get最IN工控安全技術，看匡恩網絡權威報告

2017年伊始，匡恩網絡釋出了《2016年工業控制網絡安全态勢報告》(以下簡稱 “報告”)，匡恩網絡已連續三年撰寫并釋出報告。報告全面介紹了國内外工控系統網絡安全發展現狀以及目前所面臨的主要問題，并在這些問題基礎上提出了針對性的對策與建議。以下我們将從技術次元重點解讀報告。

見微知著，深挖工控網絡安全

報告開篇以全球視野角度分析了目前工業控制系統相關安全問題。文中指出，随着全球物聯網技術的迅猛發展，工業控制系統安全逐漸向工業物聯網安全演化，各類工控安全漏洞數量不斷增長造成重大安全事件頻發，全球各國聯網工業控制系統安全面臨嚴重威脅，見下圖所示。

圖9 2016年全球重要工控安全事件分布圖

　　2016年全球重要工控安全事件分布圖

2016年，全球發達國家加快了工業控制網絡安全領域發展的步伐，采取了加大資金投入、制定國家層面戰略規劃和行動計劃、成立國家安全機構和學院、組建網絡部隊等多方面的措施，以提升本國網絡安全保障能力。我國雖然在工業控制網絡安全方面起步較晚，但發展迅速，在2016年先後頒布了《中華人民共和國網絡安全法》、釋出了6項工業控制系統安全相關标準、開展了全國關鍵資訊基礎設施網絡安全檢查和全國工業控制系統安全大檢查等一系列行動。

在産業發展态勢層面，文中對我國工業控制系統發展中面臨的風險與隐患進行了介紹，主要展現在兩個方面：

(一) 聯網工控裝置日益增多，安全隐患日漸凸顯

報告中披露了來源于匡恩網絡工業控制網絡威脅情報中心的統計資料，對我國暴露在網際網路中的工控裝置數量、類型進行了展示，從中我們可以發現聯網裝置中可程式設計邏輯控制器(PLC)數量最多。

此外，從文中工控網絡安全漏洞曆年的增長情況、工控廠商漏洞數量、漏洞類型等詳細的資料統計我們可以感受到，國内主要工控裝置廠商産品的安全性愈發令人擔憂，尤其是PLC、SCADA、上位機軟體的漏洞數量十分驚人，一旦被利用所造成的損失巨大。随着工控系統聯網裝置逐漸增多，潛在安全漏洞數量也逐漸增長，長此以往裝置安全的不可控将成為我國工控網絡安全的隐患點與風險源。

(二)各地區工控安全發展水準差異較大，平均水準偏低

報告中指出匡恩網絡通過工業物聯網安全大資料分析平台，結合近年來多次全國性的安全檢查任務及安全研究和項目實踐經驗，對我國各區域、重點行業的工控網絡安全水準進行了評價與分析。

根據各地區、各行業工控網絡安全綜合指數得分情況，我們不難發現全國各地區在工業控制系統保護措施方面普遍得分較低(平均76)，華北、華東、華中較差，見下圖所示。

各區域工控網絡安全綜合指數統計

　　各區域工控網絡安全綜合指數統計

雖然，我國華東、華北、華中等地區工業、公共設施相對其他區域發達，工業控制系統應用範圍廣、數量大、發展速度快，漏洞、病毒木馬等網絡威脅及基層防護薄弱等問題反而更加突出，是得分較低的主要原因。

另外，我國相關重點行業得分也不容樂觀，大部分地區得分偏低，見下圖所示。

重點行業工控安全綜合指數統計

　　重點行業工控安全綜合指數統計

得分較高的電力、煙草、航空、航天、交通行業受到了國家層面的重視，各方面工作取得了一定的成效，發現的問題也相對較少。得分較低的地區，主要在安全經費、安全事件、安全教育訓練等管理方面存在缺失。

