当前位置: 首页 精选范文 工业互联网安全分析范文

工业互联网安全分析精选(十四篇)

发布时间:2024-04-02 11:52:14

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇工业互联网安全分析,期待它们能激发您的灵感。

工业互联网安全分析

篇1

1、威胁情报继续升温

2015年威胁情报受到热捧,预计2016年威胁情报需求将持续升温。2015年,360公司以90多亿样本、数万亿条防护日志和数十亿DNS解析记录、国内最大的漏洞库等海量数据为基础,在国内建成首个威胁情报中心,并开始商用。安全威胁情报创业企业----微步在线则完成千万元天使轮融资。很多安全厂商都表示将会为自己的安全产品提供威胁情报源支持,以提升其产品发现安全威胁的能力。缺乏威胁情报收集能力的企业会考虑采集成第三方的威胁情报服务。要发挥威胁情报的价值,离不开安全厂商、用户以及政府相关机构的威胁情报共享。2016年将会看到安全厂商之间在威胁情报方面的更多合作。

2、安全态势感知成热点

安全态势感知并非新概念,但长期以来,安全态势感知更多停留在理论研究层面。随着大数据分析技术的成熟和应用,安全态势感知才真正进入实用阶段。依靠分布式、近实时、自动化的大数据分析手段和可视化能力,安全人员实现对不同安全设备、IT系统的信息进行分析,及对内部用户行为的监测,从而可以全面、快速、准确地感知过去、现在、未来的安全威胁,实时了解网络的安全态势,实现了安全威胁看得见、防得住、可溯源。它可以帮助用户了解自身任意时间所发生的一切,能以最理想的方式应对安全状况变化,改变了那种部署了安全设备却无法感知威胁的情况。

3、大数据安全分析获认可

现在企业都拥有大量、复杂的数据集----来自IT与安全设备,多到无法进行人工分析,传统的安全运营平台(SOC,相当于国外SIEM),无法对这些非结构化、海量数据进行实时分析。随着大数据技术的普及与应用,企业开始部署大数据安全分析工具,以更好地发现数据间的联系,实现对企业网络的持续监控。采用大数据分析手段,可以对以往无法处理的海量安全数据进行近乎实时的分析,可以尽快发现异常状况,进行安全响应。现在“数据驱动安全”的理念正在逐步为用户接受,预计2016年大数据安全分析产品将会得到更多用户认可。

4、终端检测响应产品兴起

对于很多企业安全主管来说,实时了解每个终端的状况和运行程序,提升安全检测和响应能力是最迫切的需求。Gartner副总裁兼著名分析师Neil MacDonald认为,信息安全的关键是纵深防御,单靠预防来抵御攻击是徒劳的,更重要的是快速检测和响应攻击。这也是被称为EDR(终端检测与响应)产品最近备受推崇的原因。EDR工具使企业IT部门可以关注企业运营,而不是精疲力竭地跟踪数据泄露趋势和发展。它可以整合威胁情报数据并进行自动化处理,帮助公司对攻击迹象即刻做出反应。在网络被攻陷数分钟之后,IT管理员就可以隔离设备、对用户发出提醒、安装补丁或是删除文件,迅速挫败黑客的企图。对用户来说,除了终端安全检测,更重要的可能是响应。

5、边界防御进入协同时代

多家大型机构遭遇严重数据泄露的现实表明,基于签名的传统边界防护产品对应对黑客的高级持续攻击行为是无效的,以至于少数企业准备完全放弃边界防护产品。但边界防护工具对防止恶意软件仍发挥重要作用,是安全链的必要环节之一。但与过去那种只重视部署在网络边界、基于签名的拦截功能不同,安全厂商推出了得到威胁情报支持的新一代防火墙,这种基于分布式架构的防火墙产品具有高性能与快速转发的特性,与互联网云平台、未知威胁感知系统、安全运营平台、终端形成联动的纵深立体防御,从而可更快地发现未知威胁。

6、漏洞响应渐成主流需求

零日漏洞成为黑客攻击的重要手段,很多数据泄露事件都与零日漏洞密不可分。目前政府与企业用户都对漏洞预警服务显示出了强劲需求。在国内市场,补天、乌云等平台可以为用户提供定制的漏洞发现与预警服务。在安全人员发现漏洞时,可以在第一时间联系用户,进行漏洞修复工作,从而可以减少数据泄露的风险。但不可忽视的是,仍有很多机构对于曝出的安全漏洞采取漠视态度。国内某政府机构在被曝出漏洞后仅仅是将相关服务器一关了之。随着各方对安全漏洞的重视,这种对漏洞预警和响应的需求将会逐步增加。

