近年来,工业自动化控制系统和工控网络的安全事件频发,造成巨大的经济损失和信息泄露等 严重问题 。本文将分析工控安全技术发展现状,盘点国内 外工控安全主流 厂商发展态势,分析我国工控安全市场发展现状,展望未来工控安全技术的发展与应用趋势。
中国专精特新“小巨人”与德国“隐形冠军”培育政策研究
- 文章信息 -
本文作者:李静怡、王聪,由e-works原创发布。
近年来,工业自动化控制系统和工控网络的安全事件频发,造成巨大的经济损失和信息泄露等严重问题。根据国家工信安全中心的数据统计,2022年公开披露的工业信息安全事件共312起, 勒索软件攻击持续威胁工业信息安全、工业数据泄露事件影响进一步扩大、供应链攻击加剧安全威胁。 同时,地缘政治冲突推动了安全风险的持续升级,如何有效防范此类事故成为工业企业关注的焦点。
本文将分析工控安全技术发展现状,盘点国内外工控安全主流厂商发展态势,分析我国工控安全市场发展现状, 展望未来工控安全技术的发展与应用趋势。
01
工业控制系统是指用于监测和控制工业生产过程的设备和软件,如可编程逻辑控制器(PLC)、人机界面(HMI)、分布式控制系统(DCS)等。工业控制系统广泛应用于电力、石油、化工、交通等关键基础设施领域,对国家安全和社会稳定具有重要意义。然而,随着工业控制系统不断走向数字化、网络化和智能化,面临着越来越多的网络威胁,一旦工业控制系统遭到网络攻击,可能导致严重后果。因此,加强工控安全的防护和应急能力是制造业的重要课题。
◎ 2014年, 德国蒂森克虏伯公司遭到黑客攻击,导致高炉无法正常关闭,造成严重的损失。黑客利用社会工程学手段获取钢厂员工的凭证,然后入侵钢厂的办公网络和生产网络,并篡改高炉的控制参数,使其无法按照预定程序停止。
◎ 2017年, 全球著名半导体厂商台积电遭到WannaCry勒索软件攻击,导致部分生产线停产,损失超过2亿美元。WannaCry勒索软件是利用微软Windows系统漏洞进行传播和加密文件的恶意软件,要求受害者支付比特币赎金才能解密文件。该厂商由于没有及时更新系统补丁,导致部分设备感染了勒索软件。
◎ 2020年, 日本的一家汽车厂商遭到Snake勒索软件攻击,导致部分生产线停止运作,影响全球业务。Snake勒索软件是一种针对工业控制系统的恶意软件,可以识别并加密与工业控制系统相关的文件和进程,并删除副本和备份文件,使数据恢复变得困难。
图1 2022年十大典型工业信息安全事件 (数据来源:国家工信安全中心)
首先,工业系统的目标价值更高,其安全系统的复杂程度也远远高于传统的IT网络系统,在保障目标对象、安全需求等方面也具有其特殊性,其保护需求往往融合考虑了信息安全、功能安全和生产安全等多种安全需求。 这也导致了工控系统易于成为攻击和勒索的目标,根据国家工信安全中心发布的《2022年工业信息安全态势报告》显示,2022年公开披露的工业领域勒索事件共89起,较2021年增长78%,再创新高。其中电子制造行业遭勒索攻击最多,占比约23%。例如2022年初台达电子遭勒索攻击,导致1,500台服务器和12,000台电脑控制设备被攻击者加密,受影响的设备占了整体约20.8%,被勒索赎金1,500万美元。
其次,工控系统受研发设计、生产制造等工业数据高价值驱动,相关行业的数据泄露风险近年来持续攀升。 根据Verizon发布的《2022数据泄漏调查报告》显示,2022年全球制造业发生的数据泄漏事件共338起,比去年增长了25.2%。并且数据泄漏影响呈连锁反应之势,许多攻击者会在“暗网”上公开敏感数据,允许被任意下载,供其他攻击者进一步利用数据实施犯罪。
第三,工控安全风险造成的后果更为严重,不仅会造成设备故障、系统瘫痪、生产停滞,甚至还能引发安全事故,造成环境污染,导致人员伤亡。 去年俄乌冲突升级推动了大规模、有组织的黑客攻击事件,使工业领域威胁格局发生重大变化,针对国防工业领域的高级可持续攻击(APT)向全球蔓延,特别是能源行业被锁定为重点攻击目标。例如去年乌克兰能源公司DTEK、俄罗斯石油生产商Rosneft、石油管道运输公司Transneft、天然气公司GazpromNef等均遭到黑客攻击,导致大量数据被窃取,生产运营遭受严重影响。
可以看出,随着工业领域数字化、网络化、智能化与服务化的加速发展,网络安全威胁正向工业领域加速渗透,网络攻击手段日趋复杂多样,工控安全整体面临的挑战也日益严峻,突出表现在以下方面:
1.封闭的OT环境走向开放促使风险加剧
随着工业企业加速应用各种数字化解决方案和工具,原本封闭的OT环境正走向开放,工业控制系统边界逐渐模糊,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。其中,企业系统门户洞开,未建立安全防线、缺少工业控制系统信息安全仿真验证环境,工业控制系统“带病上岗”等安全状况层出不穷。
