隨著工業互聯網應用的深入,我國基礎設施正遭受到不同程度網絡攻擊,工業控制網絡安全所面臨的威脅不斷加劇,國家重點行業工業控制系統安全是亟待解決的關鍵問題。尤其是能源行業的工業生產系統安全尤為重要。
近年來,能源行業遭受網絡攻擊事件頻發。自2017年3月,近3/4的中東石油和天然氣工業組織遭受安全危害,導致其機密數據或操作技術中斷;2018年,印度電力公司遭勒索攻擊,大量客戶計費數據被竊取鎖定;2021年5月Colonial Pipeline遭遇勒索軟件攻擊……
從過往安全事件來看,黑客們開發出了針對工業控制系統的惡意代碼,用以潛入、感染關鍵系統,甚至對關鍵系統造成破壞。從全球不斷發生的針對電網、燃氣、水務等領域的工業控制系統安全事件也可以看出,工業自動化系統已經成為網絡攻擊者越來越“青睞”的目標對象。
如今能源企業的發展和運作與信息化的融合已愈發緊密,辦公系統、生產管理系統、采購預算計劃、銷售管理規劃、核心數據及業務管理系統等關鍵流程高度依賴信息系統運行。因此保障信息安全已成為現代能源企業的基礎戰略要求。如果信息安全存有漏洞,不僅可能導致經濟損失,造成能源企業的經營計劃、知識產權等核心數據的流失,破壞企業正常生產經營,造成經濟利益的損失,甚至有可能損害其核心競爭力,信息安全管理故而成為了能源企業可持續性發展的重要課題。筑牢能源企業的信息安全管理防線,增強其防范能力建設是保障國家能源安全的必然選擇。
能源工控安全形勢嚴峻
在電力行業,從供給側看,儲能、分布式電源等新業務新業態不斷涌現。未來5年,我國預計增加十幾萬座新能源場站。風電、光伏等新能源場站呈現地域分布廣、接入環境復雜、就地終端數據多、人員管控難度大等特征;從平臺側看,億量級智能終端接入,增加了電力系統跨空間脆弱性,為APT防御帶了更多的困難。從需求側看,新能源汽車、熱泵等新型用能方式加速推廣,終端呈電氣化和網絡化趨勢。海量物聯終端接入電力系統,終端本質安全管控面臨挑戰,極有可能被利用發起更為隱蔽的新型APT攻擊。
而目前在業務上云、應用下沉、5G互聯的形勢下,移動應用已經融入了生產作業、企業管理、業務服務各個環節,業務形態呈現出“應用復雜化、邊界動態化、用戶開放化和終端移動化”的特點,這些也給我們帶來終端應用管控困難、傳統防護機制失效等方面的安全挑戰。
云計算、物聯網、5G、大數據、AI等新技術應用,讓接入更便捷、網絡更開放、服務更靈活,在推動企業從業務數據化向數據業務化跨越的同時,也會引入新的安全風險。
云環境下虛擬主體與物理實體之間不再一一對應,實現數據的安全流轉和可追溯難度增加。大數據開放共享與安全保護矛盾突出,數據基礎設施遭受攻擊和數據泄露丟失風險增大。物聯終端傳輸協議安全性不強,終端的本質安全水平較弱。5G技術同樣存在風險,如邊緣網絡設施物理安全風險,互聯網通用協議風險等。
僅發電而言,半數電廠未做雙網隔離,例如企業辦公網絡通過集團公司接入互聯網或從電廠本地接入互聯網,辦公網絡信息安全存在較大風險。雖然實現了生產控制網絡和信息管理網絡的物理隔離,但由于不規范的存儲介質使用、移動設備接入帶來惡意代碼擴散風險。
不規范的遠程接入帶來網絡入侵風險。雖然部署了安全防護裝置或軟件,但病毒特征庫長時間不升級,將面臨新的攻擊手段無法防護的風險。工業控制設備存在諸多漏洞,PLC/DCS控制器安全隱患突出。在網絡控制方面,缺乏監測手段,無法感知未知威脅。執行服務器操作,缺乏系統審計。
“3+2+1”縱深防護體系
物聯網安全環境的復雜性、敏感性意味著,想要一勞永逸地解決工控安全問題可能性很低。因此,亞信安全精確詮釋新一代工業互聯網安全防護精髓,采用“3+2+1”工業安全防護理念,以終端、區域、邊界為三重防護重點,形成IT&OT流量及防病毒二級聯動,實現風險感知的一體化處置;并以集中管理、流量檢測、終端安全、區域保護、區域審計、安全運維等全系工業安全產品為支撐,打造全方位工業安全解決方案,全力保障工業控制系統安全。
幫助能源用戶建立并拉長安全縱深緩沖區,通過建立多重防御、實現多重隔離的方式消耗攻擊強度,實現戰略緩沖,并通過管道策略實現數據分類過濾,滿足縱深防御的要求。這一戰略還將進一步演化為依據工控系統威脅情報的主動防御體系,構建基于白名單策略、維護可信可控的系統運行環境。
在現階段,要保護工控物聯網設備的安全,首當其沖的是強化物聯網資產的梳理,能源企業需要杜絕“資產信息不清、配置信息不清、管理方式不清”的現象,梳理清楚企業內部存在的物聯網設備數量、種類、狀態等基礎數據的前提下,對于物聯網設備進行統一管理,增強物聯網設備的安全可視性。此外,企業部署建設IT+OT立體縱深防護系統,在IT側實現面向網絡流量及攻擊行為的監測和防護,在OT側提升端點防護、邊界防護等產品的部署,構建基于自學習的白名單規則,有效防范未知的安全威脅。
亞信安全自適應工控安全解決方案,可通過龐大的行業資產漏洞庫和威脅庫及自定義規則,抵御已知的網絡攻擊行為的工控防火墻;可通過內置的工控協議深度解析引擎,實時監測工控網絡中違規行為的工控流量審計系統;可對用戶、授權、審計、策略、資源等集中管理并記錄審計的運維安全管理與審計系統;可對各種安全設備進行統一管理、配置、授權和響應的工控安全管理系統,以及工業安全衛士/主機加固、工控安全便攜系統等產品,可以幫助企業構建自適應安全治理模型,實現資產可視化管理以及精準的威脅發現,從而全面防御針對工業控制系統的攻擊。
