您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
一種符合工控系統(tǒng)“四高”特性的安全防御體系設(shè)計(jì)
01. 工業(yè)控制網(wǎng)絡(luò)的特殊安全需求
工業(yè)控制網(wǎng)絡(luò)(后簡(jiǎn)稱工控網(wǎng)絡(luò))不同于普通信息網(wǎng)絡(luò),其核心任務(wù)是保障生產(chǎn)操作指令運(yùn)行暢通、持續(xù)有效,并在確保生產(chǎn)指令、生產(chǎn)要素、生產(chǎn)活動(dòng)得以依托網(wǎng)絡(luò)快速展開(kāi),在生產(chǎn)鏈路的全時(shí)貫通、操作信息的全時(shí)受控、生產(chǎn)系統(tǒng)的連續(xù)運(yùn)行、控制體系的安全可靠等方面有著很高的要求。這些特征導(dǎo)致工業(yè)控制網(wǎng)絡(luò)的安全防護(hù)體系設(shè)計(jì)有其特殊性。現(xiàn)階段主要是采取把傳統(tǒng)IT安全保護(hù)技術(shù)遷移到工控網(wǎng)絡(luò)的方法,但這并不能很好地滿足工控信息體系安全需求。其特殊性主要體現(xiàn)在以下3個(gè)方面:
一是安全防御以生產(chǎn)業(yè)務(wù)優(yōu)先作為首要原則。在信息網(wǎng)絡(luò)的安全保護(hù)中,主要關(guān)注的是對(duì)網(wǎng)絡(luò)中業(yè)務(wù)數(shù)據(jù)的安全防護(hù),著重保證數(shù)據(jù)的保密性、完整性與可用性。而在工控網(wǎng)絡(luò)中,網(wǎng)絡(luò)的可用性是需要優(yōu)先保障的,生產(chǎn)業(yè)務(wù)要求不間斷運(yùn)行,運(yùn)行過(guò)程中很難對(duì)安全設(shè)備進(jìn)行更新?lián)Q代,也不能像信息網(wǎng)絡(luò)那樣可以晚間中止服務(wù)數(shù)個(gè)小時(shí)來(lái)更新版本、補(bǔ)丁或安全控制措施。
二是安全彈性是工控網(wǎng)絡(luò)的基本要求。與普通信息網(wǎng)絡(luò)強(qiáng)調(diào)“共享性”不同,工控網(wǎng)絡(luò)要求具有高彈性安全能力(Cyber Resilience),也叫高魯棒性安全能力,其網(wǎng)絡(luò)信息體系設(shè)計(jì)和安全防御架構(gòu),必須考慮從各類(lèi)網(wǎng)絡(luò)攻擊事件中“迅速恢復(fù)”能力。如何確保生產(chǎn)活動(dòng)在遭受網(wǎng)絡(luò)攻擊時(shí),工控網(wǎng)絡(luò)系統(tǒng)能夠抵擋攻擊入侵并快速?gòu)墓魮p壞中恢復(fù),自動(dòng)適應(yīng)生產(chǎn)環(huán)境并保持其業(yè)務(wù)正常運(yùn)轉(zhuǎn)能力,是非常重要的。
三是安全措施不能影響工控網(wǎng)絡(luò)的“四高”屬性。工控網(wǎng)絡(luò)的四高屬性:高可用性,與普通信息網(wǎng)絡(luò)強(qiáng)調(diào)保密性不同,工控網(wǎng)絡(luò)強(qiáng)調(diào)可用性;高確定性,工控網(wǎng)絡(luò)對(duì)通信時(shí)延、抖動(dòng)要求遠(yuǎn)高于普通信息網(wǎng)絡(luò);高可靠性,工控網(wǎng)絡(luò)要求盡可能短的通信中斷、盡可能低的丟包率、對(duì)報(bào)文時(shí)序錯(cuò)亂天生比較敏感;高融合性,這是當(dāng)代工控網(wǎng)絡(luò)出現(xiàn)的新趨勢(shì),工控網(wǎng)絡(luò)不再是單純的OT網(wǎng)絡(luò),而是OT、IT、IoT高度混雜融合的網(wǎng)絡(luò)。
