安點(diǎn)科技工業(yè)網(wǎng)絡(luò)安全專家 吝寧

      網(wǎng)絡(luò)協(xié)議是計(jì)算機(jī)網(wǎng)絡(luò)中進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、標(biāo)準(zhǔn)或約定。目前已有許多工業(yè)控制專用協(xié)議，大多是為了提高效率和可靠性而設(shè)計(jì)的，以滿足大規(guī)模分布式控制系統(tǒng)的運(yùn)行需要。但是，令人堪憂的是這些協(xié)議為了提升效率，而放棄了協(xié)議的安全特性。

      例如：放棄要求額外運(yùn)算資源的認(rèn)證和加密等措施。更有許多工控協(xié)議為了能夠適應(yīng)以太網(wǎng)運(yùn)行做了修改，使得協(xié)議存在可以被利用的漏洞。

      起初，工控協(xié)議的安全性問題并不嚴(yán)重，這些協(xié)議只是通過專用串口在封閉網(wǎng)絡(luò)和可信軟件間執(zhí)行。但隨著“兩化融合”“智能制造2025”等國家戰(zhàn)略的穩(wěn)步落地，工控系統(tǒng)逐漸從封閉走向開放互聯(lián)，這些工控協(xié)議也逐步與TCP或無線網(wǎng)絡(luò)相連，工控協(xié)議的安全問題被無限放大。日前，小編專訪了安點(diǎn)科技工業(yè)網(wǎng)絡(luò)安全專家、產(chǎn)品總監(jiān)吝寧先生，請(qǐng)他就工控協(xié)議的脆弱性和安全防護(hù)對(duì)策回答了以下問題。

什么是工控協(xié)議？工控協(xié)議的脆弱性都有哪些？

吝寧：工控協(xié)議通俗來講是工控設(shè)備與應(yīng)用、設(shè)備與設(shè)備之間溝通的語言，是工業(yè)控制系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)采集傳輸、控制指令下達(dá)等功能的重要橋梁。

      從分類來說，工控協(xié)議可以分為標(biāo)準(zhǔn)協(xié)議、私有協(xié)議，常見的標(biāo)準(zhǔn)協(xié)議包括Modbus、ProfiBus、OPC等等，同時(shí)DCS系統(tǒng)通信根據(jù)廠商及產(chǎn)品型號(hào)不同系統(tǒng)普遍采用私有協(xié)議，如橫河電機(jī)的Vnet/IP等。此外，工業(yè)無線通信還會(huì)用到包括工業(yè)WIFI、ZIGBEE、LoRa等無線通信技術(shù)標(biāo)準(zhǔn)。

私有協(xié)議和無線協(xié)議的安全性是否比較高？

吝寧：私有協(xié)議的安全性確實(shí)有所提升，私有協(xié)議協(xié)議通常采用UDP廣播包的形式發(fā)起通訊，而且普遍數(shù)據(jù)是加密的。但這并不意味著絕對(duì)安全，例如開發(fā)DCS的人員非常了解這些協(xié)議，如果實(shí)施有目的的攻擊行為更容易造成隱匿性破壞。

      再說無線協(xié)議，現(xiàn)在的安全防護(hù)產(chǎn)品90%以上都是針對(duì)有線協(xié)議進(jìn)行安全防護(hù)，通過無線協(xié)議傳輸?shù)臄?shù)據(jù)往往直接暴露在空曠的網(wǎng)絡(luò)中，很有可能利用標(biāo)準(zhǔn)的無線協(xié)議漏洞進(jìn)行攻擊。

為什么多年發(fā)展后，工控協(xié)議仍遺留眾多的安全問題？

吝寧：工業(yè)自動(dòng)化廠商都了解以上種種問題，而且也具備修復(fù)脆弱性的技術(shù)能力，但卻無法付諸行動(dòng)。

      首先是成本上的考慮，若修改工控協(xié)議經(jīng)影響其整個(gè)產(chǎn)品線的正常通信，而且工業(yè)控制系統(tǒng)牽扯設(shè)備眾多，全面的升級(jí)與調(diào)試廠商將承擔(dān)巨大的時(shí)間成本和經(jīng)濟(jì)成本。

      再者，例如對(duì)工控協(xié)議進(jìn)行加密，其通信發(fā)起端和獲取終端將額外增加大量運(yùn)算負(fù)荷，在已接近滿負(fù)荷運(yùn)轉(zhuǎn)的工業(yè)控制系統(tǒng)中，這顯然是不切實(shí)際的。所以這就需要工控安全廠商幫助自動(dòng)化廠商解決這些問題，在我看來兩者實(shí)際是相輔相成的關(guān)系。

