通過多年的工控網(wǎng)絡(luò)安全工作，我們可以看到很多行業(yè)用戶的工控網(wǎng)絡(luò)安全意識都在明顯提高，在2013年至2014年期間，中科網(wǎng)威接到大量的來自于自動化生產(chǎn)企業(yè)用戶的來電咨詢，可以明顯看到，在某些行業(yè)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全需求呈明顯上升趨勢，如下圖所示圖1，甚至一些用戶對工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的研究并不亞于專業(yè)的工控網(wǎng)絡(luò)安全廠商。

圖1 工控網(wǎng)絡(luò)安全需求年度對比

我們知道，安全意識的提高可以明顯降低網(wǎng)絡(luò)受到威脅的程度，但并不能從根本上消減網(wǎng)絡(luò)安全威脅問題。要應(yīng)對這一問題，針對工控網(wǎng)絡(luò)的安全規(guī)劃工作是必不可少的。我們必須認(rèn)識到，雖然隨著很多工控網(wǎng)絡(luò)安全事件的曝光，我們的意識正在飛速提高，但我們需要有效的應(yīng)對手段來填補(bǔ)我們由安全意識提高所帶來的“安全恐慌”。

目前可以看到，在工控網(wǎng)絡(luò)中面臨的最大問題是安全設(shè)備“無作為”與安全事件“無定位”。

現(xiàn)狀：安全設(shè)備“無作為”

很多生產(chǎn)型企業(yè)在信息化融合的過程中缺少網(wǎng)絡(luò)安全評估環(huán)節(jié)，以至于無法準(zhǔn)確定位現(xiàn)有生產(chǎn)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)點(diǎn)，對于企業(yè)而言帶來的直接問題就是部署的安全設(shè)備無法有效的起到防護(hù)作用，甚至有可能對生產(chǎn)業(yè)務(wù)的連續(xù)性起到負(fù)面影響。

例如，大多數(shù)的企業(yè)在控制系統(tǒng)前都架設(shè)了防火墻，如下圖所示圖2，這一位置的防火墻往往由生產(chǎn)部門統(tǒng)一管理，由于一部分自動化工程師對網(wǎng)絡(luò)安全威脅的意識不足，防火墻的策略配置往往比較簡單，或干脆由集成商托管，而集成商無法做到7X24小時(shí)監(jiān)測網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，只能依靠人員經(jīng)驗(yàn)為防火墻配置常規(guī)策略，這就導(dǎo)致了我們的這種被動防護(hù)行為有可能無法起到有效的作用。

圖2常見的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)防護(hù)方式

        還有一些企業(yè)選擇了應(yīng)用于傳統(tǒng)IT涉密網(wǎng)的網(wǎng)閘產(chǎn)品進(jìn)行工控網(wǎng)與信息網(wǎng)的隔離，這一類網(wǎng)閘產(chǎn)品可以有效防止外網(wǎng)直接訪問控制網(wǎng)絡(luò)，但必須要注意，“網(wǎng)閘思維”實(shí)際上會讓我們的工程師放松警惕，入侵者也會隨之乘虛而入，而惡意代碼往往會通過正常的通信過程進(jìn)入到你的控制系統(tǒng)網(wǎng)絡(luò)中，令網(wǎng)閘無從察覺。畢竟不是所有的惡意代碼都需要實(shí)時(shí)連接C&C，對于近期常見的“智能化”的攻擊技術(shù)來說，網(wǎng)閘產(chǎn)品就有些力不從心了。

現(xiàn)狀：安全事件“無定位”

        現(xiàn)在，很多由工控網(wǎng)絡(luò)安全隱患引起的導(dǎo)致生產(chǎn)業(yè)務(wù)中斷的事件被人為定義為工控設(shè)備自身故障，這一問題已成為普遍現(xiàn)象，無形中給用戶增加了每年的設(shè)備維護(hù)費(fèi)用，對自動化設(shè)備廠商來講這種“誤解”也不是一件好事。分析原因，這一現(xiàn)象主要由于大部分工程師對工控網(wǎng)絡(luò)安全事件缺少定位手段，以致無從判斷，輕易歸結(jié)為“見的到、摸得著”的工控網(wǎng)絡(luò)設(shè)備的自身故障。

