2月1日，2018工業(yè)互聯(lián)網(wǎng)峰會(huì)在北京國(guó)家會(huì)議中心舉辦。會(huì)上，工業(yè)控制系統(tǒng)安全國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室、360威脅情報(bào)中心發(fā)布《IT/OT一體化的工業(yè)信息安全態(tài)勢(shì)報(bào)告(2017)》(以下簡(jiǎn)稱“態(tài)勢(shì)報(bào)告”)。

《IT/OT一體化的工業(yè)信息安全態(tài)勢(shì)報(bào)告(2017)》發(fā)布

態(tài)勢(shì)報(bào)告闡述了IT/OT一體化融合帶來的安全挑戰(zhàn)，分析了2017工業(yè)信息安全重大事件以及大量工業(yè)信息系統(tǒng)應(yīng)急響應(yīng)典型案例，并提出工業(yè)信息安全建議。

隨著IT/OT(信息技術(shù)和操作技術(shù))一體化的逐步推進(jìn)，工業(yè)控制系統(tǒng)越來越多地與企業(yè)網(wǎng)和互聯(lián)網(wǎng)相連接，形成了一個(gè)開放式的網(wǎng)絡(luò)環(huán)境。工控系統(tǒng)網(wǎng)絡(luò)化發(fā)展導(dǎo)致了系統(tǒng)安全風(fēng)險(xiǎn)和入侵威脅不斷增加，面臨的網(wǎng)絡(luò)安全問題也更加突出。由于工控網(wǎng)絡(luò)系統(tǒng)環(huán)境的特殊性，傳統(tǒng)的IT信息安全技術(shù)不能直接應(yīng)用于工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)。然而，工業(yè)控制系統(tǒng)又應(yīng)用于國(guó)家的電力、交通、石油、取暖、制藥等多種大型制造行業(yè)，一旦遭受攻擊會(huì)帶來巨大的損失，因此需要有效的方法確保工控系統(tǒng)的網(wǎng)絡(luò)安全。

安全漏洞，是工業(yè)控制系統(tǒng)面臨的首要安全問題。根據(jù)美國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(ICS-CERT)最新統(tǒng)計(jì)報(bào)告，2015年漏洞總數(shù)為486個(gè)，2016年美國(guó)關(guān)鍵基礎(chǔ)設(shè)施存在492個(gè)安全漏洞。根據(jù)公開的ICS漏洞數(shù)的年度變化趨勢(shì)來看，工控安全漏洞逐年增加。

自2000年1月截止到2017年12月，根據(jù)我國(guó)國(guó)家信息安全漏洞共享平臺(tái)(CNVD)統(tǒng)計(jì)，所有的信息安全漏洞總數(shù)為101734個(gè)，其中工業(yè)控制系統(tǒng)漏洞總數(shù)為1437個(gè)。2017年CNVD統(tǒng)計(jì)的新增信息安全漏洞4798個(gè)，工控系統(tǒng)新增漏洞數(shù)351個(gè)，均比去年同期有顯著增長(zhǎng);其中，高危漏洞占比最高，達(dá)到53.6%。中危漏洞占比42.4%，其余4.0%為低危漏洞。

根據(jù)態(tài)勢(shì)報(bào)告的分析，對(duì)于傳統(tǒng)IT網(wǎng)絡(luò)安全，保密性優(yōu)先級(jí)最高，其次是完整性、可用性。工業(yè)網(wǎng)絡(luò)則有明顯的不同，工業(yè)網(wǎng)絡(luò)更為關(guān)注的是系統(tǒng)設(shè)備的可用性、實(shí)時(shí)性。由于IT系統(tǒng)和OT系統(tǒng)之間存在的眾多差異，當(dāng)工業(yè)互聯(lián)網(wǎng)的IT/OT進(jìn)行融合時(shí)會(huì)帶來很多安全挑戰(zhàn)，包括暴露在外的攻擊面越來越大，操作系統(tǒng)安全漏洞難以修補(bǔ)，軟件漏洞容易被黑客利用，惡意代碼不敢殺、不能殺，DDOS攻擊隨時(shí)可能中斷生產(chǎn)，高級(jí)持續(xù)性威脅時(shí)刻環(huán)伺等。

此外，一些安全挑戰(zhàn)還來源于工業(yè)系統(tǒng)自身安全建設(shè)的不足，諸如工業(yè)設(shè)備資產(chǎn)的可視性嚴(yán)重不足，很多工控設(shè)備缺乏安全設(shè)計(jì)，設(shè)備聯(lián)網(wǎng)機(jī)制缺乏安全保障，IT和OT系統(tǒng)安全管理相互獨(dú)立操作困難，生產(chǎn)數(shù)據(jù)面臨丟失、泄漏、篡改等安全威脅。

