安點科技工業網絡安全專家 吝寧

      網絡協議是計算機網絡中進行數據交換而建立的規則、標準或約定。目前已有許多工業控制專用協議，大多是為了提高效率和可靠性而設計的，以滿足大規模分布式控制系統的運行需要。但是，令人堪憂的是這些協議為了提升效率，而放棄了協議的安全特性。

      例如：放棄要求額外運算資源的認證和加密等措施。更有許多工控協議為了能夠適應以太網運行做了修改，使得協議存在可以被利用的漏洞。

      起初，工控協議的安全性問題并不嚴重，這些協議只是通過專用串口在封閉網絡和可信軟件間執行。但隨著“兩化融合”“智能制造2025”等國家戰略的穩步落地，工控系統逐漸從封閉走向開放互聯，這些工控協議也逐步與TCP或無線網絡相連，工控協議的安全問題被無限放大。日前，小編專訪了安點科技工業網絡安全專家、產品總監吝寧先生，請他就工控協議的脆弱性和安全防護對策回答了以下問題。

什么是工控協議？工控協議的脆弱性都有哪些？

吝寧：工控協議通俗來講是工控設備與應用、設備與設備之間溝通的語言，是工業控制系統實現數據采集傳輸、控制指令下達等功能的重要橋梁。

      從分類來說，工控協議可以分為標準協議、私有協議，常見的標準協議包括Modbus、ProfiBus、OPC等等，同時DCS系統通信根據廠商及產品型號不同系統普遍采用私有協議，如橫河電機的Vnet/IP等。此外，工業無線通信還會用到包括工業WIFI、ZIGBEE、LoRa等無線通信技術標準。

私有協議和無線協議的安全性是否比較高？

吝寧：私有協議的安全性確實有所提升，私有協議協議通常采用UDP廣播包的形式發起通訊，而且普遍數據是加密的。但這并不意味著絕對安全，例如開發DCS的人員非常了解這些協議，如果實施有目的的攻擊行為更容易造成隱匿性破壞。

      再說無線協議，現在的安全防護產品90%以上都是針對有線協議進行安全防護，通過無線協議傳輸的數據往往直接暴露在空曠的網絡中，很有可能利用標準的無線協議漏洞進行攻擊。

為什么多年發展后，工控協議仍遺留眾多的安全問題？

吝寧：工業自動化廠商都了解以上種種問題，而且也具備修復脆弱性的技術能力，但卻無法付諸行動。

      首先是成本上的考慮，若修改工控協議經影響其整個產品線的正常通信，而且工業控制系統牽扯設備眾多，全面的升級與調試廠商將承擔巨大的時間成本和經濟成本。

      再者，例如對工控協議進行加密，其通信發起端和獲取終端將額外增加大量運算負荷，在已接近滿負荷運轉的工業控制系統中，這顯然是不切實際的。所以這就需要工控安全廠商幫助自動化廠商解決這些問題，在我看來兩者實際是相輔相成的關系。

安點科技針對這些問題的防護對策是什么？

吝寧：首先是預防，在這個階段我們技術手段與管理手段雙管齊下。

      管理手段主要解決“人”的隱患，安點科技通過培訓等服務方式幫助企業建立完善的安全制度，幫助員工樹立正確的安全意識。

      技術手段我們采用態勢感知技術和區塊鏈技術相結合的方式，安點科技在企業集團中建設態勢感知預警平臺，并且我們所有的安全防護設備都是具有獨立的細粒度數據處理和分析能力的“威脅挖掘機”，

      這些安全設備實時向平臺和其他安全防護設備共享安全情報，之后平臺再匯總這些網絡安全數據進行關聯分析，向安全防護產品下發具體應對策略。這一切都是自動化和可視化的。

      這樣我可以快速的從海量工業數據中提煉重點網絡安全數據，從漏洞態勢、網絡攻擊態勢、可用性態勢、主機態勢等維度全面評估企業網絡安全態勢等級，實現企業網絡安全態勢“可見、可管、可控”。

      之后是防御，防御主要還是采用“邊界防護、橫向隔離，縱向防御”，這是經過時間檢驗的最有效的防護思路。但需要注意的是，不論是防火墻或是網閘等安全防護手段，工業協議通過之后仍然是明文的，仍然存在安全隱患。

      而我們的核心技術之一是對明文協議的加解密技術，且完全不占用控制系統資源，在一定程度上解決了標準工控協議的先天缺陷。

      最后是追溯，再周密的防御措施針對惡意內部人員往往效果大打折扣，我們通過網絡審計、主機審計等手段做到“威脅源頭可溯、威脅去向可查”。

      這就是我們的整體防護思路，以提高預防能力為起點，在預防上失效的情況下，做全面的防護。那么在防護失效的情況下，我們可以至少做到亡羊補牢。

安全防護的難點是什么？安全企業應如何應對？

吝寧：如今,國內外生產企業都把工業控制系統安全防護建設提上了日程，但業主單位仍普遍困惑如何進行安全防護，我將其歸納為4W+1H問題。工控企業的核心價值就是幫助企業解決以下問題。

·   Why：為什么要進行安全防護？

·   What：要進行什么樣安全防護？

·   Where：在那些地方進行安全防護？

·   When：什么時間點部署安全防護產品？

·   HOW：如何達到安全防護的目標？

      從工控協議安全防護這個比較小的角度來說。目前市場上安全產品已普遍支持龐大的工控協議庫，但是一些廠商對工業控制缺乏理解。

      事實上，不同品牌控制系統的通信方式截然不同，且通信往往分為多個階段。我們需要從生產命令或信息的發送終端開始，一直到命令或信息接收終端為止，中間所有的環節我們都要注意，把對威脅和風險的控制點進量提前，做到漏洞被實際利用前就將攻擊行為扼殺。

      我認為工控安全企業必須對工業控制和網絡通信安全有比較充分和全面的認識，也必須具備強大的快速研發能力和自主知識產權，這樣才能依據不同工控系統的特點提供訂制化的、有效果的、有價值的網絡安全防護解決方案。