-
安全产品
-
-
-
工控行业真的需要安全审计产品吗
发布时间:
2017-08-31
来源:
作者:
天地和兴-原博文
访问量:
31
安全审计产品是对网络或指定系统的使用状态进行跟踪记录和综合梳理的工具,主要分为用户自主保护 、系统审计保护两种 。网络安全审计能够对网络进行动态实时监控,可通过寻找入侵和违规行为,记录网络上发生的一切,为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动。在当前工控环境中,经常会遇到一个现象,我有了基本的防护产品,有了隔离的“安全区域”,为什么还要部署安全审计产品?下文将会带领大家来看看安全审计的前生今世:
安全审计产品是什么?
安全审计产品最早出现是,在2005年11月23日经公安部部长办公会议通过,2006年3月1日起施行《互联网安全保护技术措施规定》也就是我们俗称的《中华人民共和国公安部令第82号》,自此之后大部分信息安全厂家将安全审计产品作为了其产品中重要的一环。
但是由于82号令只是针对经营性以及非经营性上网场所内的网络行为做了规定,对于工控行业的安全审计产品,由于无人认责、无人管理而一直未有建树,当然笔者认为主要原因是工控环境特性导致的“虚假的隔离安全”致使工控行业的安全审计一直在“行内人”看来是一款可有可无的产品。
安全审计产品简单来讲就是通过对网络中的数据进行采集、处理、分析、展示以及存储的智能化产品。其中采集、分析和展示是审计产品的主要功能点,也是现阶段工控环境中最迫切需要的。
为什么需要安全审计产品?
新一代电力信息网络系统具有复杂性、开放性、动态性等特点。这些特点使其具有天生的脆弱性,拒绝服务攻击、网络扫描、网络欺骗、病毒木马、信息泄露等安全事件的层出不穷,既有来自外部的恶意入侵,又有来自内部的权限滥用,来自内外部的安全风险给信息安全工作带来了不小的压力与挑战。
面对严峻的信息安全形势和复杂的信息安全挑战,结合电力行业信息安全发展需要,新一代电力信息网络安全架构必须是以“智能+防护+控制”为基础,必须贯穿信息系统全生命周期,必须更加强调整体安全能力,必须是涵盖“云+端+边界”的立体防护体系。该防护体系是假设前一道防线没有防住的情况下,后面的防护手段仍然可以去补救,并强调多链条、多层次安全防线之间的联动和协同,以形成真正体系化的信息安全能力。
从上图的安全模型中看到,安全分为四个维度:管理、策略、角色与技术,其中管理是基础、策略是规则、角色是保障、技术是核心,通过四个安全维度的建设,以有效消除安全威胁,实现预期的安全需求。
管理:是安全的重要基石,渗透于从模型设计到运行过程的各个阶段。其中安全审计产品能帮助用户从对制度的管理(主要包括制度与规程的制定、执行和改进)和对技术的管理(主要通过制度使各种技术成为一个有机整体,从而提高系统的整体安全能力)两方面提高整体的管理措施。而管理性措施在某种意义上比技术性措施更重要、更有效。
策略:是为发布、管理及保护信息资源而制定的一组制度和规定的总和,是对信息资源使用和管理的规范性描述。其中安全审计的安全策略为信息安全提供管理方向和支持手段,是信息的安全测试和安全运行过程中不可或缺的工具之一。
角色:是信息安全实现的主体,所有策略、技术都是由相应角色的人员设计或实现的,因此安全角色的划分是否清晰合理对系统安全影响非常大。依据信息安全全生命周期管理理念,安全审计产品可以帮助用户确立管理、测评、运维、督查和用户等多个角色,并对各角色承担的信息安全责任进行明确划分,使各角色够严格按照既定的安全策略进行操作。
技术:是完成信息安全风险防控的保障手段。在安全审计产品中,分为闭环的六个部分分别为:分级防护、事件感知、预警调度、应急响应、灾难恢复和攻防对抗,它们具有很强的时序性和动态性,能够较好地为新一代信息网络安全架构技术架构提供先进性、主动性和完备性的安全防护。
此外,单一的网络安全产品,已不能从整体架构中帮助用户完善信息安全的防护等级,工控环境多年来建立的“虚假的隔离安全”在日异月新的技术面前也变得不堪一击。
从政策层面去看,05年颁布的电监会第5号令到11年的工信部《关于加强工业控制系统信息安全管理的通知》再到发改委14号令《电力监控系统防护管理规定》以及国家能源局36号文件《电力监控系统安全防护总体方案》等等一系列政策的颁布也表达了行业层面甚至国家层面对于整个工控信息安全的重视以及整改力度。
总结:电力行业是国家重要的基础性行业,随着电力行业信息系统实用化水平的不断提高,电力信息系统安全严重性也日益凸显,电力信息安全的重要性已不言而喻。为解决新一代网络安全问题,国内外信息安全研究人员纷纷提出了一些安全体系加以应对,如“木桶理论”安全体系、“云+端+边界”安全体系、大数据安全体系等,这些安全体系的思想有一个共同点,即摒弃了过去单点化、孤立式的防护思想,取而代之的是立体化、全局式的智能防护和控制思想,而安全审计产品在立体化架构中又占有着不可或缺的地位。
安全审计产品能干什么?
