企业工控网络安全意识逐渐提高，但依然缺少统筹规划

-中科网威（Netpower）工控网络安全事业部总经理许鑫

    通过多年的工控网络安全工作，我们可以看到很多行业用户的工控网络安全意识都在明显提高，在2013年至2014年期间，中科网威接到大量的来自于自动化生产企业用户的来电咨询，可以明显看到，在某些行业的工业控制系统网络安全需求呈明显上升趋势，如下图所示图1，甚至一些用户对工控网络安全风险的研究并不亚于专业的工控网络安全厂商。

图1 工控网络安全需求年度对比

    我们知道，安全意识的提高可以明显降低网络受到威胁的程度，但并不能从根本上消减网络安全威胁问题。要应对这一问题，针对工控网络的安全规划工作是必不可少的。我们必须认识到，虽然随着很多工控网络安全事件的曝光，我们的意识正在飞速提高，但我们需要有效的应对手段来填补我们由安全意识提高所带来的“安全恐慌”。

    目前可以看到，在工控网络中面临的最大问题是安全设备“无作为”与安全事件“无定位”。

现状：安全设备“无作为”

    很多生产型企业在信息化融合的过程中缺少网络安全评估环节，以至于无法准确定位现有生产网络的安全风险点，对于企业而言带来的直接问题就是部署的安全设备无法有效的起到防护作用，甚至有可能对生产业务的连续性起到负面影响。

    例如，大多数的企业在控制系统前都架设了防火墙，如下图所示图2，这一位置的防火墙往往由生产部门统一管理，由于一部分自动化工程师对网络安全威胁的意识不足，防火墙的策略配置往往比较简单，或干脆由集成商托管，而集成商无法做到7X24小时监测网络安全风险，只能依靠人员经验为防火墙配置常规策略，这就导致了我们的这种被动防护行为有可能无法起到有效的作用。

图2常见的工业控制系统网络防护方式

    还有一些企业选择了应用于传统IT涉密网的网闸产品进行工控网与信息网的隔离，这一类网闸产品可以有效防止外网直接访问控制网络，但必须要注意，“网闸思维”实际上会让我们的工程师放松警惕，入侵者也会随之乘虚而入，而恶意代码往往会通过正常的通信过程进入到你的控制系统网络中，令网闸无从察觉。毕竟不是所有的恶意代码都需要实时连接C&C，对于近期常见的“智能化”的攻击技术来说，网闸产品就有些力不从心了。

现状：安全事件“无定位”

    现在，很多由工控网络安全隐患引起的导致生产业务中断的事件被人为定义为工控设备自身故障，这一问题已成为普遍现象，无形中给用户增加了每年的设备维护费用，对自动化设备厂商来讲这种“误解”也不是一件好事。分析原因，这一现象主要由于大部分工程师对工控网络安全事件缺少定位手段，以致无从判 断，轻易归结为“见的到、摸得着”的工控网络设备的自身故障。

    有效的安全事件追溯可以帮助我们快速解决工控网络的安全问题。然而，当我们了解到，某些影响工控网络正常生产业务流程的事件，可能是由于网络安全问题引起的时候，就有一个新的问题摆在我们的面前：工控网络的安全问题往往非常复杂，众多的脆弱性问题可能导致某一个安全事件的发生，我们如何做到有效的定位与追溯呢？我们如何解决恶意代码利用0Day漏洞、免杀技术等手段来进行恶意传播的问题呢？

   这就需要我们对整个工控网络进行统一的安全规划部署，以便于我们制定实时、高效的安全风险应对策略。

工控网络安全统筹规划、实时感知

    面对工控网络不断发生的由网络安全风险导致的严重后果，实现工控网络安全统筹规划、快速降低网络安全风险成为迫在眉睫的工作。然而，对整个工控网络进行统一的安全规划并不是一件易事，充分掌握工控网络的安全风险成为第一道门槛，而对工控网络安全风险的识别与分析能力同时成为致胜的关键。

哪些资产是关键资产？哪些业务的中断会导致更严重的后果？哪些安全风险不能避而不视？

    这些年来我们一直在研究如何有效降低工控网络内的安全风险，其实不难看出，传统的基于已知特征库的安全检测手段已经无法满足这一需求，我们必须把基于已知特征库的安全检测技术晋升为一种更加智能的检测技术或手段才可以解决这一问题，网威把这种技术叫做工控网络的“态势感知技术”。

    工控网络的“态势感知技术”应不同于我们在INTERNET中常见的态势感知技术，由于工控网络基于业务流程分区的特点，工控网络的“态势感知技术”应是一种打破传统网络安全边界定义的感知技术，工控网络安全风险数据的收集、降噪等能力成为这一技术能否具有生命力的关键。

    2012年我们尝试推出了第一代网威异常感知系统（当时叫做“网威异常检测系统”），来帮助用户改善工控网络安全问题，截至目前，中科网威（Netpower）的异常感知系统已经在大多数的用户现场环境进行部署，同时包括网威工控防火墙、网威异常感知系统在内的全系列工控网络安全产品均已应用了网威“态势感知技术”，以便配合整体工控网络安全解决方案，来帮助用户掌控工控网络安全风险，从而为用户提供一套网络感知、秩序可控、多种安全技术联动的智能型管理方案。

通过对工控网络安全风险的实时感知，用户就可以对安全风险进行高效有据的判断，同时动态的改善工控网络安全环境，尽可能将安全风险降至最低。

同时，中科网威（Netpower）也欢迎来自各行业用户与厂商的技术交流，共同改善中国的工控网络安全环境。