专题·关基保护 | 关键信息基础设施领域工控主机安全防护技术研究与实践
2023-12-16 17:52:43 Author: mp.weixin.qq.com(查看原文) 阅读量:11 收藏

扫码订阅《中国信息安全》

邮发代号 2-786

征订热线:010-82341063

文 | 北京中科麒麟信息工程有限责任公司副总经理 张昊
关键信息基础设施是经济社会运行的神经中枢,是网络安全保障的重中之重。在关键信息基础设施领域中,很多行业都涉及工控系统和工控设施,例如能源、电力、轨道交通等。在这些行业的工业生产控制环节中,工控系统和工控设施的正常稳定运行关系到国计民生的方方面面,也关系到国家安全和社会稳定。习近平总书记强调:“要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。”当前,在工业生产控制设施网络化、信息化程度极高的情况下,随着针对关基领域工控设施的网络安全攻击行为越来越多,造成的危害和损失也越来越大。因此,要落实关键信息基础设施的防护责任和监管责任,建立完善的工控设施信息安全防护体系已是迫在眉睫。
关基领域的工控设施信息安全防护体系的建立,首先要知己知彼。一方面,从防御者的角度分析工控设施被攻击的主要路径发现:一是攻击者可能通过互联网找到目标网络中的薄弱节点设备,最终通过控制该薄弱节点设备入侵目标网络;二是攻击者在目标网络与互联网物理隔离的情况下,可能直接通过 USB 介质等外设物理入侵目标网络中的薄弱节点设备,以此作为攻击的跳板,从目标网络内部横向入侵并控制目标网络。由于工控设施大部分与互联网物理隔离,因此对工控设施的攻击主要采用第二种方式。
另一方面,从防御者的角度看工控设施安全防护。防护的重点主要集中在两个关键点:工控网络和工控主机设备。企业在工控网络边界建立的边界网络安全防护体系就像一座城墙将攻击者挡在外部。然而,如果工控网络内部的大量工控主机设备得不到有效的安全防护,网络安全防护体系就会变得非常脆弱。在防护体系内部,每一台工控主机设备都可能成为特洛伊木马,使得防护体系“城墙”内部被逐一攻破。因此,工控主机设备是工控设施安全防护体系的最后一道防线。
随着国家在产学研结合方面的大力推进,近几年,国内涌现出了不少专门针对工业控制领域的安全产品。例如工业防火墙、工控主机卫士、工控漏洞挖掘平台等等。这些产品大多基于传统 IT 产品在工业环境的适配和改进。其中,针对工控主机设备防护的工控主机卫士等软件解决方案所采用了白名单检测机制,通过进程白名单实现对恶意程序的防御。然而,该方案只能在使用标准操作系统的工程师站或操作员站上进行安装和部署,并且需要针对不同操作系统和工业应用程序进行逐一适配。在部署和使用过程中易造成生产停机事故,严重影响设备及内嵌工业控制软件系统的正常运行。因此,这种方案难以满足生产、控制及高端装备场景中工控主机信息安全防护的实际需求。
为解决工控主机安全防护的难题,中科麒麟在工控主机安全防护方面首创性地提出了通过外接硬件的解决方案。这一方案解决了现有软件安全产品无法适配所有工控主机硬件和操作系统的问题,可广泛应用于电力、石油、烟草、轨道交通以及航天、航空、船舶等多个领域的企业和国防高端装备领域。
中科麒麟在 2021 年推出了名为“中科麒麟盾”的工控主机安全防护产品,采用了外接式计算机接口安全防护技术路线。该产品具有以下特点:一是通过通用数据接口(USB 口、串口、网口等)与工控主机连接,能够兼容所有品牌的工控主机,并兼容跨平台的系统环境,实现了即插即用的功能,不占用工业系统资源,不影响工业系统的正常运行,同时还具备故障 BYPASS 功能。二是采用独创的硬件架构,能将未经过杀毒和安全审批的待导入数据与工控主机端物理隔离,对工控主机内部的数据导出实行安全审批授权机制,对外接鼠标、键盘、加密狗等非存储类 USB 设备的使用进行技术管控,从多个角度确保工业系统和生产数据的安全性。
“中科麒麟盾”工控主机安全防护产品突破的核心技术主要有四点:一是外接式工业病毒深度检测与查杀。独创的硬件隔离架构为工控主机导入数据的病毒检测和查杀提供了硬件基础。二是外接式工控主机数据接口全面管控功能。通过独创的数据接口硬件开关设计,可以安全接管工控主机设备的所有物理接口,包括 USB 口,串口和网口,并对数据接口的所有操作行为进行全面审计和授权操作。三是外接式介质管控与数据保护功能。通过独创的数据导入导出硬件模块设计,能够为数据的导入导出行为设置审批流程,确保所有进出数据均经过授权。四是外接式通信信道隔离功能。通过独创的 USB 接口多通道设计,从硬件架构上严格区分了 USB 存储介质通道和 USB 非存储介质通道,确保能够更细粒度地对工业现场使用的各类型 USB 设备进行全面的技术管控和审计。该产品开创性地实现了无需在工控主机上安装软件即可实现全面信息安全防护和操作行为审计的目标,填补了国际国内外接式工控主机信息安全防护技术方面的空白。该产品在 2020 年举办的第五届中国创新挑战赛上以实测比拼第一名的成绩获得了大赛优胜奖,并在 2021 年获得了北京市科委中关村管委会专项课题资金支持。
目前,国内各关键领域的工业控制系统在数字化和智能化的发展下,与不同信息系统之间的数据交互越来越频繁。随之而来的是工业控制系统中的工控主机设备面临着诸多信息安全隐患,可能导致严重的生产安全风险。这些问题应引起我们的重视,亟待在各方努力下,采取有效且可行的信息安全防护技术措施。对工控主机设备,尤其是关键信息基础设施中的工业控制系统,需要实施全面的安全防护,以确保安全生产,并真正落实好关键信息基础设施的防护责任和监管责任。

(本文刊登于《中国信息安全》杂志2023年第9期)

《中国安全信息》杂志倾力推荐

“企业成长计划”

点击下图 了解详情


文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664200080&idx=2&sn=8fe2ba19b283daaff84636dd0630aa33&chksm=8b597569bc2efc7f6e890045210b4c4249bb8ef4c660f49134f6fa0eff50ba679dcc4bc85d2d&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh