綠盟科技談如何構(gòu)建應(yīng)急體系，護(hù)航工業(yè)運(yùn)行安全

編輯語：2021 年9 月29 日，“第三屆工業(yè)信息安全應(yīng)急國際研討會”在京順利召開。會上，綠盟科技工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品部總監(jiān)王曉鵬從工業(yè)互聯(lián)網(wǎng)的安全情況切入，闡述了我國工業(yè)互聯(lián)網(wǎng)安全面臨嚴(yán)重威脅的狀況，并對工業(yè)互聯(lián)網(wǎng)的安全問題做了總結(jié)。同時(shí)詳細(xì)介紹了綠盟科技網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系架構(gòu)，對工業(yè)網(wǎng)絡(luò)安全應(yīng)急與IT 網(wǎng)絡(luò)安全應(yīng)急的區(qū)別做了闡述，最后對未來應(yīng)急響應(yīng)技術(shù)發(fā)展趨勢做了詳細(xì)分析。

編輯：煩請綠盟科技王曉鵬先生簡單闡述一下您認(rèn)為目前工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀如何。

綠盟科技王曉鵬：工業(yè)控制系統(tǒng)是自動化工業(yè)生產(chǎn)過程中的設(shè)備、系統(tǒng)和網(wǎng)絡(luò)的總稱。包括集散控制系統(tǒng)(DCS)、數(shù)據(jù)監(jiān)控與采集系統(tǒng)(SCADA)、安全主控制系統(tǒng)(SIS)、可編邏輯控制器(PLC)、工業(yè)網(wǎng)絡(luò)設(shè)備及相關(guān)軟件系統(tǒng)等。隨著工業(yè)4.0、信息物理融合系統(tǒng)等概念和技術(shù)的興起，工業(yè)控制系統(tǒng)被廣泛應(yīng)用于電力、石化、交通等行業(yè)，并朝著數(shù)字化、網(wǎng)絡(luò)化、智能化的方向發(fā)展。隨著“中國制造2025”戰(zhàn)略的提出，傳統(tǒng)物理隔離工控網(wǎng)絡(luò)融合了IT 網(wǎng)絡(luò)領(lǐng)域的操作系統(tǒng)、通信協(xié)議等技術(shù)，導(dǎo)致工控網(wǎng)絡(luò)面臨巨大的安全威脅。

近年來，工業(yè)互聯(lián)網(wǎng)發(fā)生了許多重大安全事件，2015 年，烏克蘭的電力工業(yè)遭受到BlackEnergy 惡意軟件的攻擊，導(dǎo)致伊萬諾—弗蘭科夫斯克地區(qū)大面積停電；2018 年，某石油公司采油廠感染一款名為Lucky 的勒索病毒，業(yè)務(wù)系統(tǒng)受到感染，生產(chǎn)受到影響。2021 年伊始，針對工業(yè)企業(yè)的攻擊更加頻繁。2021 年2 月8 日，佛羅里達(dá)州奧爾德斯馬的一家水處理廠被黑客入侵，堿液量增加到危險(xiǎn)水平。2021 年5 月，美國最大的燃油管道運(yùn)營商Colonial Pipeline 因受到勒索軟件攻擊被迫關(guān)閉。中國工業(yè)互聯(lián)網(wǎng)的安全威脅更為嚴(yán)重，因此，尋求解決這些安全問題的方法至關(guān)重要。

因此，在本文中，我們對工業(yè)互聯(lián)網(wǎng)的安全問題做了總結(jié)，并提出了工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的構(gòu)建思路，以及工業(yè)網(wǎng)絡(luò)安全應(yīng)急發(fā)展趨勢。

編輯：請您結(jié)合工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀，聊一下如何在工業(yè)互聯(lián)網(wǎng)中建立安全性。

綠盟科技王曉鵬：為了在工業(yè)互聯(lián)網(wǎng)中建立安全性，首先要深刻理解當(dāng)前傳統(tǒng)互聯(lián)網(wǎng)的安全缺陷和弱點(diǎn)。這使我們能夠在工業(yè)互聯(lián)網(wǎng)中部署類似設(shè)備之前糾正眾所周知的安全缺陷。但是，并非所有現(xiàn)有的網(wǎng)絡(luò)安全措施都延續(xù)到工業(yè)領(lǐng)域。這主要是由于使用和部署的差異，以及消費(fèi)者和工業(yè)鄰域面臨的不同安全威脅。

