“K鷹”監(jiān)測審計平臺，助力物聯(lián)網(wǎng)“智”能飛翔

隨著工業(yè)信息化進(jìn)程的深入，信息技術(shù)廣泛應(yīng)用于工業(yè)領(lǐng)域， 現(xiàn)有工業(yè)控制系統(tǒng)的軟硬件、通信協(xié)議等均存在信息安全隱患，并在一定程度上對國家和地區(qū)的關(guān)鍵信息基礎(chǔ)設(shè)施安全和重要基礎(chǔ)設(shè)施安全產(chǎn)生重大影響。

信息技術(shù)在工業(yè)領(lǐng)域的深度應(yīng)用，以及逐年增加的工控網(wǎng)絡(luò)安全事件，倒逼推動工業(yè)控制網(wǎng)絡(luò)安全產(chǎn)業(yè)和創(chuàng)新技術(shù)的發(fā)展。工控網(wǎng)絡(luò)安全非同于IT安全。工業(yè)生產(chǎn)對于可靠性、實時性、穩(wěn)定性要求極為嚴(yán)苛。因此，如何在不影響工業(yè)正常生產(chǎn)的情況下，對工控系統(tǒng)進(jìn)行實時監(jiān)測、實時告警和精準(zhǔn)安全審計非常關(guān)鍵?？锒骶W(wǎng)絡(luò)監(jiān)測審計平臺正是這樣一款產(chǎn)品，它更大程度的滿足了工業(yè)企業(yè)對工控網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)和應(yīng)用需求。

工控網(wǎng)絡(luò)安全事件發(fā)生頻率遠(yuǎn)超想象

工控網(wǎng)絡(luò)安全真正進(jìn)入公眾視野并得到高度重視，始于2010年震網(wǎng)病毒奇襲伊朗核電站事件。其實，早在 1992 年 2 月，立陶宛 Inalina 核電站就曾遭遇核心控制系統(tǒng)網(wǎng)絡(luò)安全危機。該核電站計算機中心員工因為發(fā)泄對管理當(dāng)局不滿，在電廠控制程序內(nèi)植入惡意程序 ( 邏輯炸彈 )，使控制系統(tǒng)功能異常。從90年代初，全球范圍內(nèi)就已暴露出對于工控網(wǎng)絡(luò)安全重視和監(jiān)管問題。尤其近年來，針對于工控網(wǎng)絡(luò)安全的攻擊事件發(fā)生頻率遠(yuǎn)超外界想象，工控企業(yè)面臨的安全威脅越發(fā)多樣化，遭受攻擊的程和力度也逐漸升級。

2016年8月，網(wǎng)絡(luò)安全界監(jiān)測到了Operation Ghoul（食尸鬼行動）網(wǎng)絡(luò)攻擊，Operation Ghoul針對30多個國家的工業(yè)、制造業(yè)和工程管理機構(gòu)發(fā)起了定向滲透入侵。攻擊者通過偽裝阿聯(lián)酋國家銀行電郵，使用魚叉式釣魚郵件，對中東和其它國家的工控組織發(fā)起了定向網(wǎng)絡(luò)入侵。攻擊中使用鍵盤記錄程序HawkEye收集受害系統(tǒng)相關(guān)信息。

目前，網(wǎng)絡(luò)安全界發(fā)現(xiàn)全球130多個受攻擊目標(biāo)，其中大多為石化、海洋、軍事、航空航天、重型機械和軌道交通等行業(yè)，涉及西班牙、巴基斯坦、阿聯(lián)酋、印度、中國、埃及等國。攻擊使用的魚叉式郵件主要發(fā)送對象為目標(biāo)機構(gòu)的高級管理人員，如銷售和市場經(jīng)理、財務(wù)和行政經(jīng)理、采購主管、工程師等。

事實上，能夠披露公布出來的工控網(wǎng)絡(luò)安全事件僅為冰山一角，工控網(wǎng)絡(luò)安全形勢遠(yuǎn)比所知所見更為嚴(yán)峻。

工控網(wǎng)絡(luò)安全迎全面爆發(fā)期

工業(yè)信息化已成大勢所趨，控制系統(tǒng)網(wǎng)絡(luò)安全是其重要組成部分。國家對于對于關(guān)鍵信息基礎(chǔ)設(shè)施安全和重要基礎(chǔ)設(shè)施安全的高度重視，推動了工控網(wǎng)絡(luò)安全的產(chǎn)業(yè)化發(fā)展。從工信部2011年下發(fā)451號文件《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，明確規(guī)定加強重點領(lǐng)域工控信息系統(tǒng)安全管理措施；到2014年2月27日， 中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，標(biāo)志著網(wǎng)絡(luò)安全已被提升到國家戰(zhàn)略層面。2016年11月3日，工信部網(wǎng)站正式發(fā)布“工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信軟函〔2016〕338號），對工控信息安全做了標(biāo)準(zhǔn)化的技術(shù)要求。