2.工控设备和系统基础防护能力薄弱
工业安全相较于传统信息安全而言,呈现出“倒三角”(底层设备复杂,上层管控单一)的特点。许多控制设备及系统在设计之初更倾向于确保其实际功能,在安全防护方面反而考虑较少,导致OT设备及系统普遍存在安全漏洞,控制协议、控制软件等也缺少诸如认证、授权、加密等安全功能,整体先天具有脆弱性。
工业企业普遍存在重发展、轻安全的现象,对工业信息安全缺乏足够的重视,大多仅停留在表面以及口号上,缺乏有效的信息安全管理机制与应对措施,资金与人员投入也不足,造成工业信息安全防护能力滞后于工业发展能力。IBM Scecurity曾针对370家拥有OT环境的工业企业进行了调研,结果显示有74%的受访者没有进行OT风险评估;78%的受访者没有针对OT系统的特定安全策略。这意味着绝大多数工业企业都并未就如何应对OT网络安全风险做好准备,一旦遭遇网络威胁和攻击,很容易因此受到严重影响。
对于很多工业企业而言,既懂信息安全又熟悉工业系统环境的专业人员严重匮乏,制约着信息安全意识与防护技术的提升;另一方面由于工控设备须保证7*24小时高可用性,往往不允许频繁调试,即使发生了设备故障或者安全事故也必须在极短的时间内恢复,也增加了工控安全防护上的困难。
02
工控安全建设主要经历了三个发展阶段:边界隔离阶段、单点防护阶段和纵深防护阶段。
第一阶段: 边界隔离阶段。在这一阶段,工业企业开始关注工控系统的安全运行,安全防护重心主要在网络边界隔离,通过防火墙、安全网关及专用网闸等安全设备将生产网、办公网及互联网进行有效隔离等。这一阶段的工控安全产品和能力建设还处于早期阶段,用户对应用专业工控安全产品的意识也刚刚起步。
第二阶段: 单点防护阶段。在这一阶段,工控安全产品应用开始成熟,企业在实现工控安全边界隔离的基础上,开始通过部署单点式工控安全产品来提升安全防护水平并解决监管合规的要求。单点防护产品基本技术架构逐渐成型,产品形态也趋于成熟和完善,能力基本可以覆盖工控系统的基础设施安全、体系结构安全、系统自身安全、安全可信防护等方面。
第三阶段: 纵深防护阶段。网络安全需要体系化防护已成行业共识,在工控安全领域,从单点安全能力建设转向体系化纵深防护也是行业发展的必然趋势。工业企业在业务发展和技术进步的驱动下,在单点防护逐步完善的基础上,需要尽快考虑如何以体系化管理、自动化运维、智能化感知等方式来建立工控安全的纵深防御体系,并考虑如何在工业互联网环境下应对工控安全的新形态。
工控系统安全的核心任务是保证生产操作指令正确下达、实时有效,并确保生产指令、生产要素、生产活动得以依托工控网络快速开展。而工业数据是现代工业信息化的核心,任何一家工业企业的日常生产运营都对工业数据有着高度的依赖性。对于工业企业来说,诸如生产工艺参数、设备配置文件、设备运行数据、生产数据、控制指令等工业数据是影响企业生产活动的关键业务数据,这些数据的安全性直接关系到企业生产线的稳定运行,数据的篡改、丢失或错误都可能造成整条生产线的停产,直接影响企业生产计划的实施,进而损害企业的经营效益。特别是对于电力、军工、核能、水务等一些关系国计民生的关键企业,工业数据的泄露甚至会影响国家安全。
为保障生产链路的实时贯通以及工业数据的安全性,要依靠工控安全防护技术进行全方位防御,主要涉及到图3中的关键核心技术。目前从市场上的产品来看,可分为六大基础领域,包括终端安全、网络安全、应用安全、身份与访问管理、物理安全、数据安全;再加上安全方案与集成、安全运维、风险评估、渗透测试、应急响应、攻防对抗、攻防靶场、培训认证、安全意识教育十大网络安全服务。
从技术领域来划分,工控安全产品可以分为四类,防护类产品、监测类产品、审计类产品和管理服务平台类产品:
◉ 防护类产品主要包含的技术点有白名单机制、工控防火墙、物理隔离、漏洞扫描、访问控制。
◉ 监测类产品中常见的工控安全监测分析技术手段主要包括基于特征库匹配、基于流量分析和基于工控协议解析。
◉ 审计类产品中根据审计对象,安全审计又可分为主机安全审计、网络安全审计、数据库安全审计、业务安全审计和运维安全审计。
◉ 管理服务平台类产品一般采用综合的防护方式,从而为用户提供统一的管理平台。
图4 工控安全关键核心技术及国内主流厂商 (图源:善金资本)
1、防护类产品技术
白名单机制: 作为防护类产品中常见的技术之一,白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。“白名单”安全机制是一种安全规范,既应用于防火墙软件的设置规则中,也应用于实际管理中,例如在对设备进行实际操作时,需要使用指定的笔记本、U盘等,未经授权的行为将被拒绝。
