隨著工業(yè)信息化進(jìn)程的深入，信息技術(shù)廣泛應(yīng)用于工業(yè)領(lǐng)域， 現(xiàn)有工業(yè)控制系統(tǒng)的軟硬件、通信協(xié)議等均存在信息安全隱患，并在一定程度上對(duì)國(guó)家和地區(qū)的關(guān)鍵信息基礎(chǔ)設(shè)施安全和重要基礎(chǔ)設(shè)施安全產(chǎn)生重大影響。

信息技術(shù)在工業(yè)領(lǐng)域的深度應(yīng)用，以及逐年增加的工控網(wǎng)絡(luò)安全事件，倒逼推動(dòng)工業(yè)控制網(wǎng)絡(luò)安全產(chǎn)業(yè)和創(chuàng)新技術(shù)的發(fā)展。工控網(wǎng)絡(luò)安全非同于IT安全。工業(yè)生產(chǎn)對(duì)于可靠性、實(shí)時(shí)性、穩(wěn)定性要求極為嚴(yán)苛。因此，如何在不影響工業(yè)正常生產(chǎn)的情況下，對(duì)工控系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)告警和精準(zhǔn)安全審計(jì)非常關(guān)鍵?？锒骶W(wǎng)絡(luò)監(jiān)測(cè)審計(jì)平臺(tái)正是這樣一款產(chǎn)品，它更大程度的滿足了工業(yè)企業(yè)對(duì)工控網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)和應(yīng)用需求。

工控網(wǎng)絡(luò)安全事件發(fā)生頻率遠(yuǎn)超想象

工控網(wǎng)絡(luò)安全真正進(jìn)入公眾視野并得到高度重視，始于2010年震網(wǎng)病毒奇襲伊朗核電站事件。其實(shí)，早在 1992 年 2 月，立陶宛 Inalina 核電站就曾遭遇核心控制系統(tǒng)網(wǎng)絡(luò)安全危機(jī)。該核電站計(jì)算機(jī)中心員工因?yàn)榘l(fā)泄對(duì)管理當(dāng)局不滿，在電廠控制程序內(nèi)植入惡意程序 ( 邏輯炸彈 )，使控制系統(tǒng)功能異常。從90年代初，全球范圍內(nèi)就已暴露出對(duì)于工控網(wǎng)絡(luò)安全重視和監(jiān)管問(wèn)題。尤其近年來(lái)，針對(duì)于工控網(wǎng)絡(luò)安全的攻擊事件發(fā)生頻率遠(yuǎn)超外界想象，工控企業(yè)面臨的安全威脅越發(fā)多樣化，遭受攻擊的程和力度也逐漸升級(jí)。

2016年8月，網(wǎng)絡(luò)安全界監(jiān)測(cè)到了Operation Ghoul（食尸鬼行動(dòng)）網(wǎng)絡(luò)攻擊，Operation Ghoul針對(duì)30多個(gè)國(guó)家的工業(yè)、制造業(yè)和工程管理機(jī)構(gòu)發(fā)起了定向滲透入侵。攻擊者通過(guò)偽裝阿聯(lián)酋國(guó)家銀行電郵，使用魚叉式釣魚郵件，對(duì)中東和其它國(guó)家的工控組織發(fā)起了定向網(wǎng)絡(luò)入侵。攻擊中使用鍵盤記錄程序HawkEye收集受害系統(tǒng)相關(guān)信息。

目前，網(wǎng)絡(luò)安全界發(fā)現(xiàn)全球130多個(gè)受攻擊目標(biāo)，其中大多為石化、海洋、軍事、航空航天、重型機(jī)械和軌道交通等行業(yè)，涉及西班牙、巴基斯坦、阿聯(lián)酋、印度、中國(guó)、埃及等國(guó)。攻擊使用的魚叉式郵件主要發(fā)送對(duì)象為目標(biāo)機(jī)構(gòu)的高級(jí)管理人員，如銷售和市場(chǎng)經(jīng)理、財(cái)務(wù)和行政經(jīng)理、采購(gòu)主管、工程師等。

