澳门新濠新天地3559_www.3559.com新濠新天地网址

您的位置:新天地3559 > 电工电气 > 进行工控安全检测与响应是当前工控安全厂商的

进行工控安全检测与响应是当前工控安全厂商的

2019-12-26 09:09

当人人都在说互联网时代的时候,这是一个好的时代,也是一个坏的时代。整整一两代人有机会,至少看上去有机会,借着大潮的势腾空而起;而也正是这一新生事物的野蛮生长,在疯狂的大跃进中,让人容易迷思,迷思在显示屏前的一串数字中,迷失在改了又改的代码中。互联网原来是虚拟世界的产物,就像盆栽的植物,花盆隔绝了根系与大地的土壤。诚如是,而成长之物,最大的力量也在于成长。最近十多年,互联网的发展,不断突破现实与虚拟的边界,将触角从线上伸展到线下,又从线下,带回到线上。信息不对称的打破,给现实世界带来诸多的改变。0但互联网毕竟是年轻的孩子。互联网行业的O2O很热门,如果互联网人一直有改变世界的决心,也不妨骑着互联网思维的马,到更大的世界看一看。把吃喝拉撒睡搬到线上,那是O2O,是小O2O。但是,这个世界,早已运行着,一个更大更久远的极具潜力的O2O的体系——工业。根据世界银行报告,全球经济的规模在2011年为70万亿美元。全球工业部门占大约30%,或者说21万亿美元。其中,商品制造占产出的大约17%,而包括资源开采和建筑在内的其它行业占全球产出的大约13%。这些宏大的全景给人无限遐想,而最近兴起的“工业互联网”也是对未来美好图景的描绘。人们已经不再满足只将计算机之间、移动终端之间连接,面对全球经济规模三成的工业,试想将那一片厂房里的机器、设备、仪表相连,打破工业领域的信息沟壑,又是何等壮观场景。仰望星空的事情交给行业评论家们去做,这里不再描绘工业互联网的前景。现在我们来看看这个连机器也要连接起来的时代,面临的深刻挑战。自工业革命以来,工业已经发展近200年。每一次技术的革新都带给人类生活崭新的变化。制造业、水力、电力、核工业、化工、交通运输……这些行业以自己的方式,演进形成了一套自动化的工业控制系统,简称工控系统。这些曾经是封闭的世界,每个产业都是自己的独立王国,每个王国多少年来独自迭代进化,在自己的路上默默前行。而这些工控系统就像工业生产的大脑,借助自动化系统的力量,提升工业企业的生产效率。而大时代变了。吃货最喜欢问的是,这个可以吃么;互联网喜欢问的是,这个可以连么……直接或者间接的,在守卫森严的生产第一线,生产设备可能经过企业办公内网,甚至普通的存储介质,直接或间接的连接到的互联网。这将沉封已久的,倍受保护与隔离的工业控制系统,以某种形式连接到公共网络中。2010年的“震网”病毒,不仅把网震了,也震惊了全世界。现实世界的精准打击,在网络上得到复制。哪怕是戒备森严的核设备,也能百步穿杨一招致命。工业世界不是网络虚拟世界,就是现实世界。工业搞生产,直接关系国计民生。你喝的自来水,用的电,坐的交通工具,使用的生活用品,都来自工业生产。这才是最大格局的线上到线下啊,于是工控安全就尤其重要了。如果自来水的工控系统安全性受到破坏,一座城市的水质可能出现问题;如果一个电站被攻破,电网可能因为一个节点的损坏而造成全局破坏;如果化工厂的生产流程工艺被入侵,剧毒原料外泄,一座城市的居民就会有生命危险……这就是互联网越长越大所需要的担当。这已经不再是虚拟世界里算错一个数值,而造成的错误推荐,然后公关打个哈哈就不了了之;这是一分责任,伴随着能力的增长,而愈加明显。万物互联非常美好,我们的征途是星辰大海,但是别忘记,暗处的冰山。

互联网改变了人们的生活与工作,并影响到人类社会的各个角落;随着万物智联时代的来临,我们身边联网的智能设备数量剧增。根据Gartner的数据,2017全球物联网设备的数量多达84亿,已远远超过全球人口总数。而到了2020年,物联网设备数量将达到204亿,这意味着每个人身边都有数个乃至数十个联网设备,可见物联网在未来的连网世界中将扮演关键的角色。