由于工控系统在建设完成投入运行之后,其系统将基本保持稳定不变,因而很容易获得系统合法的白名单。通过这种方式能够识别由于感染病毒或者受到攻击而产生的各种异常状况,即防护软件对准备启动的进程进行认证,与预先存储好的进程白名单进行对比,进程在白名单中的才可启动,不在白名单内一律禁止。
工控防火墙: 工控防火墙不同于普通防火墙,是一种更为先进的针对工控系统设计的防火墙产品。工控防火墙是一个专用的硬件或软硬件解决方案,通过一系列规则,对传送到控制网络信息流实施允许或拒绝。与普通防火墙相比,工控防火墙除了具有通用协议过滤能力外,还应具有对工业控制协议的过滤能力,同时,它比传统防火墙具有更高的环境适应能力,更高的可靠性、稳定性等要求。
数据防泄漏: 对于很多工业企业而言,数据是企业的重要资产,数据防泄漏可以通过数据库加密实现核心数据加密存储,可以通过数据库防火墙实现批量数据泄漏的网络拦截,也可以通过数据脱敏实现外发敏感数据的匿名化,这些数据库安全技术可以实现数据防泄漏问题。《数据安全法》等法律法规的实施,则进一步将工业企业数据保护提到了新的高度。
2、监测类产品技术
基于特征库匹配,通过对工控网络中传输数据与所积累入侵模型进行对比,如具有一致性则判断为入侵行为从而产生报警;基于流量分析,通过采集分析工控网络中的原始通信报文,进行2-7层解码分析,对异常流量进行实时检测和流向跟踪;基于工控协议解析,针对OPC、S7、Modbus等主流工控协议进行深度解析还原,发现存在的安全漏洞。
工业安全产业联盟则提出了工控安全监测分析系统架构:采用前端分布式监测采集(智能采集探针)与后台集中式综合分析(数据分析中心)的系统结构,充分发挥网络监测探针强大的数据采集、存储与分析能力,提供数据平面与控制平面全面的监控指标与可视化分析。
3、审计类产品技术
主机安全审计顾名思义就是对单台主机的安全审计。 这是较基础的审计也是较复杂的审计,因为主机几乎是所有业务系统的承载体,主机安全关系重大,同时主机也是最通用的计算单元,功能最复杂,接口最多,需要审计的内容和格式也多种多样。等保2.0要求的安全计算环境的审计,大部分可以算作主机安全审计的范畴。为了拿到最可靠的审计证据,主机安全审计一般需要在主机上安装代理软件来采集数据进行审计。主机安全审计的内容很多,但是又需要严格控制对主机系统资源(CPU、内存、硬盘等)的占用,避免影响正常业务运行。
网络安全审计是针对网络访问或网络通信的审计。 现在几乎所有的业务系统都要使用网络,几乎没有基于单机的业务系统了,所以网络安全审计也是非常重要的一个审计类别,和网络相关的所有信息都可以纳入审计的范围。
数据库安全审计的概念相对比较新,近几年因为数据安全相关问题被频繁暴露出来,大家开始重视数据库的安全审计工作。 数据库安全审计主要针对常见数据库(比如:SQL Server、Oracle、MySQL、MongoDB等)的各项操作进行审计,比如增、删、改、查等操作。数据库服务器相关的内容都可以列入审计范围。
业务安全审计是对业务系统应用过程的审计。 业务系统一般包括服务器、网络设备、应用系统、数据库系统、客户端等,所以业务安全审计需要融合主机安全审计、网络安全审计、数据库安全审计和运维安全审计等功能,一般需要定制开发,针对业务系统用户在系统中的操作行为进行记录和审计。另外,为减少应用系统因审计而产生的性能降低,可以配合第三方审计系统(比如日志审计)来完成审计工作。业务安全审计是融合多种内容的审计工作。
运维安全审计是一种特殊的业务审计,主要包括2种:堡垒机接入审计和KVM接入审计。 堡垒机是运维人员通过网络远程接入的代理,KVM则适用于运维人员在机房直接操作其他服务器。运维审计以应用层代理的方式运行,获取应用层网络协议,进行还原分析,在重新打包提交给目标主机。运维安全审计的数据采集方式比较直接,作为代理,可以获得加密前的数据,所以运维安全审计可以获得更多的审计证据。
4、管理服务平台类产品
工控安全管理平台包含设备和应用的监控与管理,提供统一的管理平台,全面直观的网络拓扑结构能够帮助用户快速定位网络故障,及时发现网络流量异常,系统能对网络中的关键节点性能提供全面监控和告警,主动监控应用服务的状态和性能。平台广泛应用于石油、石化、电力、化工、制造等行业的工业控制网络,大大提高了工业控制网络通讯可控性与可信性,确保了生产系统的稳定可靠。
APT防护(高级持续性威胁防护): 大多数恶意软件会执行快速的破坏性攻击,但 APT 采用不同的、更具策略性和隐蔽性的方法。攻击者通过木马或网络钓鱼等传统恶意软件入侵工控系统,如工厂中的一台PLC或网关后,但之后会掩盖自己的行迹,在整个网络中秘密移动并植入其攻击软件,在长达数月甚至数年的时间中,持续不断地提取数据。用户可以采用恶意代码检测、主机应用保护、网络入侵分析、大数据分析检测等综合手段进行防护。