7、安全即服务成为新导向

安全即服务(Security as a Services)意味着利用云端基础设施,进行安全部署、更新和日常管理工作。尽管早在10年前就有企业推出了SaaS模式的安全服务,但功能与管控能力无法与本地安全产品相比。随着可用性的提高,从云端进行安全管理的模式,现在已逐步显示出强大的竞争力。基于云的安全解决方案能实现快速部署和管理,拥有比单一客户端更强大的计算能力,还可汇总更多来源的威胁信息,能更准确地发现和阻止安全威胁。Intel安全、Sophos等厂商都推出云端的安全管理服务,在本土厂商中,360也在解决方案中强调与云端联动,实现云端病毒查杀和云端威胁情报支持。

8、万物互联时代工控安全备受关注

两化融合的推进以及互联网+战略的推进,让原来独立运行的控制设备进行了联网和集中式管理,与互联网等公共网络的连接使得病毒、木马等威胁轻而易举地扩散到了工业控制系统,网络安全问题也随之而来,但目前我国很多行业的工业控制系统几乎是在没有任何防护的状态下,暴露在万物互联的环境中。这些风险都是潜在的,并不像生产现场安全隐患那样看得见摸得着。传统安全厂商的网御神州、绿盟科技、启明星辰、中科网威以及工控系统厂商西门子、施耐德、和利时等也都基于自身的优势推出了各自特色的安全产品或解决方案。基于日益严重的ICS系统所面临的安全威胁及可能的存在严重破坏后果,来自政府合规性的推动也越来越明显,预期2016年,工控系统安全市场会加速成长。但工控信息安全复杂,工控与安全行业的结合将是个渐进过程。

篇2

各类高级威胁层出不穷

谭晓生表示,近几年来,如APT攻击、木马远控、0day、社会工程攻击、网络钓鱼等高级威胁层出不穷。从针对政府、科研机构、关键基础设施的窃密、破坏行为,到高级威胁手法进行攻击以获取高额经济利益。值得关注的是,360互联网安全中心的《2016年中国互联网安全报告》显示,日益频繁的APT等网络攻击,正在导致政企机密情报被窃取、工业系统被破坏、金融系统遭受经济损失,甚至对地缘政治产生影响。据了解,在过去的2016年,360威胁情报中心累计监测到针对中国境内目标发动攻击的境内外APT组织36个。中国成为全球APT攻击的第一目标国。

威胁情报是应对高级威胁的有效手段

对于解决方案,谭晓生表示,高级威胁的检测以及APT攻击的防范是企业面临的难题之一,而传统的IPS/IDS、防火墙、杀毒软件等防御手段面对花样翻新的攻击显得捉襟见肘。

通过大数据安全分析以及威胁情报驱动,形成协同的安全O控、响应和深度防御系统,才能够有效应对这些高级威胁。

威胁情报是网络安全防御进化的必然结果,安全防御也将从过去的基于漏洞的防御方法改变为当前的以威胁情报为核心方法。

篇3

【 关键词 】 工业控制系统;scada;安全防护;解决方案

1 引言

现代工业控制系统(ics)包括数据采集系统(scada),分布式控制系统(dcs),程序逻辑控制(plc)以及其他控制系统等,目前已应用于电力、水力、石化、医药、食品以及汽车、航天等工业领域,成为国家关键基础设施的重要组成部分,关系到国家的战略安全。为此,《国家信息安全产业“十二五”规划》特别将工业控制系统安全技术作为重点发展的关键技术之一。

与传统基于tcp/ip协议的网络与信息系统的安全相比,我国ics的安全保护水平明显偏低,长期以来没有得到关注。大多数ics在开发时,由于传统ics技术的计算资源有限,在设计时只考虑到效率和实时等特性,并未将安全作为一个主要的指标考虑。随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时,也带来了ics的安全问题,如木马、病毒、网络攻击造成信息泄露和控制指令篡改等。工业基础设施中关键ics系统的安全事件会导致出现:(1)系统性能下降,影响系统可用性;(2)关键控制数据被篡改或丧失;(3)失去控制;(4)严重的经济损失;(5)环境灾难;(6)人员伤亡;(7)破坏基础设施;(8)危及公众安全及国家安全。

据权威工业安全事件信息库risi(repository of security incidents)的统计,截止2011年10月,全球已发生200余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使得针对ics系统的攻击行为出现大幅度增长,ics系统对于信息安全管理的需求变得更加迫切。

典型工业控制系统入侵事件:

(1) 2007年,攻击者入侵加拿大的一个水利scada控制系统,通过安装恶意软件破坏了用于取水调度的控制计算机;

(2) 2008年,攻击者入侵波兰某城市的地铁系统,通过电视遥控器改变轨道扳道器,导致4节车厢脱轨;

