【下载】匡恩发布《2016年工业控制网络安全态势报告》提出工控整体防护体系及服务方案

日前,匡恩发布了2016年的工控安全态势报告,报告前四章主要是说工控安全态势,随后两个章节说了匡恩的工控安全防护理念,最后工控网络安全防护建议。安全加小编有幸拿到报告,如下将主要内容分享给大家,文末附上报告全文下载。

匡恩指出我国工控网络安全问题主要在技术和管理方面

工业控制系统的安全可靠运行一直是工业控制各相关行业最为关注和重视的方面,但传统的工业控制安全技术主要是针对系统的功能安全,主要考虑由于随机软硬件故障所导致的组件或系统失效对健康、安全或环境的影响。而在信息安全领域中,要从全方位去考虑整个网络系统的信息安全,既要考虑随机工控系统软硬件功能故障等技术安全问题,还需要进一步考虑结构安全、本体安全、行为安全、基因安全问题及信息安全管理问题。

我国针对工业控制系统信息安全领域的研究目前尚处在起步阶段,同美国等西方发达国家早在十多年前就已开展国家级工业控制系统信息安全研究相比,我国在工业控制网络系统信息安全技术和管理制度、标准、实践等方面都存在很大差距。

通过大量现场调研,发现我国各单位工控网络安全隐患和问题主要表现在整个工控网络系统的结构安全、本体安全、行为安全、基因安全四个层面的隐患和问题。而在技术问题之外,技在不同层级管理上也存在诸多不足,主要表现在:
一是管理体制机制不健全;二是系统维护行为不可控;三是安全维护费用投入不足;四是行业标准体系不健完善,缺乏监管依据。

匡恩网络“4+1”工控网络安全防护理念与实践

在集团公司的总部与其二级子公司中建立了工业物联网安全风险控制中心,统一管理其三级及以下子公司的生产控制网络。其中每一个二级子公司建立的工业物联网安全风险控制中心,统筹管理集团公司下属所有生产企业中的生产控制网络

对于集团公司三级及其以下生产企业的安全防护,匡恩网络的工业防火墙、数采隔离平台、安全监管平台等产品分别部署在工业企业生产执行区、DMZ 区及生产控制区相应的网络系统中,建立了从上至下全方位保障该集团公司的工控网络安全防护体系。

匡恩网络工控网络防护产品设计理念

匡恩网络通过基础硬件创新,为工业智能化、“中国制造2025”植入安全基因,实现从“工控的安全”到“安全的工控”跨越。

匡恩网络PDCA 安全环整体服务方案

匡恩网络工控安全环整体服务方案包括计划准备、方案实施、结果评估和优化提升,四个步骤环环相扣形成PDCA 安全环,它是爬楼上升式循环,每转动一周,工控安全水平上升一个台阶

如上图所示,PDCA 安全环四个步骤具体内容描述如下:

  • P(PLAN):计划准备,包括:

     

     

    • 安全技术培训
    • 初步现场调研
    • 设备漏洞挖掘
    • 系统风险评估
    • 安全方案咨询
  • D(DO):安全防护方案实施,包括:

     

     

    • 安全防护方案制定
    • 离线威胁管理检测
    • 安全防护设备安装调试
    • 安全实验室搭建
    • 高仿真攻防对抗平台搭建
  • C(CHECK):结果评估,包括:

     

     

    • 工控设备漏洞验证
    • 安全威胁管理
    • 安全检测审计
    • 安全监督管理
  • A(Action & Acceleration ):优化提升,包括

     

     

    • 设备安全漏洞库维护
    • 网络结构模型库维护
    • 设备风险统计库维护
    • 防御策略自动生成

基于以上匡恩网络PDCA 安全环的全生命周期工控网络安全防护核心内容总结如下:

(1)设备检测:设备检测在工控系统的规划、设计阶段就能够开展,在系统的上线之前就能及时发现隐患与漏洞,对上线后的存量系统仍可以开展设备、系统的安全检测以对其进行深层次的安全风险评估。设备检测必须覆盖主要的工控协议,包括通用的Modbus、OPC 等协议以及主流厂商私有的通讯协议,同时需要支持多种总线、对未知协议的检测与漏洞挖掘,最大程度上为工控系统、工控设备提供丰富的检测手段。

(2)安全服务:工控网络安全服务对实施人员的技术要求极高,安全服务内容有对工控系统的风险评估、漏洞挖掘、渗透攻击以及针对性的安全技术培训。工控网络安全服务伴随着整个工控系统生命周期,是各类工控网络安全防护实现方式,也是工控网络安全技术的集中体现。

(3)威胁管理:工控系统威胁管理作为一个高瞻远瞩的安全防护手段,能满足上至政府机关、监管机构下至业主自身对于实时安全自查、自我评估与安全态势感知的需求。离线情况下的工控系统威胁管理可以采用多种威胁评估工具、集成工控设备漏洞验证功能并因地制宜提出对工控网络的安全防护建议,是存量工控系统可靠的安全防护手段。

(4)监控审计:在工控网络安全工作推进过程中,在工控系统中部署旁路监控审计类产品,细至安全行为的审计是现阶段业主较为认可也是更易于接受的安全防护手段。对工控网络的安全监控审计产品需要有满足现场环境要求的工业等级硬件设计,功能上针对工控网络协议的特点进行网络行为的自学习,采用工控网络行为“白名单”与工控漏洞“黑名单”相结合的策略进行全网流量的安全监控审计。

(5)智能保护:最直接、最有效的工控系统安全防护手段,是进行工控网络流量的在线实时过滤与异常数据拦截。如前所述,传统信息安全产品并不能满足这一要求。针对工控网络的智能防护除了同样要求满足现场环境的工业级硬件设计外,自主学习网络行为、自动生成防御策略,能适应自动化控制人员操作特点进行一键式安全部署均是其必备的功能特性。

(6)安全数据库:要使工控网络安全防护成为一个可持续发展过程,必须要有可供依赖的安全数据库。工控网络安全数据库需要覆盖主流厂商设备、各行各业系统,并至少包括有设备安全漏洞库、网络结构模型库、设备风险统计库等数据库,以大数据的理念全面、高效地支持工控网络安全的实时智能防护与威胁态势感知。

工业控制网络安全保护对策与建议

工业控制网络安全不仅关系到工业企业的生产安全和经济安全,而且关系到社会稳定,甚至国家安全。工业控制网络的安全防护工作是一项系统工程,需要政府部门、行业协会、工业企业及安全厂商等单位紧密协作、各司其职,才能打赢这场攻坚战和持久战。

  • 充分发挥政府引导和监管作用,提高工控安全防控水平
  • 工控系统运营单位要完善防护技术体系,提高网络防护能力
  • 充分利用社会组织力量,积极推动技术创新实践

《2016年工业控制网络安全态势报告》全文下载

点击图片下载

发表评论