应急响应: 制定行之有效的应急响应策略,能够帮助工业企业在发生突发/重大信息安全事件时,第一时间提供包括抑制止损、事件分析、业务损失评估、系统加固、事件溯源的应急响应服务,尽可能的减小和控制信息安全事件造成的损失,提供有效的响应和恢复指导,并努力防止安全事件的发生。
云安全: 随着国内工业互联网的深化应用,工业企业需要在云平台上实现一种“工业操作系统”,从系统安全生产管理的角度协同资源、业务与安全。根据资源、数据、流程、业务的安全等级,在云平台中设计安全域,从可靠性、实时性和性能等方面设计安全域的信息安全通信等级。
03
随着全球工控安全事件频发,工控安全形势日益严峻,全球工控安全市场需求显著提升,市场规模也不断扩大。而市场规模扩大的背后,则是国内外众多不同背景的工控安全厂商纷纷涌入:
Fortinet(飞塔): 传统IT安全领域厂商,较早将业务范围拓展至工控安全领域。2019年Fortinet提出了Operational Technology(OT)安全架构,并与自身IT安全解决方案融合形成Fortinet Security Fabric工控安全整体解决方案,帮助企业构建全面、智能、弹性的OT安全体系,建设可信任的OT数字空间,实现网络微分段、资产全面可视化、设备准入控制、高级威胁防御,并借助主动安全、OT安全态势感知平台,保护企业数字化转型。
Symantec(赛门铁克): 传统IT安全领域厂商,近年来加速拓展至工控安全领域,目前有两大防护系统和一个安全分析平台,包括面向工业控制系统安全的神经网络解决方案ICSP Neural。该解决方案是业内首个神经网络集成型USB扫描站,能够全面确保企业关键基础设施的安全防护。
McAfee(迈克菲): 传统IT安全领域厂商,较早将业务范围拓展至工控安全领域,解决方案主要集中在网络安全方向,同时利用动态白名单机制,保护客户的动态干重,多区域保护等。目前,McAfee已为超过6亿个端点提供保护,使其能够收集有关网络攻击的大量数据,这些信息反过来又有助于提高其安全能力。2021年3月,McAfee宣布将企业业务部分以40亿美金出售给Symphony Technology Group。
Cisco(思科): 综合的IT解决方案供应商,深耕工控安全领域多年,解决方案覆盖攻击发生前、中、后全生命周期。在攻击发生前可提供ASA防火墙,ASA下一代防火墙,ISE身份认证引擎技术和VPN解决方案;攻击发生时可提供下一代入侵防御,邮件安全,Web安全解决方案;攻击发生后可提供恶意软件防护和异常流量分析解决方案。
Siemens(西门子): 全球工业自动化巨头之一,企业工控系统的主要供应商,旗下完善的产品线使其在工控市场积累了领先优势并沉淀形成了自身工控安全能力,对协议的理解和解析是其独有优势,强调纵深防御,多层次防护。西门子的控制与驱动技术中,例如CHEMSTAR 电机、变频器和 IDS 等,也集成了安全技术。西门子驱动技术还针对极端条件配套有防爆功能和大量的各种认证,具备最高能效等级,通过将现场数据集成到控制系统,转化成有用信息,实现整个工厂的安全控制。
Schneider Electric(施耐德电气): 全球工业自动化巨头之一,企业工控系统的主要供应商,主要致力于提升企业整体安全性,创新推出了自上而下的三级终身防御体系,包括设备级、系统级和管理级三级形成纵深防御,涉及安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大安全防御步骤。
Tofino(多芬诺): 加拿大专业的工控安全厂商,以其工控系统防火墙作为主打产品,国内有厂商已经代理其产品,目前主要应用在石化等多个行业内,多芬诺的防火墙基于内置工业通讯协议的防护模式,不仅是端口上的防护,更是基于应用层上数据包的深度检测、协议解析,属于新一代工业防火墙。
Codenomicon(科诺康): 芬兰的专业工控安全厂商,主要是专注于漏洞发掘,其测试技术在工控安全领域具有较高的优势,其测试解决方案能够重点对测试目标的相应进行分析,并且通过自动分析定位等方式分析问题所在。
Honeywell(霍尼韦尔): 是一家业务多元化的综合自动化公司,霍尼韦尔提出安全管理系统有助于最大限度地减少事故并最大限度地提高产量,同时确保工厂安全。安全管理系统集成了过程安全数据、应用程序、系统诊断和关键控制策略,确保合规性、提高系统可靠性并增加正常运行时间,从而打造更安全、更高效的生产环境。
