中国到底需要什么样的工控平安.docx
- 文档编号:4399998
- 上传时间:2022-12-01
- 格式:DOCX
- 页数:6
- 大小:22.58KB
中国到底需要什么样的工控平安.docx
《中国到底需要什么样的工控平安.docx》由会员分享,可在线阅读,更多相关《中国到底需要什么样的工控平安.docx(6页珍藏版)》请在冰豆网上搜索。
中国到底需要什么样的工控平安
中国到底需要什么样的工控平安
——写在工控平安元年结尾
前言
2021新年伊始,万象更新。
在过去的一年里,工控平安突然成了一个热点词,举目望去,几乎所有跟网络平安相关的展会、论坛,和自动化领域的重大会议,与会者言必谈工控平安,恍如一晚上之间网络平安界拓展了新领域,自动化界来了新成员。
笔者就以自己连年从事相关行业的体会和总结,谈一谈中国到底需要什么样的工控平安。
一、工控平安市场现状
其实工控平安并非是一个新课题,早在2006年8月,中国工业设备网就刊发了一篇文章《工控软件平安性的设计问题探讨》,文章中针对工控软件存在的信息平安问题提出了针对性的解决方案,要求工控软件要在用户身份认证、访问操纵、操作审计和与杀毒软件的兼容性等多方面采取解决方法。
如此一篇文章,那时并无引发业界很多的关注。
但是时隔8年以后,工控平安在2021年突然间就成了公共话题,从年头到年尾,各路英雄是你方唱罢我登台,恨不能一晚上之间,将工控平安市场炒个底朝天。
在这一年里,市场上突然显现了接近10家专业的工控平安解决方案厂商;
在这一年里,工控平安第一次以独立论坛的方式亮相2021中国互联网平安大会;
在这一年里,工控平安产品公布会此起彼伏,威努特、海天炜业、启明星辰、绿盟和三零卫士陆续发布新产品;
在这一年里,工控系统信息平安国家标准第一次发布;
在这一年里,“工业操纵系统信息平安技术国家工程实验室”在电子部六所揭牌成立。
物联网、工业4.0和两化融合等国家政策的引导,让众多厂家都灵敏的感到了工控
市场兴起的预兆。
总的来讲,这一年的确称得上是工控平安元年!
1)工控平安厂商现状
工控平安厂商作为那个市场中最重要、最活跃的推动力量,在工控平安元年的各项重大活动中都扮演着超级重要的角色。
海天炜业,即青岛多芬诺,作为从2020即在中国市场推行工业防火墙的行业前驱,在连年的市场积存中,完全洗心革面,从一家传统的自动化系统维保公司成功转型为一家专业的工控网络平安解决方案提供者;尤其是在2021年4月22日发布的新一代自研“Guard”工业防火墙,受到行业一致好评。
力控华康,脱胎于力控集团,背靠母公司普遍的工控市场资源,结合工控的实际需求,推出了一系列工控协议转换产品和工控平安隔离网关,受到市场的普遍认可;其自研工业防火墙也在部份工控领域有初步应用。
三零卫士,是中国电子科技集团公司电子第三十研究所下属企业,在2021年成功推出了自研的工控防火墙,同时也推出了自己的“固隔监”整体工控平安防护体系,取得了行业内外的普遍关注。
中科网威,作为参与过中国多项网络平安国标编写的厂商,在经历了传统信息平安市场的连年历练以后,决定把新的增加点放在工控平安领域,并成功推出了自己的工控防火墙和。
威努特,作为一家新进入工控平安领域的厂商,在2021年也开始自己的工控平安之路。
2021年1月6日,正式推出《打造工业操纵系统网络平安白环境》的工控平安整体解决方案。
作为一家脱胎于华为的专业技术团队,威努特从一开始就用一整套成熟的解决方案将自己的核心优势展现出来,期待威努特在2021年给那个行业带来不一样的感觉。
2)行业标准
