(CWW)网络与信息安全技术在工业领域的合理有效应用可以抵御来自内外部的网络攻击,保障工业设备、控制、网络、应用以及数据的安全。在工业领域,传统工业控制系统处于相对封闭可信的环境中,随着信息技术和运营技术加速融合,安全边界趋于模糊,互联网的安全威胁逐步向工控系统渗透扩散,网络攻击可从物理世界直抵现实世界。因此,需借助网络与信息安全技术应对更加复杂多样的网络攻击,确保工业领域信息安全、物理安全与功能安全,护航制造业数字化转型,维护国民经济与社会稳定。
工业领域网络安全技术体系已初步形成,主要包括安全防护、安全监测和安全检测三大技术方向。工业边界控制、工业主机防护、工业安全监测与态势感知、漏洞扫描等安全防护、监测与检测技术,可覆盖设备、控制、网络、应用、数据等全要素,通过在工业领域不断融合应用,对应形成工业防火墙、工业主机安全防护、工业安全监测与态势感知等具体技术产品。
全球工业领域网络安全细分方向技术分析
工业网络边界安全防护技术能匹配复杂的工业环境,有效确保工业网络边界安全
工业防火墙是典型的工业网络边界安全防护产品,在软件层面,融合白名单、身份认证、访问控制等多种技术;在硬件层面,具有全封闭、无风扇、硬件加密等匹配工业环境的特点。针对部署的位置不同,工业防火墙可以大致分为机架式和导轨式两种:前者一般部署于工厂机房,用于隔离工厂与管理网或其他工厂的网络;后者大部分部署在生产现场,主要采用导轨式架构设计,内部组件之间都采用嵌入式计算主板,其内部设计更加封闭与严实。
传统防火墙技术经历了4次迭代更新。第一代包过滤防火墙涉及包过滤和代理两种不同技术类型,实现了根据数据包头信息的静态包过滤。第二代动态包过滤防火墙通过采用动态设置包过滤规则,避免了静态包过滤带来的问题。第三代全状态检测防火墙采用状态检测技术,在包过滤的同时检查数据包之间的关联性。第四代深度包检测防火墙内嵌入侵检测和攻击防范功能,能深入检查信息包流。工业防火墙基于传统防火墙,在硬件架构和解析能力上有所改进,功能更加匹配工业属性,满足工业级防尘、抗电磁、抗震、无风扇、全封闭等设计要求,能够实现工业协议深度解析、包过滤、端口扫描防护、安全审计、恶意代码防护、漏洞防护、访问权限限定等功能。
工业主机安全防护以主机加固技术为基础、防病毒技术为重要补充,确保工业主机处于安全可靠环境中
目前,工业主机防护主要包含单机版和网络版两种,单机版针对隔离情况下孤立的工业主机进行安全防护,网络版针对联网情况下工业主机进行安全防护和集中安全风险分析及配置管理。工业主机安全防护具备以下6个特点:一是工业主机生命周期长且硬件资源受限,二是工业主机不会随意增加应用软件,三是病毒库不能定期升级,四是普通杀毒软件误杀关键进程,五是查毒、杀毒造成工业软件处理延时,六是病毒极易通过移动存储介质进行传播。
目前,国外工业主机安全防护产品主要分为传统杀毒软件、网络安全防护以及新兴终端安全防护3类。传统杀毒软件依然占据较大市场,新兴终端安全防护类产品基于白名单、AI等技术已经得到市场认可并快速占领市场。国内主要有病毒查杀、终端防护平台、终端检测与响应、工业卫士4种方案。病毒查杀利用防病毒软件的扫描引擎调用病毒特征库;终端防护平台部署在终端上,检测并阻止来自应用程序的恶意活动;终端检测与响应通过云端威胁情报、机器学习、异常行为分析、攻击指示器等方式,主动发现来自外部或内部的安全威胁;工业白名单主要采用白名单技术,专注于防护层面。
工业安全监测与态势感知可及时有效发现安全隐患与问题,防患于未然
工业领域的安全监测与态势感知技术是针对工业互联网终端设备、工业控制系统、网络、云平台、工业APP等核心要素,采用深度包解析技术,逐层解析还原网络及应用层协议,包括工控专用协议和通用协议,最终实现访问日志合成、工业设备资产检测、工控漏洞及安全事件的识别,对核心要素的数量变化、网络安全事件、威胁等级、威胁源分布等进行综合分析,实现安全要素信息的集中获取、分析挖掘和综合呈现。
工业安全监测与态势感知技术是由传统的态势感知技术结合工业领域特征发展而来的,态势感知技术的概念最早在军事领域提出,覆盖感知、理解和预测3个层次,随着网络的兴起而升级为“网络态势感知”。工业安全态势感知技术在网络空间搜索引擎的基础上,加入工业控制系统及设备的资产特征,利用软件代码来模拟常见的工业控制系统服务或工控专用协议;采用深度包解析技术,逐层解析还原网络及应用层协议,最终实现访问日志合成、工控设备资产检测、工控漏洞及安全事件的识别。
工业领域网络安全技术发展思考
安全防护理念将从被动式防护向主动前瞻式防护加速转变
随着工业控制系统逐渐开放,虽引入新的安全设备,但同时攻击手段也日益增多,被动防御具有局限性,而主动防御是在入侵行为对信息系统产生影响之前,就利用技术手段避免、降低或转移风险,实现“一对多”防御。与此同时,结合主动探测、流量分析、被动诱捕等技术,可以实现工业领域安全态势感知和风险预警,更快、更准、更及时地发现安全隐患,及时采取必要的安全防护措施,提升工业领域安全防护能力,安全防护理念将从被动防护转向主动前瞻式防护。
安全技术从传统“低速”分析向智能“快速”感知发展
早期的态势感知技术是通过对海量安全数据的采集,利用数据分析技术识别其中有价值的信息,并形成可理解的报告和图表,以此发现并分析安全威胁。随着大数据、人工智能等新技术的出现及应用,安全技术加速与新兴技术融合,增强了安全检测和分析能力,推动安全态势感知的发展,主要表现在高级可持续攻击截获、威胁感知和威胁情报共享等。通过机器学习、大数据分析等技术,实现基于逻辑和知识的推理结果,从已知威胁推演未知威胁,实现对安全威胁事件的预测和判断。借助人工智能、大数据分析等新兴技术,助力安全风险精确预警与准确处置水平不断提升,实现网络攻击和重大网络威胁可知化、可视化、可控化。
聚焦内生安全技术从本质上提升工业领域安全防护水平
传统局部与外挂的安全防护能力已不能满足安全需求,亟需提升工业领域内生安全能力,实现网络安全能力和工业信息化环境的融合。在工业系统规划、建设和运维的过程中,同步考虑安全能力的建设;网络安全企业与系统设备提供商、工业头部企业强强联合,打造具备内嵌安全功能的设备产品,实现工业生产系统与安全系统的聚合;企业针对业务特性,立足于安全需求开展安全能力建设,实现工业领域安全的自适应与自成长,动态提升工业领域安全防护能力。