珞安科技魏超凡:智能制造需要安全把关|WISE2022新风向大会-大湾区专精特新趋势论坛
编辑丨 郭妍 江倩君
6月17日,“WISE2022新风向大会-大湾区专精特新趋势论坛” 在广州举行。作为2022年首场线下WISE系列活动,承载着探风口、引动向、看趋势的重要意义, 今年“WISE新风向大会” 将目光锁定在“专精特新” 。“专精特新”概念自2011年首次提出,2022年被写进政府工作报告,十年间,从概念提出到形成政策体系,扶持力度不断加码。
作为我国专精特新企业培育数量最多、发展质量最高的地区之一,粤港澳大湾区强大的制造业基础和浓厚的创新创业氛围,成为专精特新“小巨人”起飞的理想之地。
在“专精特新”风口渐起之际,本次论坛邀请政府、企业与投资机构三大经济力量,聚焦大湾区“专精特新”发展趋势、新机遇&新市场&新消费、智造与效率三大风口议题,深度剖析专精特新机遇,助力大湾区加速发展。
珞安科技解决方案部技术经理魏超凡以 “关于智能制造安全运维的思考” 为主题,分析了在工业互联网时代制造业可能会面临的安全威胁与风险。魏超凡认为,工业生产系统的安全架构可能从规划设计到部署实施都存在全方位问题。要解决这样的安全问题,就需要建立一个成熟的工控安全运营体系。
以下是魏超凡的演讲实录(有删减),经36氪整理编辑:
我是北京珞安科技有限公司(下称:珞安科技)魏超凡,非常荣幸能够参加本次大会,我分享的内容是关于智能制造安全运维的思考。
魏超凡“WISE2022新风向大会”演讲 (图源:现场拍摄)
首先提到智能制造,我们就会聊到一个话题,工业体系的变革,即世界科学技术文明发展的阶段。工业1.0的时候是 蒸汽时代 ,由机器替代部分人工生产,由此进入蒸汽时代;工业2.0是 电气时代 ,由电力产生电能,替代原油的能源燃烧,最后驱动机器去工作,最后进入一个电气时代;工业3.0是 信息化时代 ,在人们生活方方面面和工作当中都应用到了计算机网络技术,由此进入到信息化时代;与此同时,伴随着工业控制系统的出现,信息化开始进入到工业领域,这也就是工业4.0,即 工业互联网的时代 。
在信息化进入工业互联网之后会有以下几个比较显著的特性:第一, 流程电子化 。通过计算机就可以实现电子化的核算,实现办公自动化、无纸化办公;第二,可以通过一些软件系统,类似ERP、OA、仓储物流管理等系统实现 企业数字化管理 ;第三,实现 企业生产自动化 。通过一些生产的控制系统、SCADA系统,还有一些分散控制系统、制造执行系统和MES系统,可以实现整个系统生产制造的决策和执行以及数据的采集和分析;第四,实现 企业运行网络化 ,可以通过电子商务的模式实现产品的经销,例如利用物联网技术可以实现人与物之间的通讯;第五,可以通过工业大数据、人工智能、无人驾驶等技术手段实现 企业运营智能化 。
随着新技术的不断应用,企业的工业控制系统所带来的特点就是走向开放和互联互通。 普度模型就是智能制造领域的一个典型的网络架构,从外部的互联网再到企业的资源管理层,再到下面的监控层和控制层、设备层,它们之间是有着相互的链接和数据上的交互。
在工业互联网和两化融合、智能制造的大环境趋势下,工业控制系统不可避免会遭遇到一些严重的网络威胁 ,我们通过这些安全风险可以总结和分析它所面临的风险问题,基本上会存在以下两方面: 一方面是新型病毒攻击 ,特别是勒索病毒,对工业控制系统造成的影响会非常巨大,这样的安全事件每年都在不断地发生。在今年6月份的时候,制造业巨头富士康公司下属的一家生产工厂遭受到了勒索病毒攻击,黑客组织要求企业支付较大的赎金,否则会 泄露企业的生产数据,这些安全事件对企业的生产效率会有非常大的影响。
另一方面,我们企业工控自身系统的脆弱性问题也非常明显 ,工业控制系统在建设和设计之初往往没有考虑安全性,而是更多去考虑可用性,这就导致工业系统控制自身的脆弱性问题是与生俱来的。
从攻击协议的角度上分析,来自S7 Commn和Modbus协议,两种主流协议所面临攻击的频率是最高的。这也就说明,不管是我们企业采用的工控设备的品牌是否为大品牌,都不可避免会受到一些安全威胁和攻击。这就是说, 设备自身存在的漏洞和缺陷是相当明显的。
下面我们可以就以往的安全事件来探讨一下。 以伊朗震网病毒事件为例 ,我们反思和总结存在的网络安全问题,主要有以下几个方面: 第一方面是移动介质滥用问题 。一些非授权、非认证、非安全的一些移动介质可能会接入到工业控制系统中,没有相应的安全手段或者是技术措施对它进行一个告警或者是阻断; 第二方面是内网安全监测往往缺乏有效的异常流量监测手段 ,或者针对一些新型的APT攻击无法做到入侵检测。
第三方面是主机安全问题 ,缺乏主机安全软件来进行保护,往往处于一个裸机运行的状态或采用了一些传统意义上的黑名单杀毒软件,类似360或电脑管家这一类的软件产品,但是它们往往有一个比较明显的缺陷,病毒库如果不及时更新容易产生误杀或者是错杀,就会导致主机一有漏洞就会被攻击; 最后一方面是用户自身的问题 ,现场的生产人员、运维人员和管理人员缺乏相应的安全意识和安全技术能力,对现场遇到的一些安全风险问题没有及时预警,出现安全事件也没有及时制止或提出相应的应急措施。
总而言之, 工业生产系统的安全架构可能从规划设计到部署实施都存在全方位问题 。那么,我们如何去解决这样的安全问题呢?