GB/T30976-2021《工业操纵系统信息平安》(2个部份)标准于2021年12月2日在北京举行公布会。
会议表示标准已完成制定,大体知足工业操纵系统的用户、系统集成商、设备生产商等各方面的利用。
标准将于2021年2月1日起实施。
3)各研究机构现状
公安部三所
公安部三所已经在工控漏洞挖掘方面积存了必然研究体会,同时承担了所有国内厂商的工控防火墙测试工作,并在测试进程中,慢慢试探出一整套工控平安防护解决方案。
CETC
CETC在2021年7月推出的国家网络平安靶场,受到行业内外一致好评;其中工控网络平安攻防演示平台以直观的沙盘演练,吸引了各相关部门领导的普遍关注。
电科院
电科院作为国家电网直属的综合性研究机构,其对工控平安的关注也走在各行业前列。
其在2021年即开始关于工控漏洞的挖掘研究。
并在深切研究国外相关产品的基础上,打算进行国产设备的自主研发。
上海自仪所
上海工业自动化仪表研究院联合上海交大、公安部第三研究所、国核自仪、新华操纵、华虹等30多家研究机构和企业,成立了工业操纵系统信息平安技术效劳联盟,建成石化、电力、轨道交通3个行业的多系统攻防演练平台,并加入国际和国家标准制定和修订。
电子部六所
2021年12月1日,“工业操纵系统信息平安技术国家工程实验室”举行揭牌仪式暨理事会和技术委员会成立大会。
工业操纵系统信息平安技术国家工程实验室是经国家发改委批复,由中国电子信息产业集团第六研究所承担建设的实验室,旨在解决
相关问题。
其下设的“工业操纵系统检测认证明验室”将作为要紧执行机构进行工控平安相关平安检测认证技术研究。
4)行业客户现状
电力
电力行业的网络平安要紧基于《电力二次系统平安防护规定》、《电力二次系统平安防护评估治理方法》、《电力行业工控信息平安监督治理暂行规定》和配套文件等电力工控信息平安各项规定和要求,其关于真正意义上的工控平安的项目实施,大体还处于探讨时期。
目前实际的动作是在全网排查整改某品牌PLC、工业互换机的信息平安风险,并开展其它工控设备信息平安漏洞的检测排查工作,对发觉的平安漏洞进行上报处置。
石化
石化行业在工控平安方面走在所有行业的前列,从2020年开始,石化行业开始部署加拿大多芬诺公司的工控防火墙,要紧用在OPC防护场景。
燕山石化、齐鲁石化及大庆石化等多家国内大型石化企业都有较多部署。
冶金
冶金行业目前已开始进行工控平安的实地部署,由于冶金行业大量采纳了西门子、罗克韦尔、ABB、TEMIC(东芝三菱)、yaskawa(日本安川)等国外品牌的PLC,因此冶金行业关于PLC的平安防护超级重视。
5)DCS厂商现状
和利时
和利时在2021年即开始紧密关注工控平安,是工业操纵系统信息平安产业联盟(ICSISIA)的成员单位,是工控防火墙的要紧起草负责单位;目前已开始和各工控平安厂商进行工控防火墙及其他产品的合作。
中控
中控也是工业操纵系统信息平安产业联盟(ICSISIA)的成员单位,而且中控在DCS系统平安、工控项目整体平安和具体的工控产品的平安评测方面,都提出了自己一整套的进展思路,在目前平安需求最迫切的几个风险点上开始实施防护方案。
二、工控平安真实情形
在过去一年里,所有关于工控平安的演讲、文章中,显现最多的确实是震网病毒和Havex。
每逢论坛、展会,无一不讲震网病毒。
在2021年7月发觉的Havex病毒,也专门快被某些厂商大肆加以宣传利用。
事实上,震网病毒和Havex跟中国几乎没有直接关系,震网病毒要紧破坏了伊朗的核设施,而Havex病毒的阻碍也要紧在欧洲。
中国的工控系统到底面临哪些实实在在的要挟,仿佛没有人能真正说清楚。
中国有无工控平安事件,有多少,阻碍如何?
