近年来,工业自动化控制系统和工控网络的安全事件频发,造成巨大的经济损失和信息泄露等严重问题。根据国家工信安全中心的数据统计,2022年公开披露的工业信息安全事件共312起,勒索软件攻击持续威胁工业信息安全、工业数据泄露事件影响进一步扩大、供应链攻击加剧安全威胁。同时,地缘政治冲突推动了安全风险的持续升级,如何有效防范此类事故成为工业企业关注的焦点。
本文将分析工控安全技术发展现状,盘点国内外工控安全主流厂商发展态势,分析我国工控安全市场发展现状,展望未来工控安全技术的发展与应用趋势。
一、工控安全面临严峻挑战
工业控制系统是指用于监测和控制工业生产过程的设备和软件,如可编程逻辑控制器(PLC)、人机界面(HMI)、分布式控制系统(DCS)等。工业控制系统广泛应用于电力、石油、化工、交通等关键基础设施领域,对国家安全和社会稳定具有重要意义。然而,随着工业控制系统不断走向数字化、网络化和智能化,面临着越来越多的网络威胁,一旦工业控制系统遭到网络攻击,可能导致严重后果。因此,加强工控安全的防护和应急能力是制造业的重要课题。
以下是一些典型的工控安全事件:
◎ 2014年,德国蒂森克虏伯公司遭到黑客攻击,导致高炉无法正常关闭,造成严重的损失。黑客利用社会工程学手段获取钢厂员工的凭证,然后入侵钢厂的办公网络和生产网络,并篡改高炉的控制参数,使其无法按照预定程序停止。
◎ 2017年,全球著名半导体厂商台积电遭到WannaCry勒索软件攻击,导致部分生产线停产,损失超过2亿美元。WannaCry勒索软件是利用微软Windows系统漏洞进行传播和加密文件的恶意软件,要求受害者支付比特币赎金才能解密文件。该厂商由于没有及时更新系统补丁,导致部分设备感染了勒索软件。
◎ 2020年,日本的一家汽车厂商遭到Snake勒索软件攻击,导致部分生产线停止运作,影响全球业务。Snake勒索软件是一种针对工业控制系统的恶意软件,可以识别并加密与工业控制系统相关的文件和进程,并删除副本和备份文件,使数据恢复变得困难。
图1 2022年十大典型工业信息安全事件(数据来源:国家工信安全中心)
与IT网络安全相比,工控安全有很大的不同:
首先,工业系统的目标价值更高,其安全系统的复杂程度也远远高于传统的IT网络系统,在保障目标对象、安全需求等方面也具有其特殊性,其保护需求往往融合考虑了信息安全、功能安全和生产安全等多种安全需求。这也导致了工控系统易于成为攻击和勒索的目标,根据国家工信安全中心发布的《2022年工业信息安全态势报告》显示,2022年公开披露的工业领域勒索事件共89起,较2021年增长78%,再创新高。其中电子制造行业遭勒索攻击最多,占比约23%。例如2022年初台达电子遭勒索攻击,导致1,500台服务器和12,000台电脑控制设备被攻击者加密,受影响的设备占了整体约20.8%,被勒索赎金1,500万美元。
其次,工控系统受研发设计、生产制造等工业数据高价值驱动,相关行业的数据泄露风险近年来持续攀升。根据Verizon发布的《2022数据泄漏调查报告》显示,2022年全球制造业发生的数据泄漏事件共338起,比去年增长了25.2%。并且数据泄漏影响呈连锁反应之势,许多攻击者会在“暗网”上公开敏感数据,允许被任意下载,供其他攻击者进一步利用数据实施犯罪。
第三,工控安全风险造成的后果更为严重,不仅会造成设备故障、系统瘫痪、生产停滞,甚至还能引发安全事故,造成环境污染,导致人员伤亡。去年俄乌冲突升级推动了大规模、有组织的黑客攻击事件,使工业领域威胁格局发生重大变化,针对国防工业领域的高级可持续攻击(APT)向全球蔓延,特别是能源行业被锁定为重点攻击目标。例如去年乌克兰能源公司DTEK、俄罗斯石油生产商Rosneft、石油管道运输公司Transneft、天然气公司GazpromNef等均遭到黑客攻击,导致大量数据被窃取,生产运营遭受严重影响。
