電力、水務(wù)、燃?xì)狻⒔煌āI(yè)設(shè)施猶如城市的中樞神經(jīng)和毛細(xì)血管，嵌入在我們生產(chǎn)生活的方方面面，面對日益升級(jí)的網(wǎng)絡(luò)威脅和對抗，如何有效保障其安全運(yùn)行，成為保證社會(huì)穩(wěn)定運(yùn)行和經(jīng)濟(jì)發(fā)展命脈的關(guān)鍵之一。

　　為了幫助厘清工業(yè)設(shè)施面臨的真實(shí)安全威脅以及剛性合規(guī)要求，安全419推出《工業(yè)網(wǎng)絡(luò)安全解決方案》系列訪談選題，希望為工業(yè)企業(yè)運(yùn)營者提升安全保障能力提供參考借鑒。本期，我們走進(jìn)杭州中電安科現(xiàn)代科技有限公司（以下簡稱“中電安科”），邀請到其總經(jīng)理趙峰，為大家介紹他們在該領(lǐng)域的積累和實(shí)踐。

　　中電安科聚焦工控網(wǎng)絡(luò)安全產(chǎn)品的自主研發(fā)，覆蓋安全審計(jì)、邊界防護(hù)、安全管理、終端防護(hù)、云安全等全域工業(yè)網(wǎng)絡(luò)安全產(chǎn)品體系，深耕電力、石油石化、軌道交通、智能制造、礦業(yè)開采、港口碼頭、軍隊(duì)軍工等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)，公司自2021年起相繼獲中國電科、中國中車、國家電網(wǎng)等央企旗下產(chǎn)業(yè)基金戰(zhàn)略投資，正式進(jìn)入網(wǎng)絡(luò)安全“國家隊(duì)”。

　　關(guān)基設(shè)施安全防護(hù)三大難：

　　底子薄 對手強(qiáng) 影響大

　　近年來，全球針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊從未間斷，委內(nèi)瑞拉全國大停電、美國天然氣管道商遭網(wǎng)絡(luò)攻擊、烏克蘭核電廠發(fā)生嚴(yán)重網(wǎng)絡(luò)安全事故等事件歷歷在目。2022年以來，臺(tái)達(dá)電子遭受勒索軟件攻擊、豐田日本受網(wǎng)絡(luò)襲擊生產(chǎn)停產(chǎn)、意大利鐵路系統(tǒng)遭黑客攻擊致多地車站受影響、伊朗國家鐵路遭網(wǎng)絡(luò)攻擊……越來越多的網(wǎng)絡(luò)安全事件凸顯出工業(yè)網(wǎng)絡(luò)威脅的嚴(yán)重性。

　　在我國，同樣也面臨著嚴(yán)峻的工控安全挑戰(zhàn)，2016年某油田感染conficker蠕蟲病毒，2017年某電廠PLC系統(tǒng)出現(xiàn)藍(lán)屏重啟，2018年臺(tái)積電遭勒索病毒入侵……黑客的攻擊手段、入侵方式層出不窮，給整個(gè)工業(yè)領(lǐng)域帶來了不可估量的損失和影響。

　　縱觀愈演愈烈的工業(yè)網(wǎng)絡(luò)安全威脅，中電安科總經(jīng)理趙峰對此表示，工業(yè)網(wǎng)絡(luò)信息安全防護(hù)有其特殊性：

　　01 其防護(hù)的受攻擊主體特殊，與以謀財(cái)、牟利為目的的網(wǎng)絡(luò)詐騙、網(wǎng)絡(luò)入侵等傳統(tǒng)攻擊不同，工業(yè)企業(yè)的入侵者不會(huì)是一般意義上的“黑客”，而很可能是恐怖組織甚至是敵對國家力量支撐的組織；

　　02 遭受攻擊破壞后果嚴(yán)重，關(guān)鍵信息基礎(chǔ)設(shè)施覆蓋到我們?nèi)粘Ｉ畹姆椒矫婷妫且粐懊}”，大型工業(yè)裝置的關(guān)鍵設(shè)施一旦遭受攻擊，帶來的可能不只是金錢的損失，影響到的可能是幾億人民的生活，會(huì)直接威脅到國民經(jīng)濟(jì)的發(fā)展和社會(huì)安定，因此針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊還涉及到了社會(huì)政治問題。

　　03 從網(wǎng)絡(luò)安全防護(hù)措施來看，關(guān)鍵信息基礎(chǔ)設(shè)施可謂非常脆弱。在工業(yè)互聯(lián)網(wǎng)還不太發(fā)達(dá)的時(shí)候，大家的安全意識(shí)十分薄弱，安全措施不到位，埋下了很多隱患。由于這些設(shè)施是用來保障民生的，不能輕易停止運(yùn)行，導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施成為國家級(jí)黑客組織的“靶子”，漏洞及遭遇的網(wǎng)絡(luò)攻擊一直在持續(xù)增加。近些年，危害極大的勒索病毒也成為了工業(yè)領(lǐng)域面臨的典型威脅之一。