在国内由于这种事件专门快被处置,信息传播被操纵,公布资料超级有限,在网上几乎搜索不到。
笔者作为工控平安的从业者,通过跟众多客户的真实接触,取得了很多一手的资料,在那个地址与大伙儿分享。
2020年,某石化企业某装置操纵系统别离感染Conficker病毒,造成操纵系统效劳器与操纵器通信不同程度地中断。
笔者曾出差到江苏某地级市,该市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行操纵访问,实时取得各泵站PLC的数据;结果发觉大量的PLC联网状态不稳固,显现时断时续的现象。
通过现场诊断,发觉是PLC的TCP/IP协议栈存在明显缺点致使,最后靠厂家升级PLC固件解决。
某大型石化公司,操纵网内已经部署了大量某外国品牌的工业防火墙,以为能够从此安枕无忧。
但实际情形却是操纵网内大量工程师站、
操作员站感染了大量病毒,致使操纵软件运行缓慢,正常操作无法进行。
2021年,某大型冶金厂车间操纵系统发觉病毒,是因为员工在某一台工作站上擅自安装娱乐软件带入在操纵网扩散。
从以上笔者取得的部份实际案例来看,中国的工控平安要挟长期以来就已存在,但由于信息的曝光度不高,并无取得更高层面的足够重视。
而且往往一些简单的电脑病毒,就能够在企业工控网内肆虐,对生产造成严峻阻碍。
三、工控平安问题本源分析
从上一章节咱们能够看出,我国的工业操纵网络的确存在着较为明显的网络平安问题,致使这些问题的本源,通过威努特长期的实地调研和分析研究,咱们以为要紧能够归纳为以下几个方面:
1)工控系统以可用性为第一名,系统的稳固靠得住运行是治理人员关注的重点。
设备停车带来的经济损失、乃至人员伤亡事故是所有人不肯意看到的。
这就致使了对工控设备的治理保护超级保守谨慎,工作人员只会依照设备厂商的要求做已体会证的、必要的软硬件升级,而防病毒软件、防火墙等网络平安设备的软硬件升级几乎不予考虑。
这就给病毒、歹意程序以可乘之机,能够轻松绕过形同虚设的防火墙和病毒库陈腐的杀毒软件,直接攻下对工控系统相当重要的操作操纵主机。
笔者一名长期从事石化行业保护的朋友就说他们宁可工作站出了问题重装系统,也不敢升级系统补丁和病毒库。
2.工控系统的生命周期普遍较长,现场存在很多老旧设备。
这些老旧设备因为历史的技术所限,或多或少都存在必然的设计缺点。
在新的应用条件下,一些以前不太明显的缺点会暴露出来。
比如上一章节提到的PLC的TCP/IP协议栈缺点问题,在以前的应用中,PLC的通信网口很少会直接连接到互联网,因此没有发生这种问题,是用户新的需求致使了问题的暴露。
3.工厂关于信息类设备的治理流程和制度,往往也存在明显漏洞。
比如员工个人的笔记本、U盘能够随时接入操纵网络,能够随时从工作站拷贝资料到个人电脑等。
这些操作无疑会给工控网络带来显而易见的风险——众所周知,Stuxnet震网病毒确实是从U盘流入完全隔离的伊朗核设施网络的。
正如在《打造工业操纵系统网络平安“白环境”》中所说,传统的工控网络一直被以为是一片祥和的“世外桃源”,彼此之间是一个完全信任的体系,“小国寡民、夜不闭户、路不拾遗”,当其不能不对外开放时,何来抵御外来盗匪的能力?
四、工控平安解决之道
第一,笔者先说明一下关于平安的三个概念:
第一,平安不免费;第二,平安的最高境遇是感觉不到平安;第三,平安无侥幸。
平安不免费,那个概念专门好明白得,世上没有白吃的午饭,企业要想做平安就要做好投入的预备,那个概念谁都同意,可是很多人就未必情愿做。
什么缘故呢?
他会说以前我没做平安也一直都运行的专门好,什么缘故还要花钱、花精力去弄这些。
做个对照就专门好明白得,以前国内有些大山内的村子,家家户户全然没有锁的,可是此刻随着社会进展,交流增多,谁家还敢不上锁?
从操纵网发布的《2021年中国工业操纵系统信息平安蓝皮书》数据看,2021年狭义的工控平安市场不足2亿,只占信息平安整体市场的1%!