保障企业的高效生产,需要建立一个工控安全运营体系和框架。 整个运营体系框架需要在 法律法规政策 ,还有 标准规范的引导 之下,要符合《中华人民共和国网络安全法》等相关法律法规,其次要达到某一种安全建设的标准,还要满足一些 工业控制系统安全防护指南 的标准。在此基础上要对保护对象,例如工业数据、工业应用、工业服务、基础设施、边缘计算设施等来做一个重点保护,同时依据 工控安全防护成熟度模型和工控安全管理成熟度模型 来实现整体安全运营能力的提升。
基于以上的安全能力,我们可以做到运营的管理、运营的支撑、运营的服务、运营的监督等相关的工作内容。
具体实施整个安全运营流程时,我们则需要针对业务场景会面临的安全风险问题,通过 技术手段和管理手段 协调人员和流程,配合针对性的技术来为保护对象提供安全的防护,同时结合一些 攻防实战演练、专项案例设计、持续的运行管理管控以及应急响应 等工作,最后的目标就是提升整体安全防护能力,有效地抵御可能面临的安全风险问题,形成一个整体的闭环管理。
下面是我们珞安科技针对客户现场遇到的安全风险可以提供的一些安全能力。
首先是安全的监测能力。 安全监测能力是指对业务系统现场的流量数据进行监测和采集。整个数据包括现场的资产数据、数量数据、日志信息、安全事件、安全配置信息以及一些业务操作行为信息。具体衡量的标准就是 要实现资产的可视化管理 ,特别是针对现场的设备要知道它的在线状态、配置信息和脆弱性问题,其次针对资产可以对它的漏洞进行识别和扫描,知道漏洞的风险详情和风险等级。
第二是安全检测能力 ,首先是要针对现场应用系统出现的一些设备例如网络设备和安全设备,还有工控主机、操作系统、服务器等实现入网资产识别和工控指令审计,包括组态软件的变更;然后是 进行安全威胁检测 ,要提供工控威胁特征库,实现整体对未知、已知威胁的检测;最后是漏洞风险管控,即 针对扫描的风险做可视化的展示管理 ,给用户提供相关的建议。
第三是安全分析能力 ,我们会为客户从资产、事件、威胁、时间、空间、业务行为等多个维度进行关联分析,同时基于大数据分析、采集工业中产生的安全数据和非安全数据、日志信息和流量信息,对终端资产信息进行关联分析, 出现安全事件后还可以进行溯原和取证 。
第四是安全预警能力 ,这一方面是指基于业务系统,针对安全现状和趋势做出研判的能力,具体包括 安全预警的定位能力、安全预警的识别能力和安全预警的展示能力 。首先,我们可以定位到系统安全事件的影响范围、影响程度;其次我们可以识别是哪一种设备,是工控设备、网络设备或是安全设备;再进一步还可以识别出是否为工控特有的协议,例如Modubs、S7、IEC,或是其他常规的传统协议;最后我们会对识别的对象进行精准解析,针对某个品牌、某个型号的资产进行检测。
第五是安全评估能力 ,我们会针对业务系统做一个定期的检查和评估, 要对资产脆弱性、安全策略进行评估 ,要依据安全的标准和基线进行检测,之后会进行行为评估,往往是对操作系统的操作行为做一个检测,也会对包含恶意代码的知识库进行检测和告警。
第六是安全决策能力 ,要基于业务系统当中出现的安全事件呈现自动化的处理机制,我们往往会基于已有的监测的数据、资产数据、日志数据同风险知识库和风险模型来做一个匹配,最后反馈给安全决策树,形成相应的决策。我们也在不断地完善 风险知识库和风险模型 。
第七是安全处置能力 ,就是要在主动安全防护策略之下,将安全监测、人员调度等通过一些通讯端口与现有的系统进行交互,实现 安全响应的自动化 。要提高安全的处置能力,就需要不断地完善安全演练的剧本,同时提高对安全事件的验证能力。
第八是基于安全的运营管理 ,第一层是要建立相应的 安全运营的管理机构和运营的管理制度 ,同时要确立安全运营的领导小组和主管,实现相关事件的决策和监督管理,最后下辖一些相关业务专员负责整体事件的执行。第二层是需要建设一个关于 安全运营管理制度的总体的方针和策略和具体落实的制度与管理办法 ,用来规范安全运营管理的工作。第三层就是要有 具体的流程和实施的细则 ,用来支撑第二层的管理办法有效的实施。最后要对整个实施和细则进行记录,要 有相应的表单记录安全运营的活动 ,阐明所需的结果并且提供相关的证据。
我的演讲到这里就结束,谢谢大家!
36氪广东——在广东观察世界,在湾区链接全球。
36氪广东作为广东地区领先的新商业媒体,以大湾区为核心,为各位创业者、投资人以及科技、财经、新经济领域从业者提供最前沿的深度商业报道,搭建最畅通的产业对接通道,让一部分人先看到未来。
如果你希望得到36氪广东的报道,或转载相关文章,请将你的需求和BP发送至指定邮箱:guangdong@36kr.com。如果你希望转载公众号文章,或进入社群(备注:社群),请联系小编微信。我们将在24小时内回复。
小编微信ID:gd36kr001 微信公众号ID:gd36kr 官方微博:@36氪广东 抖音:湾区会氪
