关键信息基础设施网络安全产业发展研究报告
前言
自2010年“震网”事件以来,工业控制系统网络安全研究进入了持续的高热度阶段,曝光的漏洞数量从2010年的55个发展到当前的1061个(数据来源:NVD、CVE、CNVD及CNNVD等主流数据库);针对工业控制系统的攻击事件也一直处于高位,2011年200余起,2012年248起,2013年248起(数据来源:美国工控应急响应中心ICS-CERT)。另一方面,Gartner发布的《2016年十大信息安全技术》中指出的工控领域的全新安全模型(Pervasive Trust Services)以及2017 RSA大会上发布的工控态势感知方案,都为技术、产业的发展指出了方向。从产业方面来看,工控安全领域尚处于市场发展早期,厂家数量不断增长,产品线日益增多且多元化,据方正证券估计,市场规模目前为2.25亿元,发展空间较大。
对于我国而言,工业控制系统安全所面临的重要问题是自主可控的问题,我国在工控领域对国外设备和技术的依赖程度强。据中国产业信息研究网调查统计结果显示,全国5000多个重要的工业控制系统中,95%以上的工控系统操作系统均采用国外产品;在我国的工控系统产品上,国外产品已经占领了大部分市场,如PLC国内产品的市场占有率不到1%,工业中用到的逻辑控制器95%是来自施耐德(法国)、西门子(德国)、发那科(日本)等的国外品牌。以扬州市为例,自2014年1月起,在全市范围内启动重点行业重要工业控制系统基本情况调查,统计显示,全市24个企业共计1213个重点工业控制系统,主要分属化工、电力行业和城市公用事业服务领域。德国西门子公司生产的可编程控制器(PLC)和我国浙江浙大中控公司生产的分布式控制系统(DCS)在扬州市工业企业应用广泛,其中德国西门子公司生产的可编程控制器占全部调查企业工业控制系统总数的87%,占全部调查企业可编程控制器应用总数的95%以上。
本报告由『网信防务』顾问团队,通过调查国内在工业控制系统网络安全相关技术产品上作的较为突出的公司,并结合当前最新的相关资料撰写,从作者个人视角,尝试分析了我国自2011年发布451号文件以来,工控网络安全的技术、产品、市场发展脉络,希望可以为相关从业者提供有价值的参考。
关键发现
工业控制系统(以下简称工控系统)是国家基础设施的重要组成部分,也是工业基础设施的核心,被广泛用于炼油、化工、电力、电网、水厂、交通、水利等领域,其可用性和实时性要求高,系统生命周期长,是信息战的重点攻击目标。目前,我国在工业控制系统网络安全技术研究以及产业发展等相关领域处于快速发展阶段,防护能力和应急处置能力相对较低,特别是关键部位工控系统大量使用国外产品,关键系统的安全性受制于人,重要基础设施的工控系统成为外界渗透攻击的目标。
工控系统网络安全产品可以从不同层面协助解决关键基础设施网络安全问题。这包括:提供审查、测评类产品,帮助监管单位对工控系统、工控产品以及工控安全产品进行安全合规性检查;提供数据采集、态势感知类产品,帮助监管、决策部门宏观把握整体工控系统安全形势,制定相关策略,分配安全预算;提供防护类产品,帮助工控系统运营单位提升安全防护、应急处置能力;提供教学、演练类产品,帮助已经或准备从事相关行业人员提高专业技术能力和安全防护意识。
工控系统网络安全建设应视不同行业、同行业不同生产阶段以及自身确实安全需求分别制定安全建设方案,不可一概而论。比如,在电力、石油化工、轨道交通等信息化发展较快行业,网络安全建设具有比较好的发展基础;然而在冶金、炼化等行业,基本信息化建设、规范化制度建设并未完善,第一步还需要从管理体系建设入手。
行业标准及规范是工控系统网络安全建设最好的参考,《工业控制系统信息安全防护指南》、《发改委14号令》、《发改委36号文》、ISA62443、NIST 800-82、NIST 800-53等都是威胁情报行业最具参考意义的标准规范。
工控系统网络安全涉及行业众多、应用场景较为复杂,较难有统一产品可以解决全行业问题,可能会按照行业和服务类型,催生细分解决方案厂商。
目 录
一. 国家政策引导
二. 攻击技术演进
三. 防护技术分析
四. 工控安全厂商及取得销售许可证产品
五.技术市场的挑战和机遇
六. 未来展望
七. 附录
一. 国家政策引导
工业控制系统信息安全市场,应该算得上是与政策引导走的最近的细分领域之一。追根溯源的话,451号文件便是推动该行业破土而出的基础性政策文件。虽然该文件也仅仅论述了“加强工业控制系统信息安全管理的重要性和紧迫性”,但对当时还较为保守的工控系统信息安全政策环境和产业市场起到了推动作用。在此之后,发改委连续数年发布的“信息安全专项-工控子项”;2014年12月成立的“工控系统信息安全技术国家工程实验室”;2016年5月公安部首次将工业控制系统列入国家安全执法工作范围;2016年7月召开首届中国网络安全产业大会,会上关键信息基础设施保护工作委员会成立,宣布在全国范围内展开为期5个月的关键信息基础设施的执法检查。至今,各省市已经纷纷效应国家政策,进行大范围的检查,乃是我国首次大范围高力度的网络安全执法检查;2016年10月工信部发布的《工业控制系统信息安全防护指南》以及2016年11月通过的《网络安全法》的第三章第二节“关键信息基础设施运行安全”,更是将工控系统信息安全的要求具体化、法律化。
另一方面,伴随着政策、法规的逐步健全,国内各行业对工控系统安全的认识达到了一个新的高度,电力、石化、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。由全国信息安全标准化技术委员会、电力系统管理及信息交换标准化委员会、电力监管标准化技术委员会以及工业过程测量和控制标准化技术委员会等单位牵头,编制了系列标准,推动工业控制系统网络安全工作的进一步具体化、规范化,相关标准如下:
二. 攻击技术演进