基于工控網(wǎng)絡(luò)特殊安全屬性,其安全防御需求至少包括以下3個(gè)方面:
一是網(wǎng)絡(luò)環(huán)境的可信性,主要是指整個(gè)網(wǎng)絡(luò)環(huán)境必須是確定清晰且可信任的,至少涵蓋網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)交互的可信性等三個(gè)方面。網(wǎng)絡(luò)邊界可信是指所有網(wǎng)絡(luò)邊界都是清晰可描述的,包括終端設(shè)備的接入、終端設(shè)備上的外設(shè)接口、邊界隔離交換設(shè)備配置策略等;設(shè)備可信是指所有接入網(wǎng)絡(luò)的設(shè)備都是明確無(wú)遺漏的,所有終端設(shè)備的使用與變更要做到實(shí)時(shí)監(jiān)控;網(wǎng)絡(luò)交互可信是指網(wǎng)絡(luò)中各個(gè)終端設(shè)備之間的交互行為是清晰可信的,包括網(wǎng)絡(luò)交互的參與方、采用的通信協(xié)議、執(zhí)行的操作行為等。
二是網(wǎng)絡(luò)狀態(tài)的可知性,主要是指對(duì)于網(wǎng)絡(luò)當(dāng)前運(yùn)行的總體狀態(tài)明確可知,能夠及時(shí)感知其中正在發(fā)生或可能發(fā)生的安全事件,提前發(fā)現(xiàn)網(wǎng)絡(luò)異常情況或正在發(fā)生的攻擊活動(dòng),提升網(wǎng)絡(luò)異常行為發(fā)現(xiàn)感知能力,至少涵蓋設(shè)備接入、網(wǎng)絡(luò)交互和安全事件的可知性等三個(gè)方面。
設(shè)備接入可知是指各類(lèi)終端設(shè)備接入網(wǎng)絡(luò)的情況是實(shí)時(shí)可知的,包括設(shè)備數(shù)量、類(lèi)型、終端屬性信息等;交互活動(dòng)可知是指網(wǎng)絡(luò)內(nèi)各個(gè)終端設(shè)備之間的交互情況是實(shí)時(shí)可知的,包括當(dāng)前活動(dòng)連接分布情況、網(wǎng)絡(luò)流量?jī)?nèi)容情況等;網(wǎng)絡(luò)行為事件可知是指網(wǎng)絡(luò)中出現(xiàn)的異常流量現(xiàn)象或異常網(wǎng)絡(luò)行為是實(shí)時(shí)可知的,包括可疑終端設(shè)備接入、違規(guī)外聯(lián)、惡意提權(quán)操作等。
三是網(wǎng)絡(luò)運(yùn)行的可控性,主要是指網(wǎng)絡(luò)能夠在運(yùn)行過(guò)程中隨著網(wǎng)絡(luò)環(huán)境的變化及時(shí)調(diào)整威脅檢測(cè)規(guī)則,在網(wǎng)絡(luò)內(nèi)發(fā)現(xiàn)異?;顒?dòng)或攻擊行為時(shí)能夠隨即采取措施,阻斷其攻擊活動(dòng),控制其危害范圍,保證相關(guān)生產(chǎn)業(yè)務(wù)系統(tǒng)的安全平穩(wěn)運(yùn)行,至少需要涵蓋分布性、適應(yīng)性和可恢復(fù)性等三個(gè)方面內(nèi)容。
控制的分布性是指網(wǎng)絡(luò)中的安全控制點(diǎn)或監(jiān)測(cè)設(shè)備分散在網(wǎng)絡(luò)各個(gè)角落;控制的適應(yīng)性是指能夠隨著網(wǎng)絡(luò)環(huán)境的變化動(dòng)態(tài)調(diào)整其威脅檢測(cè)能力,確保對(duì)外部安全威脅和內(nèi)部異常行為的檢測(cè)效率與準(zhǔn)確性;控制的自恢復(fù)性是指網(wǎng)絡(luò)在發(fā)現(xiàn)內(nèi)部異常活動(dòng)或外部攻擊行為后,能夠及時(shí)采取反制措施,自行恢復(fù)網(wǎng)絡(luò)運(yùn)轉(zhuǎn)。
