工業網際網路安全:風起於青萍之末
工業網際網路安全的春天:青萍之末
隨著全球及我國的工業網際網路產業發展,帶來了新的機遇,也帶來新的挑戰,在安全領域體現尤為明顯,無論是資訊保安領域還是工控安全領域。隨著工業與網際網路,即OT 與IT的融合,網路戰從原來的通過人、導彈,到未來的通過網路虛擬空間摧毀實體空間。
工業資訊保安是工業生產安全和網路空間安全相融合的領域,包含了工業數字化、網路化、智慧化執行過程中的各個要素、各個環節的安全,主要體現為工業控制系統安全、工業網路安全、工業大資料安全、工業雲安全、工業電子商務安全、工業APP安全等。
全球的工業資訊保安產業發展,根據工信部提供的資料,市場規模保持穩定增長,預計2017年138億美元, 到 2023 年達228 億美元。 其中終端安全約佔47%,網路安全佔33%,其他(應用安全、雲安全等) 佔20%。
其中 安全技術也在這個風起清萍之末的時機持續升級,諸如安全視覺化、態勢感知、積極防禦等技術 均隨著全球工業資訊保安產業的發展得到了科研界、產業界的關注。
我國在全球的大浪潮中,不甘示弱,國家的政策法規充分利於行業發展。如: 2015年5月 中國製造2025,2016年5月 關於深化製造業與網際網路融合發展的指導意見,2016年11月 網路安全法,2016年12月 國家網路空間安全戰略, 2017年11月 深化“ 網際網路+ 先進製造業“ 發展工業網際網路的指導意見,2017年12月 工業控制系統資訊保安行動計劃(2018-2020年), 2018年 6月 工業網際網路發展行動計劃。
我國工業資訊保安產業規模高速發展,細分行業覆蓋政府、電信、金融、教育、工業等。行業格局有所調整, 地方政府投入顯著提升 2017 年達1.79 億元 ,電力行業 2017年達1.43億元,石油石化達1.16億。
隨著工業網際網路產業聯盟的建立,我國工業網際網路的頂層架構已經具備。
企業參與工業資訊保安業務也持續增長,據工業資訊保安產業聯盟資料統計, 國內有 138 家企業涉足。
根據工業企業調研,80% 企業認為安全投入應占工業網際網路投入的5%-20% 。大約8 億的市場空間。
工業網際網路安全之挑戰:跬步千里
提到工業網際網路,離不開智慧製造這個概念,嚴格說來,中國符合智慧製造的企業大約只有5% 。 走在前沿的企業,如海爾已經開發了海安盾,賦能海爾工業網際網路平臺,基於零信任安全,重新定義工業網際網路安全,每天預警和阻斷網際網路攻擊10萬次。
德國已經提出工業4.0的概念,但我國很多工業企業還沒有達到工業3.0,工業化發展水平參差不齊,因此智慧製造要解決五大難題: 安全生產、環保、節能降耗、提升質量、降本增效。
不積跬步無以至千里, 智慧製造,安全為先 ,包括 safety+ security。 工業企業關心的不是資料,而是生產。 我們可以理解工業資訊保安為三個方面:終端資料安全(儀器儀表、感測器資料等)、網路安全、資料中心資訊保安。
在大多數的工業企業,我們還在建立基礎的層層防禦的級別:
1、多層次防火牆安全防護架構
2、應用層防護
3、內容加密等
4、以服務為核心建立智慧運維中心
這個層層防禦還仍然是 網路安全 範疇,對於工業企業還關心 工業控制安全 。傳統上,這是兩個獨立領域, 隨著工業網際網路產業的發展,對於兩個領域安全的融合提出了新的挑戰。
工業網際網路安全之迷思:道阻且長
工控安全對於我們廣大網路安全領域的廠商還是新的課題。我們可以以社會治安為比喻,在工業網際網路產業中也存在工業控制治安。資訊化的控制系統一切行為和風險都反映在執行資料中。
按照中控集團創始人、寧波工業網際網路研究院創始人褚健老師的觀點, 工業資訊保安包括三個層次: 虛擬網路空間如同水上,水面主機螢幕安全,水下控制系統等硬體系統的安全。
如何統一這三個層次?這裡存在很多矛盾和難點,比如: 安全和控制系統之間的矛盾?不同安全產品之間的矛盾?工業生產企業顧慮安全實施是否帶來更多的風險?安全投入成本問題?缺少工控安全普遍執行規則?工控系統私有協議問題?等等。
2018年8月3日的臺積電勒索停產事件,臺灣三個工廠出問題,損失近2億美元,讓我們看到工業網際網路安全問題的迫切性。 資料是核心,網路是基礎,安全是前提。
Gartner IT-OT自適應安全架構給了我們一些基礎參考,但在此基礎上如何建立IT-OT一體化的自適應防護架構,仍然是一個問題。對於工業企業而言,工業網際網路安全治理是一個長期的過程,需要充分考慮近期、中期、長期目標;需要戰略投入和戰術實施。
對於每一個從事網路安全的企業,也提出了新的挑戰,如何針對性的提出滿足工業網際網路企業的網路安全方案,並和工控安全相結合,,從而更精準的滿足工業企業的安全需求。
工業網際網路安全之新星:流量視覺化
安博通針對工業網際網路的需求,推出新一代流量視覺化產品,滿足工業網際網路領域以下三種典型場景的應用。
1 、配合安全產品/ 態勢感知平臺
- 殭屍網路分析:結合域名、應用行為等資訊進行DGA分析。
- 沙箱系統聯動:上傳檔案/檔案MD5等訊息。
- 威脅情報系統聯動:上送IP/URL等資訊匹配信譽庫。
- 報文抓取:分析攻擊行為時,調取特定條件的報文。
- 會話抓取:分析攻擊行為時,調取特定的會話。
- 流量趨勢抓取:分析攻擊行為時,調取特定的流量趨勢。
- 按需上報:將提取的報頭/載荷/特定協議和應用資訊上報。
2 、效能方向
業務方向
- NPM:時延、重傳、RTT分析、抖動…
- APM:應用效能分析、應用和網路的邊界。
針對的使用者特徵
- 存在頻寬利用率檢查需求,例如廣域網專線。
- 業務複雜系統,經常變化,需要通過流量層面核查。
- 網路/應用效能存在問題,但邊界界定不清。
- 存在流量排程需求,以採集到的效能資料作為依據。
- 需要分析網路中流量成分,協議、應用層面。
- 行業客戶定製傾向明顯。
3 、內網視覺化分析和追溯方向
業務方向
- 分析內網有哪些應用在跑,流量分佈如何。
- 分析特定業務的使用者/區域/時間使用情況分佈,熱度和趨勢等。
- 分析特殊場景的流量情況,例如視訊監控。
- 追溯需求,全包儲存。
針對的使用者特徵
- 大型企業行業網,內網應用數量較多,使用情況比較複雜。
- 網路連通性、冗餘性已經沒有問題,但對流量應用不清晰。
- 公共安全行業調查取證類需求。