安點(diǎn)科技針對(duì)這些問題的防護(hù)對(duì)策是什么？

吝寧：首先是預(yù)防，在這個(gè)階段我們技術(shù)手段與管理手段雙管齊下。

      管理手段主要解決“人”的隱患，安點(diǎn)科技通過培訓(xùn)等服務(wù)方式幫助企業(yè)建立完善的安全制度，幫助員工樹立正確的安全意識(shí)。

      技術(shù)手段我們采用態(tài)勢感知技術(shù)和區(qū)塊鏈技術(shù)相結(jié)合的方式，安點(diǎn)科技在企業(yè)集團(tuán)中建設(shè)態(tài)勢感知預(yù)警平臺(tái)，并且我們所有的安全防護(hù)設(shè)備都是具有獨(dú)立的細(xì)粒度數(shù)據(jù)處理和分析能力的“威脅挖掘機(jī)”，

      這些安全設(shè)備實(shí)時(shí)向平臺(tái)和其他安全防護(hù)設(shè)備共享安全情報(bào)，之后平臺(tái)再匯總這些網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，向安全防護(hù)產(chǎn)品下發(fā)具體應(yīng)對(duì)策略。這一切都是自動(dòng)化和可視化的。

      這樣我可以快速的從海量工業(yè)數(shù)據(jù)中提煉重點(diǎn)網(wǎng)絡(luò)安全數(shù)據(jù)，從漏洞態(tài)勢、網(wǎng)絡(luò)攻擊態(tài)勢、可用性態(tài)勢、主機(jī)態(tài)勢等維度全面評(píng)估企業(yè)網(wǎng)絡(luò)安全態(tài)勢等級(jí)，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全態(tài)勢“可見、可管、可控”。

      之后是防御，防御主要還是采用“邊界防護(hù)、橫向隔離，縱向防御”，這是經(jīng)過時(shí)間檢驗(yàn)的最有效的防護(hù)思路。但需要注意的是，不論是防火墻或是網(wǎng)閘等安全防護(hù)手段，工業(yè)協(xié)議通過之后仍然是明文的，仍然存在安全隱患。

      而我們的核心技術(shù)之一是對(duì)明文協(xié)議的加解密技術(shù)，且完全不占用控制系統(tǒng)資源，在一定程度上解決了標(biāo)準(zhǔn)工控協(xié)議的先天缺陷。

      最后是追溯，再周密的防御措施針對(duì)惡意內(nèi)部人員往往效果大打折扣，我們通過網(wǎng)絡(luò)審計(jì)、主機(jī)審計(jì)等手段做到“威脅源頭可溯、威脅去向可查”。

      這就是我們的整體防護(hù)思路，以提高預(yù)防能力為起點(diǎn)，在預(yù)防上失效的情況下，做全面的防護(hù)。那么在防護(hù)失效的情況下，我們可以至少做到亡羊補(bǔ)牢。

安全防護(hù)的難點(diǎn)是什么？安全企業(yè)應(yīng)如何應(yīng)對(duì)？

吝寧：如今,國內(nèi)外生產(chǎn)企業(yè)都把工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)提上了日程，但業(yè)主單位仍普遍困惑如何進(jìn)行安全防護(hù)，我將其歸納為4W+1H問題。工控企業(yè)的核心價(jià)值就是幫助企業(yè)解決以下問題。

·   Why：為什么要進(jìn)行安全防護(hù)？

·   What：要進(jìn)行什么樣安全防護(hù)？

·   Where：在那些地方進(jìn)行安全防護(hù)？

·   When：什么時(shí)間點(diǎn)部署安全防護(hù)產(chǎn)品？

·   HOW：如何達(dá)到安全防護(hù)的目標(biāo)？

      從工控協(xié)議安全防護(hù)這個(gè)比較小的角度來說。目前市場上安全產(chǎn)品已普遍支持龐大的工控協(xié)議庫，但是一些廠商對(duì)工業(yè)控制缺乏理解。

      事實(shí)上，不同品牌控制系統(tǒng)的通信方式截然不同，且通信往往分為多個(gè)階段。我們需要從生產(chǎn)命令或信息的發(fā)送終端開始，一直到命令或信息接收終端為止，中間所有的環(huán)節(jié)我們都要注意，把對(duì)威脅和風(fēng)險(xiǎn)的控制點(diǎn)進(jìn)量提前，做到漏洞被實(shí)際利用前就將攻擊行為扼殺。

      我認(rèn)為工控安全企業(yè)必須對(duì)工業(yè)控制和網(wǎng)絡(luò)通信安全有比較充分和全面的認(rèn)識(shí)，也必須具備強(qiáng)大的快速研發(fā)能力和自主知識(shí)產(chǎn)權(quán)，這樣才能依據(jù)不同工控系統(tǒng)的特點(diǎn)提供訂制化的、有效果的、有價(jià)值的網(wǎng)絡(luò)安全防護(hù)解決方案。