纵观网络安全发展几十年,安全威胁依然随处可见,正所谓,“你见或者不见,我就在那里,只增不减”。从传统网络安全三剑客“入侵防御、防火墙、防病毒、”到下一代防火墙,从传统网络安全到工业控制系统安全,都离不开安全保护、离不开安全保护产品。尤其是在国家安全的大形势下,公共基础设施安全已列入国家安全范畴中,工业控制系统安全更是保障民生安全的基础。在如此重要的区域,谁来保护工控系统安全?
国内工业控制自动化和智能化进程的深入,工业控制网络与外部互联网或企业办公网络的信息交互日趋频繁,使得工业控制网络不断面临着来自外部互联网的恶意攻击和内部人员的误操作等威胁。早期工控设备使用环境相对封闭,工业控制系统在开发时往往更重视功能的实现,而缺少对工控网络自身安全的关注,导致工业控制系统中不可避免的存在安全缺陷。目前,传统防火墙已无法完全解决这些问题,无法将工控网络置于安全的保护之下。匡恩网络通过自主研发,深入市场细分领域,在公共基础设施安全层面率先推出工控网络IAD(Intelligent APT defense)智能保护平台,以此来解决工控网络潜在威胁。
你永远不能保证你没看见的东西处于安全状态。工业控制系统逻辑范围广,应用软件多,涉及硬件复杂,生产设备与生产环境多样,一旦遭到破坏,可能对物理世界造成直接的巨大伤害。标准IEC62443对工控系统信息安全的定义:“保护系统所采取的措施;由建立和维护保护系统的措施所得到的系统状态;能够免于对系统资源的非授权访问和非授权或意外的变更、破坏或者损失;基于计算机系统的能力,能够保证非授权人员和系统既无法修改软件及其数据,也无法访问系统功能,确保授权人员和系统不被阻止;防止对工业控制系统的非法或有害入侵,或者干扰其正确和计划的操作。”总结为物理安全、功能安全以及信息安全,强调不同于传统IT安全的需求,首先保证整个系统的可用性和可靠性,其次才是保证控制平台的可靠性与存储其中数据的机密性。
工控安全面临的五大威胁
ICS威胁指的是可能给ICS资产造成损失的来源,威胁分五大类,具体如下:
第一,环境和自然威胁:供电不足、电磁干扰、静电、恶劣的温度湿度条件、粉尘等,地震、雷电、台风、洪涝、火灾等。
第二,内部无意威胁:操作失误、软件故障、硬件故障老化、网络过载、隐藏信道(Covert Channels)。
第三,内部有意威胁:蓄意破坏、非授权篡改、非授权使用、窃取窃听内部重要信息。
第四,外部攻击:普通攻击、商业窃密、信息战、恐怖袭击等。
第五,第三方人员:留有后门,第三方人员在对系统进行维护时,可能会未授权对系统进行更改或安装非法软件。
IAD智能保护平台,用户价值的最大化
在工业网络中部署工业控制网络保护产品,最终用户价值是为其带来最大化的安全防护,保证工业生产的顺利进行。匡恩IAD智能保护平台可从如下几方面为国家基础设施保驾护航:
l 保障工业网络的结构安全性:
通过部署工业控制网络IAD智能保护平台,可以对工业网络进行分层次保护,包括现场终端保护、区域保护以及边界保护。实现各个层次内的通信隔离,各个层次之间的访问授权控制。帮助用户完成工业网络的全方位、立体化的保护,最终实现工业网络的结构安全性。
l 保障工业网络的本体安全性:
通过部署工业控制网络IAD智能保护平台,可以使用户深度掌握工业网络的运转状况,深度挖掘网络中协议流量中存在的潜在漏洞并对这些漏洞进行处理,从而最终实现对工业网络从内到外的深层次保护。
l 保障工业网络的行为安全性:
通过部署工业控制网络IAD智能保护平台,可以获取网络日志以及告警事件,并定期生成报告提供给用户的网络维护人员进行分析,从而使用户掌握工业网络的行为属性,从网络行为的角度保证网络生产安全。
l 保障工业网络的基因安全性:
通过部署工业控制网络IAD智能保护平台,使用户可以对工业网络进行基于控制协议的深层次分析诊断,同时工业控制网络IAD智能保护平台具备自身可信,并对工业网络提供完整性检验。意味着将网络安全基因深植于生产全环节,渗透于生产力诸基本要素之中,为用户找到安全防护的最优化点,为工业生产安全植入网络安全基因。
伴随着匡恩网络产品系列的不断丰富,IAD智能保护平台也得到了不断的加强和延展,该系列产品建立在智能机器学习引擎、深度数据包解析引擎和开放式特征匹配三大功能引擎之上,支持工控协议和工业以太网协议,拥有白名单一键式智能学习、黑名单主动防御、大规模分布式实时网络部署等功能,能够为工业控制网络提供了全方位的综合防御与保护。同时结合工业控制网络安全自身内在的组网需求,支持路由模式,提供静态路由功能,既为工业控制网络安全保驾护航,也同时满足其三层组网需求。