工業(yè)互聯(lián)網(wǎng)發(fā)展帶來的安全問題主要表現(xiàn)在三個(gè)方面：一是業(yè)務(wù)層面，安全策略缺乏與業(yè)務(wù)結(jié)合導(dǎo)致，安全防護(hù)不能起到足夠的防護(hù)作用，APT 等攻擊行為容易突破安全防線。安全處置過程缺乏與業(yè)務(wù)的關(guān)聯(lián)，在一些強(qiáng)業(yè)務(wù)相關(guān)環(huán)境中存在業(yè)務(wù)中斷的風(fēng)險(xiǎn)。二是網(wǎng)絡(luò)層面，融合網(wǎng)絡(luò)的發(fā)展，在大量業(yè)務(wù)聯(lián)通后，導(dǎo)致網(wǎng)絡(luò)邊界模糊，通信流量的復(fù)雜導(dǎo)致了安全隱患的加劇。網(wǎng)絡(luò)安全的分析中缺乏對于不同工業(yè)系統(tǒng)尤其是運(yùn)行中系統(tǒng)的影響性分析。三是運(yùn)行層面，運(yùn)維過程中缺乏可以適配于工業(yè)應(yīng)用屬性的安全設(shè)備，無法做到安全運(yùn)維、網(wǎng)絡(luò)運(yùn)維和安全相關(guān)性的分析和處理。應(yīng)急處置手段不足，導(dǎo)致問題提出現(xiàn)后無法第一時(shí)間進(jìn)行有效處置?；跇I(yè)務(wù)運(yùn)行屬性的安全管理依然缺乏，設(shè)備管理不等于業(yè)務(wù)運(yùn)行安全管理，需要關(guān)注業(yè)務(wù)運(yùn)行中的安全。

編輯：請您結(jié)合您的演講內(nèi)容，談一下如何建立工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系。

綠盟科技王曉鵬：網(wǎng)絡(luò)安全的重要性是不言而喻的，當(dāng)今社會的信息網(wǎng)絡(luò)安全已是影響國家安全的一個(gè)高權(quán)重因素。雖然保護(hù)網(wǎng)絡(luò)安全的技術(shù)迅速發(fā)展，但實(shí)踐證明，現(xiàn)實(shí)中再昂貴的安全保護(hù)也無法發(fā)現(xiàn)和抵御所有的威脅。因此，完善的網(wǎng)絡(luò)安全體系要求在保護(hù)體系之外必須建立應(yīng)急響應(yīng)體系。將工業(yè)控制系統(tǒng)直接暴露在互聯(lián)網(wǎng)上存在較大的安全隱患，但由于業(yè)務(wù)需求，仍有很多此類設(shè)備和系統(tǒng)直接暴露在互聯(lián)網(wǎng)上，這存在很大的安全隱患。當(dāng)工業(yè)系統(tǒng)接入互聯(lián)網(wǎng)后，建立工業(yè)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系也就尤為必要了。

在介紹應(yīng)急響應(yīng)體系前，首先，我們需明確工業(yè)網(wǎng)絡(luò)安全應(yīng)急與IT 網(wǎng)絡(luò)安全應(yīng)急的區(qū)別。兩者的主要區(qū)別，我們總結(jié)了四點(diǎn)。一是事件影響不同，IT 安全事件涉及數(shù)據(jù)丟失、系統(tǒng)不可用、業(yè)務(wù)中斷等情況。一般情況不會涉及物理、人身和環(huán)境資源的影響。工業(yè)安全事件涉及數(shù)據(jù)丟失、系統(tǒng)不可用、業(yè)務(wù)中斷等情況。一般情況不會涉及物理、人身和環(huán)境資源的影響。二是業(yè)務(wù)風(fēng)險(xiǎn)不同，IT 的應(yīng)急過程以恢復(fù)業(yè)務(wù)運(yùn)行為主，不關(guān)注當(dāng)前物理和環(huán)境資源的前提限定或者后續(xù)的影響。工業(yè)應(yīng)急涉及網(wǎng)絡(luò)、控制設(shè)備、主機(jī)、儀表等資產(chǎn)，操作應(yīng)急所帶來的風(fēng)險(xiǎn)在沒有業(yè)務(wù)運(yùn)行感知的情況下有一定的風(fēng)險(xiǎn)。三是基礎(chǔ)資源不同，IT 的數(shù)據(jù)和備份措施比較完善，恢復(fù)相對較快。OT 環(huán)境中冗余和備份措施相對較差，恢復(fù)過程相對較長。四是處置的手段不同，IT 的處置手段比較成熟，處理過程比較直接和迅速。OT需要看業(yè)務(wù)的運(yùn)行階段，評估對業(yè)務(wù)的影響后采用合適的手段進(jìn)行處置。