　　合規(guī)與內(nèi)控持續(xù)增強(qiáng)

　　工業(yè)安全建設(shè)任重道遠(yuǎn)

　　為了有效避免嚴(yán)峻復(fù)雜的網(wǎng)絡(luò)威脅，工業(yè)企業(yè)需要按照國家等保2.0、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求、密碼法以及相關(guān)行業(yè)要求進(jìn)行工控網(wǎng)絡(luò)安全建設(shè)，重點(diǎn)加強(qiáng)網(wǎng)絡(luò)邊界隔離、主機(jī)防護(hù)加固、網(wǎng)絡(luò)監(jiān)測預(yù)警與審計(jì)、安全運(yùn)維管理等技術(shù)措施，并結(jié)合管理制度全面提升工業(yè)企業(yè)的網(wǎng)絡(luò)安全防護(hù)能力。

　　結(jié)合中電安科多年的實(shí)踐經(jīng)驗(yàn)，趙峰表示，工控系統(tǒng)的業(yè)務(wù)特點(diǎn)決定了基于傳統(tǒng)信息安全防護(hù)技術(shù)（如防火墻、入侵、殺毒軟件等）無法有效地保護(hù)工控網(wǎng)絡(luò)的安全，大多工業(yè)企業(yè)在建設(shè)工控網(wǎng)絡(luò)安全過程中都會(huì)面臨以下幾個(gè)難點(diǎn)：

　　互聯(lián)網(wǎng)和工業(yè)的深度融合，打破了傳統(tǒng)工業(yè)領(lǐng)域相對封閉可信的環(huán)境，將互聯(lián)網(wǎng)的安全威脅滲透進(jìn)工業(yè)領(lǐng)域，僅依賴邊界設(shè)備無法有效抵御風(fēng)險(xiǎn)，網(wǎng)絡(luò)攻擊可以直達(dá)生產(chǎn)一線；

　　工業(yè)環(huán)境最大的威脅是專有的靶向類惡意代碼，如震網(wǎng)、火焰等病毒，它們的攻擊對象是工業(yè)控制系統(tǒng)中的工程師站、操作員站、服務(wù)器等主機(jī)以及DCS、PLC等控制器，需要有專業(yè)的技術(shù)發(fā)現(xiàn)工控類攻擊；

　　工控系統(tǒng)由各種自動(dòng)化控制組件構(gòu)成，大量的工控系統(tǒng)采用私有協(xié)議通信，缺少安全設(shè)計(jì)和論證，多數(shù)情況是犧牲安全性以換取穩(wěn)定性，安全更新維護(hù)不及時(shí)，不能實(shí)現(xiàn)自主可控，需要對工業(yè)安全與工業(yè)生產(chǎn)取得平衡。

　　隨著國家等級(jí)保護(hù)制度實(shí)施力度和各行業(yè)內(nèi)控與合規(guī)要求的不斷增強(qiáng)，工業(yè)企業(yè)對工控網(wǎng)絡(luò)安全衍生了更多需求，例如工業(yè)資產(chǎn)分級(jí)分類管理需求、風(fēng)險(xiǎn)可視化需求、能力聚合需求、運(yùn)營能力提升及效率提升需求、攻防實(shí)戰(zhàn)演習(xí)的需求，這些都成為了工業(yè)安全建設(shè)的下一個(gè)里程。

　　以軌道交通行業(yè)為例

　　看如何實(shí)現(xiàn)關(guān)基設(shè)施可知、可管、可控

　　公開資料顯示，中電安科自2016年起推出“大安全”“可知可管可控”的工控安全防護(hù)理念，長期深耕行業(yè)并積累經(jīng)驗(yàn)，目前針對工業(yè)企業(yè)場景業(yè)務(wù)特點(diǎn)以及行業(yè)屬性推出30+行業(yè)解決方案。趙峰以軌道交通行業(yè)為例，為我們介紹了中電安科的防護(hù)策略和落地實(shí)踐。

　　地鐵綜合監(jiān)控系統(tǒng)（ISCS）作為軌道交通信息化系統(tǒng)中子系統(tǒng)，承載了對PSCADA、BAS、FAS、UPS電源系統(tǒng)等進(jìn)行實(shí)時(shí)集中監(jiān)視和控制的基本功能，一旦系統(tǒng)被攻擊入侵，將給地鐵的正常運(yùn)營、運(yùn)行帶來巨大的影響。為了避免我國城市軌道交通行業(yè)在數(shù)字化網(wǎng)絡(luò)化發(fā)展過程中出現(xiàn)信息安全和網(wǎng)絡(luò)安全問題，各城市軌道交通行業(yè)建立常態(tài)化、覆蓋事前、事中、事后的全方位信息安全服務(wù)體系，形成動(dòng)態(tài)防護(hù)、監(jiān)測預(yù)警、響應(yīng)處置的網(wǎng)絡(luò)安全工作機(jī)制，覆蓋智慧城軌全生命周期和運(yùn)營全過程。