有效的安全事件追溯可以幫助我們快速解決工控網(wǎng)絡(luò)的安全問題。然而，當(dāng)我們了解到，某些影響工控網(wǎng)絡(luò)正常生產(chǎn)業(yè)務(wù)流程的事件，可能是由于網(wǎng)絡(luò)安全問題引起的時(shí)候，就有一個(gè)新的問題擺在我們的面前：工控網(wǎng)絡(luò)的安全問題往往非常復(fù)雜，眾多的脆弱性問題可能導(dǎo)致某一個(gè)安全事件的發(fā)生，我們?nèi)绾巫龅接行У亩ㄎ慌c追溯呢？我們?nèi)绾谓鉀Q惡意代碼利用0Day漏洞、免殺技術(shù)等手段來進(jìn)行惡意傳播的問題呢？

這就需要我們對整個(gè)工控網(wǎng)絡(luò)進(jìn)行統(tǒng)一的安全規(guī)劃部署，以便于我們制定實(shí)時(shí)、高效的安全風(fēng)險(xiǎn)應(yīng)對策略。

工控網(wǎng)絡(luò)安全統(tǒng)籌規(guī)劃、實(shí)時(shí)感知

        面對工控網(wǎng)絡(luò)不斷發(fā)生的由網(wǎng)絡(luò)安全風(fēng)險(xiǎn)導(dǎo)致的嚴(yán)重后果，實(shí)現(xiàn)工控網(wǎng)絡(luò)安全統(tǒng)籌規(guī)劃、快速降低網(wǎng)絡(luò)安全風(fēng)險(xiǎn)成為迫在眉睫的工作。然而，對整個(gè)工控網(wǎng)絡(luò)進(jìn)行統(tǒng)一的安全規(guī)劃并不是一件易事，充分掌握工控網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)成為第一道門檻，而對工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的識別與分析能力同時(shí)成為致勝的關(guān)鍵。

哪些資產(chǎn)是關(guān)鍵資產(chǎn)？哪些業(yè)務(wù)的中斷會導(dǎo)致更嚴(yán)重的后果？哪些安全風(fēng)險(xiǎn)不能避而不視？

這些年來我們一直在研究如何有效降低工控網(wǎng)絡(luò)內(nèi)的安全風(fēng)險(xiǎn)，其實(shí)不難看出，傳統(tǒng)的基于已知特征庫的安全檢測手段已經(jīng)無法滿足這一需求，我們必須把基于已知特征庫的安全檢測技術(shù)晉升為一種更加智能的檢測技術(shù)或手段才可以解決這一問題，網(wǎng)威把這種技術(shù)叫做工控網(wǎng)絡(luò)的“態(tài)勢感知技術(shù)”。

工控網(wǎng)絡(luò)的“態(tài)勢感知技術(shù)”應(yīng)不同于我們在INTERNET中常見的態(tài)勢感知技術(shù)，由于工控網(wǎng)絡(luò)基于業(yè)務(wù)流程分區(qū)的特點(diǎn)，工控網(wǎng)絡(luò)的“態(tài)勢感知技術(shù)”應(yīng)是一種打破傳統(tǒng)網(wǎng)絡(luò)安全邊界定義的感知技術(shù)，工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)數(shù)據(jù)的收集、降噪等能力成為這一技術(shù)能否具有生命力的關(guān)鍵。

2012年我們嘗試推出了第一代網(wǎng)威異常感知系統(tǒng)（當(dāng)時(shí)叫做“網(wǎng)威異常檢測系統(tǒng)”），來幫助用戶改善工控網(wǎng)絡(luò)安全問題，截至目前，中科網(wǎng)威（Netpower）的異常感知系統(tǒng)已經(jīng)在大多數(shù)的用戶現(xiàn)場環(huán)境進(jìn)行部署，同時(shí)包括網(wǎng)威工控防火墻、網(wǎng)威異常感知系統(tǒng)在內(nèi)的全系列工控網(wǎng)絡(luò)安全產(chǎn)品均已應(yīng)用了網(wǎng)威“態(tài)勢感知技術(shù)”，以便配合整體工控網(wǎng)絡(luò)安全解決方案，來幫助用戶掌控工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從而為用戶提供一套網(wǎng)絡(luò)感知、秩序可控、多種安全技術(shù)聯(lián)動的智能型管理方案。

通過對工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的實(shí)時(shí)感知，用戶就可以對安全風(fēng)險(xiǎn)進(jìn)行高效有據(jù)的判斷，同時(shí)動態(tài)的改善工控網(wǎng)絡(luò)安全環(huán)境，盡可能將安全風(fēng)險(xiǎn)降至最低。

同時(shí)，中科網(wǎng)威（Netpower）也歡迎來自各行業(yè)用戶與廠商的技術(shù)交流，共同改善中國的工控網(wǎng)絡(luò)安全環(huán)境。