因此，對于工業(yè)系統(tǒng)的安全風(fēng)險(xiǎn)評估就需要考慮更多因素，除了IT 網(wǎng)絡(luò)的風(fēng)險(xiǎn)外，還包括人員因素，人員的安全意識與安全能力；管理因素，涵蓋人員管理、生產(chǎn)管理、數(shù)據(jù)管理、運(yùn)維管理等；供應(yīng)鏈因素，元件/設(shè)備引入安全風(fēng)險(xiǎn)；邊界因素，不同區(qū)域的風(fēng)險(xiǎn)管理；工藝因素，對工藝的可靠性要求；環(huán)境因素，設(shè)備/系統(tǒng)針對不同環(huán)境的適應(yīng)能力；以及設(shè)備老化、異常運(yùn)行等等因素。

下面我們說明下網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系。網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)急響應(yīng)（Cyber Security Emergency Response System）是指在突發(fā)重大網(wǎng)絡(luò)安全事件后對包括計(jì)算機(jī)運(yùn)行在內(nèi)的業(yè)務(wù)運(yùn)行進(jìn)行維持或恢復(fù)的各種技術(shù)和管理策略與規(guī)程。

網(wǎng)絡(luò)應(yīng)急響應(yīng)的活動應(yīng)該主要包括兩個(gè)方面：

（1）未雨綢繆，即在事件發(fā)生前先做好準(zhǔn)備，比如風(fēng)險(xiǎn)評估、制定安全計(jì)劃、安全意識的培訓(xùn)，以發(fā)布安全通告的方式進(jìn)行預(yù)警，以及各種防范措施；

（2）亡羊補(bǔ)牢，即在事件發(fā)生后采取的措施，其目的在于把事件造成的損失降到最低。這些行動措施可能來自人，也可能來自系統(tǒng)，比如事件發(fā)生后，系統(tǒng)備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統(tǒng)恢復(fù)、調(diào)查與追蹤、入侵者取證等一系列操作。

以上兩個(gè)方面的工作是相互補(bǔ)充的。首先，事前的計(jì)劃和準(zhǔn)備為事件發(fā)生后的響應(yīng)動作提供了指導(dǎo)框架，否則，響應(yīng)動作將陷入混亂，可能造成比事件本身更大的損失；其次，事后的響應(yīng)可能發(fā)現(xiàn)事前計(jì)劃的不足，從而吸取教訓(xùn)，進(jìn)一步完善安全計(jì)劃。因此，這兩個(gè)方面應(yīng)該形成一種正反饋的機(jī)制，逐步強(qiáng)化組織的安全防范體系。

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)體系的管理是一個(gè)周而復(fù)始、持續(xù)改進(jìn)的過程，大致包含以下三個(gè)階段。

（1）網(wǎng)絡(luò)安全應(yīng)急響應(yīng)需求分析和應(yīng)急響應(yīng)策略的確定。

（2）編制網(wǎng)絡(luò)安全應(yīng)急響應(yīng)計(jì)劃文檔。

（3）應(yīng)急響應(yīng)計(jì)劃的測試、培訓(xùn)、演練和維護(hù)。

從管理角度看，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的管理可分為事件報(bào)告、事件評估、應(yīng)急啟動、應(yīng)急處置、后期處置，如上圖所示。

編輯：那請問，您認(rèn)為工業(yè)網(wǎng)絡(luò)安全應(yīng)急發(fā)展趨勢是怎樣的？

綠盟科技王曉鵬：不論是企業(yè)還是機(jī)構(gòu)，未來將面臨的一個(gè)重要網(wǎng)絡(luò)安全問題是，企業(yè)內(nèi)網(wǎng)絡(luò)安全的防護(hù)不再是孤立的，而是和整個(gè)互聯(lián)網(wǎng)安全狀況和突發(fā)網(wǎng)絡(luò)安全事件緊密聯(lián)合起來。例如，對企業(yè)而言，雖然內(nèi)網(wǎng)的數(shù)據(jù)不允許向外流出，但一旦某類黑客攻擊發(fā)生在同類型企業(yè)或者使用相同信息系統(tǒng)架構(gòu)的企業(yè)或組織，那么該企業(yè)將很有可能面臨被攻擊。

威脅情報(bào)的概念也是基于上述情況而提出。因此出現(xiàn)較晚，業(yè)界對威脅情報(bào)概念的理解各不相同。例如，有人認(rèn)為“樣本庫”可稱為情報(bào)，也有人認(rèn)為“黑名單”是情報(bào)，而一些公開資料中提到的網(wǎng)絡(luò)安全信息共享也被認(rèn)為是威脅情報(bào)的早期版本。