從各地區、各行業工控安全綜合指數結果來看，反映出部分地區、行業面對工控網絡安全工作缺乏全面的認識，在一定程度上限制了工控安全的發展。

匡恩網絡基于自身對工控網絡安全的深入了解，結合全國工業企業網絡安全調研結果所反映的問題進行了總結，主要包括：

普遍存在工控網絡邊界防護機制缺失或無效，已經成為了普遍現象。

在裝置投運前既沒有進行加強處理，也沒有采取補償性控制措施，線上工控系統長期“帶病”運作。

黑客入侵、病毒木馬的網絡攻擊行為在工控網絡中普遍存在，已經成為了破壞工控系統的主要形式。

大量國外工控裝置線上運作，短期難以實作自主可控。

在安全管理問題上主要展現在兩方面，一方面是行業标準體系不健全，缺乏引導和監管依據;另外一方面各機關重視程度不夠，在組織、人員、投入等多方面資源匮乏，在兩方面的綜合作用下安全管理的“死角”、“短闆”頻現。

IN時代，最in技術開啟未來

自工控網絡安全被業界提出以來，國内外工業控制系統網絡安全防護理念經曆了一系列演變，匡恩網絡進行了深入研究，進而提出了工控網絡安全防護的總體思路與實踐參考。

匡恩網絡“4+1”安全防護理念

從匡恩網絡提出“結構安全性、本體安全性、行為安全性、基因安全性、時間持續性”的内涵中，我們可以了解到匡恩網絡把主動防護與被動防護的理念融入其中，同時引入安全防護機制、安全體系發展的思想，在攻擊技術不斷變化的條件下，確定企業的工業控制系統安全保障體系立于不敗之地。

匡恩網絡“4+1”工控網絡安全防護理念

　　匡恩網絡“4+1”工控網絡安全防護理念

匡恩網絡工控網絡安全防護體系

報告中展示了匡恩網絡建構的大型工控網絡安全防護體系，見下圖所示。

匡恩網絡集團化公司整體工控網絡安全藍圖

　　匡恩網絡集團化公司整體工控網絡安全藍圖

匡恩網絡基于“4+1”工控網絡安全防護理念，建立了以“集中管理、分層控制”為原則的持續性防禦體系，适應集團多層級、多元度的管理需求，提供柔性化的管理架構，支援三級機關防護裝置的水準擴充，既保護了客戶硬體投資，又提高了管理效率。

另外，匡恩網絡安全産品秉承了“4+1”工控安全防護理念，采用了“外挂”的部署方式，适應工業環境穩定性、可靠性、完整性以及網絡延時低的要求，提供了系統檢測平台、智能保護平台、檢測審計平台及安全大資料平台等多樣化的産品系列以滿足各行業的不同需求，為客戶提供定制化安全産品，見下圖所示。

　　匡恩網絡由工業控制系統内部生長的持續性防禦體系

此外，匡恩網絡還在安全晶片、可信計算技術方面不斷進行探索，力求向工控網絡安全的更底層技術下沉，聯同廣大安全廠商共同打造綠色産業生态環境。

匡恩網絡PDCA安全環整體服務方案

匡恩網絡基于全生命周期的安全服務方案，囊括計劃準備、方案實施、結果評估和優化提升四大階段，如下圖所示。

匡恩網絡PDCA安全環

　　匡恩網絡PDCA安全環

每個階段都為客戶安全建設提供了豐富的服務内容，其中包括裝置檢測、安全服務、威脅管理、監控審計、智能保護、安全資料庫等多個方面。

持續創新是推動産業發展的不竭動力。匡恩網絡的這些前沿創新技術和定制服務，在關鍵基礎設施、智能制造、智慧城市、軍民融合四大領域的十多個行業深度實施應用，取得了良好的效果和廣泛的贊譽。相信，這些前沿技術與防護理念将為兩化深度融合實施創造更多的可能性。

本文轉自d1net（轉載）