可以看出,随着工业领域数字化、网络化、智能化与服务化的加速发展,网络安全威胁正向工业领域加速渗透,网络攻击手段日趋复杂多样,工控安全整体面临的挑战也日益严峻,突出表现在以下方面:
1.封闭的OT环境走向开放促使风险加剧
随着工业企业加速应用各种数字化解决方案和工具,原本封闭的OT环境正走向开放,工业控制系统边界逐渐模糊,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁也正在向工业控制系统扩散。其中,企业系统门户洞开,未建立安全防线、缺少工业控制系统信息安全仿真验证环境,工业控制系统“带病上岗”等安全状况层出不穷。
2.工控设备和系统基础防护能力薄弱
工业安全相较于传统信息安全而言,呈现出“倒三角”(底层设备复杂,上层管控单一)的特点。许多控制设备及系统在设计之初更倾向于确保其实际功能,在安全防护方面反而考虑较少,导致OT设备及系统普遍存在安全漏洞,控制协议、控制软件等也缺少诸如认证、授权、加密等安全功能,整体先天具有脆弱性。
3.企业对于工控安全重视程度不高
工业企业普遍存在重发展、轻安全的现象,对工业信息安全缺乏足够的重视,大多仅停留在表面以及口号上,缺乏有效的信息安全管理机制与应对措施,资金与人员投入也不足,造成工业信息安全防护能力滞后于工业发展能力。IBM Scecurity曾针对370家拥有OT环境的工业企业进行了调研,结果显示有74%的受访者没有进行OT风险评估;78%的受访者没有针对OT系统的特定安全策略。这意味着绝大多数工业企业都并未就如何应对OT网络安全风险做好准备,一旦遭遇网络威胁和攻击,很容易因此受到严重影响。
4.安全人才缺乏,安全技能有限
对于很多工业企业而言,既懂信息安全又熟悉工业系统环境的专业人员严重匮乏,制约着信息安全意识与防护技术的提升;另一方面由于工控设备须保证7*24小时高可用性,往往不允许频繁调试,即使发生了设备故障或者安全事故也必须在极短的时间内恢复,也增加了工控安全防护上的困难。
二、工控安全技术发展概览
工控安全体系的演进
工控安全建设主要经历了三个发展阶段:边界隔离阶段、单点防护阶段和纵深防护阶段。
第一阶段:边界隔离阶段。在这一阶段,工业企业开始关注工控系统的安全运行,安全防护重心主要在网络边界隔离,通过防火墙、安全网关及专用网闸等安全设备将生产网、办公网及互联网进行有效隔离等。这一阶段的工控安全产品和能力建设还处于早期阶段,用户对应用专业工控安全产品的意识也刚刚起步。
第二阶段:单点防护阶段。在这一阶段,工控安全产品应用开始成熟,企业在实现工控安全边界隔离的基础上,开始通过部署单点式工控安全产品来提升安全防护水平并解决监管合规的要求。单点防护产品基本技术架构逐渐成型,产品形态也趋于成熟和完善,能力基本可以覆盖工控系统的基础设施安全、体系结构安全、系统自身安全、安全可信防护等方面。
第三阶段:纵深防护阶段。网络安全需要体系化防护已成行业共识,在工控安全领域,从单点安全能力建设转向体系化纵深防护也是行业发展的必然趋势。工业企业在业务发展和技术进步的驱动下,在单点防护逐步完善的基础上,需要尽快考虑如何以体系化管理、自动化运维、智能化感知等方式来建立工控安全的纵深防御体系,并考虑如何在工业互联网环境下应对工控安全的新形态。
工控安全关键核心技术
工控系统安全的核心任务是保证生产操作指令正确下达、实时有效,并确保生产指令、生产要素、生产活动得以依托工控网络快速开展。而工业数据是现代工业信息化的核心,任何一家工业企业的日常生产运营都对工业数据有着高度的依赖性。对于工业企业来说,诸如生产工艺参数、设备配置文件、设备运行数据、生产数据、控制指令等工业数据是影响企业生产活动的关键业务数据,这些数据的安全性直接关系到企业生产线的稳定运行,数据的篡改、丢失或错误都可能造成整条生产线的停产,直接影响企业生产计划的实施,进而损害企业的经营效益。特别是对于电力、军工、核能、水务等一些关系国计民生的关键企业,工业数据的泄露甚至会影响国家安全。
