电力、水务、燃气、交通……工业设施犹如城市的中枢神经和毛细血管,嵌入在我们生产生活的方方面面,面对日益升级的网络威胁和对抗,如何有效保障其安全运行,成为保证社会稳定运行和经济发展命脉的关键之一。
为了帮助厘清工业设施面临的真实安全威胁以及刚性合规要求,安全419推出《工业网络安全解决方案》系列选题,希望为工业企业运营者提升安全保障能力提供参考借鉴。本期,我们走进北京天地和兴科技有限公司(简称 天地和兴),一睹他们在该领域的思考和积累。
天地和兴成立于2007年,是国内专业从事工业网络安全的企业,打造了覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求的产品体系,已成为关键信息基础设施行业网络安全体系化建设的主要赋能方。天地和兴今年完成了D轮近7亿元融资,这标志着天地和兴在行业认可度、股东含金量、工业底蕴、国家队背景等众多维度达到了新的高度。
工业领域已成为网络空间对抗的主战场
国家遭遇大范围停电、城市交通枢纽瘫痪、能源管道商被勒索……最近几年,全球工业设施遭遇网络攻击的新闻不绝于耳,天地和兴副总裁杨小帅告诉我们,工业领域成为网络空间对抗的核心目标,跟国际经济、政治及技术应用环境息息相关。
首先,受益于云计算、物联网、人工智能等新一代信息技术的广泛应用,工业生产环境从一个相对封闭的网络延伸开来,然而在提升生产效能的同时,也打破了固有的防护边界,各种资产被迫暴露,为黑客提供了利用和入侵机会。
其次,全球化趋势让各国的工业产业链越来越密不可分,产业分工与协作创造了巨大的经济价值,也引入了难以估量的供应链威胁。工业设备必须一直保持运转,老旧漏洞未打补丁的现象非常普遍,致使威胁暴露面和攻击向量更加广泛,供应链攻击可以造成“打击一个,攻倒一片”的效果。
此外,国际地缘政治局势的紧张,也让工业设施成为了网络战的焦点。这些黑客团伙往往具备更高超的技术,拥有更多的资源,以谋求刺探机密信息、造成社会停摆等目的,越是涉及民生、经济、以及具有高价值数据的机构,越容易成为潜在的受害对象。
看向国内,电力、电网、石油石化、智能制造、轨道交通等等信息化建设走在前列的行业正面临着非常严峻的安全挑战。杨小帅为我们总结了工业网络安全威胁的几大关键趋势:
攻击模式越来越职业化。单点型的攻击不成气候,更多具有组织化的集团军善于使用更加高级、复杂的手段进攻工业设施,双重及多重勒索攻击、APT攻击等手段在工业领域越来越常见。
新技术新应用的双刃剑效应凸显。工业生产及办公环境引入了更多的先进应用,工业设备也越来越智能化,前沿技术永远是安全威胁最多发生、最不可控的环节,非常考验发展与安全的平衡。
供应链安全及自主可控能力有待提升。工业产业供应链的脆弱一方面是“有”和“无”的问题,另一方面是设备可能存在后门易被利用,核心技术受制于人将面临非常被动的局面。而且,黑客会优先攻击供应链中安全防护相对薄弱的供应商,将风险扩大至上下游,产生涟漪效应和巨大的破坏性。
掌握高价值数据的企业更易遭攻击。工业设施不仅是运行不能中断,随着数据价值的急剧增大,企业的核心知识产权、大量公民的个人信息等数据都成为了黑客眼中的“肥肉”。比如,在过去两年,多个国家的医疗卫生部门的防疫及疫苗资料遭到泄露。
顶层设计逐步完善 企业需满足多层面合规要求
工业领域的网络安全保护责任重如泰山,在顶层设计上,我国的相关政策法规建设正在不断完善,杨小帅解释,工业企业的合规要求包括了从国家到产业再到行业多个层面。
国家层面上,《网络安全法》的发布首次从法律层面上规定了网络安全工作的法律责任。此外,2019年发布的网络安全等级保护制度2.0标准提出了工业控制系统安全扩展要求,2021年实施的《关键信息基础设施安全保护条例》明确了网安法中对关基设施的安全要求。
产业层面上,工信部等相关部门依据上述上位法,以工业设施系统为对象,细化成可落地建设的指南或标准,比如《工业数据分类分级指南(试行)》《工业控制系统信息安全防护能力评估工作管理办法》《工业控制系统信息安全防护指南》等,为落实法律法规要求提供更加具体的实施参考和监管依据。
行业层面上,由于电力、能源、制造、化工等各领域的生产场景、安全现状、设备条件存在差异性,各行业主管部门根据自身情况,推进行业内的工业安全建设指导,并形成行业规范及标准。例如,2022年6月,国家能源局时隔八年修订发布了新版《电力行业网络安全管理办法》《电力行业网络安全等级保护管理办法》的征求意见稿,整体升级了电力企业的网络安全保障体系和工作责任体系。