ABB: 全球工业自动化巨头之一,企业工控系统的主要供应商,在其ABB Ability数字化平台中,专门推出了面向关键工控系统保护和资产安全套件Cyber Security Workplace(CSWP),能够将ABB和第三方安全解决方案整合到一个简单但全面的数字化平台中,使运营团队能够更轻松、更科学地制定决策并提升工业自动化系统的安全性。ABB在网络安全和工业过程控制两大领域拥有丰富经验,对于在流程中对工控系统实施网络保护,ABB编写制定了《生产型企业的网络安全》白皮书。
Palo Alto Networks(派拓网络): 传统IT领域安全厂商,率先提出下一代防火墙(NGFW)解决方案,共8次荣获 Gartner 网络防火墙魔力象限领导者称号,拥有超过69,000家下一代防火墙客户。除了为工业企业强化SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙等功能外,派拓网络还打造了STRATA、Prisma和Cortex三大产品平台战略,帮助工业企业将安全工具动态整合,以保证网络通信的端到端可视性,以及全面的安全策略控制和管理功能。
IBM: 综合的IT解决方案供应商,同时也是全球领先的企业安全服务提供商。IBM专门推出了用于应对OT安全战略的IBM Security解决方案,帮助工业企业了解业务、定义风险并制定战略,并通过执行OT和ICS设备发现,进行安全架构审核,执行数据发现、分类和分析,实现数据与终端的安全、制定OT安全事件响应计划。
Nozomi Networks: 初创工控安全厂商,旗舰产品 SCADAguardian 通过机器学习和行为分析来实时检测零日攻击。当与防火墙和SIEM集成时,ICS事件报警和通知系统使得操作人员能够快速对报警做出响应。目前,Nozomi Networks在能源,制造,采矿,运输,公用事业和关键基础设施等1,400多个工业企业中安装、支持和保护数十万个设备。
Waterfall: 以色列专业工控安全厂商,专注于工控边界防护领域,主要产品是工控网闸,支持主流的工业协议和应用,其解决方案被监管和政府机构中广受好评,大量地降低了政府和合规监管在关键基础设施等领域的成本和复杂性。
Checkpoint(捷邦): 传统IT安全领域厂商,较早将业务范围拓展至工控安全领域,在ICS/SCADA网络安全领域提供先进的威胁防御,加固设备选择和综合协议支持去保障关键基础设施,例如提供SCADA流量的全面可视化和精细管理,具有SCADA感知威胁检测和预防的全面安全性。
Indegy: 以色列初创工控安全厂商,提供可视化操作和控制面板技术,确保运营安全,防止网络攻击、内部员工恶意操作以及运营操作失误等情况发生。旗舰产品Indegy监测器可以锁定工业控制系统内的所有数据,并开发控制层协议支持实时监测各种工业控制系统配置变化。
Trend Micro(趋势科技): 传统IT安全领域厂商,较早将业务范围拓展至工控安全领域。为构建全方位的工控安全防护,趋势科技与Moxa携手成立了TXOne Networks,致力发展OT安全方案,有效反制层出不穷的蠕虫病毒、APT Ransom或Coin Miner,2015年被亚信安全收购。
《中国工业信息安全产业发展白皮书(2021-2022年)》显示,2021年我国工业信息安全产业规模为168.43亿元,同比增长32.94%。约有373家国内企业涉及工业信息安全业务,同比增长17.3%。其中包括和利时、浙江中控、安控科技、华为、科远智慧、力控华康、海天炜业、奇安信、绿盟科技、深信服、新华三、蓝盾股份、启明星辰、网御星云、得安信息、天地和兴、天融信、英赛克科技、威努特、安恒信息、中科网威、圣博润、网藤科技、珞安科技、木链科技、立思辰、珠海鸿瑞、六方云、长扬科技、瑞星网安、卓识网安、天空卫士、三零卫士、安策科技、中油瑞飞、南信瑞通、博智软件、谷神星、天地和兴、安点科技、亚信安全等。
从历史背景来看,其中既有传统的IT领域安全厂商拓展工控安全解决方案,如趋势科技、奇安信、绿盟科技、立思辰、中科网威、三零卫士、天融信、瑞星网安等;也有立足自动化控制等业务的自动化厂商培养工控安全能力,如和利时、浙江中控、力控华康、海天炜业、珠海鸿瑞、天裕科技等;以及IT系统集成商/网络供应商通过合作、OEM等方式推出工控安全产品,如华为、新华三、中油瑞飞、南信瑞通等;最后是专注于工控安全领域的厂商,如六方云、威努特、木链科技、天地和兴等。
①自动化背景厂商
这类厂商原来从事自动化相关的业务,后来看好工控安全的市场机遇,成立工控安全部门或子公司进入工控安全领域。典型厂商包括:青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司、珠海市鸿瑞软件技术有限公司、中京天裕科技(北京)有限公司。这类公司的特点是对工控系统有比较深刻的理解,包括青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司在工控安全市场上有较大的影响力,珠海市鸿瑞软件技术有限公司在电力行业有较大的影响力。