市面上上安全审计产品繁多,而在国内针对工控环境的安全审计产品就超过了20多家,笔者建议从如下几个方面对安全审计产品进行筛选和测试:
1、网络审计功能
深度报文解析(必须包括工控的报文解析,例如:OPC Classic、Modbus TCP、DNP3、IEC 60870-104等);
关键事件检测:对工程师站组态变更、操控指令变更、PLC下装、负载变更等关键事件告警;
工控协议语法检查:对工控协议报文不符合其规约规定的格式进行检测并告警。该功能支持对某些IP的某个协议不进行检测;
异常通信行为检测:对当前工控协议通信行为与基线进行对比,对偏离基线的行为进行告警。例如:异常指令操作、新出现的设备(IP地址)、异常访问(网络连接)等告警;
正常通信行为建模:基于工控协议通信记录,自学习建立工控通信模型基线,即对正常通信行为建模。
2、审计策略设置
以策略的方式对用户的网络行为进行审计。策略可分为全局策略和针对一组审计对象的策略。安全审计产品必须具备高颗粒度的审计策略设置,为用户提供了多种定制化的选择,例如:针对时间段、IP地址范围、端口、协议、数据流向、文件传输、下装行为等。
3、工控协议分析
在工控环境下必须以协议级的审计维度来进行安全审计工作,包括主流的DL/T860 MMS协议、DL/T860 GOOSE协议、DL/T860 SNTP协议、DL/T634.5104协议、OPC DA/HAD/AE/DX、MODBUS TCP、 DNP3 1.0 、DNP3 2.O等,这个根据各个厂家的不同所支持的协议种类也不同,但主流协议不能差。
4、自身安全性
安全审计产品在帮助业主的同时更要有自身安全的保障措施,包括软硬件的设计安全、数据的安全、安装的安全、对网络整体影响的安全以及管理的安全等等。
都有谁来做安全审计产品?
市面上的安全审计产品主要分为两大类:工控安全审计产品和传统安全审计产品(又包含了有线审计和无线审计)。这两类产品也是整个信息安全行业的小缩影,传统安全审计产品与工控安全审计产品区别较大,主要问题集中在针对的客户群体,传统信安产品种类多而且功能较全,但由于各个厂家的技术能力不同、侧重点不同设计出的产品也各有特点。传统安全审计产品多为X86架构,设计之初考虑的主要以商业机房为中心,许多工业环境的特性并未考虑全面,并且多为远程升级模式,不能保证工控系统的网络纯净性,加密方式更多采用商用级的密码方式,易破解、易更换。功能方面也多以用户体验为主,并未考虑到工控系统的特征。而工控安全审计产品在功能设计之初就未涉及到很多商用化的功能,从功能多样性来讲并不能胜任商业中复杂的环境,但胜在稳定性强,多以工控环境为设计背景,从设计到研发到成品整个产品的生命周期中更是有许多行业中的从业人员进行了针对性的改进,所以工控安全审计产品在工控行业中的优势较大,在传统商业领域中的表现就不如人意。当然还有其他的差异,比如硬件设计、协议分析、升级方式等等,产品各有优劣,故在产品的选择上,笔者认为针对当前环境的选择才是最适合的产品。
相关资讯
关注我们