结合ICS-CERT以及RISI(工业安全事件信息库,Repository of Industrial Security Incidents)统计数据的分析结果可知,近年来,工业控制系统相关安全事件呈快速增长势头,且这些事件多分布在电力、石化、先进制造、轨道交通等关键基础行业。由于此类攻击曝光程度较低,只能根据公开信息展示如下:
1. 能源行业事件 | 事件简介 |
1994 | 美国亚利桑那州Salt River Project被黑客入侵 |
2000 | 俄罗斯政府生成黑客成功控制了世界上最大的天然气输送管道网络 |
2001 | 黑客侵入了监管加州多数电力传输系统的独立运营商 |
2003 | 美国俄亥俄州Davis-Besse的核电厂控制网络内的一台计算机被微软SQL Server蠕虫所感染,导致其安全监控系统停机将近5小时。 |
2003 | 龙泉、政平、鹅城换流站控制系统发现病毒,后发现是由国外工程师在系统调试中用笔记本电脑上网所致。 |
2007 | 美国DHS的“Aurora”演习中,针对电力控制系统进行渗透测试,一台发电机再起控制系统收到攻击后物理损坏。 |
2010 | Stuxnet病毒针对性地入侵工业控制系统,严重威胁伊朗布什尔核电站。 |
2012 | 伊朗石油部和国家石油公司内部计算机遭受入侵。 |
2012 | 两座美国电厂遭USB病毒攻击,造成敏感数据泄露。 |
2014 | “倾听组织”利用恶意程序Havex对欧洲、美国一千多家能源企业进行攻击。 |
2015 | “BlackEnergy”利用恶意程序对乌克兰电力系统进行攻击,导致80000用户停电3-6小时。 |
2. 水利与水处理行业
事件 | 事件简介 |
2000 | 黑客远程入侵澳大利亚污水处理控制系统,导致大量污水直接排入河流。 |
2005 | 美国水电溢坝事件。 |
2006 | 黑客远程入侵哈里斯堡污水处理系统网络,并植入恶意程序。 |
2007 | 黑客远程入侵加拿大水利SCADA系统,并破坏Sacrmento调水上位机程序。 |
2011 | 黑客远程操纵美国伊利诺伊周城市供水SCADA系统,并破坏水泵。 |
3. 交通运输行业
事件 | 事件简介 |
1997 | 黑客远程入侵纽约NYNES系统,干扰航空地面通信,导致马萨诸萨州Worcester机场关闭6个小时。 |
2003 | CSX运输公司计算机系统被病毒感染,导致华盛顿特区客货运输中断。 |
2003 | 黑客远程入侵Houston渡口计算机系统,导致系统停机。 |
2008 | 黑客入侵波兰某城市地铁系统,操纵轨道扳道器,导致死节车厢脱轨。 |
4. 制造行业
事件 | 事件简介 |
2005 | Zotob蠕虫事件导致13个美国汽车厂被迫关闭,50000生产线停工。 |
2010 | 我国某石化、炼化厂控制装置感染Conficker病毒,导致业务中断。 |
5. 跨行业
事件 | 事件简介 |
2011 | Duqu病毒潜伏于工业控制网络中,收集环境信息。 |
2012 | Flame潜伏于中东国家工业控制网络中,收集环境信息。 |
通过大量工业控制系统安全事件分析,我们可以看到,针对工业控制系统的攻击行为往往危害较大。在技术层面,攻击行为开始逐渐由单一攻击底层通信、硬件系统,向依靠底层攻击为入口,进一步操纵、篡改、窃听上层业务系统的趋势发展。比如,2010年被发现的针对工业设施的Stuxnet病毒会影响到运行于Windows系统之上的SCADA系统;2016年8月,德国OpenSource Security的研究人员发布了新型PLC蠕虫—PLC-Blaster,它可以直接感染Simatic S7-1200 PLC并实现病毒式感染;2016年9月,荷兰特温特大学的两位研究人员发布了一套“无法被检测到的PLC Rootkit”,它将对PLC更加底层的组件展开攻击,而不是像PLC-Blaster那样攻击PLC中的业务逻辑。笔者分析,这也与2010年美国成立网络战司令部以来,多个国家纷纷效仿成立,导致工控领域引入众多“大玩家”有关。
三. 防护技术分析
工控行业包含子行业众多,如电力、石油、市政等,由于篇幅有限不便展开,笔者将其网络结构笼统概括为:现场层、站控层、中心监控层,三层机构。由于工业控制系统网络行为逻辑比较固定,所以往往依据白名单思路在上述三层中加以控制。比如应用于现场层的工控防火墙、网闸等逻辑隔离类设备;应用于站控层的应用白名单产品、工控入侵检测设备等产品;应用于中心监控层的案管平台等产品;以及用于特殊网络环境(如SCADA远程无线数据采集)的加密通信装置、用于远程可靠运维的远程运维装置等。另一方面,由于自身经济发展的需求以及西方工业互联网、工业4.0等概念的影响,我国某些较为先进的工控巨头企业(如电力、石油等)将开始进行工业互联网布局,届时将会形成一朵或者是多朵工业行业云,这从2017年2月2日召开的“2017工业互联网峰会”的参会公司和规模可以看出。在这个背景下,据笔者估计,可能会产生几家专注于“工业互联网风险监测”业务的创新公司。这也正符合了习主席针对关键信息基础设施所提出的“建立全天候、全方位态势感知预警能力”的总要求。
目前市场上工控安全技术理念主要以监、评、防、融四大核心功能为主:
(1)监测预警:对接入互联网的工业控制系统面临的威胁态势进行监视,并对工业控制网内部进行全时段、全流量及多业务分析,构建早期异常行为和攻击前兆特征发现预警能力,提供工控信息安全事件的追溯能力。
(2)攻防评估:以高逼真度工业控制系统攻防演示仿真环境为基础,分析工控设备、网络、协议、系统、应用、软件及工艺流程等方面存在的漏洞,同时评估其存在的风险,并开展合规性检查,并利用演示环境评估安全方案的可行性、稳定性等。