为保障生产链路的实时贯通以及工业数据的安全性,要依靠工控安全防护技术进行全方位防御,主要涉及到图3中的关键核心技术。目前从市场上的产品来看,可分为六大基础领域,包括终端安全、网络安全、应用安全、身份与访问管理、物理安全、数据安全;再加上安全方案与集成、安全运维、风险评估、渗透测试、应急响应、攻防对抗、攻防靶场、培训认证、安全意识教育十大网络安全服务。
从技术领域来划分,工控安全产品可以分为四类,防护类产品、监测类产品、审计类产品和管理服务平台类产品:
◉ 防护类产品主要包含的技术点有白名单机制、工控防火墙、物理隔离、漏洞扫描、访问控制。
◉ 监测类产品中常见的工控安全监测分析技术手段主要包括基于特征库匹配、基于流量分析和基于工控协议解析。
◉ 审计类产品中根据审计对象,安全审计又可分为主机安全审计、网络安全审计、数据库安全审计、业务安全审计和运维安全审计。
◉ 管理服务平台类产品一般采用综合的防护方式,从而为用户提供统一的管理平台。
图2 工控安全关键核心技术及国内主流厂商(图源:善金资本)
1、防护类产品技术
白名单机制:作为防护类产品中常见的技术之一,白名单主动防御技术是通过提前计划好的协议规则来限制网络数据的交换,在控制网到信息网之间进行动态行为判断。通过对约定协议的特征分析和端口限制的方法,从根源上节制未知恶意软件的运行和传播。“白名单”安全机制是一种安全规范,既应用于防火墙软件的设置规则中,也应用于实际管理中,例如在对设备进行实际操作时,需要使用指定的笔记本、U盘等,未经授权的行为将被拒绝。
由于工控系统在建设完成投入运行之后,其系统将基本保持稳定不变,因而很容易获得系统合法的白名单。通过这种方式能够识别由于感染病毒或者受到攻击而产生的各种异常状况,即防护软件对准备启动的进程进行认证,与预先存储好的进程白名单进行对比,进程在白名单中的才可启动,不在白名单内一律禁止。
工控防火墙:工控防火墙不同于普通防火墙,是一种更为先进的针对工控系统设计的防火墙产品。工控防火墙是一个专用的硬件或软硬件解决方案,通过一系列规则,对传送到控制网络信息流实施允许或拒绝。与普通防火墙相比,工控防火墙除了具有通用协议过滤能力外,还应具有对工业控制协议的过滤能力,同时,它比传统防火墙具有更高的环境适应能力,更高的可靠性、稳定性等要求。
数据防泄漏:对于很多工业企业而言,数据是企业的重要资产,数据防泄漏可以通过数据库加密实现核心数据加密存储,可以通过数据库防火墙实现批量数据泄漏的网络拦截,也可以通过数据脱敏实现外发敏感数据的匿名化,这些数据库安全技术可以实现数据防泄漏问题。《数据安全法》等法律法规的实施,则进一步将工业企业数据保护提到了新的高度。
2、监测类产品技术
基于特征库匹配,通过对工控网络中传输数据与所积累入侵模型进行对比,如具有一致性则判断为入侵行为从而产生报警;基于流量分析,通过采集分析工控网络中的原始通信报文,进行2-7层解码分析,对异常流量进行实时检测和流向跟踪;基于工控协议解析,针对OPC、S7、Modbus等主流工控协议进行深度解析还原,发现存在的安全漏洞。
工业安全产业联盟则提出了工控安全监测分析系统架构:采用前端分布式监测采集(智能采集探针)与后台集中式综合分析(数据分析中心)的系统结构,充分发挥网络监测探针强大的数据采集、存储与分析能力,提供数据平面与控制平面全面的监控指标与可视化分析。
3、审计类产品技术
主机安全审计顾名思义就是对单台主机的安全审计。这是较基础的审计也是较复杂的审计,因为主机几乎是所有业务系统的承载体,主机安全关系重大,同时主机也是最通用的计算单元,功能最复杂,接口最多,需要审计的内容和格式也多种多样。等保2.0要求的安全计算环境的审计,大部分可以算作主机安全审计的范畴。为了拿到最可靠的审计证据,主机安全审计一般需要在主机上安装代理软件来采集数据进行审计。主机安全审计的内容很多,但是又需要严格控制对主机系统资源(CPU、内存、硬盘等)的占用,避免影响正常业务运行。
