工控安全服务框架介绍

地球胖头鱼 2020-10-11
工控安全 发布于 2020-10-11 14:48:59 阅读 45 评论 0

工控安全服务框架介绍

全球工控网络态势 自 2011 年德国汉诺威工业博览会首次提出“工业 4.0”概念以来,全球各国都在逐步着手在 未来制造业中的各个环节中通过物联网技术的应用,将生产工艺、管理流程全面数字化,同
时通过工业数据的分析、工业网络的互通、云计算和大数据技术使得互联网和工业能够进一 步融合。随着工业自动化控制系统逐渐从封闭孤立转向开放互联,工业自动化生产开始在所
有网络层次上出现横向与垂直集成,在享受开放互联带来的技术进步的同时,也面临这越来 越严重的安全威胁。
综合 ICS-CERT 对今年安全事件的统计数据分析结果,我们可以看到工业控制系统相关的安
全事件呈现快速增长的趋势,并且这些事件大多分布在能源、关键制造业、市政交通等涉及 国计民生的关键基础行业。这与关键基础行业对于社会生活的重要性,及其工控系统的自动
化、信息化程度较高有密切联系。 根据公开信息,近年知名度较高的工控网络安全事件列表如下:

Table 1 全球著名工控网络安全事件

时间 事件
2010 伊朗布什尔核电站遭Stuxnet“震网”病毒攻击
2011 美国伊利诺伊州城市供水泵的数采与监控系统遭黑客入侵
2014 欧美上千家能源企业遭“蜻蜓组织”Havex恶意程序入侵
2015 乌克兰电网遭BlackEnergy病毒攻击
2017 WannaCry勒索病毒攻击全球公共设施
2017 Petya\NotPetya大范围攻击全球基础设施

自 2010 年以来,工控网络安全事件呈逐年增加态势,工控网络安全成为了国与国之间、国家
与地区组织之间的全新网络战场。目前国际上在装的主流工业控制系统寿命均已接近
20 年, 有许多落后的 FCS 现场总线系统和特殊网络协议,同时这些设备从设计之初就并没有将现场
网络安全纳入主要考量;但这些问题直到 2010 年“震网”病毒被曝光之后才引起公众的广泛
关注,以美国、以色列为首的国家力量早已开始对工业控制网络的安全性进行研究。此后, 市面上的工业控制系统厂商开始对在装系统进行逐步升级,但这些系统因为固有的问题无法
彻底封锁黑客入侵的途径,使得在装系统长期暴露在网络威胁之下。

上图是 2015 年全球分行业工控网络攻击事件的统计,可以看到关键制造业是工控网络安全事件的重灾区,也是美欧各国增加预算应对网络威胁的重点行业领域。
2013 年 2月,美国总统发布了总统行政命令13636 号,制定了“NIPP 2013 美国国家基础设施保护预案”,旨在建立国家基础设施的安全,维护网络环境,管理网络安全风险。
2013 年,欧盟发布了 COM(2013)48——关于 NIS(Network and Information Security网络 与信息安全)指令的提案,该提案在 2009/140/EC 指令的基础上为网络运营商建立了安全要 求。欧盟2009/140/EC 指令是“公共网络运营商和服务商对安全风险和安全措施的管理”, 以保障网络和服务的安全性。2014 年 3月,卡塔尔国发布了国家 ICS 安全标准。国际标准 IEC62443 系列:这是国际电工标 准委员会 IEC 制定的一套关于“工业通信网络和控制系统供应链的网络安全风险”的标准。
2015 年 6 月 8日,美国国家标准与技术研究院发布第二版工业控制系统(ICS)安全指南,该 指南包括如何调整传统
IT 安全控制系统以适应工业控制系统独特的性能、可靠性和安全性要求;同时对威胁与漏洞、风险管理、实施方案、安全体系架构等部分进行了更新。ICS 安 全指南自 2006 年首次发布以来下载量已达到 300 万次,ICS 安全指南提供了如何减少计算机 漏洞控制工业系统遭受恶意攻击,设备故障、错误、不充分的恶意软件防护和其他威胁等方 面的建议。
大多数 ICS最初都是专用的,采用独立的软硬件集 合与其他部分隔开,并与外部威胁隔离。 如今,大量的通用软件应用,互联网设备和其他非专用IT 产品已经被广泛地集成到大多数 ICS 系统中。这种集成带来了许多好处,但是同时也增加了这些 ICS 系统的脆弱性。 由于独特的性能,可靠性和安全性的要求,保护 ICS往往需要适应和扩展到 NIST 开发的安 全标准和指导方针中以保护传统 IT 系统。本次修订的一个显著内容是一个新的 ICS覆盖提 供定制的指导,如何适应与应用安全控制及加强控制,特别出版物 SP800-53 包含了一个安 全控制目录,可定制以满足特殊需求、某组织的使命、操作环境、或特定技术的使用。
国内工控网络态势
我国政府 2015 年提出了“互联网+”行动计划,目的在于推进生产制造模式的变革、产业创
新和产业结构升级。传统行业通过与互联网技术的结合,形成了新的物联网、工业互联网、 工业物联网、物理信息系统、智慧城市等新兴领域。在网络互联的大背景下,工业控制系统
打破物理隔绝的边界已经不可避免。网络互通互联一方面可以提高生产力和创新能力、减少 工业能耗、助力产业升级,另一方面也会因为网络的互通互联产生一系列之前从未纳入考量
的网络安全问题。工业控制系统控制的关键基础设施、关键制造业等重要系统因此都面临巨 大的安全风险和隐患。 据中国信息安全测评中心数据显示,我国目前在装工控系统普遍存在工控漏洞,并且涵盖了
所有的主流控制系统供应商。

Figure2 2015 年国内工控漏洞厂商分布

我国从国家政策层面上高度重视工业控制系统的信息防护。自工信部 451号文、电力行业TC260、TC124 等标准出台之后,我国近年发布施行和在拟的政策如下表所示:

2014 年 12月 1日“工业控制系统信息安全技术国家工程实验室”在京正式揭牌成立。该实 验室是在中央将网络安全和信息化上升到国家战略的背景下建立的, 由中国电子信息产业 集团第六研究所承担建设任务,针对我国工业控制系统面临的日益严重的信息安全攻击威胁等问题,围绕涉及国计民生的重点工业和军事领域,建设我国自主的工业控制系统信息安全 技术研发与工程化平台,开展关键技术和产品的研发和产业化。 目前,中国工控安全的焦点主要集中在关键基础设施、智能制造、物联网、军工生产和智慧城市等行业领域。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!
地球胖头鱼
未填写
  • 作者发布文章72
  • 作者收获粉丝1
  • 作者收到点赞0
  • 所有文章被收藏了0
  • 博客总访问量排行第6
  • 博客总访问量4376(每日更新)
查看所有博文