(3)体系防御:以工业控制安全生产为前提,通过安全分域、边界防护、密码保护、流量监控等手段,提供工控信息安全解决方案和服务,强化工控信息安全管理能力,保障工控信息系统的运行安全。
(4)融安于用:以围绕军工、核工业、石油石化、轨交、烟草、冶金等行业的安全需求,促进信息安全与行业应用的深度融合,确保工控系统应用安全,提升工控安全产品的可靠性,满足客户定制化需求,增强用户“敢用”、“会用”、“管用”的最佳实践。
在具体防护技术方案方面,工信部2016年11月发布的《工业控制系统信息安全防护指南》给出了比较明确的指引。要求企业在坚持主体责任的前提下,聚焦系统防护、安全管理等安全保障重点,提出了10项防护要求,16种防护技术。具体如下:
1. 技术市场成熟度模型
上图以市场成熟度和技术成熟度两个维度,将工控防护技术分为4个阶段:A初始阶段、B探索阶段、C发展阶段、D成熟阶段,其中每个阶段又按照市场和技术成熟度的发展进度分为1区、2区,例如A1区为初始阶段中市场发展较快阶段。各区域定义如下表所示:
2. 术语定义
• 基本描述:描述该技术基本应用场景及技术原理
• 技术定义:详细描述该技术原理
• 使用建议:描述该技术特点及实施过程中可能产生的风险
• 市场渗透率:描述该技术目前的市场应用比例
• 利润转化率:描述该技术的利润率
• 发展趋势:描述该技术的未来发展趋势
• 相关厂商:介绍部分相关技术提供商
3. 安全软件选择与管理
3.1 工业主机应用程序白名单技术
• 基本描述:工业控制系统对系统可用性、实时性要求较高,传统“应用程序黑名单技术”需要维护较大规模特征库,影响主机性能;另一方面,工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等安装的应用以及所执行的操作比较明确,适合于“应用程序白名单技术”进行安全防护。
• 技术定义:一般基于操作系统内核态开发,对系统进程、线程进行监控(有些产品还会对磁盘中的可执行文件进行周期性扫描、监控)。
• 使用建议:由于该技术基于操作系统内核态开发,所以对于CPU指令集、系统版本、固件版本都较为敏感,一定要在生产模拟测试环境中测试后,才能部署到生产环境中。
• 市场渗透率:低
• 利润转化率:中
• 发展趋势:较为重要的工业主机系统往往为Unix/Linux ,然而目前多数厂商提供的产品只针对Windows的应用程序监控,由于工业上位机的数量十分庞大,笔者预计,厂商将会在针对Unix/Linux各个发行版本应用程序监控上持续发力,形成稳定性、易用性都很强的行业专版。
• 相关厂商:匡恩网络、威努特、立思辰等
3.2 工业主机杀毒及接入设备管理技术。
• 基本描述:工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
• 技术定义:通过动态监视工业助剂内存进程中部分程序的一些活动特征,如是否在系统中创建了文件,是否注入了非法进程和是否向外部发送了带有敏感信息的邮件等来智能判断病毒、木马及间谍程序等的存在,并进行处理。
• 使用建议:杀毒软件由于要维护较大特征库,往往会影响主机性能,建议对于实时性要求较高的生产环境进行充分测试后,再使用该技术产品。
• 市场渗透率:较高
• 利润转化率:中
• 发展趋势:虽然工业主机的杀毒软件已经有较高安装率,但工业环境专业病毒库尚不完善;另一方面,接入设备管理类产品尚未广泛部署,笔者预计,为配合某些关键行业安全保障应急体系建设,专杀类EDR产品和接入管理产品将会在某些行业较快速推广。
• 相关厂商:360、安天、赛门铁克等
4. 配置和补丁管理
4.1 工业控制系统配置基线核查技术
• 基本描述:工业企业应做好虚拟局域网隔离、端口禁用等工业控制网络安全配置,远程控制管理、默认账户管理等工业主机安全配置,口令策略合规性等工业控制设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。
• 技术定义:根据预先定义的保持信息系统最小安全控制的基本要求,在固定周期内,根据自身要求、部署环境和承载业务要求进行批量化、自动化安全配置检查,该技术涵盖管理和技术两个层面。
• 使用建议:该技术为配置变更风险管理的支撑技术,往往包括主机、网络、应用、数据、业务等层面,对于烟草、炼化、制造等离散生产环境,较容易生成通用性核查清单。然而对于电网、燃气、油田等SCADA系统,则需要深入业务系统调研,生成针对性核查清单。
• 市场渗透率:低
• 利润转化率:中
• 发展趋势:该技术主要依托技术手段实现管理要求,比较适合工业行业现阶段信息安全较为初级的发展要求。笔者预计,会根据行业业务特性,出现行业专版的配置基线核查产品。
• 相关厂商:绿盟科技、启明星辰、天融信、安恒等
4.2 工业控制系统配置变更技术
• 基本描述:当发生重大配置变更时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。
• 技术定义:对处于不断演化、发展过程中的信息系统的配置管理技术,通过对信息系统变更的控制、记录、追踪、演练,实现目标系统的配置变更的一致性、完整性和可追溯性,该技术涵盖技术与管理两个方面。
• 使用建议:该技术为配置变更风险管理的支撑技术,应包含业务风险点全景图,并根据变更需求生成变更风险,并进行安全性测试。笔者建议,配置变更风险测试,应着重评估内部风险。
• 市场渗透率:低
• 利润转化率:中
• 发展趋势:该技术主要依托技术手段实现管理要求,比较适合工业行业现阶段信息安全较为初级的发展要求。笔者预计,会根据行业业务特性,出现行业专版的配置变更管理产品。
• 相关厂商:绿盟科技、启明星辰、天融信、安恒等
4.3 工业控制系统补丁升级技术
• 基本描述:工业企业应密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。
• 技术定义:针对硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或者破坏系统,使用相关厂商发布的修复程序的升级技术。
• 使用建议:该技术为配置变更风险管理的支撑技术,应编制补丁升级风险全景图,并在同类型业务系统中进行修复程序的安装操作,根据操作结果生成风险分析报告。
• 市场渗透率:低
• 利润转化率:中
• 发展趋势:该技术主要依托技术手段实现管理要求,比较适合工业行业现阶段信息安全较为初级的发展要求。笔者预计,该技术会加速推进相关行业“模拟仿真测试环境”类产品的采购、部署。
• 相关厂商:绿盟科技、启明星辰、天融信、安恒等
5. 边界安全防护
5.1 工业防火墙技术
• 基本描述:工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。工业防火墙应包含:学习功能、常用工业协议深度检测功能、访问控制功能等。
• 技术定义:位于不同安全级别的网络之间的安全网关,依照特定规则,允许或限制传输的数据包通过。从业防火墙技术一般包括:包过滤、应用层(工业协议)过滤以及自学习等功能。
• 使用建议:由于工业防火墙为串联设备,有可能会引入故障点,为保障安全稳定生产,建议相关厂商经过较为完善测试,再引入相关产品。
• 市场渗透率:中
• 利润转化率:较高
• 发展趋势:以防火墙为代表的逻辑隔离设备应该是工业网络安全的一个重要组件,然而由于串联进生产网络的安全风险,应该会在不同行业经过长时间的技术、业务磨合,并产生有行业场景针对性的工业防火墙产品。
• 相关厂商:珠海鸿瑞、海天炜业、立思辰、三零卫士、中科网威、匡恩、威努特、卫达科技、网藤科技等
5.2 网闸技术
• 基本描述:工业企业确实有需求将生产网络与信息网络相连接的,可以通过单向网闸进行逻辑隔离。生产网络到信息网络侧可以进行协议转码传输,信息网络到生产网络侧原则上只允许文本类文件传输,杜绝数据传输闭环。工业网闸应包含:一体双机结构、非TCP报文传输、低时延传输能力等功能。
• 技术定义:是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。
• 使用建议:由于工业网闸为串联设备,有可能会引入故障点,为保障安全稳定生产,建议相关厂商经过较为完善测试,再引入相关产品。
• 市场渗透率:中
• 利润转化率:较高
• 发展趋势:以网闸为代表的物理隔离设备应该是工业网络安全的一个重要组件,然而由于串联进生产网络的安全风险,应该会在不同行业经过长时间的技术、业务磨合,并产生有行业场景针对性的工业网闸产品。
• 相关厂商:力控华康、启明星辰、网神、珠海鸿瑞、赛博兴安等
6. 身份认证
6.1 多因素认证技术
• 基本描述:用户在登录工业主机、访问应用服务资源及工业云平台等过程中,应使用口令密码、USB-key、智能卡、生物指纹、虹膜等身份认证管理手段,必要时可同时采用多种认证手段。
• 技术定义:多因素身份验证(MFA)是一种安全系统,是为了验证一项操作的合法性而实行多层身份验证。其目的是建立一个多层次的防御,使未经授权的人访问计算机系统或网络更加困难。
• 使用建议:用户在部署多因素认证技术类产品时,不只需要考虑维护成本,还要考虑初期建设成本,因为如果是基于已有系统后期集成的相关认证手段,有可能会造成系统运行的稳定性下降,最好在系统建设阶段就考虑统一建设。
• 市场渗透率:低
• 利润转化率:较高
• 发展趋势:以PKI技术、智能卡、生物识别技术等为代表的多因素认证技术是高级别网络安全访问控制需求的优选解决方案,很适合与工业生产环境的高可靠性要求,工业领域的某些行业也已经进行了这方面产品的部署。
• 相关厂商:上海格尔、吉大正元、卫士通、信安世纪、上讯信息、南京易安联、北信源、九州云腾、中孚信息、博智软件、哈尔滨朗威等
6.2 认证证书防护技术
• 基本描述:工业企业可采用USB-key等安全介质存储身份认证证书信息,建立相关制度对证书的申请、发放、使用、吊销等过程进行严格控制,保证不同系统和网络环境下禁止使用相同的身份认证证书信息,减小证书暴露后对系统和网络的影响。
• 技术定义:证书管理机构(CA)依靠非对称密码体系给通信实体双方颁发包含公私钥对的证书,构建一组可相互进行信任校验的通信实体,并进行证书颁发、废除、更新、验证以及秘钥管理的服务。
• 使用建议:证书认证技术产品已经在一些重点行业、重点部位开始推广使用(如国家能源局2015年发布的36号文附件《电力监控系统总体防护方案》就增加了对部署“电力调度数字证书系统”的要求)。用户在具体产品、技术选型时,不不应只考虑系统的可用性、易用性,还要考察系统对于证书管理(密钥管理)的具体方法,以防止由于证书(密钥)管理不严格而导致的连带风险。
• 市场渗透率:低
• 利润转化率:较高
• 发展趋势:认证防护技术作为密码技术的一种常规应用,已经进行了较长时期的发展,相关技术比较成熟,目前产品主要聚焦在证书(密钥)的申请、发放、使用、吊销等的管理环节的技术保障。
• 相关厂商:天诚安信、派拉软件、神州融信、上海格尔、天威诚信、信安世纪、东软、吉大正元、安识科技、北京安讯奔、九州云腾、中科曙光、洋葱安全、极验验证、立思辰、江南信安、山东确信等
7. 远程访问安全7.1 远程安全访问技术
• 基本描述:工业企业确需进行远程访问的,可在网络边界使用单向隔离装置、VPN、拨号认证等方式实现数据单向访问,并控制访问时限。采用加标锁定策略,禁止访问方在远程访问期间实施非法操作。
• 技术定义:通过公网链路,依靠非对称密码算法建立临时、安全的私有通信连接(如SSH、IPSEC VPN),提供对远程访问者的身份鉴别、授权等功能。