进行工控安全检测与响应是当前工控安全厂商的研究热点,2017全球物联网设备的数量多达84亿。1.    前言

澳门新濠新天地3559 1

电力、石化、钢铁、轨道交通等行业工业控制系统是国家关键信息基础设施的重要组成部分,其工业控制系统的运行状况可直接作用于物理世界,如2015年12月乌克兰停电事件,黑客攻击了该国电力公司的主控系统,导致7个110KV的变电站和23个35KV的变电站出现故障,使22.5万用户断电数小时。

全球工业正迈入一个全新的物联网时代,业者对于提升各种作业流程自动化的需求越来越高,进而部署传感器、机器人和远程控制等各种智能连网设备,实现了无缝连接、被管理、并且借助网络安全地进行交互工作,也就是目前被称为工业物联网 或工业4.0的产业变革和趋势。然而这股产业自动化的新趋势也扩大了网络安全的范畴,将网络安全的议题延伸至讲求运维技术(Operation Technology, OT) 的工业领域中,包括能源、石油与天然气、运输和制造业等。工业互联网成为网站黑客攻击目标

随着两化融合和“互联网+”的推进,工业企业在注重控制系统功能安全、环境安全的同时,工控网络安全也已成为工业领域无法回避的问题。但由于工控行业网络安全意识较弱以及工控业务对实时性、可靠性、连续性的极高要求,导致工控安全产品在现阶段无法大规模部署和使用(尤其工业防火墙等串联设备)。如何在不影响当前业务可靠性及网络结构的前提下,进行工控安全检测与响应是当前工控安全厂商的研究热点。

随着工业领域进入工业4.0时代,运维技术和信息技术(Information Technology, IT)趋于并驾齐驱,IT部门部署软件的目标也是为了让OT通讯更佳以提升工厂设备的生产效率。这种工业化和信息化的融合也意味着未来的安全漏洞将会不仅是数据遗失,甚至扩散和渗透到城市安全、人身安全、关键基础设施安全,乃至国家安全等更广泛的层面,造成的后果日益严重。

2.    蜜罐技术

例如黑客会运用工厂的网络来散布恶意软件,扰乱通讯协议,打乱生产线上的机器人作业或制造流程,酿成灾难性的安全危机,或导致停机而引起代价高昂的经济损失。根据企业增长咨询公司Frost & Sullivan的估算,一家石油和天然气公司遭到网络攻击的平均损失高达1,300万美元。更糟的情况是,当一个城市的自来水系统遭受网络攻击时,则可能会让用以净水的化学物质混合而改变成分。网络黑客也可能盯上智能型供电和供水系统,或者是一个城市的智能交通信号网络,而造成断电、断水或交通瘫痪。物联网时代,没有一劳永逸的安全防护

蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

物联网存在的各种安全问题需要物联网设备制造商和终端用户联合采取措施确保设备安全。物联网设备有太多组件,包括处理器、云与Web服务、设备与应用程序,这导致很难兼顾所有这些组件的安全问题。系统的每部分都至关重要,漏洞可能就存在于应用程序、平台、设备、传感器和云中。因此,我们需要接受一种新的安全观念,即“没有一劳永逸的安全防护,安全是个持续对抗的过程”。

3.    蜜罐技术在工控安全检测中的应用

澳门新濠新天地3559 2

目前工控安全审计检测类产品大多基于旁路网络流量和产品自身特征库等手段进行网络审计和安全检测,但由于旁路流量存在丢包以及流量类型不全面、监测位置过于趋向网络核心层等问题,使旁路检测类产品难以防范复杂攻击,且具有较高的误报率。同时由于工业环境网络隔离的特性,使产品无法自动更新特征库,造成攻击检测的严重滞后。

设备服务提供商同样需要注重培养防范意识,监控威胁和安全事件,并遵守适当的报告流程,特别是在出现影响其客户的安全漏洞和事件时更要及时报告,与此同时,定期升级操作系统和应用对于确保网络安全也是很重要的。

蜜罐系统凭借其独立性以及对工控系统的无干扰性,可有效解决现阶段工控安全产品对工控网络、流量以及实时性的影响,弥补无法在工控设备、工控主机、工控服务器内安装安全代理或安全探针的问题,有效提高安全检测的精度,降低误报。

伴随着国家政策的指引以及行业内对工控安全的行业引导,在相关因素驱动下,工控安全产品应用实例的增多及实际应用效果得到业界的认可,预计在不久的将来,工业控制系统的安全必将迅猛发展。

