工控网络安全事件

1. 如何发现工控设备的网络安全问题

随着工业化与信息化结合的不断紧密，工业控制系统越来越多地采用标准化通信协议和软硬件，并通过互联网来实现远程控制和操作，从而打破了原有系统的封闭性和专有性，造成病毒、木马、信息泄露等网络安全问题向工控领域迅速扩散，直接影响大量工控相关基础设施安全。湖南安数网络有限公司傻蛋联网设备搜索平台整理了近期发现的工控相关数据，就其可能存在的网络安全风险做了一个简单的分析。
能够直接通过公网访问的工控设备
湖南安数网络有限公司傻蛋联网设备搜索平台(简称傻蛋搜索)利用标准化的工控设备相关通信协议，在互联网上找到了很多直接暴露在公网的工业控制设备。这些设备都存在下面几个安全问题：
1、缺乏认证
任何人都可以通过相应协议与这些设备通信，获取想要的数据。

2、缺乏授权
没有基于角色的控制机制，任意用户可以执行任意功能。

3、缺乏加密
地址和密令明文传输，可以很容易地捕获和解析。

安数网络对这些在公网上能访问的设备做了相应的统计：

公网工控设备世界分布（2016-10）

4、能够直接访问的工控设备的WEB相关数据
跟我们日常路由器有基于WEB的配置页面一样，很多工控设备也有其自己的配置/控制页面，而且很多这种页面也是直接暴露在了公网之上。攻击者可以利用这些页面像对付平常的网站一样对它们进行攻击，可能造成相应的安全隐患。
工控设备WEB管理世界分布（2016-10）

怎么提高工控系统的网络安全
尽量避免将工控设备及其WEB页面直接暴露在公网中，如果不能避免，那么注意要加强这些设备认证、授权和加密方面的工作。

2. 工控机网络安全,如何解决网络攻击造成的系统瘫痪,或PLC及现场失控

推荐使用MCK主机加固系统软件，在安全状态的工控机上通过一次全系统的签名，保障当前安全环境从而确保黑客上传的木马和病毒程序无法运行，杜绝危害工控机的安全。通过白名单机制限制当前场景下允许执行的进程。防止黑客通过基于硬盘的数据拷贝方式来窃取数据。实现工作场景白名单机制，对核心数据进行加密保护，实现工控机的最后防御，保障工控机网络安全。

3. 工业控制系统面临的安全威胁主要有哪些

(1) 心怀不满的在职员工的恶意行为

这些人了解工艺，能够接触到各种设备，但是计算机能力一般。恶意操作也许就是激情而为，事后希望能够掩饰破坏行为。

(2) 无特殊需求的黑客

这些人计算机能力较强，但是难以直接接触到各种设备，对工厂情况了解不多，很多可能只是因为好奇、偶然性的行为对工控系统进行破坏，对破坏行为和过程不一定要掩饰。

(3) 心怀不满的离职员工恶意行为

这些人了解工艺，不一定能够接触到各种设备，但可能利用制度漏洞在离职后仍然保有网络接入或直接接触设备的可能，计算机能力一般，对破坏行为希望能够掩饰。2000年，澳大利亚水处理厂事故。

(4) 经济罪犯的恶意行为

目标明确，希望劫持控制系统后换取经济利益。2008年，黑客入侵南美洲电力勒索政府事故。

(5) 恐怖分子的恶意行为

目标明确，希望劫持控制系统后造成重大社会影响。2019年，委内瑞拉电网断电事故。

4. 大数据时代工控系统安全水多深

大数据时代工控系统安全水多深

“互联网+”战略的提出，也给工业的发展插上了腾飞的翅膀。不过，当互联网与工业控制系统接通，也为黑客等恶意攻击者提供了攻击的入口。曾经轰动一时的伊朗核设施遭遇黑客攻击的事件，就是一次典型针对工业控制系统的网络攻击。所以，当工业与互联网融合，首先需要做好安全防护。

有调查数据显示，近几年已经发现的工业控制系统漏洞超过了500个，呈现快速增长趋势，这对业务连续性、实时性要求很高的工业控制系统来说，造成了极大的安全威胁。2014年ICS-CERT所公布的数据中，工控安全事件达632件，而且多集中于能源行业（59%）和关键制造业（20%）。

工业网络控制系统的特性，使得其在安全防护上也有许多特殊的要求。无论是互联网还是工业控制系统，在设计之初都没有考虑到网络安全这个后来才出现的问题，当工业互联网出现后，其安全隐患就显得更为突出。工业控制系统需要安全，但又不能影响其业务运行，如何做好平衡性、消除安全防护保障措施对系统的负担，是工业互联网安全所面临的挑战。