• 使用建议:远程安全访问技术已经在一些重点行业、重点部位开始推广使用(如国家能源局2015年发布的36号文附件《电力监控系统总体防护方案》就增加了对部署“远程拨号访问”能力的要求,要求采用专用的链路加密设备提供链路层保护)。用户在技术产品选型时,需更多考虑技术与业务环境兼容问题,比如有的工业系统自带远程安全访问模块,如果没有的话,则需要考虑第三方远程访问方案对系统是否会带来额外风险(比如定责、维保等)。
• 市场渗透率:低
• 利润转化率:较高
• 发展趋势:随着工业互联网的发展,工业生产环境的远程安全访问模块将成为系统建设的重要组成部分。然而,由于工业生产环境往往不具备高速公网链路,笔者预计,低功耗、易部署的3-4G网络等安全访问技术将会是一个重点发展方向。
• 相关厂商:相关厂商:珠海鸿瑞、天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业等
7.2 远程访问审计技术
• 基本描述:工业企业应保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
• 技术定义:根据远程访问者的权限级别,进行相应权限分发,并对其行为进行细粒度记录、审计。
• 使用建议:远程访问审计技术已经在一些重点行业、重点部位开始推广使用(如国家能源局2015年发布的36号文附件《电力监控系统总体防护方案》就增加了对部署“远程拨号访问”能力的要求,要求对于远程用户登录到本地系统的操作行为进行安全审计)。用户在技术产品选型时,需更多考虑技术与业务环境兼容问题,比如有的工业系统自带远程访问审计模块,如果没有的话,则需要考虑第三方远程访问方案对系统是否会带来额外风险(比如定责、维保等)。
• 市场渗透率:低
• 利润转化率:较高
• 发展趋势:随着工业互联网的发展,工业生产环境的远程访问审计模块将成为系统建设的重要组成部分。然而,由于工业应用种类较多、规格也并不统一,所以该技术对于业务的紧密耦合性将成为核心竞争力。
• 相关厂商:珠海鸿瑞、天融信、莱克斯、启明星辰、交大捷普、绿盟科技、蓝盾、广州国迈、软云神州、任子行、雨人、上海观安、上海纽盾、360、恒安嘉新、盛世光明、海峡信息、博智软件、杭州迪普、中科新业等
8. 工业网络安全监测
8.1 工业网络安全监测技术
• 基本描述:工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备,及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。
• 技术定义:以带外分光的形式,根据自有的恶意行为特征库(比如协议恶意特征库、行为恶意特征库、恶意指令库等)将数据流进行实时、非实时对比、分析,并形成可读性较强的报告。
• 使用建议:由于工业生产环境较为敏感,不建议引入第三方串联设备(除非经过相关认证单位风险评估),网络安全监测技术产品则较为试用。另一方面,考虑到工业环境较为分散,基于成本原因建议将该类技术产品部署于场站中心以及重要生产系统现场。
• 市场渗透率:低
• 利润转化率:较高
• 发展趋势:网络安全监测技术产品将成为工业生产网络的重要组件,它将为用户提供十分直观的生产网络安全状况分析结果,为事前加固、事中处置、事后溯源提供重要支撑。
• 相关厂商:威努特、天地和兴、匡恩网络、珠海鸿瑞、网藤科技、斗象科技/漏洞盒子/网藤风险感知、安点科技、博智软件、安恒信息、知道创宇、中科网威等
8.2 工业网络协议深度解析技术
• 基本描述:在工业企业生产核心控制单元前端部署可对Modbus、S7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤的防护设备,阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。
• 技术定义:使用Libpcap、pfring或者dpdk等技术对流量进行获取,并依据相应协议栈规格,进行报文分析。
• 使用建议:由于对工业私有协议支持程度不足,目前市场上支持此类技术产品还比较少,作用也比较有限。建议用户可以在部署审计类产品的基础上购买此类产品,可以作为一类有益的补充。
• 市场渗透率:低
• 利润转化率:较高
• 发展趋势:协议分析类技术产品市场定位为,安全审计的有益补充以及网络运维、巡检工具。随着工业互联网的发展,该技术产品应该会发展成为生产网络运维基本组件。
• 相关厂商:科来、匡恩网络、威努特、珠海鸿瑞、力控华康、三零卫士等
9. 数据安全
9.1 数据加密技术
• 基本描述:工业企业应对静态存储的重要工业数据进行加密存储,设置访问控制功能,对动态传输的重要工业数据进行加密传输,使用VPN等方式进行隔离保护,并根据风险评估结果,建立和完善数据信息的分级分类管理制度。
• 技术定义:依靠通信双方约定的密码套件,将一组信息经过密钥及加密函数转换,变成不可读密文,而接收方则将此密文经过解密函数、解密密钥还原成明文。
• 使用建议:如果生产网络需要与外部低安全等级网络通信,或者生产网络业务数据本地存储于可外部访问的网络,都建议使用数据加密技术(如国家能源局2015年发布的36号文附件《电力监控系统总体防护方案》就增加了对部署“线路加密措施”能力的要求,要求“远方终端装置、继电保护装置、安全自动装置、负荷控制管理系统等基于专线通道与调度主站进行的数据通信,应采用必要的身份认证或加解密措施进行防护”)。
• 市场渗透率:中
• 利润转化率:较高
• 发展趋势:随着工业互联网的发展,生产数据防篡改、防窃听需求成为刚性需求,数据加密技术是解决此类问题的主要手段。
• 相关厂商: 珠海鸿瑞、深信服、天融信、蓝盾、360、华为、绿盟科技、卫士通、信安世纪、奥联科技、启明星辰、南京易安联、华清信安、上海纽盾、东软、海峡信息、博智软件、H3C、江南信安、弘积科技、山东确信等
9.2 数据备份技术