图6 自动化背景主流厂商对比
②IT安全厂商
这类厂商原来从事IT信息安全的业务,工控安全作为信息安全市场的一个新兴的细分市场得到关注,成立工控安全部门进入工控安全领域。典型厂商包括:启明星辰信息技术有限公司/北京网御星云信息技术有限公司、北京神州绿盟信息安全科技股份有限公司、北京中科网威信息技术有限公司、上海三零卫士信息安全有限公司。目前启明星辰信息技术有限公司、北京神州绿盟信息安全科技股份有限公司在工控安全市场上有一定的影响力。
图7 传统IT安全主流厂商对比 (图源:鹏越网络安全研究院)
这类厂商基本属于近年来成立的公司,综合了信息安全与自动化方面的人才,100%专注于工控安全领域。典型厂商包括:北京六方云科技有限公司、北京威努特技术有限公司。这类公司的特点是专注,他们的业务全部聚焦在工控安全领域,工控安全业务的成败决定了公司的生死存亡,因此能够全力投入,并深耕工业互联网、智能制造中的核心使能技术。
图8 专业工控安全主流厂商对比 (图源:鹏越网络空间安全研究院)
④IT系统集成商/网络供应商
此类厂商主要是根据市场需求整合自身产品线,强化自身的整体解决方案供应能力。例如华为技术有限公司、新华三集团、北京中油瑞飞信息技术有限责任公司等。虽然安全业务在此类厂商整体营收中占比并不高,但由于自身体量巨大,在整体工控市场上也有一定的话语权。以华为为例,防火墙是华为网络安全的主线产品,连续8年入围国际Gartner象限,并多次获得UTM防火墙中国市场份额第一的成绩。
图9 IT系统集成商/网络供应商厂商对比
04
1、海天炜业:Guard工业防火墙保障生产网络安全
江苏某石化企业已完成基于实时数据库应用的MES系统建设,实时数据库的建立是以采集过程控制系统的数据为前提,这就需要MES的信息网络必须要实现与控制网络之间的数据交换,控制网络不再以一个独立的网络运行,而要与信息网络互通、互联。MES系统实施后,生产网络与管理网及办公网之间有着大量数据的读取、控制指令的下置、计划排产的下发。生产网与外网的互联互通是一种趋势也是一种必需,但办公网及外网的应用复杂,多样性强。
感染病毒及恶意程序的机率大,生产网的开放,势必对PI数据库的数据完整性、保密性、安全性形成挑战,对DCS、PLC控制系统形成严重的安全威胁,如果系统受到攻击或感染病毒后,使得DCS或PLC控制发生故障,压力、温度、流量、液位、计量等指示失效,检测系统连锁报警失效,或各类仪表电磁阀制动空气及电源无供给后,一旦重大危险源处于失控状态,后果不堪设想,将危急现场操作人员甚至工厂附近人群的生命安全。
Guard工业防火墙是海天炜业联合中科院软件所共同推出的一款自主工控网络安全防护产品,也是首批荣获国家发改委资金支持的工业防火墙,属于新一代工业协议增强型防火墙,通过区域隔离、通讯管控、实时报警,为工业通讯提供独特的、工业级的专业隔离防护解决方案。针对江苏某石化企业的网络结构及要求,海天炜业分别在如下几个安全薄弱环节及功能网络边界部署工业网络安全产品,达到多层面分重点的网络安全防护目的。海天炜业所提供的是基于网络安全、网路安全、关键设备安全需要的解决方案,能深层保障工业通讯安全,有效防止蠕虫、病毒的传播和扩散,从而创建“本质安全”的生产控制网。
①控制系统网络安全防护
在控制器入口端部署控制器防护设备,能够识别针对控制器的操控服务指令(包括组态服务、数据上传服务、数据下载服务、读服务、写服务、控制程序下载服务、操控指令服务等),并能够根据安全策略要求对非法的服务请求进行报警和自动阻断。使用工业防火墙对控制器进行安全防护,一方面通过对源、目的地址的控制,仅允许工程师站和操作员站可访问控制器,且对关键控制点的读写权限加以严格限制,保障了资源的可信与可控,另一方面,通过对端口服务的控制,杜绝了一切有意或无意的攻击,最后通过“白名单”机制,仅允许OPC 等专有协议通过,阻断一切 TCP 及其它访问,从而确保控制器的安全。
②网路边界防护
在OPC Server与数据采集服务器之间加装Guard防火墙,对OPC Server进行防护,保护采集到的数据在传输中不被病毒篡改及删除。在OPC Server与数据采集服务器之间加装Guard防火墙,对OPC Server进行防护,保护采集到的数据在传输中不被病毒篡改及删除;将生产管理系统MES所在数采网与控制网隔离,Guard工业防火墙插件能够过滤两个区域网络间的通信,防止数采网或者控制网中节点感染病毒后,在数采网和控制网之间互相传播。
③关键设备防护
