1 相關(guān)網(wǎng)絡(luò)安全框架
工控安全理念進(jìn)化:物理隔離——縱深防御——由工控內(nèi)部生長(zhǎng)的持續(xù)性防御體系——以攻為守呵燕。
1.1 OSI安全體系結(jié)構(gòu)
安全體系結(jié)構(gòu)定義了5大類安全服務(wù)和8類安全機(jī)制,可根據(jù)具體系統(tǒng)適當(dāng)?shù)嘏渲糜贠SI模型的七層協(xié)議中件相。
突出特點(diǎn):采用了分層的思想再扭,層與層間相互獨(dú)立,具有很好的靈活性夜矗。
局限性:只專注于網(wǎng)絡(luò)通信系統(tǒng)和靜態(tài)防護(hù)技術(shù)泛范,對(duì)于持續(xù)變化的內(nèi)外部安全威脅缺乏足夠的監(jiān)測(cè)與應(yīng)對(duì)能力,因而無(wú)法滿足更復(fù)雜更全面的信息保障的要求紊撕。
1.2 P2DR模型
引入動(dòng)態(tài)安全理念罢荡,將網(wǎng)絡(luò)安全的實(shí)施分為防護(hù)、檢測(cè)和響應(yīng)三個(gè)階段对扶。在整體安全策略的指導(dǎo)下部署安全防護(hù)措施区赵。
突出特點(diǎn):基于閉環(huán)控制的動(dòng)態(tài)安全模型。適用于需要長(zhǎng)期持續(xù)安全防護(hù)的系統(tǒng)浪南。
局限性:局限于從技術(shù)上考慮網(wǎng)絡(luò)的安全問(wèn)題笼才,忽視了管理對(duì)于安全防護(hù)的重要性。
1.3 IAFT信息保障技術(shù)框架
IATF 提出保障信息系統(tǒng)安全應(yīng)具備的三個(gè)核心要素:即人络凿、技術(shù)和操作骡送。同時(shí),將網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)分為網(wǎng)絡(luò)和基礎(chǔ)設(shè)施防御絮记、網(wǎng)絡(luò)邊界防御摔踱、計(jì)算環(huán)境防御和支撐性基礎(chǔ)設(shè)施防御四部分。
突出特點(diǎn):通過(guò)對(duì)四個(gè)部分分別部署安全保障機(jī)制到千,形成對(duì)網(wǎng)絡(luò)系統(tǒng)的縱深防御,最大限度降低安全風(fēng)險(xiǎn)赴穗,從而保障系統(tǒng)的安全性憔四。
局限性:實(shí)現(xiàn)的都是對(duì)網(wǎng)絡(luò)系統(tǒng)的靜態(tài)安全防護(hù),并未對(duì)網(wǎng)絡(luò)系統(tǒng)部署動(dòng)態(tài)持續(xù)的安全防護(hù)措施般眉。
1.4 IEC62443工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)
將工業(yè)控制系統(tǒng)按照控制和管理的等級(jí)劃分成相對(duì)封閉的區(qū)域了赵,區(qū)域之間的數(shù)據(jù)通訊通過(guò)管道進(jìn)行,通過(guò)在管道上安裝信息安全管理設(shè)備來(lái)實(shí)現(xiàn)分級(jí)保護(hù)甸赃,進(jìn)而實(shí)現(xiàn)控制網(wǎng)絡(luò)的縱深防御柿汛。
突出特點(diǎn):采用縱深防御的安全防護(hù)策略,將技術(shù)與管理有機(jī)結(jié)合。
1.5 美國(guó)IIC工業(yè)互聯(lián)網(wǎng)安全框架分析
從實(shí)施視角出發(fā)络断,以安全模型和策略作為總體指導(dǎo)裁替,部署通信、端點(diǎn)貌笨、數(shù)據(jù)弱判、配置管理、監(jiān)測(cè)分析等方面的安全措施锥惋。
突出特點(diǎn):美國(guó)IISF聚焦于IT安全昌腰,側(cè)重于安全實(shí)施,明確了具體的安全措施膀跌。
1.6 德國(guó)工業(yè)4.0架構(gòu)安全
德國(guó)工業(yè)4.0并未專門(mén)針對(duì)安全提出相應(yīng)的安全架構(gòu)遭商。安全在RAMI? 4.0中起到了承載和連接所有結(jié)構(gòu)元素的骨架的作用。
突出特點(diǎn):德國(guó)RAMI4.0采用了分層的基本安全管理思路捅伤,側(cè)重于防護(hù)對(duì)象的管理劫流。
1.7 工業(yè)互聯(lián)網(wǎng)安全
防護(hù)對(duì)象視角
防護(hù)措施視角
防護(hù)措施視角從生命周期、防御遞進(jìn)角度明確安全措施暑认,從而實(shí)現(xiàn)動(dòng)態(tài)困介、高效的防御和響應(yīng)。
防護(hù)管理視角
1.8 未來(lái)趨勢(shì)
工業(yè)互聯(lián)網(wǎng)安全框架將不斷豐富和完善蘸际。
工業(yè)互聯(lián)網(wǎng)安全防護(hù)作為未來(lái)工業(yè)互聯(lián)網(wǎng)發(fā)展的一個(gè)重點(diǎn)關(guān)注方面座哩,要求工業(yè)互聯(lián)網(wǎng)安全框架在工業(yè)互聯(lián)網(wǎng)快速發(fā)展中不斷更新與完善。未來(lái)工業(yè)互聯(lián)網(wǎng)安全防護(hù)工作有以下幾個(gè)方面值得關(guān)注粮彤。