网络安全审计是针对网络访问或网络通信的审计。现在几乎所有的业务系统都要使用网络,几乎没有基于单机的业务系统了,所以网络安全审计也是非常重要的一个审计类别,和网络相关的所有信息都可以纳入审计的范围。
数据库安全审计的概念相对比较新,近几年因为数据安全相关问题被频繁暴露出来,大家开始重视数据库的安全审计工作。数据库安全审计主要针对常见数据库(比如:SQL Server、Oracle、MySQL、MongoDB等)的各项操作进行审计,比如增、删、改、查等操作。数据库服务器相关的内容都可以列入审计范围。
业务安全审计是对业务系统应用过程的审计。业务系统一般包括服务器、网络设备、应用系统、数据库系统、客户端等,所以业务安全审计需要融合主机安全审计、网络安全审计、数据库安全审计和运维安全审计等功能,一般需要定制开发,针对业务系统用户在系统中的操作行为进行记录和审计。另外,为减少应用系统因审计而产生的性能降低,可以配合第三方审计系统(比如日志审计)来完成审计工作。业务安全审计是融合多种内容的审计工作。
运维安全审计是一种特殊的业务审计,主要包括2种:堡垒机接入审计和KVM接入审计。堡垒机是运维人员通过网络远程接入的代理,KVM则适用于运维人员在机房直接操作其他服务器。运维审计以应用层代理的方式运行,获取应用层网络协议,进行还原分析,在重新打包提交给目标主机。运维安全审计的数据采集方式比较直接,作为代理,可以获得加密前的数据,所以运维安全审计可以获得更多的审计证据。
4、管理服务平台类产品
工控安全管理平台包含设备和应用的监控与管理,提供统一的管理平台,全面直观的网络拓扑结构能够帮助用户快速定位网络故障,及时发现网络流量异常,系统能对网络中的关键节点性能提供全面监控和告警,主动监控应用服务的状态和性能。平台广泛应用于石油、石化、电力、化工、制造等行业的工业控制网络,大大提高了工业控制网络通讯可控性与可信性,确保了生产系统的稳定可靠。
APT防护(高级持续性威胁防护):大多数恶意软件会执行快速的破坏性攻击,但 APT 采用不同的、更具策略性和隐蔽性的方法。攻击者通过木马或网络钓鱼等传统恶意软件入侵工控系统,如工厂中的一台PLC或网关后,但之后会掩盖自己的行迹,在整个网络中秘密移动并植入其攻击软件,在长达数月甚至数年的时间中,持续不断地提取数据。用户可以采用恶意代码检测、主机应用保护、网络入侵分析、大数据分析检测等综合手段进行防护。
应急响应:制定行之有效的应急响应策略,能够帮助工业企业在发生突发/重大信息安全事件时,第一时间提供包括抑制止损、事件分析、业务损失评估、系统加固、事件溯源的应急响应服务,尽可能的减小和控制信息安全事件造成的损失,提供有效的响应和恢复指导,并努力防止安全事件的发生。
云安全:随着国内工业互联网的深化应用,工业企业需要在云平台上实现一种“工业操作系统”,从系统安全生产管理的角度协同资源、业务与安全。根据资源、数据、流程、业务的安全等级,在云平台中设计安全域,从可靠性、实时性和性能等方面设计安全域的信息安全通信等级。
三、国内外工控安全主流厂商发展态势
1、国际工控安全主流厂商发展态势
随着全球工控安全事件频发,工控安全形势日益严峻,全球工控安全市场需求显著提升,市场规模也不断扩大。而市场规模扩大的背后,则是国内外众多不同背景的工控安全厂商纷纷涌入:
Fortinet(飞塔):传统IT安全领域厂商,较早将业务范围拓展至工控安全领域。2019年Fortinet提出了Operational Technology(OT)安全架构,并与自身IT安全解决方案融合形成Fortinet Security Fabric工控安全整体解决方案,帮助企业构建全面、智能、弹性的OT安全体系,建设可信任的OT数字空间,实现网络微分段、资产全面可视化、设备准入控制、高级威胁防御,并借助主动安全、OT安全态势感知平台,保护企业数字化转型。