在控制网内部,操作站安装的操作系统为Windows系统,工程师站、操作站与DCS控制器使用OPC协议进行通讯,一旦感染针对OPC协议的病毒,将极易导致DCS控制器误动作或出现故障,危险性较大。如果工程师站、操作站感染了普通的网络病毒也会造成控制系统网络拥堵或崩溃。因此在控制网内部,重点对工程师站、操作站进行安全防护,对进入和出去的访问行为进行有效的控制,防止非授权行为的任意接入,避免发生网络恶意行为对工程师站、操作员等关键系统的破坏性和非法操作。在中控室现场,海天炜业的工程师严格遵守项目实施流程,规范施工。
①项目场景:
电力监控系统作为水电厂生产系统中最为核心的系统之一,其信息安全可靠与否直接关乎电力生产的安全稳定运行。为提高水电厂电力监控系统的网络安全强度,防范黑客及恶意代码等对电力监控系统的攻击及侵害。绿盟科技结合多年在工控系统安全领域的安全防护经验,为发电企业提供电力监控系统工控安全防护全方位的信息安全解决方案,保障电力监控系统安全稳定运行。
②解决方案:
遵循《电力监控系统安全防护规定》、国家信息安全等级保护制度基本要求开展全面的安全防护建设工作。绿盟科技作为本次项目的系统集成服务厂商,为水电厂提供涵盖工控系统主机与边界安全防护、机房动态环境监控系统建设、工控系统信息安全制度梳理等全方位安全建设服务。水电厂工控信息系统安全防护建设方案如图10所示,主要防护工作包括:
工控系统边界防护: 工控安全审计、入侵检测系统、工业防火墙、安全监管平台。
工控系统主机加固: 在上位机上部署终端保护与管控软件。
机房动环监控系统建设: 在通讯、电力监控和集控中心机房部署动态环境监控系统,向客户提供一套可靠的、使用便利的监控管理平台,实现机房设备与环境精细化管理提供有效支撑平台。
工控系统安全制度梳理: 依据电力监控系统等级保护基本要求,从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面开展公开系统安全制度梳理工作。
图10 新源风电场电力监控系统
3、威努特:轨道交通综合监控系统等级保护(三级)安全解决方案
①背景概述:
城市轨道交通是城市公共交通的主干线,客流运送的大动脉,是城市的生命线工程,将直接关系到城市居民的出行、工作、购物和生活。同时,城市轨道交通的作用不仅仅在于提高居民效率,更能够能带动工业、运输、房地产等相关产业的发展,对当地的经济促进有着重要的作用。作为国家关键信息基础设施,为防止发生网络安全事件导致不可接受的后果,城市轨道交通业务系统应按照国家相关法律规定,进行等级保护建设,增强抵御网络安全风险能力,保障城市轨道交通的安全、稳定运行。
②解决方案:
建设目标: 符合等级保护三级基本要求。
核心理念: 工控网络“白环境”。
体系架构: 基于“一个中心、三重防护”的纵深防御。
图11 轨道交通综合监控系统
安全区域边界: 轨道交通业务系统与外部系统接口边界处部署工业防火墙和入侵检测系统,通过运用“白名单+智能学习”技术,建立工业网络通信“白环境”,仅允许正常业务数据穿过阻止任何来自安全区域外的非授权访问,有效抑制病毒、木马在工控网络中的传播和扩散,实现外部系统的边界隔离和已知网络威胁防护,保证轨道交通业务系统区域边界安全。
安全通信网络: 在轨道交通业务系统冈络关键节点部署工控安全监控与审计系统,通过“白名单+智能学习”技术,建立安全通信模型,实时检测网络当中的网络攻击、用户误操作、用户违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并告警,同时详实记录一切网络通信行为,保证轨道交通业务系统通信网络安全。
安全计算环境: 在轨道交通业务系统中各个主机、服务器安装工控主机卫士软件,开启程序白名单功能,禁止非可信任程序运行,开启外设管控功能、对非安全移动介质禁止接入,开启双因子认证功能,对关键主机管理员进行认证,开启安全基线及访问控制功能,最大限度保证轨道交通业务系统主机安全。
安全管理中心: 在控制中心划出独立的安全管理中心区域、部署安全管理平台、工控漏洞扫描平台、日志审计与分析系统、安全配置核查系统和安全运维管理系统,通过对轨道交通业务系统的安全设备进行集中管控,并对日志数据、告警数据等进行集中分析,同时对系统管理员、安全管理员、审计管理员进行身份鉴别及权限管理,实现轨道交通业务系统的管理安全。
05
在不断爆发的工控安全事件面前,工业企业已经意识到了工控系统安全的重要性。正在或者计划加大力度,完善提高工控安全技术和管理水平。然而由于工控系统的稳定性需求高、信息资产更新迭代慢,以及工业环境特有的复杂性和敏感性,很难一劳永逸地全面解决工控安全问题。企业需要关注以下技术发展和应用趋势,逐渐完善自身工控安全防御体系,全力保障工业控制系统安全。
1. 以业务数据为核心的安全能力建立