2 防護(hù)措施
2.1 安全檢測(cè)
2.1.1基本檢測(cè)方法
端口/服務(wù)掃描根穷,風(fēng)暴測(cè)試,弱口令測(cè)試导坟,協(xié)議完整性測(cè)試屿良,漏洞掃描及驗(yàn)資,漏洞挖掘檢測(cè)惫周。
2.1.2漏洞檢測(cè)技術(shù)
手工測(cè)試(審核代碼)技術(shù)尘惧,模糊測(cè)試技術(shù),二進(jìn)制比對(duì)技術(shù)递递,靜態(tài)分析技術(shù)喷橙,動(dòng)態(tài)分析技術(shù)。
2.1.3檢測(cè)對(duì)象
工業(yè)網(wǎng)絡(luò)控制類設(shè)備登舞,工業(yè)網(wǎng)絡(luò)控制系統(tǒng)贰逾,工業(yè)網(wǎng)絡(luò)安全類設(shè)備。
2.1.4已知脆弱性檢測(cè)功能
持續(xù)更新公開(kāi)漏洞庫(kù)菠秒,持續(xù)更新自主挖掘工控零日漏洞庫(kù)疙剑,海量工控設(shè)備信息庫(kù),自主研發(fā)的產(chǎn)品硬件可支持工控設(shè)備脆弱性檢測(cè)的全面性。
2.1.5未知脆弱性檢測(cè)功能
基于大量實(shí)際案例積累的高效測(cè)試用例言缤,先進(jìn)的模糊測(cè)試算法集嚼蚀,自學(xué)習(xí)型漏洞定位能力,方便的測(cè)試用例自定義功能轧简,兼容性測(cè)試驰坊,穩(wěn)定性測(cè)試,功能性測(cè)試哮独,漏洞掃描與挖掘拳芙。
2.2 安全防護(hù)
2.2.1設(shè)備安全
2.2.2控制安全
2.2.3應(yīng)用安全
2.2.4網(wǎng)絡(luò)安全
2.2.5數(shù)據(jù)安全
2.2.6態(tài)勢(shì)感知
2.2.7處置恢復(fù)
3 主要安全技術(shù)
3.1 控制技術(shù)
設(shè)備漏洞檢測(cè):覆蓋主要的工控協(xié)議,支持多種總線皮璧,對(duì)未知協(xié)議的檢測(cè)與漏洞挖掘舟扎。
網(wǎng)絡(luò)檢測(cè):對(duì)工控網(wǎng)絡(luò)流量在線實(shí)時(shí)過(guò)濾與異常數(shù)據(jù)攔截,自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)行為悴务,自動(dòng)生成防御策略睹限。
訪問(wèn)控制:設(shè)定邊界防護(hù)策略(如白名單)實(shí)現(xiàn)訪問(wèn)控制和網(wǎng)絡(luò)邊界的隔離防護(hù)。
身份鑒別:工業(yè)控制系統(tǒng)中的操作員站讯檐,工程師站羡疗,操作命令等需要具備身份鑒別功能。
防惡意代碼:使用特征掃描别洪,防病毒軟件叨恨,可信計(jì)算技術(shù)進(jìn)程管控等方式檢測(cè)和發(fā)現(xiàn)惡意代碼。
可視化檢測(cè):基于清晰的系統(tǒng)拓?fù)渫诙猓瑢?duì)網(wǎng)絡(luò)數(shù)據(jù)痒钝,事件進(jìn)行實(shí)時(shí)監(jiān)視,實(shí)時(shí)告警痢毒,掌握網(wǎng)絡(luò)運(yùn)行狀況送矩。
安全數(shù)據(jù)庫(kù):以大數(shù)據(jù)理念,完善設(shè)備安全漏洞哪替,網(wǎng)絡(luò)結(jié)構(gòu)模型庫(kù)栋荸,設(shè)備風(fēng)險(xiǎn)統(tǒng)計(jì)庫(kù)等數(shù)據(jù)庫(kù)。
3.2 防護(hù)技術(shù)
防護(hù)手段:黑名單凭舶,白名單(入侵檢測(cè)系統(tǒng)晌块,工控保護(hù)裝置)。
防護(hù)技術(shù):智能學(xué)習(xí)库快,DPI(深度包)檢測(cè)摸袁。
防護(hù)方向:檢測(cè)審計(jì)钥顽,終端保護(hù)义屏,數(shù)采隔離。
4 安全生命周期
設(shè)備檢測(cè):覆蓋主要工控設(shè)備,支持未知協(xié)議檢查闽铐,多種豐富檢查方法蝶怔。
安全服務(wù):系統(tǒng)風(fēng)險(xiǎn)評(píng)估,設(shè)備漏洞挖掘兄墅,安全滲透攻踢星,安全技術(shù)培訓(xùn)。
威脅管理:離線威脅管理平臺(tái)隙咸,多種威脅評(píng)估工具沐悦,工控設(shè)備漏洞驗(yàn)證,全網(wǎng)防御方案建議五督。
監(jiān)控審計(jì):自動(dòng)學(xué)習(xí)網(wǎng)絡(luò)行為藏否,自動(dòng)生成告警報(bào)告,全網(wǎng)安全監(jiān)控審計(jì)充包。
智能保護(hù):自動(dòng)學(xué)習(xí)工控協(xié)議副签,自動(dòng)生成防御策略,‘一鍵式’安全部署基矮。
安全數(shù)據(jù)庫(kù):設(shè)備安全漏洞庫(kù)淆储,網(wǎng)絡(luò)結(jié)構(gòu)模型庫(kù),設(shè)備風(fēng)險(xiǎn)審計(jì)庫(kù)家浇,覆蓋主流生產(chǎn)商本砰。
5 典型解決方案