各方政策维度颇多,安全形势不容乐观,让许多工业企业的网络安全建设之路进退维谷。根据天地和兴的长期观察实践,杨小帅表示,一方面,OT与IT环境差异明显,但同时又在不断融合,传统安全手段不适用工业网络,工业企业的安全建设难度比只涉及IT网络的行业更大;另一方面,工业企业在面对安全合规检查、评估及整改的时候,需要有非常了解业务场景同时又掌握安全技能的人员响应实施,稍有不当可能对生产流程造成影响,复合型人才的缺乏问题比较普遍。
从电力行业解决方案看纵深防御体系的价值
作为一家积累超过十年的工业网络安全企业,天地和兴从发电领域的安全防护起家,逐渐形成覆盖电力、钢铁冶金、轨道交通、石油石化、智能制造、工业互联网、工业物联网、车联网等多行业的立体化、纵深化安全防护能力。杨小帅以工业网络安全标准规范建设走在前列的电力行业为例,为我们介绍了针对新能源发电行业的解决方案。
在国家“碳达峰、碳中和”战略下,风力、光伏等新能源发电的发展对环境保护和社会可持续发展有重要意义。新能源发电生产设备多处于偏远地区,除现场安防管理难度大等问题外,还常见到如下网络安全问题:
电站与调度数据网、集控中心均存在数据交互,功率预测系统还需要从互联网下载气象数据,一旦防护不当会导致恶意攻击从信息网甚至互联网直接渗透到工控网;
生产环境独特,传统信息安全产品难以满足安全需求;
无补丁、高危漏洞、恶意代码、移动介质管理等持续威胁着上位机的安全;
无及时的网络监视手段,发生问题后难定位、难追溯、难处理;
缺乏全景可视化和异常处理机制,无法进行有效的统一管理。
天地和兴设计的解决方案涵盖风险管理、渗透测试、隔离防护、安全测评等一系列防护措施。首先由专业的安全服务人员,对风机/光伏的SDADA监控系统、升压站监控系统、功率预测系统、调度数据网设备做全面的安全检查与验证,生成安全风险评估报告。
防护阶段,在新能源电站“安全Ⅰ区与安全Ⅱ区”间部署工控防火墙,实现细化到端口和应用级别的逻辑隔离、访问控制;在生产大区站控网络旁路镜像部署工控安全审计平台、入侵检测系统,实时监测异常网络行为并进行审计告警;在操作员站、工程师站、数据库服务器以及网络边界通信服务器等处部署主机防护系统,实现系统安全加固、恶意代码防范;在生产大区站控网络部署USB安全隔离系统,实现对外界USB存储设备的认证管控、防病毒、操作行为审计等功能;新划分安全管理域,部署日志审计、账号管理及运维审计系统、工控信息安全监管与分析平台实现全网安全设备运行监控、安全日志收集与分析、全网系统账户的统一管理与操作审计等安全集中管理能力。
方案设计以等保2.0为依据,并结合业务需求,满足等保2.0的技防要求,并协助新能源发电企业进行安全管理体系的规范化建设,通过技防配合人防的手段提升企业安全管理的需求,是满足“安全分区、网络专用、横向隔离、纵向认证”和“一个中心、三重防护”的电力级解决方案。杨小帅进一步强调,“方案侧重在网络层、主机层构建以安全可控为目标、监控审计为特征的纵深安全防护体系,在整体设计上易落地,软硬一体化的产品应用,使实施和运维更易上手。”
技防+人防并驾齐驱 筑牢工业网络安全屏障
当然,不仅是电力行业,在全社会加速步入数字化转型的背景下,工业实体产业与网络、数字技术的深度互联融合,只会让安全威胁问题随着设备设施的复杂、暴露面的扩大、数据资产的增加而越来越严峻。
生产力的飞跃发展离不开安全的地基,杨小帅认为,整个工业网络安全市场正处于爬坡阶段,顶层设计已经基本完善,用户安全意识已经基本建立,在实际、具体的每一个业务场景中怎么去落地实施有效又易用的安全方案就是用户最关心的问题。
他说道,“在这方面,我们一直保持对技术创新和产品研发的持续投入,比如,研究将人工智能、机器学习等新兴技术应用于工业网络安全领域,如资产行为建模、资产智能识别、智能关联分析等,为工业安全审计、工业防火墙、安管平台等产品提供核心技术支撑。”
与此同时,杨小帅在访谈中多次强调复合型人才对于工业网络安全建设的重要作用。安全本身是一门非常专业的技能,工业业务场景的特殊性决定了,安全方案要落地必须能够深度理解并契合数据传输的特征、设备运转的流程等环节。“我们的核心团队既有安全企业出身的,也有来自工业企业以及自动化厂商的,同时,我们一直积极与高校、政府等产业界多方机构建立推动网安人才选拔科研项目,探索建设体系化的人才培养机制。”
写在最后
安全419《工业网络安全解决方案》意在探讨分析我国工业企业面临的重重安全挑战,通过分享展示不同的安全解决方案的差异和优势,为工业企业开展网络安全建设工作提供一定的参考。本系列选题将持续更新,欢迎更多有相关思考探索、技术能力的安全厂商和企业用户跟大家分享自己的实践经验,帮助更多企业用户在波谲云诡的网络空间和日益严苛的监管下安全发展。