(3) 2010年,“网络超级武器”stuxnet病毒通过针对性的入侵ics系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营;

(4) 2011年,黑客通过入侵数据采集与监控系统scada,使得美国伊利诺伊州城市供水系统的供水泵遭到破坏。

2 工业控制系统的安全分析

分析可以发现,造成工业控制系统安全风险加剧的主要原因有两方面。

首先,传统工业控制系统的出现时间要早于互联网,它需要采用专用的硬件、软件和通信协议,设计上基本没有考虑互联互通所必须考虑的通信安全问题。

其次,互联网技术的出现,导致工业控制网络中大量采用通用tcp/ip技术,工业控制系统与各种业务系统的协作成为可能,愈加智能的ics网络中各种应用、工控设备以及办公用pc系统逐渐形成一张复杂的网络拓扑。另一方面,系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对ics造成破坏。在现代计算机和网络技术融合进ics后,传统icp/ip网络上常见的安全问题已经纷纷出现在ics之上。例如用户可以随意安装、运行各类应用软件、访问各类网站信息,这类行为不仅影响工作效率、浪费系统资源,而且还是病毒、木马等恶意代码进入系统的主要原因和途径。以stuxnet蠕虫为例,其充分利用了伊朗布什尔核电站工控网络中工业pc与控制系统存在的安全漏洞(lik文件处理漏洞、打印机漏洞、rpc漏洞、wincc漏洞、s7项目文件漏洞以及autorun.inf漏洞)。

2.1 安全策略与管理流程的脆弱性

追求可用性而牺牲安全,这是很多工业控制系统存在普遍现象,缺乏完整有效的安全策略与管理流程是当前我国工业控制系统的最大难题,很多已经实施了安全防御措施的ics网络仍然会因为管理或操作上的失误,造成ics系统出现潜在的安全短板。例如,工业控制系统中的移动存储介质的使用和不严格的访问控制策略。

作为信息安全管理的重要组成部分,制定满足业务场景需求的安全策略,并依据策略制定管理流程,是确保ics系统稳定运行的基础。参照nerccip、ansi/isa-99、iec62443等国际标准,目前我国安全策略与管理流程的脆弱

性表现为:(1)缺乏安全架构与设计;(2)缺乏ics的安全策略;(3)缺乏ics安全审计机制;(4)缺乏针对ics的业务连续性与灾难恢复计划;(5)缺乏针对ics配置变更管理;(6)缺乏根据安全策略制定的正规、可备案的安全流程(移动存储设备安全使用流程与规章制度、互联网安全访问流程与规章制度);(7)缺乏ics的安全培训与意识培养;(8)缺乏人事安全策略与流程(人事招聘、离职安全流程与规章制度、ics安全培训和意识培养课程)。

2.2 工控平台的脆弱性

由于ics终端的安全防护技术措施十分薄弱,所以病毒、木马、黑客等攻击行为都利用这些安全弱点,在终端上发生、发起,并通过网络感染或破坏其他系统。事实是所有的入侵攻击都是从终端上发起的,黑客利用被攻击系统的漏洞窃取超级用户权限,肆意进行破坏。注入病毒也是从终端发起的,病毒程序利用操作系统对执行代码不检查一致性弱点,将病毒代码嵌入到执行代码程序,实现病毒传播。更为严重的是对合法的用户没有进行严格的访问控制,可以进行越权访问,造成不安全事故。

目前,多数ics网络仅通过部署防火墙来保证工业网络与办公网络的相对隔离,各个工业自动化单元之间缺乏可靠的安全通信机制,数据加密效果不佳,工业控制协议的识别能力不理想,加之缺乏行业标准规范与管理制度,工业控制系统的安全防御能力十分有限。例如基于dcom编程规范的opc接口几乎不可能使用传统的it防火墙来确保其安全性,在某企业的scada系统应用中,需要开放使用opc通讯接口,在对dcom进行配置后,刻毒虫病毒(计算机频繁使用u盘所感染)利用windows系统的ms08-67漏洞进行传播,造成windows系统频繁死机。  另一种容易忽略的情况是,由于不同行业的应用场景不同,其对于功能区域的划分和安全防御的要求也各不相同,而对于利用针对性通信协议与应用层协议的漏洞来传播的恶意攻击行为更是无能为力。更为严重的是工业控制系统的补丁管理效果始终无法令人满意,考虑到ics补丁升级所存在的运行平台与软件版本限制,以及系统可用性与连续性的硬性要求,ics系统管理员绝不会轻易安装非ics设备制造商指定的升级补丁。与此同时,工业系统补丁动辄半年的补丁周期,也让攻击者有较多的时间来利用已存在漏洞发起攻击。以stuxnet蠕虫为例,其恶意代码可能对siemens的cpu315-2和cpu417进行代码篡改,而siemens的组态软件(wincc、step7、pcs7)对windows的系统补丁有着严格的兼容性要求,随意的安装补丁可能会导致软件的某些功能异常。

