安全419宣布启动《甲方安全建设精品采购指南》案例征集,面向金融、政府、工业、运营商、车联网、医疗、教育七大重点行业,并细化至诸如数据安全、安全运营、应用安全、身份安全、网络及端点安全等具体的应用场景,呈现对口的、经市场验证的一系列优质产品/系统/方案,解决甲方客户在数字化转型过程中采购安全产品及解决方案的选择困难。
为了方便甲方用户了解安全形势、明确需求,同时方便安全企业有针对性地进行报名,接下来我们将分别针对七大行业进行供需两端的市场及技术趋势分析。今天,我们走进工业行业。
工业行业主要面向能源管网、先进智能制造领域,因其作为关基单位和新质生产力的代表,在工业4.0和数字化转型升级的当今,面临越来越严峻的网络安全挑战。
由于缺乏安全设计导致一些工业控制系统普遍缺乏身份认证、授权加密等安全机制;为了生产便利,越来越多的智能传感器、设备、机器和应用系统与网络连接,导致网络边界模糊,缺乏必要的安全防护措施;不同厂家、不同时期的产品在技术标准和通信协议上的差异导致系统集成困难无法与新的安全设备兼容,同时还存在大量漏洞,甚至供应商提供的产品也可能存在隐藏的后门或被恶意篡改,更是大大增加了安全管理的难度,再加上一些工业主机“带洞”、“带病”运营,移动存储介质在生产环境和互联网环境随意使用等等,使得工业控制面对网络攻击时异常脆弱,并且缺乏必要的安全监测预警机制,无法实时监测网络运行状态、资产情况、异常行为和威胁入侵。
与此同时,攻击者的攻击手段日益多样化和复杂化,从简单的病毒木马攻击、到勒索软件攻击,高级持续性威胁(APT)攻击,从数据窃取、加密勒索到系统破坏、甚至对关键基础设施造成物理性损害,严重影响企业的生产经营。为适应新时期工业控制系统网络安全形势,2024年1月19日,工信部印发《工业控制系统网络安全防护指南》,进一步指导企业提升工控安全防护水平,夯实新型工业化发展安全根基。
安全管理
对于网络安全建设而言,摸清网络资产,做好网络空间资产管理是最基础且关键的一环,但也是最为复杂的一环,而对工业领域企业来讲就更难也更复杂,它不仅涉及到工业主机设备、工控设备、物联网设备,也包括网络设备、安全设备、各种软件系统等。以PLC、DCS和SCADA等典型工业控制系统相关设备、软件、数据等资产为例,不仅种类数量繁多,并且同一类设备还有不同厂家,不同技术协议规范,甚至还都有各自独特的管理需求和技术要求,同时工业控制系统通常要求高安全性和高可靠性,任何资产的故障都可能影响整个系统的运行,如何收集、识别这些资产信息,建立资产清单,并根据资产状态变化及时更新,做好配置运维管理,权限分配、日志审计就成为企业安全管理的一大难题。
检测防护
一方面工业控制系统对高实时性和可靠性的要求导致先天安全设计不足,缺乏必要的认证、授权、加密机制,另一方面工业生产的高持续性导致很多设备“带病”、“带洞”运行;生产环境的各种未经授权的电脑、移动存储介质的滥用,以及随着IT与OT的不断融合,让工业控制网络面临来自互联网的威胁,更是增加了后天安全风险。而与此同时攻击者通过不断变换攻击特征来规避传统安全设备的检测,这也使得传统的防火墙、入侵检测系统等防御措施难以有效应对。所以如何做好网络边界防护、细化访问控制、保障主机和终端安全以及定期的漏洞检测、配置核查系统升级等就成为了重中之重。
需要特别注意的是,因为工业企业生产不能停的因素,一旦被勒索软件攻击,企业往往只能支付赎金。例如,巴西的电力公司Light S.A曾被黑客勒索1400万美元的赎金,台积电被黑客病毒勒索造成2.25亿美元经济损失等等。在最新的《网络空间安全态势分析报告(2024)》中也曾明确指出,制造业是勒索攻击事件的重灾区。
安全运营
当前,尽管工业企业在安全管理、检测防护等环节也增加了网络安全的投入,但普遍在监测预警、应急处置、安全评估、漏洞管理等方面仍面临重大挑战。并且还存在网络安全意识不够、专业人员缺乏等问题。由于工业系统的高连续性,如何在不影响系统稳定运行的前提下,及时发现和预警系统漏洞、恶意软件、网络攻击、网络侵入等安全风险;如何实现安全设备的统一管理和策略配置,提升风险隐患排查能力;以及如何开展定期漏洞排查修复、安全风险评估、应急演练,提升事件快速响应和稳妥处理的能力等则成为日常安全运营的核心工作。
除此之外,在数据安全这块,由于工业云中存储的数据具有高敏感性,涉及企业知识产权和商业机密,一旦数据被窃取或破坏,将造成严重经济损失。同时,在工业互联网应用过程中也涉及大量数据的采集、传输、处理和储存,并且,上文也提到工业互联网设备普遍存在安全漏洞、缺陷和后门等风险问题,所以在数据防泄露、防篡改、防窃取以及数据容灾备份环节上也需要重点关注。
报名须知
通用方案的大包大揽并不意味着能力满级和覆盖全面,反而会造成选型迷茫和落地困难,拳拳到肉的产品/系统/方案,更能够体现出针对性和应用价值,促进了解和合作意愿达成。