在國(guó)際市場(chǎng)中，2017年OT安全全球市場(chǎng)規(guī)模102.4億美元，2022年將達(dá)到138.8億美元，年均復(fù)合增長(zhǎng)率為6.3%;利潤(rùn)率高，市場(chǎng)滲透度為5%-20%;Gartner市場(chǎng)趨勢(shì)預(yù)測(cè)：到2020年，50%的OT服務(wù)供應(yīng)商將與IT供應(yīng)商建立合作伙伴關(guān)系。Gartner認(rèn)為，OT安全對(duì)關(guān)鍵基礎(chǔ)設(shè)施、智能樓宇、工廠管理、醫(yī)療和零售行業(yè)等資產(chǎn)密集型或資產(chǎn)中心化的組織是非常有用的。

在工業(yè)安全2018-2020行動(dòng)計(jì)劃中，通過對(duì)MarketsandMarkets、Credence Research、和訊網(wǎng)、工控安全藍(lán)皮書等的統(tǒng)計(jì)分析，國(guó)內(nèi)市場(chǎng)2018工控安全市場(chǎng)保守預(yù)計(jì)在4.4億。

業(yè)內(nèi)分析，IT/OT一體化發(fā)展趨勢(shì)為：IT和OT分離管理的情況將會(huì)打破;基于以太網(wǎng)的盡力交付模型將不再適用;開始考慮時(shí)間敏感網(wǎng)絡(luò)(TSN)自底向上打通;數(shù)字孿生。

工業(yè)信息安全建議與展望

為促進(jìn)工控網(wǎng)絡(luò)安全健康發(fā)展，工業(yè)信息安全態(tài)勢(shì)報(bào)告也提出了相關(guān)建議：

(一) 建立網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺動(dòng)態(tài)安全模型

該標(biāo)尺模型共包含五大類別，分別為架構(gòu)安全(Architecture)、被動(dòng)防御(Passive Defense)、積極防御(Action Defense)、威脅情報(bào)(Intelligence)和進(jìn)攻反制(Offense)。這五大類別之間具有連續(xù)性關(guān)系，并有效展示了防御逐步提升的理念。

架構(gòu)安全：在系統(tǒng)規(guī)劃、建立和維護(hù)的過程中充分考慮安全防護(hù);

被動(dòng)防御：在無人員介入的情況下，附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng)，如：工業(yè)安全網(wǎng)關(guān)/防火墻、工業(yè)主機(jī)防護(hù)、工業(yè)審計(jì)等;

積極防御：分析人員對(duì)處于所防御網(wǎng)絡(luò)內(nèi)的威脅進(jìn)行監(jiān)控、響應(yīng)、學(xué)習(xí)(經(jīng)驗(yàn))和應(yīng)用知識(shí)(理解)的過程;

威脅情報(bào)：收集數(shù)據(jù)、將數(shù)據(jù)利用轉(zhuǎn)換為信息，并將信息生產(chǎn)加工為評(píng)估結(jié)果以填補(bǔ)已知知識(shí)缺口的過程;

進(jìn)攻反制：在友好網(wǎng)絡(luò)之外對(duì)攻擊者采取的直接行動(dòng)(按照國(guó)內(nèi)網(wǎng)絡(luò)安全法要求，對(duì)于企業(yè)來說主要是通過法律手段對(duì)攻擊者進(jìn)行反擊)。通過以上幾個(gè)層面的疊加演進(jìn)，最終才能夠?qū)崿F(xiàn)進(jìn)攻反制，維護(hù)工業(yè)互聯(lián)網(wǎng)的整體安全。

(二) 從安全運(yùn)營(yíng)的角度，建立企業(yè)的工業(yè)安全運(yùn)營(yíng)中心

在IT和OT一體化推進(jìn)發(fā)展中，IT技術(shù)在OT領(lǐng)域大量使用，IT所面對(duì)的風(fēng)險(xiǎn)也跟隨進(jìn)入了OT網(wǎng)絡(luò)，因此工業(yè)企業(yè)對(duì)這兩個(gè)應(yīng)用角度都要識(shí)別風(fēng)險(xiǎn)的切入點(diǎn)，列舉相關(guān)的風(fēng)險(xiǎn)，并且要進(jìn)行一體化的規(guī)劃。

工業(yè)安全運(yùn)營(yíng)中心(IISOC)基于威脅情報(bào)和本地大數(shù)據(jù)技術(shù)對(duì)工控系統(tǒng)通信數(shù)據(jù)和安全日志進(jìn)行快速、自動(dòng)化的關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)工控系統(tǒng)異常和針對(duì)工控系統(tǒng)的威脅，通過可視化的技術(shù)將這些威脅和異常的總體安全態(tài)勢(shì)展現(xiàn)給用戶，通過對(duì)告警和響應(yīng)的自動(dòng)化發(fā)布、跟蹤、管理，實(shí)現(xiàn)安全風(fēng)險(xiǎn)的閉環(huán)管理。威脅情報(bào)、威脅檢測(cè)、深度包解析、工業(yè)大數(shù)據(jù)關(guān)聯(lián)分析、可視化展現(xiàn)、閉環(huán)響應(yīng)實(shí)現(xiàn)以工業(yè)安全運(yùn)營(yíng)為中心的一體化防護(hù)體系。安全運(yùn)營(yíng)目的是解決越來越多的安全產(chǎn)品部署在網(wǎng)絡(luò)中形成的“安全防御孤島”問題。