• 基本描述:工业企业应对关键业务数据,如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。
• 技术定义:数据备份技术是容灾的基础,是指为防止系统出现失误或系统故障导致数据丢失,而将全部或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。
• 使用建议:建议用户根据自己的数据规模、恢复时效性要求(RTO)、经费预算等指标综合考虑。
• 市场渗透率:中
• 利润转化率:较高
• 发展趋势:传统数据备份主要采用内置或者外置的磁带机进行冷备份,但这种方式只能防止操作失误等认为故障,而且恢复时间较长。随着技术不断发展和数据量不断增加,网络备份依靠速度快、管理方便等优势成为较为用户的一种重要选择。
• 相关厂商:上海爱数、杭州美创、火星高科、亚细亚智业、苏州美天网络、信核数据、上讯信息、英方股份、上海联鼎、亿备、广州鼎鼎、和力记易、广州鼎甲、安码科技、南京壹进制等
10. 模拟仿真技术• 基本描述:由于安全研究和防护策略测试的需要,各大高校、科研院所基本都有采购模拟仿真环境的需求,然而目前该技术还属于发展阶段,只能实现较为明确的业务模拟,灵活性和真实性还有提升空间。
• 技术定义:结合控制技术、计算机技术、通信技术以及仿真技术,具备对象特征模拟、网络负载模拟、I/O模拟、过程控制模拟以及故障模拟等功能于一体的综合技术。
• 使用建议:据笔者了解,目前该类技术产品供应商大多专注于工控安全,对具体工业行业业务逻辑深度有限,较适用于对通用性工业控制环境安全分析的环境搭建,对于行业业务仿真要求很高的需求可能适用性较低。
• 市场渗透率:中
• 利润转化率:较高
• 发展趋势:传统仿真技术还是利用真实上位机、下位机进行业务模拟,依靠matlab等软件对物理过程进行仿真。随着仿真技术的发展,相信会出现对于下位机(PLC、RTU、SCADA)等的模拟仿真技术。
• 相关厂商:匡恩网络、威努特、珠海鸿瑞、力控华康、三零卫士等
四. 工控安全厂商及取得销售许可证产品
1. 厂商介绍
1.2 自动化背景厂商
这类厂商原来从事自动化相关的业务,后来看好工控安全的市场机遇,成立工控安全部门或子公司进入工控安全领域。典型厂商包括:青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司、珠海市鸿瑞软件技术有限公司、中京天裕科技(北京)有限公司。这类公司对工控系统有比较深刻的理解,有现成的客户资源,比如,目前青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司在石油化工行业市场上有较大的影响力,珠海市鸿瑞软件技术有限公司在电力行业市场上有较大的影响力。其他自动化厂商,如和利时集团、浙江中控技术股份有限公司、北京四方继保自动化股份有限公司等,主要是OEM第三方的产品,不作为主要的工控安全厂商进行分析。
2.2 传统IT安全厂商
这类厂商原来从事IT信息安全的业务,工控安全作为信息安全市场的一个新兴的细分市场得到关注,成立工控安全部门进入工控安全领域。典型厂商包括:启明星辰信息技术有限公司/北京网御星云信息技术有限公司、北京神州绿盟信息安全科技股份有限公司、北京中科网威信息技术有限公司、上海三零卫士信息安全有限公司。这类公司的特点是信息安全技术积累较多,但对工控系统缺乏深刻的理解,并且由于当前业绩的压力,在工控安全方面的投入较小。目前启明星辰信息技术有限公司、北京神州绿盟信息安全科技股份有限公司在工控安全市场上有一定的影响力。
3.2 专业工控安全厂商
这类厂商基本属于近两年成立的创业公司,整合了信息安全与自动化方面的人才,100%专注于工控安全领域。典型厂商包括:北京匡恩网络科技有限公司、北京威努特技术有限公司、谷神星网络科技(北京)有限公司、灯塔实验室。这类公司的特点是专注,他们100%的业务都是工控安全,工控安全业务的成败决定了公司的生死存亡,因此能够全力投入。
2. 获得销售许可证产品介绍
工控防护主要是在不改变工控系统基础架构的前提下,通过增加与工控系统高度集成的信息安全组件达到工控系统的信息安全目标。产品主要包括防护类产品、检测类产品以及管理服务平台三大类。目前主要以隔离网关(装置)和防火墙类等硬件产品为主,两者的市场份额共达到整体ICS信息安全市场的71%,占主导地位;安全管理平台、安全审计、安全监测等出现一定提升;安全培训和服务被越来越多机构和用户接受。
五.技术市场的挑战和机遇
工控系统网络安全市场属于政策性需求牵引的新兴市场,由于我国大力发展“互联网+”、“中国制造2025”等国家战略,会持续加速推进工业控制系统与互联网的融合进程,这也从侧面推动了工业控制系统网络安全的产业发展,市场规模将会有较大的上升空间。然而从另一个方面来看,我国从2010年左右刚刚开始进行工控系统网络安全技术研究,相关解决方案的可用性、差异性、互补性都还有一定的不足,这也就造成了目前的市场规模还比较有限。
1. 市场容量较小但处于爆发临界阶段
从全球范围来看,工控系统领域的信息安全尚处于初步发展阶段,ICS信息安全防护、认证、标准等体系仍在完善中;因此,近几年中国正在抓紧对于ICS信息安全标准、认证、防护等级及评估实验室等顶层设计的建设中。在这种背景下,ICS信息安全市场产品参差不齐,用户对于传统信息安全和ICS信息安全的区别缺乏认知和重视程度有限,直接导致ICS信息安全市场的发展和应用水平有限,市场规模小。
我国工控系统网络安全市场规模
我国工控系统网络安全市场行业分布
从上图可以看出,我国工控系统网络安全产业截止到2016财年市场规模依然仅有2-3亿元人民币,而且具有比较明显的行业分布特点(电力行业占据绝对主体)。自2016下半年来,随着相关政策、法规、指南、标准的密集推出,相信会对石化、烟草、烟草、煤矿、轨交等行业的工控系统网络安全建设掀起一轮带动效应,据业内人士估计,会将市场规模推动到15-30亿元人民币的区间。
