頂象護航工控系統安全 助力工業(yè)互聯網發(fā)展

作者: 2021年10月19日 來源: 瀏覽量:
字號:T | T
工業(yè)互聯網作為新一代網絡信息技術與制造業(yè)深度融合的產物,是實現產業(yè)數字化、網絡化、智能化發(fā)展的重要基礎設施和關鍵技術支撐。2021年2月,工信部印發(fā)《工業(yè)互聯網創(chuàng)新發(fā)展行動計劃(2021—2023年)》,對今后3年
  工業(yè)互聯網作為新一代網絡信息技術與制造業(yè)深度融合的產物,是實現產業(yè)數字化、網絡化、智能化發(fā)展的重要基礎設施和關鍵技術支撐。2021年2月,工信部印發(fā)《工業(yè)互聯網創(chuàng)新發(fā)展行動計劃(2021—2023年)》,對今后3年工業(yè)互聯網的重點工作內容做出部署,特別強調安全的重要性。


  《行動計劃》提到,工業(yè)互聯網企業(yè)網絡安全分類分級管理有效實施,聚焦重點工業(yè)領域打造200家貫標示范企業(yè)和100個優(yōu)秀解決方案。培育一批綜合實力強的安全服務龍頭企業(yè),打造一批工業(yè)互聯網安全創(chuàng)新示范園區(qū)?;窘ǔ筛采w全網、多方聯動、運行高效的工業(yè)互聯網安全技術監(jiān)測服務體系。同時要求強化企業(yè)自身防護,鼓勵支持重點企業(yè)建設集中化安全態(tài)勢感知和綜合防護系統,提升網絡和數據安全技術能力。

  工控系統是工業(yè)互聯網的核心
  工控系統是工業(yè)互聯網重要的關鍵環(huán)節(jié),工控系統的安全對整個工業(yè)互聯網的健康發(fā)展有著重大影響。
  工控系統主要有IT層和OT層兩個體系。其中,IT是信息技術,用于檢索、傳輸信息的硬件和軟件。而OT(Operational Technology)是運營技術或操作技術,用于監(jiān)視、觸發(fā)物理設備變化的硬件和軟件。
  OT體系是工控系統架構中的重要數據來源,通過工業(yè)控制系統(ICS),以及監(jiān)控和數據采集(SCADA)、分布式控制系統(DCS)、工業(yè)自動化和控制系統(IACS)、可編程邏輯控制器(PLC)、可編程自動化控制器(PAC)、遠程終端單元(RTU)、控制服務器、智能電子設備(IED)和傳感器等各子系統,實現對數據實時采集、存儲、運算、實時控制輸出,從而使生產制造更加自動化、效率化、精確化、可視化、可控化。
  這其中,特別關注可編程邏輯控制器(PLC)、數據采集和監(jiān)控系統(SCADA)和分布式控制系統(DCS)等三個子系統。
  可編程邏輯控制器(PLC)是自動化機械控制的關鍵,專門為工業(yè)生產而設計的數字運算操作的一種電子裝置,能實現開關量的邏輯控制、模擬量控制、運動控制、過程控制、數據處理、通信及聯網等功能。
  數據采集和監(jiān)控系統(SCADA),以計算機技術、通信技術以及自動化技術為基礎的生產監(jiān)控系統,實現對現場的運行設備進行監(jiān)視和控制,實現數據采集、設備控制、測量、參數調節(jié)以及各類信號報警等各項功能。
  分布式控制系統(DCS)是流程工業(yè)的大腦,一個由過程控制級和過程監(jiān)控級組成的以通信網絡為紐帶的多級計算機系統,綜合了計算機、通訊、顯示和控制等技術,能夠實現分散控制、集中操作、幫助生產線自動化,對控制精度要求較高。


