自“兩化融合”提出后，工業(yè)控制系統(tǒng)與互聯(lián)網(wǎng)間的互通互聯(lián)已經(jīng)成為不可避免的趨勢。在此過程中，企業(yè)在追求工控系統(tǒng)應(yīng)用性的同時，工控網(wǎng)絡(luò)安全問題并未得到與之相應(yīng)的認知和重視。據(jù)《2015年工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢報告》顯示，2015年工控行業(yè)安全事件發(fā)生295起，同比2010年增長662.5%。當下，工控網(wǎng)絡(luò)安全呈現(xiàn)高危和高發(fā)態(tài)勢。

2014年，德國某鋼鐵廠遭受高級持續(xù)性威脅(APT)攻擊。攻擊者使用魚叉式釣魚郵件和社會工程手段，獲得鋼鐵廠辦公網(wǎng)絡(luò)的訪問權(quán)，進入到鋼鐵廠的生產(chǎn)網(wǎng)絡(luò)，導致工控系統(tǒng)的控制組件和整個生產(chǎn)線被迫停止運轉(zhuǎn)。由于非正常關(guān)閉煉鋼爐，給鋼廠帶來了巨大經(jīng)濟損失。由一系列的網(wǎng)絡(luò)安全事件可看出，安全防范意識不足，極有可能給企業(yè)生產(chǎn)帶來災(zāi)難性的打擊。

設(shè)想如果在安全事件發(fā)生之初，企業(yè)就對整個工控安全有充分的感知和掌控，全面了解威脅的來源和途徑，把安全問題做到心中有數(shù)，防患于未然，那么就能將企業(yè)損失減少到最小。2015年，國內(nèi)領(lǐng)先的物聯(lián)網(wǎng)安全服務(wù)廠商匡恩網(wǎng)絡(luò)針對這一行業(yè)痛點，自主研發(fā)了“K巡”系列產(chǎn)品-威脅評估平臺，幫助客戶解決六大場景下的系統(tǒng)檢測與威脅評估工作。

高效高質(zhì)，讓威脅止步于未萌

匡恩網(wǎng)絡(luò)“K巡”系列產(chǎn)品-威脅評估平臺是我國系統(tǒng)級的專門為測評機構(gòu)和用戶推出的一款工控安全評估工具，可全方位認知并分析威脅來源。

目前，在工控領(lǐng)域主要存在三類漏洞，即協(xié)議漏洞、工控設(shè)備漏洞和系統(tǒng)漏洞。在大量的在裝系統(tǒng)和新裝系統(tǒng)中，存在大量的已知漏洞和未知漏洞。這些漏洞的存在，令工控系統(tǒng)被攻擊的風險飆升。如若攻擊者通過漏洞進行攻擊核心控制系統(tǒng)，篡改關(guān)鍵核心數(shù)據(jù)，輕則使整個生產(chǎn)陷入混亂或者停產(chǎn)，將為企業(yè)帶來不可預(yù)估的財產(chǎn)損失;重則對社會穩(wěn)定和經(jīng)濟發(fā)展帶來嚴重影響。

助力企業(yè)全面感知和掌控工控系統(tǒng)網(wǎng)絡(luò)安全風險，讓威脅止步于未萌，是匡恩網(wǎng)絡(luò)威脅評估平臺的職責所在。威脅評估平臺通過國家標準和行業(yè)標準，針對各類工控網(wǎng)絡(luò)系統(tǒng)進行全方位的安全檢查和風險評估，高質(zhì)量地將企業(yè)工控網(wǎng)絡(luò)系統(tǒng)整體的脈絡(luò)呈現(xiàn)出來。對企業(yè)工控網(wǎng)絡(luò)系統(tǒng)整體進行評估，并提出具體的、具有針對性的整改建議，高效地完善工控系統(tǒng)的安全，進一步強化企業(yè)在運營環(huán)境中的安全部署。

全維度防護，為工控網(wǎng)絡(luò)安全撐起保護傘

2016年，匡恩網(wǎng)絡(luò)對我國大量工控系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施建設(shè)進行調(diào)研，深入了解其采用的網(wǎng)絡(luò)結(jié)構(gòu)、安全技術(shù)與防護體系，結(jié)合對一系列安全事件的研究，構(gòu)建了 “4+1” 工控安全技術(shù)體系，即本體安全、結(jié)構(gòu)安全、行為安全、基因安全，加時間持續(xù)性。威脅評估平臺深度踐行控制系統(tǒng)網(wǎng)絡(luò)安全方法論，充分考量不同行業(yè)的工控網(wǎng)絡(luò)系統(tǒng)的多樣性和獨特性，以獨創(chuàng)的威脅分析、資產(chǎn)分析和流量分析三大評估手段，全維度對工控網(wǎng)絡(luò)的安全狀況做出全面系統(tǒng)分析，助力企業(yè)將工控網(wǎng)絡(luò)安全風險消弭于未萌。