　　對于客戶來說，擺在眼前的實(shí)際需求在于：

　　工控協(xié)議識(shí)別種類廣泛

　　ISCS屬于多系統(tǒng)深度集成的系統(tǒng)，在控制網(wǎng)絡(luò)中存在多家自動(dòng)化廠商PLC控制器，需要對多協(xié)議進(jìn)行識(shí)別和分析及策略阻斷能力；

　　工控入侵行為檢測能力的精確性

　　需要工控監(jiān)測審計(jì)系統(tǒng)精準(zhǔn)地識(shí)別基于工控協(xié)議的入侵行為，對異常的通信行為能夠進(jìn)行分析、告警的能力，實(shí)現(xiàn)風(fēng)險(xiǎn)、威脅“可知、可管”；

　　基于ISCS系統(tǒng)業(yè)務(wù)特性實(shí)現(xiàn)網(wǎng)絡(luò)隔離

　　通過與外部系統(tǒng)如PIS、SIG、AFC等與ISCS系統(tǒng)邊界部署工控防火墻進(jìn)行有效隔離，實(shí)現(xiàn)網(wǎng)絡(luò)隔離、訪問控制、邊界完整性檢查等功能。

　　趙峰介紹，ISCS由控制中心系統(tǒng)、各車站級(jí)控制系統(tǒng)、車輛段控制系統(tǒng)、培訓(xùn)管理系統(tǒng)、設(shè)備維護(hù)及網(wǎng)絡(luò)管理系統(tǒng)等組成，各系統(tǒng)通過冗余環(huán)網(wǎng)連接。建設(shè)綜合監(jiān)控系統(tǒng)安全防護(hù)體系，主要集中在控制中心、各車站、車輛段、停車場以及主所/區(qū)間所等系統(tǒng)防護(hù)。

　　區(qū)域邊界安全：

　　對線路級(jí)、車站級(jí)ISCS系統(tǒng)進(jìn)行安全區(qū)域劃分，在ISCS系統(tǒng)與PIS、SIG、AFC等外部系統(tǒng)互聯(lián)邊界處采用冗余模式部署工控防火墻，防范中央ISCS系統(tǒng)與集成、互聯(lián)接口系統(tǒng)之間進(jìn)行互連時(shí)違規(guī)訪問現(xiàn)象的發(fā)生，以及防范外部惡意攻擊和入侵。可識(shí)別多種工控協(xié)議如Modbus、IEC61850、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-U等，實(shí)現(xiàn)指令級(jí)的訪問控制，同時(shí)可為系統(tǒng)內(nèi)部的私有協(xié)議實(shí)現(xiàn)定制化功能。

　　通信網(wǎng)絡(luò)安全：

　　對線路級(jí)、車站級(jí)ISCS系統(tǒng)部署工控監(jiān)測審計(jì)系統(tǒng)，全面滿足工控協(xié)議兼容性要求，通過集成工控漏洞庫和工控級(jí)入侵特征庫，智能識(shí)別利用協(xié)議漏洞發(fā)起的攻擊并提供策略阻斷。在控制中心部署工控終端防護(hù)系統(tǒng)（管理端軟件），進(jìn)行統(tǒng)一的安全策略下發(fā)和基線管理，并對客戶端的狀態(tài)進(jìn)行統(tǒng)一監(jiān)控和管理。采用自動(dòng)學(xué)習(xí)生產(chǎn)工控網(wǎng)絡(luò)流量白名單、形成白名單規(guī)則并進(jìn)行策略一鍵部署，通過白名單規(guī)則匹配判斷工控協(xié)議數(shù)據(jù)包是否有異常，生成告警信息，對工控協(xié)議流量實(shí)現(xiàn)指令級(jí)訪問控制。

　　計(jì)算環(huán)境安全：

　　對線路級(jí)、車站級(jí)ISCS系統(tǒng)中的操作員站、工程師站上部署終端防護(hù)客戶端，實(shí)現(xiàn)對操作站、工程師站進(jìn)行安全加固，進(jìn)程白名單管控和USB移動(dòng)存儲(chǔ)介質(zhì)管控，切斷病毒入口，能夠有效地防止惡意代碼感染。