  工控系統風險面臨的風險挑戰(zhàn)
  隨著“兩化融合”帶來工業(yè)控制系統外連,以及生產網絡內底層計算技術、網絡技術的更新,使得內網單機開始聯網,這就對當前防護技術的功能、性能提出了不同于傳統技術的安全要求。這種工業(yè)網絡規(guī)模、工業(yè)數據量的變化,對傳統的隔離、檢測、統一管理的防護邏輯帶來挑戰(zhàn)。
  第一,安全漏洞的挑戰(zhàn)。工控系統存在大量老舊且利用門檻低的漏洞,不僅長期未被發(fā)現和修復,并且有大量全新的0DAY漏洞。漏洞是風險的爆發(fā)源頭,無論是病毒攻擊還是網絡攻擊大多是基于漏洞。這些“帶病運行”的軟件和設備帶來巨大安全隱患,面臨攻擊的風險逐步加大。
  第二,運營中斷的挑戰(zhàn)。工業(yè)設備資產分布廣、設備類型繁多。很多企業(yè)是幾十年前的遺留系統,且長期未做更新。不僅面臨生產故障、設備老化等風險,設備上的風險隱患在不能有效安全配置下,更加劇了各類設備、軟件的脆弱程度,進而導致持續(xù)運營中斷。
  第三,生產效率降低的挑戰(zhàn)。OT 團隊不了解系統風險趨勢與安全重要性,IT 團隊不知道業(yè)務運營流程。這一關鍵的技能差距會帶來認知偏差,產生壁壘和數據“孤島”,不僅導致投入的設備與系統效力大打折扣,更會影響業(yè)務生產與安全。

  “工控系統安全標準”為企業(yè)工控建設護航
  工業(yè)系統是工業(yè)互聯網的關鍵基礎,為保障工控系統安全,多部門陸續(xù)發(fā)布了一系列政策文件,為建立工控安全防護體系指明方向。
  2011 年,工信部印發(fā)《關于加強工業(yè)控制系統信息安全管理的通知》,提出加強工業(yè)控制系統信息安全管理的重要性和緊迫性。2016年10月,工信部發(fā)布《工業(yè)控制系統信息安全防護指南》。2017年7月,工信部發(fā)布《工業(yè)控制系統信息安全防護能力評估工作管理辦法》,規(guī)范工控安全評估工作。2020年2月,工信部印發(fā)《工業(yè)數據分類分級指南(試行)》,指導企業(yè)提升工業(yè)數據管理能力。2021年,全國信息安全標準化技術委員會發(fā)布《信息安全技術工業(yè)控制系統信息安全防護能力成熟度模型》,這是對工控系統設計、建設、運維等相關方的一套安全標準。
  《信息安全技術工業(yè)控制系統信息安全防護能力成熟度模型》將工控安全防護能力成熟度等級劃分為五級:1級是基礎建設級,包括45項安全要求;2級是規(guī)范防護級,包括167項安全要求;3級是集成管控級,包括259項安全要求;4級是綜合協同級,包括320項安全要求;5級是智能優(yōu)化級,包括365項安全要求。