事實(shí)上，能夠披露公布出來(lái)的工控網(wǎng)絡(luò)安全事件僅為冰山一角，工控網(wǎng)絡(luò)安全形勢(shì)遠(yuǎn)比所知所見(jiàn)更為嚴(yán)峻。

工控網(wǎng)絡(luò)安全迎全面爆發(fā)期

工業(yè)信息化已成大勢(shì)所趨，控制系統(tǒng)網(wǎng)絡(luò)安全是其重要組成部分。國(guó)家對(duì)于對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施安全和重要基礎(chǔ)設(shè)施安全的高度重視，推動(dòng)了工控網(wǎng)絡(luò)安全的產(chǎn)業(yè)化發(fā)展。從工信部2011年下發(fā)451號(hào)文件《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，明確規(guī)定加強(qiáng)重點(diǎn)領(lǐng)域工控信息系統(tǒng)安全管理措施；到2014年2月27日， 中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組宣告成立，標(biāo)志著網(wǎng)絡(luò)安全已被提升到國(guó)家戰(zhàn)略層面。2016年11月3日，工信部網(wǎng)站正式發(fā)布“工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信軟函〔2016〕338號(hào)），對(duì)工控信息安全做了標(biāo)準(zhǔn)化的技術(shù)要求。

受益于政策的支持，從事IIoT工業(yè)物聯(lián)網(wǎng)安全和工控網(wǎng)絡(luò)安全企業(yè)如雨后春筍般涌現(xiàn)。作為產(chǎn)業(yè)發(fā)展和技術(shù)創(chuàng)新的主體，這些網(wǎng)絡(luò)安全企業(yè)的涌現(xiàn)進(jìn)一步推動(dòng)了產(chǎn)業(yè)化發(fā)展，更大程度滿足工業(yè)企業(yè)對(duì)工控網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)和應(yīng)用需求。從工業(yè)企業(yè)層面，隨工業(yè)信息化發(fā)展所趨和企業(yè)轉(zhuǎn)型升級(jí)所需，工業(yè)企業(yè)的網(wǎng)絡(luò)安全意識(shí)提升，企業(yè)逐漸意識(shí)到工控網(wǎng)絡(luò)安全的重要性與必要性，對(duì)部署于工業(yè)現(xiàn)場(chǎng)的工控網(wǎng)絡(luò)安全產(chǎn)品需求相應(yīng)提高。

監(jiān)測(cè)審計(jì)是工控網(wǎng)絡(luò)安全的切入點(diǎn)，應(yīng)常態(tài)化

結(jié)合匡恩網(wǎng)絡(luò)近三年來(lái)的工程實(shí)施經(jīng)驗(yàn)，工控網(wǎng)絡(luò)安全防護(hù)的防御應(yīng)從結(jié)構(gòu)安全、本體安全、行為安全、基因安全加時(shí)間持續(xù)性五方面著手。在網(wǎng)絡(luò)安全生態(tài)閉環(huán)中，檢測(cè)評(píng)估是工控網(wǎng)絡(luò)安全的基礎(chǔ)，而實(shí)時(shí)監(jiān)測(cè)和實(shí)時(shí)告警及有效安全審計(jì)是工控網(wǎng)絡(luò)安全的切入點(diǎn)，應(yīng)成為工業(yè)企業(yè)工控網(wǎng)絡(luò)防護(hù)的常態(tài)化。