第一維度，威脅分析。部分企業(yè)在獲取自己工控網(wǎng)絡(luò)系統(tǒng)安全評估時，為防止私密信息泄漏，對外部設(shè)備接入慎之又慎，這就使評估工作難以實施進行。而威脅評估平臺允許選擇不接入系統(tǒng)，通過調(diào)查問卷的方式，錄入控網(wǎng)絡(luò)系統(tǒng)中存在的設(shè)備并進行模擬分析，以評估報告的方式展現(xiàn)出企業(yè)工業(yè)現(xiàn)場進行設(shè)備管理和技術(shù)上兩個層面的安全定級和風險測評，并做出相對應(yīng)的整改措施。如此企業(yè)不用擔心自身私密信息，就能對自身工業(yè)現(xiàn)場安全布防的認知。

第二維度，資產(chǎn)分析。在企業(yè)在裝系統(tǒng)和新系統(tǒng)中，存在著相當數(shù)量的已知漏洞和未知漏洞，這給黑客提供了實施攻擊的機會。面對企業(yè)不能定期檢查和完善漏洞，威脅評估平臺就可以接入工控網(wǎng)絡(luò)系統(tǒng)利用資產(chǎn)分析進行評估。威脅評估平臺會自動對工業(yè)網(wǎng)絡(luò)系統(tǒng)及其所涉及的物理設(shè)備、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)進行識別，構(gòu)建出工控網(wǎng)絡(luò)拓撲圖，讓企業(yè)直觀地看到工控網(wǎng)絡(luò)系統(tǒng)中的漏洞信息、安全解決方案和區(qū)域安全評分。在實際運用中，威脅評估平臺會重點發(fā)現(xiàn)工控網(wǎng)絡(luò)各個設(shè)備上存在的漏洞，以及這些漏洞可能帶來的泄密、拒絕服務(wù)等威脅，保障工業(yè)系統(tǒng)安全平穩(wěn)運行。

第三維度，流量分析。企業(yè)工控網(wǎng)絡(luò)系統(tǒng)運行過程中出現(xiàn)下達的命令被竊取、篡改的現(xiàn)象，是企業(yè)生產(chǎn)、運營的重大安全事故的主要因素。為了預(yù)防這種事故的發(fā)生，威脅評估平臺通過流量分析進行評估，起到了實時告警的作用。威脅評估平臺對通信數(shù)據(jù)流進行流量分析，把截取的數(shù)據(jù)和公司積累的病毒特征庫進行對比，若發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量和病毒，可立刻發(fā)出告警信息。

廣泛應(yīng)用，防患未然筑牢網(wǎng)絡(luò)安全防線

企業(yè)需要對小規(guī)模的區(qū)域風險評估時，威脅評估平臺可根據(jù)業(yè)務(wù)邏輯和安全等級等因素進行區(qū)域劃分，對區(qū)域子網(wǎng)進行威脅評估，得出當前區(qū)域子網(wǎng)的安全評分和威脅詳情，并通過平板呈現(xiàn)給企業(yè)評估分析的結(jié)果。隨后根據(jù)分析結(jié)果，只需將威脅評估平臺會的探測口直接接入交換機的普通口和現(xiàn)場工作站，使其與PLC處于統(tǒng)一局域網(wǎng)內(nèi)。當流量口接入交換機配置的鏡像后，威脅評估平臺便可獲取局域網(wǎng)內(nèi)所有流量，從而進行評估分析。

(區(qū)域風險評估布局圖)

威脅評估平臺不單單支持本地化小規(guī)模的區(qū)域風險評估，同樣適用于本地化大規(guī)模的全局風險評估。全局風險評估部署現(xiàn)場劃分為幾個大區(qū)，將威脅評估平臺接入每個大區(qū)的管理型交換機中，分別接入探測口和流量口進行資產(chǎn)分析和流量分析，同時結(jié)合對全局網(wǎng)絡(luò)基于國家行業(yè)標準為用戶進行全局威脅分析，做到工控安全心中有數(shù)。

(全局風險評估布局圖)

目前，匡恩網(wǎng)絡(luò)“K巡”系列產(chǎn)品-威脅評估平臺，已經(jīng)廣泛應(yīng)用到電力、石化、軌交、冶金、煙草、煤炭、水利、市政、環(huán)保、制藥等各種領(lǐng)域，填補了工控行業(yè)缺乏真正專業(yè)有效地安全評估工具的空白。威脅評估平臺在發(fā)現(xiàn)威脅的同時，還提供了相應(yīng)的整改建議，使企業(yè)更有效地做到防患于未然。