  級別1,基礎建設級
  組織能夠依據工業(yè)控制系統信息安全防護的技術基礎和條件開展基本保護工作,安全防護能力建設主要基于特定業(yè)務場景,尚未形成規(guī)范化、流程化的工作方式,相關工作多依賴信息安全人員主觀經驗,建設過程未要求以文檔形式記錄,無法形成可復制。
  例如,工業(yè)控制系統信息安全防護PA可被標識,初步建立工業(yè)控制系統信息安全管理制度,但主要基于組織的特定業(yè)務場景和知識經驗水平,未形成規(guī)范化、流程化的工作方式。
  級別2,規(guī)范保護級
  組織建立并記錄工業(yè)控制系統信息安全防護能力建設工作,能夠針對工業(yè)控制設備、工業(yè)主機、工業(yè)網絡、工業(yè)數據等方面,制定規(guī)范化安全防護制度、規(guī)章,使得組織能夠以重復的方式執(zhí)行,采用數字化裝備、信息技術手段等,有針對性的開展安全防護,面向各方面形成獨立、可復制的安全防護能力。
  例如,工業(yè)控制系統信息安全防護PA(過程域,就是實現同一安全目標的相關工業(yè)控制系統信息安全防護基礎實踐的集合)管理符合標準的規(guī)定,相關BP(基本實現,就是實現某一安全目標的工業(yè)控制系統信息安 全防護相關活動)的執(zhí)行是規(guī)范化的,并可對實踐情況進行過程驗證,與等級1“基礎建設”主要區(qū)別是BP執(zhí)行過程被規(guī)范地計劃和管理。
  級別3,集成管控級
  組織能夠對工業(yè)控制系統設備、主機、系統、網絡、數據等方面,在規(guī)范防護已有工作基礎上,通過集成化工具、系統等,對相對獨立的單點防護設備進行集中統一管控,同時整合相關防護規(guī)章制度文件,形成體系化制度,實現組織內部工業(yè)控制 系統信息安全的集中管理、統一控制的安全防護能力。
  例如,對工業(yè)控制系統設備、主機、系統、網絡、數據等方面進行集中統一管控,并形成體系化制度。與等級2“規(guī)范防護”的主要區(qū)別在于,使用集成化工具來策劃和管理工業(yè)控制系統信息安全。
  級別4,綜合協同級
  組織能夠面向不同產線、廠區(qū)、工廠及產業(yè)鏈上下游相關單位,統籌考慮信息安全風險需求,開展安全防護建設,建立多級協 同的安全管理體系,并通過態(tài)勢感知、統一管控等技術手段實現綜合決策、協調防護的安全能力。
  例如,統籌考慮不同產線、廠區(qū)、工廠及產業(yè)鏈上下游相關單位的信息安全風險需求,建立多級協同的安全防護體系。與等級3“集成管控”的主要區(qū)別在于執(zhí)行過程的綜合決策和協調防護。
  級別5,智能優(yōu)化級
  組織能夠采用人工智能、主動防御、內生安全等先進技術,與已有安全防護設備、系統、制度體系深度融合,使得可通過知識學習、 智能建模分析等技術,構建可智能化演進的安全防護系統,形成具有自決策、自進化能力的安全防護體系。
  例如,將已有安全防護設備、系統、制度體系進行深度融合,形成具有自決策、自進化能力的安全防 護體系。與等級4“綜合協同”的主要區(qū)別在于執(zhí)行過程的智能優(yōu)化和演進。

  頂象助企業(yè)構建立體工控安全體系
  《信息安全技術工業(yè)控制系統信息安全防護能力成熟度模型》對企業(yè)工控系統安全能力的系統檢驗和評估,主要是基于“安全能力要素”、“能力成熟度等級”和“能力建設過程”等三個維度。
  其中,“能力建設過程維度”包含核心保護對象安全和通用安全兩個方面:核心保護對象安全主要包含工業(yè)設備安全、工業(yè)主機安全、工業(yè)網絡邊界安全、工業(yè)控制軟件安全和工業(yè)數據安全等5個過程類,共計20個過程域,188個 基本實踐;而通用安全主要包含安全規(guī)劃與機構、人員管理與培訓、物理與環(huán)境安全、監(jiān)測預警與應急響應、供應鏈安全保障等5個過程類,共計20個過程域, 177個基本實踐。
  2021年7月,頂象成為工業(yè)控制系統信息安全防護能力推進分會會員單位,助力《信息安全技術工業(yè)控制系統信息安全防護能力成熟度模型》試點示范,幫助工業(yè)企業(yè)開展工控安全防護工作。

  讓企業(yè)全面掌握工控系統安全現狀
  通過安全檢測和風險評估,能夠對企業(yè)的工控系統進行全面的“體檢”,發(fā)現各類潛在攻擊和未知威脅,將威脅扼殺在早期或萌芽狀態(tài),將風險防范的關口前移,從而提升企業(yè)整體的安全性。
  頂象洞見實驗室主要面向底層工控設備和裝置( PLC、DCS、SCADA等)以及各類組態(tài)軟件的漏洞挖掘和安全研究,基于領先的工業(yè)系統漏洞挖掘與利用、漏洞模糊測試和工業(yè)協議分析技術,為國內外數十家知名工業(yè)企業(yè)提供過安全檢測服務。
  頂象OT-Argus通過集成自主研發(fā)的非入侵式無損智能漏洞掃描系統,結合集成的4000+種工控漏洞,1000+種獨家挖掘的0DAY漏洞,50000+種IT漏洞檢測掃描插件,全面覆蓋IT/OT漏洞檢測。對設備進行完整性、脆弱性、安全性進行全面檢測與評估,提升設備的安全性、可靠性和穩(wěn)定性。