國際上也有網(wǎng)絡(luò)安全研究機(jī)構(gòu)給出“威脅情報(bào)”的專業(yè)定義（如 Gartner）。國內(nèi)也有學(xué)者提出了威脅情報(bào)的六大要素（采集、關(guān)聯(lián)、歸類、整合、行動、分享）和4 個(gè)階段（廣覆蓋收集有效信息、分析處理與生產(chǎn)、行動實(shí)施、生態(tài)圈分享）。

對威脅情報(bào)的理解：依賴證據(jù)知識，包含情境、機(jī)制、影響和應(yīng)對建議，威脅情報(bào)可以第一時(shí)間診斷出存在或者正在顯露的威脅或危害資產(chǎn)的行為。威脅情報(bào)的目的就是實(shí)現(xiàn)“早、快、準(zhǔn)、全”的安全隱患監(jiān)測和警報(bào)。

如果企業(yè)能及早了解熟悉上述威脅情報(bào)信息，就可以為有效防范和采取應(yīng)急措施贏得時(shí)間。而企業(yè)面對網(wǎng)絡(luò)黑客攻擊特別是一些嚴(yán)重的計(jì)算機(jī)犯罪行為，如能提前預(yù)知、提前響應(yīng)，則可能避免系統(tǒng)崩潰、業(yè)務(wù)崩潰、高價(jià)值數(shù)據(jù)丟失等“滅頂之災(zāi)”。

根據(jù)當(dāng)前工業(yè)網(wǎng)絡(luò)安全業(yè)界的實(shí)踐狀況，綠盟科技已經(jīng)形成了一套覆蓋工業(yè)設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用（監(jiān)控平臺、管理平臺）、數(shù)據(jù)等多個(gè)層級安全防護(hù)的安全設(shè)計(jì)原則集和解決方案集。其研制的安全協(xié)同一體化的工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺，在大數(shù)據(jù)框架的基礎(chǔ)上為工業(yè)環(huán)境提供安全監(jiān)控及響應(yīng)的安全運(yùn)營中心。通過深度工控資產(chǎn)自動探測技術(shù)、分布式漏洞探測技術(shù)、多類型工業(yè)控制協(xié)議識別技術(shù)、異常流量監(jiān)測技術(shù)，實(shí)現(xiàn)工業(yè)設(shè)備安全態(tài)勢信息自動采集、識別工控設(shè)備的漏洞與潛在威脅的能力。通過大數(shù)據(jù)建模分析技術(shù)與基于多源數(shù)據(jù)的工業(yè)安全態(tài)勢知識圖譜構(gòu)建技術(shù)，并結(jié)合中國國家信息安全漏洞庫及工控漏洞庫，進(jìn)行安全威脅評估、態(tài)勢感知，預(yù)測預(yù)防設(shè)備潛在風(fēng)險(xiǎn)的發(fā)生。下圖是綠盟科技針對工業(yè)場景的整體解決方案。

總體上看，威脅情報(bào)將會對未來國家、機(jī)構(gòu)、企業(yè)的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)產(chǎn)生顯著影響，威脅情報(bào)也代表了網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)與實(shí)踐的方向和發(fā)展趨勢。隨著業(yè)界和機(jī)構(gòu)、企業(yè)用戶對威脅情報(bào)的認(rèn)識和實(shí)踐的理解不斷加深，威脅情報(bào)理念對網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)與實(shí)踐的進(jìn)一步完善和成熟將產(chǎn)生更大的促進(jìn)作用。

編輯結(jié)語：本次采訪，綠盟科技工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品部總監(jiān)王曉鵬首先對工業(yè)控制系統(tǒng)的安全狀態(tài)進(jìn)行了分析，通過對安全事件的案例分析發(fā)現(xiàn)，網(wǎng)絡(luò)安全事件所造成的損失嚴(yán)重，工控系統(tǒng)安全形勢不容樂觀。根據(jù)當(dāng)前工業(yè)網(wǎng)絡(luò)安全業(yè)界的實(shí)踐狀況，綠盟科技已經(jīng)形成了一套覆蓋工業(yè)設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用（監(jiān)控平臺、管理平臺）、數(shù)據(jù)等多個(gè)層級安全防護(hù)的安全設(shè)計(jì)原則集和解決方案集。綠盟科技提出的安全應(yīng)急體系架構(gòu)設(shè)計(jì)的思路，將更有效的幫助工業(yè)企業(yè)完善應(yīng)急響應(yīng)體系建立，為我國工業(yè)互聯(lián)網(wǎng)安全建設(shè)添磚加瓦。