02. 高安全工控網(wǎng)絡(luò)防御體系設(shè)計(jì)思路
高安全性工控網(wǎng)絡(luò),絕對(duì)不是簡(jiǎn)單地將普通信息網(wǎng)絡(luò)安全保護(hù)技術(shù)遷移到工控網(wǎng)絡(luò),也不是將普通信息網(wǎng)絡(luò)安全保護(hù)的“三大件”部署在工控網(wǎng)絡(luò),形成“安全孤島”或“數(shù)字堡壘”。高安全性工控網(wǎng)絡(luò)構(gòu)建思路分為全新重構(gòu)高安全性工控網(wǎng)絡(luò)和持續(xù)加固現(xiàn)有工控網(wǎng)絡(luò)。
全新重構(gòu)高安全性工控網(wǎng)絡(luò),主要有以下2個(gè)設(shè)計(jì)思路:
一是創(chuàng)新網(wǎng)絡(luò)體系結(jié)構(gòu),基于下一代互聯(lián)網(wǎng)技術(shù)建立具備自認(rèn)證特征的基礎(chǔ)安全網(wǎng)絡(luò),解決現(xiàn)有網(wǎng)絡(luò)在互聯(lián)互通與安全可控之間的對(duì)立矛盾,改變當(dāng)前以行政管理手段解決基礎(chǔ)架構(gòu)安全問(wèn)題的尷尬局面,為工控網(wǎng)絡(luò)安全防御體系構(gòu)造打下堅(jiān)實(shí)技術(shù)根基;
二是建立動(dòng)態(tài)信任體系,將傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)與"可信計(jì)算"技術(shù)結(jié)合起來(lái),改變傳統(tǒng)安全體系"防外重于防內(nèi)"卻"防不勝防"的不利現(xiàn)狀,根據(jù)不同任務(wù)場(chǎng)景的不同安全需求,以終端的安全可信為源頭、作為信任根,從終端到網(wǎng)絡(luò)、到應(yīng)用、到服務(wù)、到數(shù)據(jù),基于主體屬性與客體保護(hù)等級(jí)之間的安全度量,建立動(dòng)態(tài)信任信任鏈,最終建立起覆蓋整個(gè)工控網(wǎng)絡(luò)的可信網(wǎng)絡(luò)連接,從而提供對(duì)工控網(wǎng)絡(luò)環(huán)境更加完善的安全控制與安全保障。
持續(xù)加固現(xiàn)有工控網(wǎng)絡(luò),主要有以下2個(gè)設(shè)計(jì)思路:
一是建立和持續(xù)優(yōu)化縱深防御機(jī)制,將網(wǎng)絡(luò)安全能力部署到工控基礎(chǔ)設(shè)施與信息系統(tǒng)的“每一個(gè)角落”,力求最大化覆蓋構(gòu)成工控網(wǎng)絡(luò)的各個(gè)組成實(shí)體,實(shí)現(xiàn)工控網(wǎng)絡(luò)與安全防護(hù)措施“深度融合、縱深覆蓋”的縱深防御能力;
二是部署網(wǎng)絡(luò)主動(dòng)防御能力,建立威脅情報(bào)和人工智能引導(dǎo)的網(wǎng)絡(luò)安全態(tài)勢(shì)感知與安全控制體系,持續(xù)檢測(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn),準(zhǔn)確感知網(wǎng)絡(luò)攻擊特征,及時(shí)阻斷網(wǎng)絡(luò)攻擊活動(dòng),完善改進(jìn)網(wǎng)絡(luò)防護(hù)措施。哪怕是遭受物理攻擊,也能確保核心業(yè)務(wù)數(shù)據(jù)不被竊取,重要生產(chǎn)活動(dòng)不被干擾,并能表現(xiàn)出充分的業(yè)務(wù)安全彈性與自主恢復(fù)能力。