  防范已知威脅和正在發(fā)生的攻擊
  幫助企業(yè)及時修復工控系統存在的各類已知漏洞,有效防范病毒威脅;同時“誘捕”攔截已發(fā)生的攻擊,良好保障工控系統安全。
  頂象OT-Guard獨有的“虛擬補丁”技術,能夠自動生成基于已知和未知漏洞的針對性防護策略,實時監(jiān)控各類工控漏洞攻擊,阻斷各類威脅。石油石化企業(yè)不依賴設備廠家升級和修復、無需專業(yè)人員手動操作,也可以完成未知缺陷動態(tài)修復的解決方案。該方案修復功能完全可逆可追溯,確保生產環(huán)境完全可控。
  頂象OT-Phantom第三代的欺騙誘捕技術能夠自動化高度仿真海量的資產和業(yè)務,主動引誘攻擊者攻擊仿真的“幻影系統”,誤導與迷惑攻擊者,增加攻擊時效,通過使用欺騙防御技術來挫敗攻擊者的探測過程??梢杂行Ц兄粽咭约叭湎x病毒、木馬等通過技術手段對系統進行針對性的攻擊行為,詳細觀察記錄攻擊手法、入侵行為、訪問記錄、威脅破壞等,對被防護網絡的攻擊、異常事件進行實時預警。并通過實時的行為分析,結合關聯網絡、智能模型建設和風控引擎,對攻擊者進行快速溯源和風險特征分析,幫助運營者進行針對性防御。該技術在每年的實戰(zhàn)攻防演習得到充分實踐證明,目前已在多個企業(yè)落地。

  預知未知威脅和潛在被攻擊風險
  幫助企業(yè)及時發(fā)現并掌握各類異常行為、風險隱患及故障隱患,通過事前應對或消除,保障工控系統的安全,保障業(yè)務的連續(xù)性。同時,基于業(yè)務系統的大數據,構建威脅模型,能夠幫助企業(yè)預測內外部和主觀因素下的偶然與必然結果,為可能發(fā)生安全事件提供決策支撐。
  頂象通過有監(jiān)督和無監(jiān)督的機器學習威脅行為建模,能夠對工控系統中的行為進行自動聚類與分類,精準識別網絡內的正常和異常行為,發(fā)現各類潛在攻擊和未知威脅,提升網絡和設備的安全檢測結果,協助安全運維人員將威脅消滅在萌芽狀態(tài),進一步提升整體的安全性。
  頂象OT-Eye基于知識圖譜技術,打通不同層次的風險數據,實現風險的統一的采集、匯聚、融合與關聯。結合內部和外部風險知識,深入挖掘分析,形成獨有的風險知識圖譜。進而追溯風險原因和傳播機制,實現風險的感知和預測,協同網內往外聯防聯控,幫助安全人員制定更科學有效的防護策略,讓企業(yè)從被動防御轉為主動保障。
  作為國內領先的業(yè)務安全公司,頂象自主研發(fā)了全鏈路的風控中臺產品矩陣體系,包括設備指紋、無感驗證、實時決策平臺、端加固、數據采集保護、工業(yè)硬件保護、模型平臺、關聯網絡平臺、知識圖譜等風控、安全和人工智能產品,能夠有效防范工控系統風險,助力工業(yè)互聯網健康發(fā)展。
全球化工設備網(http://seenwhilewandering.com )友情提醒,轉載請務必注明來源:全球化工設備網!違者必究.

標簽:

分享到:
免責聲明:1、本文系本網編輯轉載或者作者自行發(fā)布,本網發(fā)布文章的目的在于傳遞更多信息給訪問者,并不代表本網贊同其觀點,同時本網亦不對文章內容的真實性負責。
2、如涉及作品內容、版權和其它問題,請在30日內與本網聯系,我們將在第一時間作出適當處理!有關作品版權事宜請聯系:+86-571-88970062