鑒于工業(yè)控制網(wǎng)絡(luò)的特殊性，有眾多和傳統(tǒng)信息安全不同的元素，如使用協(xié)議和應(yīng)用場(chǎng)景等，匡恩網(wǎng)絡(luò)針對(duì)工控網(wǎng)絡(luò)提出并研究出利于現(xiàn)場(chǎng)發(fā)現(xiàn)安全事件的產(chǎn)品——“K鷹”監(jiān)測(cè)審計(jì)平臺(tái)，是一款專門針對(duì)工業(yè)控制網(wǎng)絡(luò)設(shè)計(jì)的實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)告警、安全審計(jì)系統(tǒng)，通過(guò)特定的安全策略，快速識(shí)別出系統(tǒng)中存在的非法操作、異常事件、外部攻擊。“K鷹”監(jiān)測(cè)審計(jì)除了深度解析功能外，高度覆蓋絕大多數(shù)工控廠商的工業(yè)協(xié)議外，還能夠?qū)崟r(shí)給用戶展示當(dāng)前現(xiàn)場(chǎng)網(wǎng)絡(luò)及設(shè)備運(yùn)行狀況，對(duì)突發(fā)事件進(jìn)行實(shí)時(shí)告警和事件追溯提供證據(jù)，對(duì)遠(yuǎn)程了解現(xiàn)場(chǎng)生產(chǎn)情況尤為重要。

結(jié)合工業(yè)現(xiàn)場(chǎng)環(huán)境和工控特性，產(chǎn)品在技術(shù)和設(shè)計(jì)上的創(chuàng)新更符合工業(yè)網(wǎng)絡(luò)安全防護(hù)需求：

旁路監(jiān)測(cè)審計(jì)：旁路監(jiān)測(cè)審計(jì)不影響原有工業(yè)生產(chǎn)正常運(yùn)行；

避免增加威脅端口：部署于交換機(jī)鏡像端口，采用單向數(shù)據(jù)抓包方式，避免其他威脅因素；

無(wú)延時(shí)傳輸生產(chǎn)安全事件：0延時(shí)保證工控系統(tǒng)控制指令的實(shí)時(shí)性，及時(shí)發(fā)現(xiàn)現(xiàn)場(chǎng)安全問(wèn)題，保障客戶有效精準(zhǔn)生產(chǎn)。

避免增加故障點(diǎn)：不會(huì)因?yàn)樵黾恿税踩O(shè)備而增加故障點(diǎn)；

典型應(yīng)用場(chǎng)景如下：

用戶價(jià)值：

全網(wǎng)實(shí)時(shí)監(jiān)測(cè)，保障正常生產(chǎn)：對(duì)網(wǎng)絡(luò)數(shù)據(jù)、事件進(jìn)行實(shí)時(shí)監(jiān)測(cè)、實(shí)時(shí)警告，幫助用戶實(shí)時(shí)掌握工業(yè)控制網(wǎng)絡(luò)運(yùn)行狀況,，保障正常生產(chǎn)。

網(wǎng)絡(luò)安全審計(jì)，便于歷史追蹤：對(duì)網(wǎng)絡(luò)中存在的所有活動(dòng)提供行為審計(jì)、內(nèi)容審計(jì)、協(xié)議審計(jì)、流量審計(jì)，生成完整記錄便于事件追溯。

未知設(shè)備監(jiān)測(cè)，及時(shí)威脅發(fā)現(xiàn)：對(duì)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)內(nèi)未知的設(shè)備接入進(jìn)行實(shí)時(shí)告警，迅速發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中存在的非法接入。

防御策略建議，完善防御體系：根據(jù)監(jiān)測(cè)結(jié)果，提供防御策略建議，幫助用戶構(gòu)建適用的專屬工業(yè)控制網(wǎng)絡(luò)安全防御體系。

結(jié)語(yǔ)：

隨著工控網(wǎng)絡(luò)安全市場(chǎng)的發(fā)展，“K鷹”監(jiān)測(cè)審計(jì)平臺(tái)已衍生出更多滿足細(xì)分行業(yè)需求的產(chǎn)品?？锒骶W(wǎng)絡(luò)作為工控信息安全領(lǐng)域的領(lǐng)航者，將以持續(xù)不斷技術(shù)創(chuàng)新，打造豐富“K鷹”監(jiān)測(cè)審計(jì)平臺(tái)，使之成為工控網(wǎng)絡(luò)安全防護(hù)的標(biāo)配產(chǎn)品，以專業(yè)的服務(wù)贏得更為廣闊的市場(chǎng)。