Symantec(赛门铁克):传统IT安全领域厂商,近年来加速拓展至工控安全领域,目前有两大防护系统和一个安全分析平台,包括面向工业控制系统安全的神经网络解决方案ICSP Neural。该解决方案是业内首个神经网络集成型USB扫描站,能够全面确保企业关键基础设施的安全防护。
McAfee(迈克菲):传统IT安全领域厂商,较早将业务范围拓展至工控安全领域,解决方案主要集中在网络安全方向,同时利用动态白名单机制,保护客户的动态干重,多区域保护等。目前,McAfee已为超过6亿个端点提供保护,使其能够收集有关网络攻击的大量数据,这些信息反过来又有助于提高其安全能力。2021年3月,McAfee宣布将企业业务部分以40亿美金出售给Symphony Technology Group。
Cisco(思科):综合的IT解决方案供应商,深耕工控安全领域多年,解决方案覆盖攻击发生前、中、后全生命周期。在攻击发生前可提供ASA防火墙,ASA下一代防火墙,ISE身份认证引擎技术和VPN解决方案;攻击发生时可提供下一代入侵防御,邮件安全,Web安全解决方案;攻击发生后可提供恶意软件防护和异常流量分析解决方案。
Siemens(西门子):全球工业自动化巨头之一,企业工控系统的主要供应商,旗下完善的产品线使其在工控市场积累了领先优势并沉淀形成了自身工控安全能力,对协议的理解和解析是其独有优势,强调纵深防御,多层次防护。西门子的控制与驱动技术中,例如CHEMSTAR 电机、变频器和 IDS 等,也集成了安全技术。西门子驱动技术还针对极端条件配套有防爆功能和大量的各种认证,具备最高能效等级,通过将现场数据集成到控制系统,转化成有用信息,实现整个工厂的安全控制。
Schneider Electric(施耐德电气):全球工业自动化巨头之一,企业工控系统的主要供应商,主要致力于提升企业整体安全性,创新推出了自上而下的三级终身防御体系,包括设备级、系统级和管理级三级形成纵深防御,涉及安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大安全防御步骤。
Tofino(多芬诺):加拿大专业的工控安全厂商,以其工控系统防火墙作为主打产品,国内有厂商已经代理其产品,目前主要应用在石化等多个行业内,多芬诺的防火墙基于内置工业通讯协议的防护模式,不仅是端口上的防护,更是基于应用层上数据包的深度检测、协议解析,属于新一代工业防火墙。
Codenomicon(科诺康):芬兰的专业工控安全厂商,主要是专注于漏洞发掘,其测试技术在工控安全领域具有较高的优势,其测试解决方案能够重点对测试目标的相应进行分析,并且通过自动分析定位等方式分析问题所在。
Honeywell(霍尼韦尔):是一家业务多元化的综合自动化公司,霍尼韦尔提出安全管理系统有助于最大限度地减少事故并最大限度地提高产量,同时确保工厂安全。安全管理系统集成了过程安全数据、应用程序、系统诊断和关键控制策略,确保合规性、提高系统可靠性并增加正常运行时间,从而打造更安全、更高效的生产环境。
ABB:全球工业自动化巨头之一,企业工控系统的主要供应商,在其ABB Ability数字化平台中,专门推出了面向关键工控系统保护和资产安全套件Cyber Security Workplace(CSWP),能够将ABB和第三方安全解决方案整合到一个简单但全面的数字化平台中,使运营团队能够更轻松、更科学地制定决策并提升工业自动化系统的安全性。ABB在网络安全和工业过程控制两大领域拥有丰富经验,对于在流程中对工控系统实施网络保护,ABB编写制定了《生产型企业的网络安全》白皮书。