随着大数据、云计算、数字孪生等新兴技术的深化应用和交叉融合,促使工业企业更加强调生产高效、低耗、业务联动等特点。贯穿企业研发、生产全生命周期数据,在准确度、时效性、防篡改、防抖动等方面需求是极为迫切的。由于生产的输入和输出,完全基于数据的信息流的完整程度和准确程度。因此,结合工艺的业务数据,同时也包括基于工业企业资产的数据,就成为工业企业安全建立的核心,也是技术和管理双向保障企业安全的基础。
2.从单点防御到全方位体系建设
对于工业企业而言,一个科学、完善的防护体系非常重要。从过往安全事件来看,企业不仅需要加强安全风险的发现、管理与动态处置能力的建设,还需要加强深度防御,及安全事件的关联分析与安全预警机制的建设,形成安全事件的快速反应、快速处置体系。企业需要一改往日的单点防护模式,而以全局性思维考虑平台化、体系化的安全架构。
3.加快人工智能等最新安全技术应用
工业安全防护作为防守方需要“补课”的地方很多,如果仅仅把传统的IT安全防护产品加上一些OT的功能和特性,是远远不够的。从数字孪生到人工智能,工业企业在新技术应用下正呈现出前所未有的速度,如果在OT安全防护上慢慢补课,势必导致差距越来越大,因此企业工控安全防护必须有前瞻性,用目前最先进的理念和技术应对OT安全。
4.相关标准完善下对企业合规性提出具体要求
近年来,国家对于工控安全越发得到关注与重视。在国家层面,《工业控制系统信息安全防护指南》、《网络安全法》、《信息安全技术网络安全等级保护基本要求》、《工业互联网行动发展计划》、《关键信息基础设施安全保护条例》、《工业信息安全标准化白皮书》陆续出台。例如《工业信息安全技术洞察》全面梳理了相关法规和标准,并以此为背景对工业系统网络的演变,以及信息安全的护航作用进行了阐述。对标这些合规性要求,工业企业可以理清究竟自身所处工控安全到底存在什么问题、有什么缺陷和风险、需要提高到什么样的水平。此外,一些重大专项也对申报企业提出了具体的安全要求,让安全合规成为企业迈向智能制造不可或缺的环节。
06
近年来,工业领域安全事件的不断频发、数字化转型大背景下IT与OT融合的持续加深,政策监管力度的不断增强都在驱动着中国工控安全市场的发展。其中,除了传统的网络安全技术外,工控防火墙、工控网闸、工控安全审计、工控安全管理平台等产品均迎来了市场的快速发展期。IDC最新发布的《全球OT安全预测,2022-2026》报告显示,到2026年,全球工控安全市场规模将达到67.6亿美元,年复合增长率将达到28.4%。
根据嘶吼安全产业研究院公开的数据及多家企业访谈的结果显示,工控安全产业2023年将步入高速发展期,到2029年市场相对饱和,生态环境逐渐成熟,产业链布局清晰,厂商间建立完备的商业合作模式且拥有较高认可度和信任度的产品或服务。
图13 中国工控安全未来产业发展阶段及其特点分析图 (图源:嘶吼安全产品研究院)
工控安全市场将呈现出即定制化、场景化、国产化、体系化、智能化、内生化、融合化、服务化和多元化九大趋势。定制化即提升二次开发对接与快速集成能力,为行业客户提供工控安全可定制化的产品/服务;场景化即持续开发、赋能新场景应用,比如在物联网、工业互联网、新基建等方面,满足其安全需求;国产化即支持全线的国产化安全产品,从芯片-内存-主板组件-整体产品和操作系统,实现自主安全可控;内生化即构建具有内生安全能力的工控系统建设,防御未来威胁;
智能化即结合人工智能与深度学习,在工控智能安全运营、工控智能安全产品进行探索;体系化即拓展以工控安全管理平台、审计、防火墙和主机卫士组成的最小化防御体系;融合化即与工控安全生态圈的融合、IT和OT的深度融合、与行业业务的深度融合等;服务化即工控安全的未来重点是中小企业,通过SaaS化的产品实现对其安全的降本增效;整合化即以产业园区形式整合工控安全相关行业资源,打造产学研用协同创新发展平台并推广。
图14 中国工控安全未来市场九化趋势 (图源:嘶吼安全产品研究院)
参考文献:
[1]电子技术与软件工程.工业控制系统网络安全综述
[2]计算机研究与发展.工业控制系统安全综述
[4]安全牛.珞安科技关勇:以体系化视角看新一代工控安全建设的难点与要点
[6]谛听.2022年工业控制网络安全态势白皮书
[7]GoUpSec.2023年中国网络安全行业《工控安全产品及服务购买决策参考》发布
[9]嘶吼安全产业研究院.致虚极.守静笃:工控安全产业竞合力洞察报告2022
[11]基石创投.工业控制安全行业研究报告
[12]i黑马.央国资10亿战投威努特,中国工控安全将迎来下半场?
[13]鹏越网络空间安全研究院.工控安全专题系列(4)——国内top工控安全厂商对比分析
[14]启明星辰集团.从Cybersecurity Ventures创新榜单解读工控安全技术
[15]威努特工控安全.威努特11项第一!入围《工控安全产业竞合力洞察报告》30个细分领域