而作为对照,中国2021年PLC、DCS、SCADA等都有接近百亿的市场规模,按IT行业通用标准,平安产品及效劳应该占整个信息化投入的8%~10%。
即正常来讲,工控平安应该每一年有20-30亿投入,才能达到IT界平均的平安水准。
而且在工控平安市场刚起步时,产品和解决方案都不完善,各个企业的投入并非平均,考虑“智猪博弈”的原理,那些行业内的大企业需要先期投入更多。
第二个概念,平安的最高境遇是感觉不到平安。
从投入效益比来讲,预防永久比医治更划算。
正所谓善战者无赫赫之功,一个真正好的平安解决方案,是能够把所有隐患排除在萌芽时期,让利用的人乃至完全感觉不到它在起作用。
可是,正如保健品永久不如特效药出名,一个真正好的平安产品也无法给用户那么明显的存在感。
总之,咱们那个行业,不但需要一批真正懂平安的卖家,也需要一批真正懂平安的买家。
第三个概念,平安无侥幸。
既然平安又花钱成效又不明显,是不是咱们就能够够不去做了呢?
事实告知咱们,这种侥幸的心理是万万要不得的。
墨菲定律告知咱们,若是情形有变坏的可能,不管它的概率何等小,它必然会发生。
以震网病毒为例,为了解决网络完全隔离、只能利用U盘进行数据互换的伊朗核设施工厂,在它被发觉之前,它感染了全世界超过45000个网络,6000万台主机作为跳板,互联网时期的网络解决确实是如此恐怖。
又比如Havex病毒,其后期对要紧SCADA供给商的官网下载软件进行了挂马的水坑解决,使得很多国家的电网、水坝等设施中招,目前它的最终解决目标还不明。
面临着可自我复制,可通过量种途径传播的网络病毒、木马,企业网络没有一个自身强健的“免疫系统”,是必然要伤风的。
因此,网络平安是必然要做的。
可是想做新、做好很难,可能需要很多人、很多厂家前仆后继的投入,最后能够活下来的就那么几家。
技术和理念不能太超前,又不能不超前,那个窗口是超级小的。
有这么一句话“咱们只领先他人半步,领先一步的都成了烈士。
”
在技术和理念上,咱们是怎么做到领先他人半步的呢?
作为一家继承了传统IT平安厂家深厚技术积存,并对工控平安有着自己深切研究的企业,威努特公司没有简单照搬传统IT平安思维,而是以工控系统平安的视角,针对工控系统对靠得住性、稳固性、业务持续性的严格要求,和工控系统软件和设备更新不频繁、通信和数据较为特定的特点,提出了成立工控系统平安生产与运行的“可信网络白环境”和“软件应用白名单”概念,进而构筑工业操纵系统的整体网络平安“白环境”。
区别于传统防护“黑名单”的方式,所谓“白”指的是好的、可信的,即只有可信任的设备、软件和数据,才许诺在工控网络内部流通;其他歹意的、不明确的或规定不许诺的东西都不许诺流通利用。
●只有可信任的设备,才能接入操纵网络;
●只有可信任的消息,才能在网络上传输;
●只有可信任的软件,才许诺被执行。
第二,要增强工控企业对操作保护人员的网络平安意识的培训,杜绝一些高危操作的发生,如将个人U盘插入操纵主机,将个人电脑连入操纵网络;让每一个员工都对网络平安有明确的熟悉,同时也有切实可行的操作方式。
另外,要成立健全工厂的整体网络平安操作规章制度,让所有人的行为都有章可循,有章可依,有章可查;把所有可能的隐患都列入制度的治应当中,如此才能保证网络平安问题长治久安。
其实在平安领域,一个普遍的观点是没有100%的平安,再壮大的产品、再完善的制度都有漏洞,都会被攻破。
咱们做平安的目的都不是防居处有的解决,而是尽可能提高解决者的本钱,使得解决者攻破平安防御体系付出的代价远远高于其可能取得的利益。
威努特构建工控网络“白环境”的解决方案既能最大限度保证工控用户原有系统的可用,又能有效利用IT平安积存的功效,保证最大限度的平安性,能够为用户构建有效抵御工控系统解决的工控平安防御体系,为客户带来工控平安防护的真正价值。
结语:
中国到底需要什么样的工控平安,那个问题不但是所有的工控平安厂商应该考虑的问题,而且是所有相关从业者都应该回答的问题。
笔者在那个地址抛砖引玉,希望工控平安不仅是大伙儿讨论的核心,更能早日形成真正的产业化。
北京威努特技术有限公CEO龙国东
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 中国 到底 需要 什么样 平安