2.3 网络的脆弱性

ics的网络脆弱性一般来源于软件的漏洞、错误配置或者ics网络管理的失误。另外,ics与其他网络互连时缺乏安全边界控制,也是常见的安全隐患。当前ics网络主要的脆弱性集中体现在几个方面。

(1) 网络配置的脆弱性(有缺陷的网络安全架构、未部署数据流控制、安全设备配置不当、网络设备的配置未存储或备份、口令在传输过程中未加密、网络设备采用永久性的口令、采用的访问控制不充分)。

(2) 网络硬件的脆弱性(网络设备的物理防护不充分、未保护的物理端口、丧失环境控制、非关键人员能够访问设备或网络连接、关键网络缺乏冗余备份)。

(3) 网络边界的脆弱性(未定义安全边界、未部署防火墙或配置不当、用控制网络传输非控制流量、控制相关的服务未部署在控制网络内)。

(4) 网络监控与日志的脆弱性(防火墙、路由器日志记录不充分、ics网络缺乏安全监控)。

(5) 网络通信的脆弱性(未标识出关键的监控与控制路径、以明文方式采用标准的或文档公开的通信协议、用户、数据与设备的认证是非标准的。

(6) 或不存在、通信缺乏完整性检查。

(7) 无线连接的脆弱性(客户端与ap之间的认证不充分、客户端与ap之间的数据缺乏保护)。

3 工业控制系统的安全解决方案

工业控制系统的安全解决方案必须考虑所有层次的安全防护安全解决方案,必须考虑所有层次的安全防护。

(1) 工厂安全(对未经授权的人员阻止其访问、物理上防止其对关键部件的访问)。

(2) 工厂it安全(采用防火墙等技术对办公网与自动化控制网络之间的接口进行控制、进一步对自动化控制网络进行分区与隔离、部署反病毒措施,并在软件中采

用白名单机制、定义维护与更新的流程)。

(3) 访问控制(对自动化控制设备与网络操作员进行认证、在自动化控制组件中集成访问控制机制)工业场景下的安全解决方案必须考虑所有层次的安全防护。

根据国内ics及企业管理的现状,建议ics的信息安全机制的建立从三个方面考虑:1)借鉴国际规范制定适合我国国情的ics分区分级安全管理及隔离防护机制,制定相关技术标准,鼓励国内相关企业开发符合相关技术标准的专业防火墙、隔离网关等专业产品;2)按ics系统的应用类型建立工控网络信息安全网络架构规范和组网原则,制定ics系统网络设备选取及运行管理规范,禁止接入外来不可信存储设备;3)建立市场准入机制并制定相关文件。

目前,国内大型成套设备的ics系统基本上以国外工控系统为主,甚至有些设备直接是国外全套进口的。国外厂商在ics系统集成、调试和后续维护上有许多办法和手段以降低工程项目的后期运行维护成本。其中最典型的手段就是设备的远程维护,包括监控、诊断、控制和远程代码升级。这些功能的实施通常是借助外部公共网络平台远程操控。这些功能方便了系统开发建造商,但给我们的大型(包括重点)工业项目的日后运行带来重大隐患。外部攻击者可以通过这些路由控制或改变、介入并控制ics系统。从信息安全的角度应严格控制国外具有远程外部操作后门的ics系统与装置进入国内核心工控系统。另外,随着高性能的通用pc平台与工控系统对接,越来越多的工控核心装置采用pc硬件平台和微软操作系统作为系统的核心,这样做的好处是借助pc平台和微软软件系统下的大量高性能软件资源降低开发成本。但这样做的危害是将工控系统置于pc平台中的各种病毒和网络攻击的威胁下。虽然相关企业不断推出各种补丁与升级,但工控系统24小时常年不断的运行模式使得这种间歇式的软件修补与升级显得非常无助。所以选用基于pc硬件平台和微软操作系统的底层ics装置进入核心工控系统应该予以认真考虑。

参考文献

[1] 王孝良,崔保红,李思其.关于工控系统的安全思考与建议.第27次全国计算机安全学术交流会,2012.08.

[2] 张帅.ics工业控制系统安全分析.计算机安全,2012.01.

[3] 唐文.工业基础设施信息安全.2011.

[4] 石勇,刘巍伟,刘博.工业控制系统(ics)的安全研究.网络安全技术与应用,2008.04.

作者简介: