啟明星辰煙草事業(yè)部技術(shù)總監 張曄

   工業(yè)控制系統安全管理平臺

   經(jīng)過(guò)對工業(yè)控制系統的跟蹤研究，啟明星辰正在研發(fā)工控系統安全管理平臺、入侵檢測系統、工業(yè)防火墻、工業(yè)無(wú)線(xiàn)安全設備等。

   工控系統安全管理平臺從工控系統可用性監控、工控系統行為監控、工控系統安全管理三個(gè)層面來(lái)解決工業(yè)控制系統安全的問(wèn)題，具體來(lái)說(shuō)通過(guò)六大模塊來(lái)解決三個(gè)層次的問(wèn)題：工控系統安全監控、工控系統流量監控、終端安全管理、安全態(tài)勢感知、安全風(fēng)險評估、工控系統運行監控。通過(guò)這些模塊，工控系統安全管理平臺能夠實(shí)現：全方位的工控系統運行監控、關(guān)聯(lián)分析與安全事件準確呈現、異常流量預警與分析、可量化的安全風(fēng)險評估、指標化的宏觀(guān)安全態(tài)勢感知、工控終端安全管理。

   我們通過(guò)監控、審計、風(fēng)險、運維四位一體化安全管理化平臺，實(shí)現對工業(yè)控制系統的全面監控，通過(guò)監控實(shí)現工控系統可用性可視化以及安全事件精確呈現；通過(guò)審計實(shí)現安全事件精確溯源，時(shí)間目的準確定位；通過(guò)風(fēng)險評估實(shí)現安全風(fēng)險的可度量；通過(guò)運維管理實(shí)現安全時(shí)間及時(shí)報警、安全時(shí)間處理與優(yōu)化。從而形成了工業(yè)控制系統風(fēng)險控制的免疫體系！

   工業(yè)控制系統安全技術(shù)研究

   啟明星辰積極防御實(shí)驗室ADLab是國內安全業(yè)內最早成立的攻防技術(shù)研究實(shí)驗室之一。一直秉承“安全源自未雨綢繆”的理念，密切跟進(jìn)國際、國內網(wǎng)絡(luò )安全研究的最新進(jìn)展，從事網(wǎng)絡(luò )安全深層攻防技術(shù)的研究。ADLab針對工控系統的信息安全，重點(diǎn)開(kāi)展三個(gè)方面的研究工作：工控系統惡意代碼發(fā)現技術(shù)、工控系統漏洞挖掘技術(shù)、工控系統隱患分析技術(shù)。

   工控系統漏洞包括無(wú)效的數據輸入、認證、權限與訪(fǎng)問(wèn)控制、配置等。 啟明星辰從逆向分析技術(shù)、模糊測試技術(shù)、程序切片技術(shù)三方面來(lái)挖掘工控系統漏洞，取得了一定的成果。近年來(lái)，針對工業(yè)控制系統的 “震網(wǎng)”、“Duqu”、“火焰”等惡意代碼不斷涌現，為各國的基礎設施安全運行帶來(lái)了巨大隱患，引起了各國的高度重視。啟明星辰也有己獨特的惡意代碼發(fā)現技術(shù)，對已知的惡意代碼，采用靜態(tài)檢測技術(shù)進(jìn)行防御； 對于未知的惡意代碼，采用異常流量檢測與驗證技術(shù)、異常協(xié)議檢測與驗證技術(shù)、Sandbox技術(shù)、shellcode技術(shù)進(jìn)行檢測。

   工業(yè)控制系統安全解決方案

   啟明星辰的工業(yè)控制系統安全解決方案具有兩個(gè)基本思路：一是“三層建構，二層防護”，二是“全面監控，縱深防護”。同時(shí)具有四個(gè)核心理念：“單純”化（唯一性，白名單）、 “透明”化、“層次”化、“邊緣”化?；谝粋€(gè)事實(shí) ：工業(yè)控制系統安全是傳統IT安全延伸，同時(shí)又具有自身顯著(zhù)的特點(diǎn)。我們把工控系統劃為三層：管理協(xié)同層完成經(jīng)營(yíng)管理功能；生產(chǎn)制造層完成生產(chǎn)管理功能；工業(yè)控制層完成部件及生產(chǎn)線(xiàn)的監測、操作和過(guò)程控制功能。根據這一劃分確定分層、分域、分等級的二次防護原理。

   此外，我們要全面監控，首先要對系統的可用性進(jìn)行監控，對操作員站、工程師站、應用服務(wù)器、數據庫服務(wù)器運行狀態(tài)監控功能，如CPU、內存、端口流量等進(jìn)行監控。對工業(yè)以太網(wǎng)交換機、PLC等運行狀態(tài)進(jìn)行監控。

   另外，要對安全事件進(jìn)行全面監控，包括病毒木馬事件、異常入侵事件、流量異常事件、非法接入事件、設備/配置非法變更事件、關(guān)聯(lián)分析事件、無(wú)線(xiàn)入侵事件等。HHHH進(jìn)行防御的目是要實(shí)現工業(yè)控制系統安全性的升級，打造安全可信的終端（包括操作員站、工程師站、應用服務(wù)器）。所以我們對終端進(jìn)行安全優(yōu)化與加固，進(jìn)行統一的安全基線(xiàn)管理。對終端外設進(jìn)行統一管理，如USB接口，光驅?zhuān)W(wǎng)卡，串口。 對工業(yè)控制系統進(jìn)行設備接入準入控制。對終端中的進(jìn)程、桌面合規性進(jìn)行監控和管理。僅允許已知的通信協(xié)議與終端進(jìn)行通信。終端具有U-Key雙因素強身份認證功能。

   工業(yè)控制系統安全的未來(lái)發(fā)展，要解決技術(shù)問(wèn)題，也要解決管理問(wèn)題，我們的遠景是建設集安全管理體系、信息安全技術(shù)體系、安全運維體系為一體的安全動(dòng)態(tài)保障體系。

   摘自《自動(dòng)化博覽》2013年1期