跨年思享 | 赵峰：工控安全的“可知”与“可管”之道

12月29日，在线上举行的2022年工业互联网金紫竹峰会（第二届）上，杭州中电安科现代科技有限公司总经理赵峰表示，当前，工控网络安全呈现出全球工控安全事故频发、合规要求迅速提升、安全认知持续提高的形势。未来，新技术接入带来的系统结构改变，云安全、物联网、移动互联等安全技术能力不足，工业互联网应用如何安全的与工业控制设备互动，值得思考。

首先，全球工控安全事故频发。2020年，工业相关勒索攻击事件远超2017—2019年之和，针对工业实体的勒索软件攻击暴增500%以上，其中制造业的勒索软件攻击事件最多；2021年国际上能源、交通、制造等行业均发生了严重事件。随着中西脱钩趋势愈演愈烈，工控网络空间安全被提升到前所未有的高度。

其次，合规要求迅速提升。随着等保2.0相关的《信息安全技术网络安全等级保护基本要求》和《信息安全技术网络安全等级保护测评要求》等国家标准正式发布，电力、能源、交通、军工等行业成政策重点关注方向，各行业内的制度建设、技术要求相继出台，工控安全的必要性、可实施性极大增强。

最后，安全认知持续提高的形势。随着网络安全成为国有企业党委职责、电力轨交等关键行业的实际业务需求快速增长，网络安全认知正在持续提升，安全预算正在持续增长，其中，工控安全作为关键场景直接获益。

那么，工控网络安全建设痛点和难点是什么？

赵峰指出，工控系统与信息系统有很大差别，工控系统在可靠性、实时性和业务连续性方面有着极高要求，尤其是业务实时性多数是毫秒级，信息系统多数是秒级。同时，工控系统网络安全防护的重点与信息安全也有不同，主要体现在工控系统网络安全防护，为了实现实时性不受影响，业务连续性不受影响，防护重点在应用层。针对工控协议、工控流量、工控行为，工控安全相关产品，比如工控防火墙、工控流量审计，其产品的核心点是在于工控协议的识别，工控行为的识别。

对于以上工控系统特点和工控协议对工控安全产品需求，以及中电安科大量公共安全系统建设的经验，赵峰总结了工控网络可能存在的风险和威胁主要体现在以下几方面。

第一，违规网络连接。某企业由于生产现场地理位置比较偏远，设备维护的工程技术人员为了方便操作，违规保留远程维护通道，使生产控制网直接与互联网存在访问。

第二，控制系统漏洞。控制系统存在拒绝服务漏洞和文件上传漏洞，这些高危安全漏洞。利用漏洞登录后甚至能够获取该控制系统内部的任意文件包括内核文件。

第三，异常端口访问。某企业装置开启了SNTP、DNS、NetBIOS、DHCP、SSDP等服务，且部分服务存在严重的安全漏洞。通过利用这些漏洞可以获取具有系统管理员权限的命令行权限甚至完全控制该设备。

第四，存在未知资产。某企业发现，有僵尸主机（已下线停用的设备）存在，导致无人问津，成为“三不管”设备，极易被利用成为跳板或肉鸡对网络造成干扰。

第五，可疑通讯行为。某企业两套相对独立的DCS系统之间发现BitTorrent协议、Stratum (STM)协议访问，非生产控制网常见协议，同时造成两个系统边界被打通。

针对以上问题，中电安科提供了一整套公共安全解决方案和相应产品。比如，在交通领域，中科可控对某地铁已开通7条线路的7个业务系统（综合监控系统、信号系统、售检票系统、乘客信息系统综合安防系统、通信系统、电力监控系统）的网络安全进行改造和等保测评。最终合规性满足、提高生产稳定性、有效保障业务流程安全、提高生产控制网络信息化水平、提升抵御网络安全风险能力、提升安全生产水平。

采写：胡媛

编辑：胡媛