工业企业网络架构一般可分为管理信息层、生产管理层、过程监控层、现场控制层以及现场设备层。管理信息层为传统信息网络,生产管理层、过程监控层、现场控制层以及现场设备层为工业生产网络。现阶段工业企业在管理信息网与工业生产网之间一般采用物理隔离或逻辑隔离的方式进行网络分层,针对每种隔离方式存在不同的攻击类型。

虽然面对网络安全并没有百分之百安全的解决方案,但目前已经有很多专业组织出版了很多关于工业网络信息安全的建议要求可以参考。如国家标准的《信息系统安全等级保护基本要求》,或是专门针对工业自动化和工业安全的国际标准IEC 62443。而IEC 62443更是目前在全球被广泛采纳和认可的工控系统标准。各国、各行业制定工控相关标准政策都会参考和吸收该标准提供的概念、方法、模型。不论是想有系统地了解工控安全问题及其应对措施,还是想了解部分内容,都可以从该标准入手。稳定可靠的工业通讯推进工业物联网安全

  • 双网物理隔离环境

IEC 62443标准涉及完整的工业自动化控制生态系统,并描述了安全从业人员,系统集成商和控制系统制造商应如何交互并确保其设施和组件的安全性。该标准根据区域和管道模型细分网络,以使用良好定义的接口,更好地控制系统网络内的接入和安全性。它为工业自动化控制系统安全提供了一个通用准则,专门用于工业自动化的安全管理系统,工业网络安全体系结构指南,以及定义整个系统和整个组件生命周期的安全要求。它的实施有利于组织解决工业网络安全风险。

针对管理信息网与生产网物理隔离的环境,攻击者一般采用恶意软件攻击与跳板攻击相结合的方式。恶意软件攻击一般借助社会工程学、水坑攻击、钓鱼邮件攻击等方式将恶意软件植入受害者办公主机内。此类工业企业由于在管理信息网与工业生产网络之间部署了物理隔离设备,导致恶意软件不能直接进入生产控制网络,此时恶意软件会借助移动终端、移动存储介质、第三方终端等方式进入工业生产网主机,并以此主机为“据点”进行后续攻击操作。此类恶意软件一般具有较高的自动化特性,可根据目标环境进行设备的自动识别,自动传播、自动攻击。

澳门新濠新天地3559 3

  • 双网逻辑隔离环境

互联网时代,网络安全至关重要。在大部分工作都依托于网络的情况下,若网络安全不能保障,则面临着巨大的风险。不能保障网络安全,发展也就无从谈起。

澳门新濠新天地3559,此环境下,工业企业一般在管理信息网与工业生产网之间部署了防火墙等逻辑隔离设备,或采用单主机双方卡的形式实现逻辑隔离。由于逻辑隔离没有阻断网络层的连接,极容易导致攻击者绕过逻辑隔离设备进入生产网络。在此环境下,攻击者可以采用恶意软件以及内网反弹的方式直接获取内网主机的操控权限,此类攻击具有较强的灵活性。

由于目前的网络攻击方式大多基于IT架构,因此工业生产网络内的各工程师站、操作员站、监控站必然成为恶意软件以及攻击者进行“下一步”攻击的“落脚点”。以蠕虫病毒为例,其攻击步骤可分为感染主机à自动扫描à发现漏洞à自动传播。由于蜜罐系统的开放性以及自身存在较多安全漏洞,再配合良好的部署位置,会成为攻击者绝佳的“落脚点”,蜜罐系统通过精心构造的安全攻击与行为跟踪检测功能,可以对攻击行为进行精确记录、告警,同时与其他安全平台联动,从而实现网络攻击的快速检测、响应,为工业企业调查取证提供依据。

4.    蜜罐部署举例

4.1安全缓冲区

 在管理信息网与工业生产网络之间设置安全缓冲区,在此区内设置蜜罐系统,对来自管理信息网的操作行为进行检测分析。

4.2生产网络

在生产网络内部署蜜罐系统,由于工业生产业务相对固定,蜜罐系统在正常网络流量下不会被访问操作,但当出现病毒、木马、黑客攻击等操作时,蜜罐系统会表现出攻击特征,并发出告警。

本文由新天地3559发布于电工电气,转载请注明出处:进行工控安全检测与响应是当前工控安全厂商的

关键词: