get最IN工控安全技術，看匡恩網路權威報告

2017年伊始，匡恩網路釋出了《2016年工業控制網路安全態勢報告》(以下簡稱 “報告”)，匡恩網路已連續三年撰寫併發布報告。報告全面介紹了國內外工控系統網路安全發展現狀以及當前所面臨的主要問題，並在這些問題基礎上提出了針對性的對策與建議。以下我們將從技術維度重點解讀報告。

見微知著，深挖工控網路安全

報告開篇以全球視野角度分析了當前工業控制系統相關安全問題。文中指出，隨著全球物聯網技術的迅猛發展，工業控制系統安全逐步向工業物聯網安全演化，各類工控安全漏洞數量不斷增長造成重大安全事件頻發，全球各國聯網工業控制系統安全面臨嚴重威脅，見下圖所示。

圖9 2016年全球重要工控安全事件分佈圖

　　2016年全球重要工控安全事件分佈圖

2016年，全球已開發國家加快了工業控制網路安全領域發展的步伐，採取了加大資金投入、制定國家層面戰略規劃和行動計劃、成立國家安全機構和學院、組建網路部隊等多方面的措施，以提升本國網路安全保障能力。我國雖然在工業控制網路安全方面起步較晚，但發展迅速，在2016年先後頒佈了《中華人民共和國網路安全法》、釋出了6項工業控制系統安全相關標準、開展了全國關鍵資訊基礎設施網路安全檢查和全國工業控制系統安全大檢查等一系列行動。

在產業發展態勢層面，文中對我國工業控制系統發展中面臨的風險與隱患進行了介紹，主要體現在兩個方面：

(一) 聯網工控裝置日益增多，安全隱患日漸凸顯

報告中披露了來源於匡恩網路工業控制網路威脅情報中心的統計資料，對我國暴露在網際網路中的工控裝置數量、型別進行了展示，從中我們可以發現聯網裝置中可程式設計邏輯控制器(PLC)數量最多。

此外，從文中工控網路安全漏洞歷年的增長情況、工控廠商漏洞數量、漏洞型別等詳細的資料統計我們可以感受到，國內主要工控裝置廠商產品的安全性愈發令人擔憂，尤其是PLC、SCADA、上位機軟體的漏洞數量十分驚人，一旦被利用所造成的損失巨大。隨著工控系統聯網裝置逐步增多，潛在安全漏洞數量也逐步增長，長此以往裝置安全的不可控將成為我國工控網路安全的隱患點與風險源。

(二)各地區工控安全發展水平差異較大，平均水平偏低

報告中指出匡恩網路通過工業物聯網安全大資料分析平臺，結合近年來多次全國性的安全檢查任務及安全研究和專案實踐經驗，對我國各區域、重點行業的工控網路安全水平進行了評價與分析。

根據各地區、各行業工控網路安全綜合指數得分情況，我們不難發現全國各地區在工業控制系統保護措施方面普遍得分較低(平均76)，華北、華東、華中較差，見下圖所示。

各區域工控網路安全綜合指數統計

　　各區域工控網路安全綜合指數統計

雖然，我國華東、華北、華中等地區工業、公共設施相對其他區域發達，工業控制系統應用範圍廣、數量大、發展速度快，漏洞、病毒木馬等網路威脅及基層防護薄弱等問題反而更加突出，是得分較低的主要原因。

另外，我國相關重點行業得分也不容樂觀，大部分地區得分偏低，見下圖所示。

重點行業工控安全綜合指數統計

　　重點行業工控安全綜合指數統計

得分較高的電力、菸草、航空、航天、交通行業受到了國家層面的重視，各方面工作取得了一定的成效，發現的問題也相對較少。得分較低的地區，主要在安全經費、安全事件、安全培訓等管理方面存在缺失。

從各地區、各行業工控安全綜合指數結果來看，反映出部分地區、行業面對工控網路安全工作缺乏全面的認識，在一定程度上限制了工控安全的發展。

匡恩網路基於自身對工控網路安全的深入理解，結合全國工業企業網路安全調研結果所反映的問題進行了總結，主要包括：

普遍存在工控網路邊界防護機制缺失或無效，已經成為了普遍現象。

在裝置投運前既沒有進行加固處理，也沒有采取補償性控制措施，線上工控系統長期“帶病”執行。

黑客入侵、病毒木馬的網路攻擊行為在工控網路中普遍存在，已經成為了破壞工控系統的主要形式。

大量國外工控裝置線上執行，短期難以實現自主可控。

在安全管理問題上主要體現在兩方面，一方面是行業標準體系不健全，缺乏引導和監管依據;另外一方面各單位重視程度不夠，在組織、人員、投入等多方面資源匱乏，在兩方面的綜合作用下安全管理的“死角”、“短板”頻現。

IN時代，最in技術開啟未來

自工控網路安全被業界提出以來，國內外工業控制系統網路安全防護理念經歷了一系列演變，匡恩網路進行了深入研究，進而提出了工控網路安全防護的總體思路與實踐參考。

匡恩網路“4+1”安全防護理念

從匡恩網路提出“結構安全性、本體安全性、行為安全性、基因安全性、時間持續性”的內涵中，我們可以瞭解到匡恩網路把主動防護與被動防護的理念融入其中，同時引入安全防護機制、安全體系發展的思想，在攻擊技術不斷變化的條件下，確保企業的工業控制系統安全保障體系立於不敗之地。

匡恩網路“4+1”工控網路安全防護理念

　　匡恩網路“4+1”工控網路安全防護理念

匡恩網路工控網路安全防護體系

報告中展示了匡恩網路構建的大型工控網路安全防護體系，見下圖所示。

匡恩網路集團化公司整體工控網路安全藍圖

　　匡恩網路集團化公司整體工控網路安全藍圖

匡恩網路基於“4+1”工控網路安全防護理念，建立了以“集中管理、分層控制”為原則的持續性防禦體系，適應集團多層級、多維度的管理需求，提供柔性化的管理框架，支援三級單位防護裝置的水平擴充套件，既保護了客戶硬體投資，又提高了管理效率。

另外，匡恩網路安全產品秉承了“4+1”工控安全防護理念，採用了“外掛”的部署方式，適應工業環境穩定性、可靠性、完整性以及網路延時低的要求，提供了系統檢測平臺、智慧保護平臺、檢測審計平臺及安全大資料平臺等多樣化的產品系列以滿足各行業的不同需求，為客戶提供定製化安全產品，見下圖所示。

　　匡恩網路由工業控制系統內部生長的持續性防禦體系

此外，匡恩網路還在安全晶片、可信計算技術方面不斷進行探索，力求向工控網路安全的更底層技術下沉，聯同廣大安全廠商共同打造綠色產業生態環境。

匡恩網路PDCA安全環整體服務方案

匡恩網路基於全生命週期的安全服務方案，囊括計劃準備、方案實施、結果評估和優化提升四大階段，如下圖所示。

匡恩網路PDCA安全環

　　匡恩網路PDCA安全環

每個階段都為客戶安全建設提供了豐富的服務內容，其中包括裝置檢測、安全服務、威脅管理、監控審計、智慧保護、安全資料庫等多個方面。

持續創新是推動產業發展的不竭動力。匡恩網路的這些前沿創新技術和定製服務，在關鍵基礎設施、智慧製造、智慧城市、軍民融合四大領域的十多個行業深度實施應用，取得了良好的效果和廣泛的讚譽。相信，這些前沿技術與防護理念將為兩化深度融合實施創造更多的可能性。

本文轉自d1net（轉載）