今日頭條
官方微信
官方抖音
資訊頻道 
啟明星辰煙草事業(yè)部技術(shù)總監(jiān) 張曄
工業(yè)控制系統(tǒng)安全管理平臺
經(jīng)過對工業(yè)控制系統(tǒng)的跟蹤研究,啟明星辰正在研發(fā)工控系統(tǒng)安全管理平臺、入侵檢測系統(tǒng)、工業(yè)防火墻、工業(yè)無線安全設(shè)備等。
工控系統(tǒng)安全管理平臺從工控系統(tǒng)可用性監(jiān)控、工控系統(tǒng)行為監(jiān)控、工控系統(tǒng)安全管理三個層面來解決工業(yè)控制系統(tǒng)安全的問題,具體來說通過六大模塊來解決三個層次的問題:工控系統(tǒng)安全監(jiān)控、工控系統(tǒng)流量監(jiān)控、終端安全管理、安全態(tài)勢感知、安全風(fēng)險評估、工控系統(tǒng)運行監(jiān)控。通過這些模塊,工控系統(tǒng)安全管理平臺能夠?qū)崿F(xiàn):全方位的工控系統(tǒng)運行監(jiān)控、關(guān)聯(lián)分析與安全事件準(zhǔn)確呈現(xiàn)、異常流量預(yù)警與分析、可量化的安全風(fēng)險評估、指標(biāo)化的宏觀安全態(tài)勢感知、工控終端安全管理。
我們通過監(jiān)控、審計、風(fēng)險、運維四位一體化安全管理化平臺,實現(xiàn)對工業(yè)控制系統(tǒng)的全面監(jiān)控,通過監(jiān)控實現(xiàn)工控系統(tǒng)可用性可視化以及安全事件精確呈現(xiàn);通過審計實現(xiàn)安全事件精確溯源,時間目的準(zhǔn)確定位;通過風(fēng)險評估實現(xiàn)安全風(fēng)險的可度量;通過運維管理實現(xiàn)安全時間及時報警、安全時間處理與優(yōu)化。從而形成了工業(yè)控制系統(tǒng)風(fēng)險控制的免疫體系!
工業(yè)控制系統(tǒng)安全技術(shù)研究
啟明星辰積極防御實驗室ADLab是國內(nèi)安全業(yè)內(nèi)最早成立的攻防技術(shù)研究實驗室之一。一直秉承“安全源自未雨綢繆”的理念,密切跟進(jìn)國際、國內(nèi)網(wǎng)絡(luò)安全研究的最新進(jìn)展,從事網(wǎng)絡(luò)安全深層攻防技術(shù)的研究。ADLab針對工控系統(tǒng)的信息安全,重點開展三個方面的研究工作:工控系統(tǒng)惡意代碼發(fā)現(xiàn)技術(shù)、工控系統(tǒng)漏洞挖掘技術(shù)、工控系統(tǒng)隱患分析技術(shù)。
工控系統(tǒng)漏洞包括無效的數(shù)據(jù)輸入、認(rèn)證、權(quán)限與訪問控制、配置等。 啟明星辰從逆向分析技術(shù)、模糊測試技術(shù)、程序切片技術(shù)三方面來挖掘工控系統(tǒng)漏洞,取得了一定的成果。近年來,針對工業(yè)控制系統(tǒng)的 “震網(wǎng)”、“Duqu”、“火焰”等惡意代碼不斷涌現(xiàn),為各國的基礎(chǔ)設(shè)施安全運行帶來了巨大隱患,引起了各國的高度重視。啟明星辰也有己獨特的惡意代碼發(fā)現(xiàn)技術(shù),對已知的惡意代碼,采用靜態(tài)檢測技術(shù)進(jìn)行防御; 對于未知的惡意代碼,采用異常流量檢測與驗證技術(shù)、異常協(xié)議檢測與驗證技術(shù)、Sandbox技術(shù)、shellcode技術(shù)進(jìn)行檢測。
工業(yè)控制系統(tǒng)安全解決方案
啟明星辰的工業(yè)控制系統(tǒng)安全解決方案具有兩個基本思路:一是“三層建構(gòu),二層防護(hù)”,二是“全面監(jiān)控,縱深防護(hù)”。同時具有四個核心理念:“單純”化(唯一性,白名單)、 “透明”化、“層次”化、“邊緣”化。基于一個事實 :工業(yè)控制系統(tǒng)安全是傳統(tǒng)IT安全延伸,同時又具有自身顯著的特點。我們把工控系統(tǒng)劃為三層:管理協(xié)同層完成經(jīng)營管理功能;生產(chǎn)制造層完成生產(chǎn)管理功能;工業(yè)控制層完成部件及生產(chǎn)線的監(jiān)測、操作和過程控制功能。根據(jù)這一劃分確定分層、分域、分等級的二次防護(hù)原理。
此外,我們要全面監(jiān)控,首先要對系統(tǒng)的可用性進(jìn)行監(jiān)控,對操作員站、工程師站、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器運行狀態(tài)監(jiān)控功能,如CPU、內(nèi)存、端口流量等進(jìn)行監(jiān)控。對工業(yè)以太網(wǎng)交換機(jī)、PLC等運行狀態(tài)進(jìn)行監(jiān)控。
另外,要對安全事件進(jìn)行全面監(jiān)控,包括病毒木馬事件、異常入侵事件、流量異常事件、非法接入事件、設(shè)備/配置非法變更事件、關(guān)聯(lián)分析事件、無線入侵事件等。HHHH進(jìn)行防御的目是要實現(xiàn)工業(yè)控制系統(tǒng)安全性的升級,打造安全可信的終端(包括操作員站、工程師站、應(yīng)用服務(wù)器)。所以我們對終端進(jìn)行安全優(yōu)化與加固,進(jìn)行統(tǒng)一的安全基線管理。對終端外設(shè)進(jìn)行統(tǒng)一管理,如USB接口,光驅(qū),網(wǎng)卡,串口。 對工業(yè)控制系統(tǒng)進(jìn)行設(shè)備接入準(zhǔn)入控制。對終端中的進(jìn)程、桌面合規(guī)性進(jìn)行監(jiān)控和管理。僅允許已知的通信協(xié)議與終端進(jìn)行通信。終端具有U-Key雙因素強(qiáng)身份認(rèn)證功能。
工業(yè)控制系統(tǒng)安全的未來發(fā)展,要解決技術(shù)問題,也要解決管理問題,我們的遠(yuǎn)景是建設(shè)集安全管理體系、信息安全技術(shù)體系、安全運維體系為一體的安全動態(tài)保障體系。
摘自《自動化博覽》2013年1期
北京市公安局海淀分局備案號:11010802023656號