03. 全新重構(gòu)高安全性工控網(wǎng)絡(luò)關(guān)鍵路徑
高安全性工控網(wǎng)絡(luò)以統(tǒng)一安全基底為基礎(chǔ)、以安全因需賦能為核心、以智能安全管理為保障,在安全態(tài)勢(shì)感知、威脅檢測(cè)預(yù)警、防御能力部署機(jī)制的支撐下,形成“監(jiān)測(cè)-決策-響應(yīng)-防御”的動(dòng)態(tài)防御體系,實(shí)現(xiàn)基于態(tài)勢(shì)變化和安全需求的網(wǎng)絡(luò)信息系統(tǒng)安全防御。
其關(guān)鍵技術(shù)途徑主要包括:內(nèi)生安全的基礎(chǔ)網(wǎng)絡(luò)、安全可信終端、動(dòng)態(tài)信任機(jī)制,其中:具備內(nèi)生安全的基礎(chǔ)網(wǎng)絡(luò)是整個(gè)工控網(wǎng)絡(luò)防御的基石;動(dòng)態(tài)信任體制是工控網(wǎng)絡(luò)防御的關(guān)口,既不能讓“壞人”進(jìn)來(lái),又要把“好人”放進(jìn)來(lái),而且“好”與“壞”并非一成不變,而是要持續(xù)度量持續(xù)評(píng)估;安全可信終端是工控網(wǎng)絡(luò)防御的支點(diǎn),終端是所有安全策略與信任關(guān)系的執(zhí)行點(diǎn),是所有安全措施與訪問(wèn)控制的落腳點(diǎn),是所有安全防御活動(dòng)實(shí)際效果體現(xiàn)的環(huán)節(jié)。
內(nèi)生安全基礎(chǔ)網(wǎng)絡(luò):當(dāng)前基礎(chǔ)的工控網(wǎng)絡(luò),包括普通信息網(wǎng)絡(luò),都不具備地址真實(shí)性鑒別的內(nèi)生機(jī)制。針對(duì)此問(wèn)題,IETF提出的HIP協(xié)議思路,在網(wǎng)絡(luò)層和傳輸層之間插入主機(jī)標(biāo)識(shí)層,IP地址只作為網(wǎng)絡(luò)層所使用的定位標(biāo)識(shí)符,實(shí)現(xiàn)數(shù)據(jù)報(bào)的路由轉(zhuǎn)發(fā),主機(jī)標(biāo)識(shí)符 HI(Host Identity)提供主機(jī)身份標(biāo)識(shí)功能,由傳輸層使用。雙方在通信時(shí),IP地址的變化對(duì)傳輸層透明,從而保證在發(fā)生移動(dòng)或地址變化時(shí),通信不中斷可以持續(xù)進(jìn)行,并且通信對(duì)端可以根據(jù)主機(jī)標(biāo)識(shí) HI確定移動(dòng)節(jié)點(diǎn)身份。
安全可信終端:目前工控網(wǎng)絡(luò)中的各類(lèi)終端設(shè)備,其軟硬件體系結(jié)構(gòu)大多是Wintel架構(gòu),其終端安全管控系統(tǒng)只能通過(guò)"打補(bǔ)丁、堵漏洞、建盾墻"等外掛方式,為終端系統(tǒng)運(yùn)行提供安全防護(hù)能力,其防護(hù)效果往往是防不勝防。有人提出借助當(dāng)前國(guó)產(chǎn)化替代的契機(jī),采用虛擬化技術(shù)來(lái)實(shí)現(xiàn)可信終端。
動(dòng)態(tài)信任機(jī)制:靜態(tài)信任機(jī)制先構(gòu)建基礎(chǔ)的信任根,然后從信任根開(kāi)始到硬件平臺(tái)、操作系統(tǒng)、應(yīng)用程序,一層認(rèn)證一層,一層信任一層,把這種信任擴(kuò)展到整個(gè)工控網(wǎng)絡(luò),從而確保整個(gè)工控網(wǎng)絡(luò)的可信性。工業(yè)互聯(lián)網(wǎng)將封閉的工控網(wǎng)絡(luò)系統(tǒng)打開(kāi),更加強(qiáng)調(diào)大規(guī)模業(yè)務(wù)資源共享與廣域業(yè)務(wù)流程協(xié)作,更加強(qiáng)調(diào)扁平化控制與分步式協(xié)同聯(lián)動(dòng),靜態(tài)信任機(jī)制已經(jīng)不適用于當(dāng)前及未來(lái)工控網(wǎng)絡(luò)。
基于“零信任”理念的動(dòng)態(tài)信任機(jī)制,是參考了人類(lèi)社會(huì)中的信任關(guān)系而提出的用于解決分布式網(wǎng)絡(luò)的信任管理模型。動(dòng)態(tài)信任管理模型認(rèn)為信任關(guān)系隨時(shí)間變化而變化,需要實(shí)時(shí)在線對(duì)信任關(guān)系進(jìn)行評(píng)估;認(rèn)為不同任務(wù)場(chǎng)景下網(wǎng)絡(luò)主體與客體之間的信任關(guān)系,需要根據(jù)主體身份屬性與客體受保護(hù)等級(jí)的不同而精確度量分析,進(jìn)行細(xì)粒度權(quán)限控制和特定時(shí)空范圍的檢測(cè)審計(jì);認(rèn)為信任關(guān)系可以傳播,可以沿著業(yè)務(wù)網(wǎng)絡(luò)中具備可信連接路徑的關(guān)系路線進(jìn)行傳播,解決不同安全域之間身份標(biāo)識(shí)按需安全互認(rèn)問(wèn)題;認(rèn)為信任關(guān)系的構(gòu)建主要依靠相當(dāng)長(zhǎng)有效時(shí)間的安全交互行為,真正管用好用的可信管理策略需要從海量通信實(shí)體交互日志中挖掘生成,人為行政管理手段只是輔助。
04. 持續(xù)安全加固現(xiàn)有工控網(wǎng)絡(luò)關(guān)鍵路徑
在實(shí)現(xiàn)高安全工控網(wǎng)絡(luò)的時(shí)候,我們不得不面對(duì)一個(gè)現(xiàn)實(shí),那就是當(dāng)前存在超大規(guī)模的正在服役的工控網(wǎng)絡(luò)系統(tǒng),如何確保它的網(wǎng)絡(luò)信息安全?
一是建立和持續(xù)優(yōu)化縱深防御機(jī)制。縱深防御是攻防對(duì)抗中消耗對(duì)方資源的最有效的方法。從網(wǎng)絡(luò)空間安全的角度來(lái)看,可以從物理層、技術(shù)層和管理層分別建立縱深防御體系。如下圖所示:
物理層縱深防御又可分為物理層、技術(shù)層和管理層。物理層有可視性、CPTED等安全考慮和措施指標(biāo);技術(shù)層措施包括電子門(mén)禁、物理入侵檢測(cè)、CCTV、報(bào)警系統(tǒng)等指標(biāo);管理層面會(huì)有場(chǎng)地管理、人員管理、應(yīng)急演練等指標(biāo)。
技術(shù)層縱深防御至少包括網(wǎng)絡(luò)、主機(jī)/設(shè)備、應(yīng)用、數(shù)據(jù)等四層防線。如下圖所示:
網(wǎng)絡(luò)層按協(xié)議縱向?qū)哟畏烙?,在OSI模型7個(gè)層次都可以采取相應(yīng)的安全措施,比如物理層的防竊聽(tīng)、鏈路層的防ARP欺騙、網(wǎng)絡(luò)層的IPsec、傳輸層的TLS等,應(yīng)用層的識(shí)別控制等。網(wǎng)絡(luò)層按照邏輯區(qū)域防御,從外至內(nèi)看,DMZ區(qū)可以有防火墻、VPN、WAF、IDS、APT防護(hù)、蜜罐等防控措施,在內(nèi)網(wǎng)區(qū)域,有防火墻和網(wǎng)絡(luò)分區(qū),有VLAN隔離、網(wǎng)絡(luò)準(zhǔn)入、網(wǎng)絡(luò)DLP、內(nèi)網(wǎng)蜜罐、SIEM、虛擬桌面等等內(nèi)容,在內(nèi)網(wǎng)的核心區(qū)域,保存著重要業(yè)務(wù)的數(shù)據(jù)庫(kù)。
應(yīng)用層可從代碼層、服務(wù)層和業(yè)務(wù)層來(lái)防御,代碼層是最基礎(chǔ),對(duì)應(yīng)的安全方法有安全編碼規(guī)范、代碼走查、代碼掃描、代碼審計(jì)等等;服務(wù)層,有認(rèn)證、授權(quán)、日志、加密、哈希、簽名等等技術(shù)措施;業(yè)務(wù)層,可以做更多的安全措施,會(huì)根據(jù)用戶的行為和特征做相應(yīng)的安全防范。
管理層縱深防御從組織保障、安全規(guī)劃、管理制度到人的安全意識(shí)逐層遞進(jìn)。在組織保障層面,要建立起安全組織架構(gòu)、人員配備、崗位職責(zé)、協(xié)調(diào)機(jī)制等;在安全規(guī)劃層面,要制定安全方針、目標(biāo)、愿景、策略并注重跟蹤落實(shí);在管理制度層面,要定義一系列工作的規(guī)章和流程,如安全需求管理、漏洞管理、應(yīng)急管理、事件管理、變更管理、配置管理等規(guī)章制度。
最終在人的安全意識(shí)層面上,本質(zhì)上是要防范和規(guī)避人性的缺陷。為防范因人的疏忽而導(dǎo)致的誤操作,會(huì)采用變更管理、方案審核、雙人復(fù)核等措施;為防范人的懶惰,會(huì)采用考勤、巡檢、抽查、督辦、審計(jì)等措施;為防范人的貪婪,會(huì)采用最小特權(quán)、職責(zé)分離、多人控制、知識(shí)分離、特權(quán)管理等手段;為防范或威懾可能的作案者,會(huì)采用崗位輪換、強(qiáng)制休假、離任審計(jì)等手段;為防范人的安全防范意識(shí)薄弱,需要對(duì)他們進(jìn)行不斷的培訓(xùn)、教育、宣傳、警示。信息安全意識(shí)培訓(xùn)最重要的是提高警惕性,尤其是提高對(duì)社工類(lèi)型攻擊的識(shí)別和防范能力。最后,建立安全問(wèn)責(zé)機(jī)制也很重要,要對(duì)所有因不履行流程、不盡職、甚至是故意違反制度,尤其是引起不良后果的人和事都要問(wèn)責(zé)。
為正在運(yùn)行服役的工控網(wǎng)絡(luò)系統(tǒng)部署縱深防御能力,也可以考慮從物理層面、技術(shù)層面和管理層面來(lái)實(shí)施。這里僅描述技術(shù)層面的縱深防御體系。
為工控網(wǎng)絡(luò)系統(tǒng)實(shí)施縱深防御的核心思想:垂直分層、水平分區(qū);邊界控制、內(nèi)部監(jiān)測(cè);態(tài)勢(shì)感知、集中管理。如下圖所示,為工控系統(tǒng)和網(wǎng)絡(luò)提供五道防線:
第1道防線:部署工業(yè)網(wǎng)閘或工業(yè)防火墻實(shí)現(xiàn)IT與OT網(wǎng)絡(luò)隔離與訪問(wèn)控制;
第2道防線:部署工業(yè)防火墻實(shí)現(xiàn)操作層與監(jiān)控層網(wǎng)絡(luò)隔離與訪問(wèn)控制;
第3道防線:部署工業(yè)衛(wèi)士實(shí)現(xiàn)上位機(jī)加固、惡意代碼防護(hù);
第4道防線:部署工業(yè)網(wǎng)絡(luò)入侵防御系統(tǒng)或工業(yè)防火墻抵御上位機(jī)與控制器之間的雙向入侵攻擊;
第5道防線:部署現(xiàn)場(chǎng)總線防火墻抵御來(lái)自現(xiàn)場(chǎng)總線網(wǎng)絡(luò)的入侵攻擊。
如上圖所示,有時(shí)候我們?nèi)菀讓⒐I(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)、工業(yè)安全管理平臺(tái)、廠站工業(yè)態(tài)勢(shì)感知平臺(tái)三個(gè)系統(tǒng)在縱深防御體系中的價(jià)值定位混淆。
