,采用单向数据抓包方式,避免其他威胁因素;
无延时传输生产安全事件:0延时保证工控系统控制指令的实时性,及时发现现场安全问题,保障客户有效精准生产。
避免增加故障点:不会因为增加了安全设备而增加故障点; 典型应用场景如下:
典型应用场景 用户价值:
全网实时监测,保障正常生产:对网络数据、事件进行实时监测、实时警告,帮助用户实时掌握工业控制网络运行状况,保障正常生产。
网络安全审计,便于历史追踪:对网络中存在的所有活动提供行为审计、内容审计、协议审计、流量审计,生成完整记录便于事件追溯。
未知设备监测,及时威胁发现:对工业控制网络系统内未知的设备接入进行实时告警,迅速发现工业控制网络系统中存在的非法接入。
防御策略建议,完善防御体系:根据监测结果,提供防御策略建议,帮助用户构建适用的专属工业控制网络安全防御体系。
结语:随着工控网络安全市场的发展,“K鹰”监测审计平台已衍生出更多满足细分行业需求的产品。匡恩网络作为工控信息安全领域的领航者,将以持续不断技术创新,打造丰富“K鹰”监测审计平台,使之成为工控网络安全防护的标配产品,以专业的服务赢得更为广阔的市场。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章