　　安全管理中心：

　　通過在控制中心部署的安全管理平臺(tái)、運(yùn)維堡壘機(jī)對所有安全設(shè)備進(jìn)行統(tǒng)一管理，可有效地防止非法入侵、工業(yè)數(shù)據(jù)篡改、非法指令下裝等安全威脅，實(shí)現(xiàn)態(tài)勢感知能力。全面提升ISCS系統(tǒng)網(wǎng)絡(luò)的安全性，確保設(shè)備、系統(tǒng)、網(wǎng)絡(luò)的可靠性和穩(wěn)定性以及網(wǎng)絡(luò)安全防護(hù)管理的合規(guī)性。

　　基于此，中電安科是從“技”、“管”兩個(gè)維度來建立全面防護(hù)體系，從安全計(jì)算環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界等多個(gè)維度實(shí)現(xiàn)安全防護(hù)建設(shè)，同時(shí)結(jié)合ISCS系統(tǒng)特性，構(gòu)建符合國家等保監(jiān)管要求的安全防護(hù)體系。能夠有效識(shí)別和阻斷ISCS系統(tǒng)網(wǎng)絡(luò)中的非法訪問、入侵等行為，通過與工控安全平臺(tái)進(jìn)行聯(lián)動(dòng)，快速定位風(fēng)險(xiǎn)入侵路徑、風(fēng)險(xiǎn)階段、風(fēng)險(xiǎn)源頭，形成閉環(huán)動(dòng)態(tài)的ISCS系統(tǒng)安全防御體系，為軌道交通ISCS系統(tǒng)的穩(wěn)定運(yùn)行、安全運(yùn)行提供有效的安全保障支撐。

　　自主可控是工業(yè)網(wǎng)絡(luò)安全市場的未來方向

　　隨著“工業(yè)4.0”時(shí)代的到來、“互聯(lián)網(wǎng)+”的步伐加速、以及“兩化融合”的深度融合，工業(yè)控制網(wǎng)絡(luò)也向著分布式、智能化的方向迅速發(fā)展。趙峰認(rèn)為，工業(yè)企業(yè)下一步還需不斷完善縱深防御體系的建設(shè)，從邊界防護(hù)、監(jiān)測預(yù)警方面入手，建立起涵蓋邊界、終端、監(jiān)測、管理、運(yùn)營為一體的綜合防御體系，持續(xù)提高工業(yè)企業(yè)的安全防護(hù)能力，保障企業(yè)的工控網(wǎng)絡(luò)安全。

　　談及工業(yè)網(wǎng)絡(luò)安全市場的發(fā)展趨勢，趙峰表示，在當(dāng)前的國際形勢下，科技自立自強(qiáng)已經(jīng)不可逆轉(zhuǎn)，信創(chuàng)的邏輯一再被強(qiáng)化，國產(chǎn)化將是未來一段時(shí)間內(nèi)的大勢所趨。工業(yè)高質(zhì)量發(fā)展離不開“安全”，工業(yè)網(wǎng)絡(luò)安全市場的未來發(fā)展趨勢之一也將會(huì)是自主可控。據(jù)了解，中電安科自提出“工控+國產(chǎn)化”、“工控安全+信創(chuàng)”等概念后，目前正加快腳步從CPU、數(shù)據(jù)庫到操作系統(tǒng)的整個(gè)產(chǎn)品線實(shí)現(xiàn)國產(chǎn)化，并已在多個(gè)研究院進(jìn)行相關(guān)試點(diǎn)工作。“未來三年，我們將繼續(xù)明確主攻方向和核心技術(shù)突破口，專注工控安全領(lǐng)域，不斷探索創(chuàng)新網(wǎng)絡(luò)安全防護(hù)技術(shù)，并將持續(xù)應(yīng)用于電力、石油石化、軌道交通、智能制造、礦業(yè)開采、港口碼頭、軍隊(duì)軍工、水利水務(wù)等關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)，為用戶提供具有核心競爭力的工控網(wǎng)絡(luò)安全解決方案及服務(wù)?！壁w峰說道。

　　寫在最后：

　　《工業(yè)網(wǎng)絡(luò)安全解決方案》系列訪談意在探討分析我國工業(yè)企業(yè)面臨的重重安全挑戰(zhàn)，通過分享展示不同的安全解決方案的差異和優(yōu)勢，為工業(yè)企業(yè)開展網(wǎng)絡(luò)安全建設(shè)工作提供一定的參考。本系列選題將持續(xù)更新，歡迎更多有相關(guān)思考探索、技術(shù)能力的安全廠商和企業(yè)用戶跟大家分享自己的實(shí)踐經(jīng)驗(yàn)，幫助更多企業(yè)用戶在波譎云詭的網(wǎng)絡(luò)空間和日益嚴(yán)苛的監(jiān)管下安全發(fā)展。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<