2. 客户对工控安全产品价值认可度度有待提高
类似于工控防火墙、工控安管平台等防护类设备,本质上应属于信息化产品范畴。然而,应用工业控制系统的大型企业(如国家电网、发电集团等)负责信息化产品采购的部门并不能负责生产网络的安全问题,所以这也造成了客户对于此类产品无法进行有效价值判断。当然,目前国家也在通过各种手段(比如组织工控信息安全大检查、编写工控安全标准等)来积极解决这个问题。
3. 模拟仿真平台应逐渐分化为通用型和行业专用型
很多单位都有采购模拟仿真平台的计划,然而需求痛点却不尽相同:有些为了建立实验平台,支撑科学研究;有的为了建立实训基地,培养提升员工技能;有的为了模拟生产环境,测试防护策略效果等;有的仅仅是为了给领导展示本单位的安全研究能力。就目前国内模拟仿真平台的效果来看,只能较为逼真的模拟反映特定工业控制生产过程,对攻击流程、防护效果进行说明性演示,对于提高员工意识、进行科学实验的需求比较适合,但是对于行业级的防护基线研究可能还仅能提供一个参考指标,需要行业专业级别模拟仿真平台进行支撑。
4. 工业信息安全态势感知距产业化还有段距离
虽然2017年2月2日我国已经成立了“工业互联网联盟”,但是真的让工控业务系统逐渐上网,并形成“工控产业云”终归不是一朝一夕的事情。目前,我国暴露在互联网上的工控巨头的资产依然主要是一些与生产系统相关性不强的信息系统。使用SHODAN也不难验证上述想法,其检索到的全球886种工控设备,涉及182个工控厂商,共包含2,186,971台工控设备,而其中美国暴露的设备占据了绝大多数,中国(包含台湾)暴露的工控设备不超过1000台。这将成为我国开展工控风险监测业务的最大障碍。
5. 工控安全产品对业务场景的融合度有待加强
众所周知,防火墙、交换机等传统设备并不具有业务属性,只是应用于不同业务场景后,才会由客户自行针对性配置。然而,工控场景差异较大,可能A场景中的“恶意行为”在B场景中被视为“正常行为”,这固然可以通过“学习模式”很大程度得到解决,但是这样并无法积累针对工控领域的“恶意行为分析能力”,无法给事后的行为分析提供技术支撑。
工控领域的网络安全防护是势在必行的趋势,我想上边的几点疑问也终将会被慢慢解决。在这期间,我觉得最重要的还是在于培养工控网络安全专业人才,让他们在甲方推动生产部门的网络安全建设工作,在乙方则会更加贴近用户单位业务需求。
六. 未来展望
从全球范围来看,工控系统领域的信息安全尚处于初步发展阶段,ICS信息安全防护、认证、标准等体系仍在完善中;因此,近几年中国正在抓紧对于ICS信息安全标准、认证、防护等级及评估实验室等顶层设计的建设中。在这种背景下,ICS信息安全市场产品参差不齐,用户对于传统信息安全和ICS信息安全的区别缺乏认知和重视程度有限,直接导致ICS信息安全市场的发展和应用水平有限,市场规模小。近两年中国ICS信息安全的行业市场格局并没有明显的变化,行业景气程度也是直接影响ICS信息安全行业应用规模的主要因素。电力、石化(油气)、先进制造等细分市场表现较好,增速高于市场平均。而冶金、煤炭等行业受经济不景气影响,ICS信息安全市场有所萎缩。市政、交通、军工等其他行业的应用项目有逐年增多的迹象,并且也广泛受到政府主管机构的重视,潜在的业务机会将会在未来逐渐显现。
1. 网络安全产品逐渐融入业务场景
信息安全服务于工业行业,因此需首先对工业行业(尤其是电力、石油化工、先进制造等)的需求进行分析。以电力行业为例,电厂、电网的发展日益趋近于数字化、网络化、智能化,智能仪表/控制设备、无线传感/控制网络等的大量采用,电厂/电网内IOT(物联网)、IOS(服务互联网)的推广,对工控安全形成更大的挑战。由于该行业信息安全规划有具体文件参考(发改委能源局14号令和36号文),而对于其他行业则需要充分交流、探讨、融合,逐步完善相关行业工控的安全防护措施,使安全防护由安全策略的部署向安全能力的部署能力迁移,逐步实现安全技术能力、安全管理能力的全面提升,实现管、控、防一体化。安全能力逐步覆盖从系统上线、系统运行、系统运维、系统检修等各个环节,实现工控系统安全的闭环管控。
2. 业务需求逐渐包含网络安全能力随着黑客攻击越来越平民化,工业控制系统作为关键基础设施的载体,必然会面临越来越大的安全压力,电力、石油化工、先进制造等行业对该种情况也高度重视,电力行业在2013年就发布了《电力行业等级保护标准》,能源局、各个标委会也都发布了相应的政策法规,相信信息安全产品的部署情况和信息安全能立的建设情况将成为相关重点行业业务需求的一个重点指标。
3. 在细分领域上出现新公司、产品及服务形态工业控制系统由于其硬件选型、网络结构、应用环境、操作规程等在不同行业(如电力行业与制造行业等),甚至相同行业的不同流程(如发电、配电环节等)中都存在较大的差异。所以,在较短的时间内,很难有一家公司、一款产品或者一类服务形态(如安全检测、风险评估等)可以适应所有工业行业。笔者认为,较好的发展模式应该可参考珠海鸿瑞、海天炜业、力控华康等的发展历程:先在一个细分领域耕耘多年,然后将积累的经验进行行业的横向复制。
七. 附录
1. 广域网工控设备搜索引擎资源
https://www.shodan.io/report/l7VjfVKc
http://ics.zoomeye.org/
http://www.ditecting.com/
2. 相关开发资源
2.1 发现类
https://code.google.com/p/plcscan
https://code.google.com/p/modscan
https://github.com/arnaudsoullie/scan7
https://github.com/atimorin