Palo Alto Networks(派拓网络):传统IT领域安全厂商,率先提出下一代防火墙(NGFW)解决方案,共8次荣获 Gartner 网络防火墙魔力象限领导者称号,拥有超过69,000家下一代防火墙客户。除了为工业企业强化SaaS安全、高级URL过滤、DNS安全、云身份引擎和新型机器学习防火墙等功能外,派拓网络还打造了STRATA、Prisma和Cortex三大产品平台战略,帮助工业企业将安全工具动态整合,以保证网络通信的端到端可视性,以及全面的安全策略控制和管理功能。
IBM:综合的IT解决方案供应商,同时也是全球领先的企业安全服务提供商。IBM专门推出了用于应对OT安全战略的IBM Security解决方案,帮助工业企业了解业务、定义风险并制定战略,并通过执行OT和ICS设备发现,进行安全架构审核,执行数据发现、分类和分析,实现数据与终端的安全、制定OT安全事件响应计划。
Nozomi Networks:初创工控安全厂商,旗舰产品 SCADAguardian 通过机器学习和行为分析来实时检测零日攻击。当与防火墙和SIEM集成时,ICS事件报警和通知系统使得操作人员能够快速对报警做出响应。目前,Nozomi Networks在能源,制造,采矿,运输,公用事业和关键基础设施等1,400多个工业企业中安装、支持和保护数十万个设备。
Waterfall:以色列专业工控安全厂商,专注于工控边界防护领域,主要产品是工控网闸,支持主流的工业协议和应用,其解决方案被监管和政府机构中广受好评,大量地降低了政府和合规监管在关键基础设施等领域的成本和复杂性。
Checkpoint(捷邦):传统IT安全领域厂商,较早将业务范围拓展至工控安全领域,在ICS/SCADA网络安全领域提供先进的威胁防御,加固设备选择和综合协议支持去保障关键基础设施,例如提供SCADA流量的全面可视化和精细管理,具有SCADA感知威胁检测和预防的全面安全性。
Indegy:以色列初创工控安全厂商,提供可视化操作和控制面板技术,确保运营安全,防止网络攻击、内部员工恶意操作以及运营操作失误等情况发生。旗舰产品Indegy监测器可以锁定工业控制系统内的所有数据,并开发控制层协议支持实时监测各种工业控制系统配置变化。
Trend Micro(趋势科技):传统IT安全领域厂商,较早将业务范围拓展至工控安全领域。为构建全方位的工控安全防护,趋势科技与Moxa携手成立了TXOne Networks,致力发展OT安全方案,有效反制层出不穷的蠕虫病毒、APT Ransom或Coin Miner,2015年被亚信安全收购。
2、国内工控安全主流厂商发展态势
《中国工业信息安全产业发展白皮书(2021-2022年)》显示,2021年我国工业信息安全产业规模为168.43亿元,同比增长32.94%。约有373家国内企业涉及工业信息安全业务,同比增长17.3%。其中包括和利时、浙江中控、安控科技、华为、科远智慧、力控华康、海天炜业、奇安信、绿盟科技、深信服、新华三、蓝盾股份、启明星辰、网御星云、得安信息、天地和兴、天融信、英赛克科技、威努特、安恒信息、中科网威、圣博润、网藤科技、珞安科技、木链科技、立思辰、珠海鸿瑞、六方云、长扬科技、瑞星网安、卓识网安、天空卫士、三零卫士、安策科技、中油瑞飞、南信瑞通、博智软件、谷神星、天地和兴、安点科技、亚信安全等。
从历史背景来看,其中既有传统的IT领域安全厂商拓展工控安全解决方案,如趋势科技、奇安信、绿盟科技、立思辰、中科网威、三零卫士、天融信、瑞星网安等;也有立足自动化控制等业务的自动化厂商培养工控安全能力,如和利时、浙江中控、力控华康、海天炜业、珠海鸿瑞、天裕科技等;以及IT系统集成商/网络供应商通过合作、OEM等方式推出工控安全产品,如华为、新华三、中油瑞飞、南信瑞通等;最后是专注于工控安全领域的厂商,如六方云、威努特、木链科技、天地和兴等。