(三) 組建IT&OT融合的安全管理團(tuán)隊(duì)

組建IT&OT融合的信息安全管理團(tuán)隊(duì)，對(duì)整個(gè)工業(yè)控制系統(tǒng)進(jìn)行安全運(yùn)營(yíng)。對(duì)安全管理團(tuán)隊(duì)進(jìn)行必要的指導(dǎo)，根據(jù)具體場(chǎng)景建立合適的安全策略管理和響應(yīng)恢復(fù)機(jī)制，及時(shí)應(yīng)對(duì)安全威脅。企業(yè)要想成功部署工業(yè)網(wǎng)絡(luò)安全項(xiàng)目，需重視同時(shí)掌握信息技術(shù)(IT)和操作技術(shù)(OT)的人才，有的放矢。訂購(gòu)安全服務(wù)和威脅情報(bào)，定期對(duì)安全管理團(tuán)隊(duì)進(jìn)行培訓(xùn)，建立IT、OT的安全統(tǒng)一規(guī)劃，使得安全管理團(tuán)隊(duì)成員盡量利用統(tǒng)一標(biāo)準(zhǔn)進(jìn)行安全事件的處理。

(四) 在技術(shù)層面提高防護(hù)能力

終端層面：針對(duì)CNC等老舊設(shè)備，部署輕量級(jí)白名單(系統(tǒng)進(jìn)程)的防護(hù)措施;針對(duì)性能好的生產(chǎn)設(shè)備，部署統(tǒng)一的終端殺毒軟件，如360天擎;移動(dòng)介質(zhì)，例如U盤，進(jìn)行統(tǒng)一管控(主機(jī)防護(hù))。

網(wǎng)絡(luò)層面：橫向分區(qū)、縱向分層，將辦公網(wǎng)、工控網(wǎng)、生產(chǎn)網(wǎng)有效劃分;網(wǎng)絡(luò)邊界處部署安全網(wǎng)關(guān)，最小權(quán)限原則：只開放必要端口，進(jìn)行精細(xì)化訪問管控。

監(jiān)控層面：摸清資產(chǎn)家底，集中統(tǒng)一管理，并精心維護(hù);部署工業(yè)安全運(yùn)營(yíng)中心，對(duì)公司網(wǎng)絡(luò)安全狀況進(jìn)行持續(xù)監(jiān)測(cè)與可視化展現(xiàn)。

可恢復(fù)性(備份層面)：針對(duì)CNC等老舊設(shè)備，定期請(qǐng)工控廠商進(jìn)行系統(tǒng)備份;針對(duì)性能好的辦公和生產(chǎn)電腦，定期自行進(jìn)行系統(tǒng)和數(shù)據(jù)備份。

【工業(yè)控制系統(tǒng)安全國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室簡(jiǎn)介】

工業(yè)控制系統(tǒng)安全國(guó)家地方聯(lián)合工程實(shí)驗(yàn)室(簡(jiǎn)稱：工業(yè)安全國(guó)家聯(lián)合實(shí)驗(yàn)室)”是由國(guó)家發(fā)展與改革委員會(huì)批準(zhǔn)授牌成立，由360企業(yè)安全集團(tuán)承建的對(duì)外開放的工業(yè)控制安全技術(shù)方面的公共研究平臺(tái)。實(shí)驗(yàn)室依托360企業(yè)安全的安全能力和大數(shù)據(jù)優(yōu)勢(shì)，聯(lián)合公安三所、信通院、國(guó)家工業(yè)信息安全發(fā)展研究中心、中科院沈陽自動(dòng)化所、東北大學(xué)等科研院所及大學(xué)。實(shí)驗(yàn)室現(xiàn)擁有軟件著作權(quán)7項(xiàng)，專利11項(xiàng)，創(chuàng)新地提出了工業(yè)互聯(lián)網(wǎng)自適應(yīng)防護(hù)架構(gòu)(PC4R)，推出了工業(yè)主機(jī)防護(hù)、工業(yè)防火墻/網(wǎng)關(guān)、工業(yè)審計(jì)、工業(yè)態(tài)勢(shì)感知與監(jiān)測(cè)預(yù)警平臺(tái)、工業(yè)安全運(yùn)營(yíng)中心等工業(yè)安全領(lǐng)域完整解決方案及產(chǎn)品，并在眾多央企和工業(yè)企業(yè)中進(jìn)行應(yīng)用。