auxiliary/scanner/modbus/modbus_findunitid
auxiliary/scanner/modbus/modbusdetect
2.2 操纵类
auxiliary/scanner/modbus/modbusclient
auxiliary/admin/scada/modicon_command
auxiliary/admin/scada/igss_exec_17
auxiliary/admin/scada/multi_cip_command
Open ICS protocol libraries
https://www.scadaforce.com/modbus [python]
https://github.com/bashwork/pymodbus [python]
https://rubygems.org/gems/modbus-cli [ruby]
http://libnodave.sourceforge.net [C,C++,C#,Delphi,Pascal,Perl,VB(A)]
https://code.google.com/p/dnp3 [C++]
2.3 异常分析类
http://blog.snort.org/2012/01/snort-292-scada-preprocessors.html
http://www.digitalbond.com/tools/quickdraw/
4. fuzz类
https://github.com/jseidl/peach-pit/blob/master/modbus/modbus.xml
3. 综合类资源
https://scadahacker.com
http://www.digitalbond.com
https://ics.sans.org/ics_library
http://plcscan.org/blog/
http://blog.iec61850.com
http://www.modbus.org/
http://scadastrangelove.blogspot.kr
http://www.slideshare.net/phdays/timorinalexander-efanov-dmitry
4. 图书资源
(1)《工业SCADA系统信息安全技术》(2014.5.1)
讲述了工业监视控制与数据采集(SCADA)系统基本概念,系统地分析工业SCADA系统存在的脆弱点和面临的信息安全威胁,阐述了工业SCADA系统信息安全体系,论述其相应的关键技术;介绍了典型电力SCADA系统信息安全实际工程应用案例,并对国内外工业控制系统信息安全的发展趋势进行了分析。读者对象:政府、军队、高校、科研机构等从事工业控制系统信息安全研究的科研人员,以及相关企业进行工业控制系统信息安全开发、建设和应用的技术人员。
(2)《工业控制系统信息安全》(2015.9.1)
本书简洁、全面地介绍了工业控制系统信息安全概念和标准体系,系统地介绍了工业控制系统架构和漏洞分析,系统地阐述了工业控制系统信息安全技术与方案部署、风险评估、生命周期、管理体系、项目工程、产品认证、工业控制系统入侵检测与入侵防护、工业控制系统补丁管理。
(3)《工业控制系统安全等级保护方案与应用》(2015.3.1)
本书分为7章,分别介绍了工业控制系统信息安全概论、工业控制系统安全等级保护定级、工业控制系统安全等级保护要求、工业控制系统等级保护安全设计、工业控制系统安全等级保护实施、工业控制系统安全等级保护测评和工业控制系统安全等级保护方案应用。
(4)《工业网络安全—智能电网,SCADA和其他工业控制系统等关键基础设施的网络安全》(2014.6.1)
纳普所著的《工业网络安全》一书向您解释了作为工业控制系统基础的特定协议和应用,并且为您提供了对它们进行保护的一些非常容易理解的指南。除了阐述合规指南、攻击与攻击面,甚至是一些不断改进的安全工具外,本书还为您提供了关于SCADA、控制系统协议及其如何运作的一个清晰理解。
(5)《智能电网安全:下一代电网安全》 (2013.1.1)
本书着眼于当前智能电网的安全以及它是如何被开发和部署到全球千万家庭中的。《智能电网安全:下一代电网安全》详细讨论了针对智能仪表和智能设备的直接攻击以及针对配套网络和应用程序的攻击,并给出如何防御这些攻击的建议。《智能电网安全:下一代电网安全》给出了一个针对成长中的系统如何实现安全性的框架,用来指导安全顾问与系统和网络架构师如何防范大大小小的攻击者,从而保证智能电网的稳健运行。《智能电网安全:下一代电网安全》详细介绍了如何使用新旧黑客技术来攻击智能电网以及如何防御它们。讨论当前的安全举措。以及它们达不成所需目标的原因。找出黑客是如何利用新的基础设施攻击基础设施。
(6)《智能电网信息安全指南(第1卷):智能电网信息安全战略架构和高层要求》(2013.1.1)
本书由美国国家标准和技术研究院所著,提出了美国针对智能电网信息安全的分析框架,供相关组织根据智能电网业务特性、安全风险和漏洞制定有效的信息安全战略参考使用。主要内容包括信息安全战略、智能电网的逻辑架构和接口、高层安全要求、密码和密钥管理等,可供相关读者阅读学习。
(7)《智能电网信息安全指南:美国国家标准和技术研究院7628号报告(第二、第三卷)》(2014.6.1)
本书为《智能电网信息安全指南 美国国家标准和技术研究院7628号报告》第二、第三卷,内容包括隐私和智能电网、脆弱性类别、智能电网的自下而上安全分析、智能电网信息安全的研究与开发主题、标准审阅综述、关键电力系统安全要求用例。该报告提出了美国针对智能电网信息安全的分析框架,供相关组织根据智能电网业务特性、安全风险和漏洞制定有效的信息安全战略参考使用。
声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