工控系统的特殊性对安全有特殊要求，比如工控系统对延时很敏感，业务流程一环扣一环，安全产品的接入可能造成额外延时，影响整体业务。早期，人们对于工业控制系统安全问题关注的焦点主要在于其物理安全与功能安全，比如系统运行是否顺畅，是否出现过异常中断等等。而且，设备的安全运行一般由生产部门负责，并非由信息部门主导。工业控制系统安全与传统的信息安全又截然不同，关注更多的是物理安全与功能安全，而且系统的安全运行由相关的生产部门负责，信息部门仅处于从属的地位。

随着信息化与工业控制系统的深度融合以及潜在网络战威胁影响，工业控制系统也将从传统的仅关注物理安全、功能安全转向更为关注信息系统安全；这种转变也将在国家政策的推动下对传统的工业企业产生较大的影响。

纵观国内外，虽然喊有工控系统安全防护措施的安全厂商很多，但技术与产品质量参差不齐，加上工控系统牵一发而动全身的历史特殊性，国家也尚无统一的一套合规标准和检测尺度、相关法律法规。

当然，目前确保国计民生相关的工业控制系统安全已被提升到了国家安全战略的高度，再加上工业控制系统跨学科、跨行业应用的特殊性；使其安全保障体系的建立必须在国家、行业监管部门、工业控制系统企业（用户）、工业控制系统提供商、信息安全厂商等多方面的协同努力下才能够实现。

大数据环境下，众安全厂商还需在工控系统安全这片深水中齐努力，耕耘出一片自己的天地。

以上是小编为大家分享的关于大数据时代工控系统安全水多深的相关内容，更多信息可以关注环球青藤分享更多干货

5. 零信任网络助力工业互联网安全体系建设

随着云计算、大数据、物联网、5G、边缘计算等IT技术的快速发展，支撑了工业互联网的应用快速落地。作为“新基建”的重点方向之一，工业互联网发展已经进入快轨道，将加速“中国制造”向“中国智造”转型，并推动实体经济高质量发展。

新型 IT 技术与传统工业 OT 技术深度融合，使得工业系统逐步走向互联、开放，也加剧了工业制造面临的安全风险，带来更加艰巨的安全挑战。CNCERT 发布的《2019 年我国互联网网络安全态势综述》指出，我国大型工业互联网平台平均攻击次数达 90 次/日。

工业互联网连接了大量工业控制系统和设备，汇聚海量工业数据，构建了工业互联网应用生态、与工业生产和企业经营密切相关。一旦遭入侵或攻击，将可能造成工业生产停滞，波及范围不仅是单个企业，更可延伸至整个产业生态，对国民经济造成重创，影响 社会 稳定，甚至对国家安全构成威胁。

近期便有重大工业安全事件发生，造成恶劣影响，5 月 7 日，美国最大燃油运输管道商 Colonial Pipeline 公司遭受勒索软件攻击，5500 英里输油管被迫停运，美国东海岸燃油供应因此受到严重影响，美国首次因网络攻击而宣布进入国家紧急状态。

以下根据防护对象不同，分别从网络接入、工业控制、工业数据、应用访问四个层面来分析 5G 与工业互联网融合面临的安全威胁。

01

网络接入安全

5G 开启了万物互联时代，5G 与工业互联网的融合使得海量工业终端接入成为可能，如数控机床、工业机器人、AGV 等这些高价值关键生产设备，这些关键终端设备如果本身存在漏洞、缺陷、后门等安全问题，一旦暴露在相对开放的 5G 网络中，会带来攻击风险点的增加。

02

工业控制安全

传统工业网络较为封闭，缺乏整体安全理念及全局安全管理防护体系，如各类工业控制协议、控制平台及软件本身设计架构缺乏完整的安全验证手段，如数据完整性、身份校验等安全设计，授权与访问控制不严格，身份验证不充分，而各类创新型工业应用软件所面临的病毒、木马、漏洞等安全问题使原来相对封闭的工业网络暴露在互联网上，增大了工控协议和工业 IT 系统被攻击利用的风险。