旁路部署在工業(yè)交換機(jī)的工業(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng),屬于安全監(jiān)測(cè)類(lèi)系統(tǒng),它的視野也僅僅是工業(yè)交換機(jī)所能夠連接的網(wǎng)絡(luò)區(qū)域,要想搞清楚工業(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)應(yīng)該提供哪些安全功能,應(yīng)該以什么樣的交互方式提供這些安全功能,那么我們可以觀察一下這個(gè)網(wǎng)絡(luò)區(qū)域的OT工程師他們是如何監(jiān)測(cè)生產(chǎn)業(yè)務(wù)的,具有如下特點(diǎn):
● 工控裝置為監(jiān)測(cè)單元,一臺(tái)顯示器的一個(gè)畫(huà)面監(jiān)測(cè)此裝置的相關(guān)指標(biāo)數(shù)據(jù)是否存在異常;
● 在線監(jiān)測(cè),線下處置;
● 監(jiān)控畫(huà)面多為形象化、指標(biāo)化。
因此工業(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)不需要太多的統(tǒng)計(jì)分析圖表,而是重點(diǎn)提供經(jīng)過(guò)去重、關(guān)聯(lián)、排序后的安全事件實(shí)時(shí)監(jiān)測(cè)畫(huà)面即可,當(dāng)然還需要提供安全事件留存證據(jù)查詢與調(diào)取的操作界面。
工業(yè)安全管理平臺(tái)針對(duì)整個(gè)工控網(wǎng)絡(luò)或工控網(wǎng)絡(luò)某區(qū)域從安全設(shè)備、網(wǎng)絡(luò)結(jié)構(gòu)、安全策略、安全事件四個(gè)方面進(jìn)行統(tǒng)一管理。因此工業(yè)安全管理平臺(tái)的管理視野可以小到一臺(tái)工業(yè)交換機(jī)的網(wǎng)絡(luò)范圍,大到整個(gè)工廠的工控網(wǎng)絡(luò)。
二是部署主動(dòng)防御能力。工業(yè)網(wǎng)絡(luò)入侵審計(jì)系統(tǒng)是針對(duì)安全事件的實(shí)時(shí)監(jiān)測(cè),但往往視野僅僅局限在某個(gè)工業(yè)交換機(jī)網(wǎng)絡(luò)范圍,如果希望了解整個(gè)工廠的工控網(wǎng)絡(luò),甚至是工廠IT網(wǎng)絡(luò)的安全狀況,則需要一個(gè)能夠監(jiān)測(cè)到更大范圍的工具,這個(gè)工具就是上圖中的廠站工業(yè)態(tài)勢(shì)感知平臺(tái)。
在工廠范圍來(lái)說(shuō),更關(guān)心的是發(fā)生了什么,是否被網(wǎng)絡(luò)入侵、感染病毒了,因此廠站工業(yè)態(tài)勢(shì)感知平臺(tái)側(cè)重于基于XDR思想,借助人工智能、大數(shù)據(jù)分析等技術(shù),實(shí)現(xiàn)整個(gè)工廠的工控網(wǎng)絡(luò)和信息網(wǎng)絡(luò)的關(guān)聯(lián)威脅檢測(cè)和威脅處置,從而具備主動(dòng)防御能力:持續(xù)檢測(cè)網(wǎng)絡(luò)安全威脅、準(zhǔn)確感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、及時(shí)阻斷網(wǎng)絡(luò)攻擊活動(dòng)、完善改進(jìn)網(wǎng)絡(luò)防護(hù)措施。
文章來(lái)源:六方云