受益于政策的支持，從事IIoT工業(yè)物聯(lián)網(wǎng)安全和工控網(wǎng)絡(luò)安全企業(yè)如雨后春筍般涌現(xiàn)。作為產(chǎn)業(yè)發(fā)展和技術(shù)創(chuàng)新的主體，這些網(wǎng)絡(luò)安全企業(yè)的涌現(xiàn)進(jìn)一步推動了產(chǎn)業(yè)化發(fā)展，更大程度滿足工業(yè)企業(yè)對工控網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)和應(yīng)用需求。從工業(yè)企業(yè)層面，隨工業(yè)信息化發(fā)展所趨和企業(yè)轉(zhuǎn)型升級所需，工業(yè)企業(yè)的網(wǎng)絡(luò)安全意識提升，企業(yè)逐漸意識到工控網(wǎng)絡(luò)安全的重要性與必要性，對部署于工業(yè)現(xiàn)場的工控網(wǎng)絡(luò)安全產(chǎn)品需求相應(yīng)提高。

監(jiān)測審計是工控網(wǎng)絡(luò)安全的切入點，應(yīng)常態(tài)化

結(jié)合匡恩網(wǎng)絡(luò)近三年來的工程實施經(jīng)驗，工控網(wǎng)絡(luò)安全防護(hù)的防御應(yīng)從結(jié)構(gòu)安全、本體安全、行為安全、基因安全加時間持續(xù)性五方面著手。在網(wǎng)絡(luò)安全生態(tài)閉環(huán)中，檢測評估是工控網(wǎng)絡(luò)安全的基礎(chǔ)，而實時監(jiān)測和實時告警及有效安全審計是工控網(wǎng)絡(luò)安全的切入點，應(yīng)成為工業(yè)企業(yè)工控網(wǎng)絡(luò)防護(hù)的常態(tài)化。

鑒于工業(yè)控制網(wǎng)絡(luò)的特殊性，有眾多和傳統(tǒng)信息安全不同的元素，如使用協(xié)議和應(yīng)用場景等，匡恩網(wǎng)絡(luò)針對工控網(wǎng)絡(luò)提出并研究出利于現(xiàn)場發(fā)現(xiàn)安全事件的產(chǎn)品——“K鷹”監(jiān)測審計平臺，是一款專門針對工業(yè)控制網(wǎng)絡(luò)設(shè)計的實時監(jiān)測、實時告警、安全審計系統(tǒng)，通過特定的安全策略，快速識別出系統(tǒng)中存在的非法操作、異常事件、外部攻擊。“K鷹”監(jiān)測審計除了深度解析功能外，高度覆蓋絕大多數(shù)工控廠商的工業(yè)協(xié)議外，還能夠?qū)崟r給用戶展示當(dāng)前現(xiàn)場網(wǎng)絡(luò)及設(shè)備運行狀況，對突發(fā)事件進(jìn)行實時告警和事件追溯提供證據(jù)，對遠(yuǎn)程了解現(xiàn)場生產(chǎn)情況尤為重要。

結(jié)合工業(yè)現(xiàn)場環(huán)境和工控特性，產(chǎn)品在技術(shù)和設(shè)計上的創(chuàng)新更符合工業(yè)網(wǎng)絡(luò)安全防護(hù)需求：

旁路監(jiān)測審計：旁路監(jiān)測審計不影響原有工業(yè)生產(chǎn)正常運行；

避免增加威脅端口：部署于交換機鏡像端口，采用單向數(shù)據(jù)抓包方式，避免其他威脅因素；

無延時傳輸生產(chǎn)安全事件：0延時保證工控系統(tǒng)控制指令的實時性，及時發(fā)現(xiàn)現(xiàn)場安全問題，保障客戶有效精準(zhǔn)生產(chǎn)。

避免增加故障點：不會因為增加了安全設(shè)備而增加故障點；

典型應(yīng)用場景如下：

用戶價值：

全網(wǎng)實時監(jiān)測，保障正常生產(chǎn)：對網(wǎng)絡(luò)數(shù)據(jù)、事件進(jìn)行實時監(jiān)測、實時警告，幫助用戶實時掌握工業(yè)控制網(wǎng)絡(luò)運行狀況,，保障正常生產(chǎn)。

網(wǎng)絡(luò)安全審計，便于歷史追蹤：對網(wǎng)絡(luò)中存在的所有活動提供行為審計、內(nèi)容審計、協(xié)議審計、流量審計，生成完整記錄便于事件追溯。

未知設(shè)備監(jiān)測，及時威脅發(fā)現(xiàn)：對工業(yè)控制網(wǎng)絡(luò)系統(tǒng)內(nèi)未知的設(shè)備接入進(jìn)行實時告警，迅速發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中存在的非法接入。

防御策略建議，完善防御體系：根據(jù)監(jiān)測結(jié)果，提供防御策略建議，幫助用戶構(gòu)建適用的專屬工業(yè)控制網(wǎng)絡(luò)安全防御體系。

結(jié)語：

隨著工控網(wǎng)絡(luò)安全市場的發(fā)展，“K鷹”監(jiān)測審計平臺已衍生出更多滿足細(xì)分行業(yè)需求的產(chǎn)品。匡恩網(wǎng)絡(luò)作為工控信息安全領(lǐng)域的領(lǐng)航者，將以持續(xù)不斷技術(shù)創(chuàng)新，打造豐富“K鷹”監(jiān)測審計平臺，使之成為工控網(wǎng)絡(luò)安全防護(hù)的標(biāo)配產(chǎn)品，以專業(yè)的服務(wù)贏得更為廣闊的市場。