03

数据传输及调用安全

云计算、虚拟化技术等新兴IT技术在工业互联网的大规模应用，在促进关键工业设备使用效率、提升整体制造流程智能化、透明化的同时，打破原有封闭自治的工业网络环境，使得安全边界更加模糊甚至弱化，各种外来应用数据流量及对工厂内部数据资源的访问调用缺乏足够透明性及相应监管措施，同时各种开放的 API 接口、多应用的的接入,使得传统封闭的制造业内部生产管理数据、生产操作数据等，变得开放流动，与及工厂外部各类应用及数据源产生大师交互、流动和共享，使得行业数据安全传输与存储的风险大大增加。

04

访问安全

工业互联网核心的各类创新型场景化应用，带来了更多的参与对象基础网络、OT 网络、生产设备、应用、系统等，通过与 5G 网络的深度融合，带来了更加高效的网络服务能力，收益于愈发灵活的接入方式，但也带来的新的风险和挑战，应用访问安全问题日益突出。

针对上面工业互联网遇到的安全问题，青云 科技 旗下的 Evervite Networks 光格网络面向工业互联网行业，提出了工业互联网 SD-NaaS（software definition network & security as a service 软件定义网络与安全即服务）解决方案，依托统一身份安全认证与访问控制、东西向流量、南北向流量统一零信任网络安全模型架构设计。工业互联网平台可以借助 SD-NaaS 构建动态虚拟边界，不再对外直接暴露应用，为工业互联网提供接入终端/网络的实时认证及访问动态授权，有效管控内外部用户、终端设备、工厂工业主机、边缘计算网关、应用系统等访问主体对工业互联网平台的访问行为，从而全面提高工业互联网的安全防护能力。帮助企业利用零信任网络安全防护架构建设工业互联网安全体系，让 5G、边缘计算、物联网等能力更好的服务于工业互联网的发展。

基于光格网络 SD-NaaS 架构的工业互联网安全体系大体可以分四个层面：

基于统一身份认证的网络安全接入

首先 SD-NaaS 平台引入零信任安全理念，对接入工业互联网的各类用户及工控终端，启用全新的身份验证管理模式，提供全面的认证服务、动态业务授权和集中的策略管理能力，SD-NaaS 持续收集接入终端日志信息，结合身份库、权限数据库、大数据分析，身份画像等对终端进行持续信任评估，并基于身份、权限、信任等级、安全策略等进行网络访问动态授权，有力的保障了 5G+ 工业互联网场景下的终端接入的安全。

最小权限，动态授权的工业安全控制

其次针对工业互联网时代下的工控网络面临的安全隐患，SD-NaaS 零信任网络平台提出全新的控制权限分配机制， 基于“最小化权限，动态授权”原则，控制权限判定不再基于简单的静态规则（IP 黑白名单，静态权限策略等），而是基于工控管理员、工程师和操作员等不同身份及信任等级，控制服务器、现场控制设备和测量仪表等不同终端的安全策略，不同工控指令权限，结合大数据安全分析进行动态评估及授权，实现工业边界最小授权，精细化的访问控制。以此避免工业控制网络受到未知漏洞威胁，同时还可以有效的阻止操作人员异常操作带来的危害。

端到端加密，精细化授权的数据防护

工业生产中会产生海量的工业数据包括研发设计、开发测试、系统设备资产信息、控制信息、工况状态、工艺参数等，平台各应用间有大量的数据共享与协同处理需求，SD-NaaS 平台提供更强壮的端到端数据安全保护方法，通过实时信任检测、动态评估访问行为安全等级，建立安全加密隧道以保障数据在应用间流动过程的安全可靠。同时生产质量控制系统、成本自动核算系统、生产进度可视系统等各类工业系统之间的 API 交互，数据库调用等行为，SD-NaaS 平台可实现细颗粒度的操作权限控制，对所有的增删改查等动作进行行为审计。

采用应用隐藏和代理访问的应用防护

最后 SD-NaaS 平台采用 SDP 安全网关和 MSG 微分段技术实现工业互联网平台的应用隐身和安全访问代理，有效管理工业互联网平台的网络边界及暴露面，并基于工程师、操作员、采购、销售、供应链等不同身份进行最细颗粒度的动态授权（如生产数据，库存信息，进销存管理等），对所有的访问行为进行审计，构建全方位全天候的应用安全防护屏障。

基于光格网络 SD-NaaS 解决方案，我们在工业视觉、智能巡检、远程驾驶、AI 视频监控等场景实现安全可靠落地；帮助企业在确保安全的基础上，打造支撑制造资源泛在连接、弹性供给、高效配置的工业云平台，利用工业互联网平台 探索 工业制造业数字化、智能化转型发展新模式和新业态。

SD-NaaS 最佳实践：

申请使用光格网络产品解决方案

点击申请使用光格网络产品解决方案