全民网络安全时代来临 工控安全渐入视野(附股)

　　编者按：随着对网络环境依赖程度日渐加深以及网络应用的复杂化，网络安全形势也随着社会和商业环境的变迁而不断变化，网络威胁从原有传统的病毒传播、DDoS等方式向更加综合、不容易发现的方式演进。

　　无论政府、掌握经济和国防命脉的金融机构和军事领域，还是一般的服务机构和制造型企业，直到个人用户，信息安全影响到我们所处世界的方方面面，关注安全已经成为社会生活中不可缺少的一环，全民的网络安全时代已经到来。

　　新的环境产生新的威胁

　　政府与国家经济利益息息相关的命脉机构一直以来都是网络攻击的“最爱”，也是黑客展现技术实力的最佳舞台，在所有行业中这两类机构作为网络安全攻击的比例最高。据统计，2012年对于政府和商业机构的安全攻击全球平均每天高达116件，相对于2011年同比增长42%，增幅惊人。被攻击的行业中，全球范围内金融保险房地产行业与政府部门分别为19%和12%，相加超过30%。制造类受到攻击的次数占比为24%，单一行业中占比最高，但考虑到行业的规模以及政府和金融等命脉机构在国家运行中的地位，后者仍然是网络安全防护形势最为严峻。

　　同时，攻击实施主体也从民间黑客和松散架构的团体转移到有组织、经过专业训练的商业组织和军事组织。攻击呈现出潜伏时间长、攻击方式多样、破坏程度巨大的特点，即APT攻击(Advanced Persistent Threat)。

　　APT通常潜伏阶段存在隐秘性强、持续时间长等特点；同时攻击步骤有充分的规划和研究，防范难度更甚于以往，传统的单一安全防护措施显得日渐苍白。

　　一般的商业机构所占地位虽不及政府及命脉机构，但是由于其构成数量众多、组成分散、客户直接渗透社会各个行业甚至到个人，因而备受网络安全威胁的困扰。

　　从被攻击的行业看，制造业首当其冲排名第一位，占比24%，非传统服务业的占比为17%，能源设施占比为10%，充分反映出网络威胁对于各个行业冲击的偏向性。制造业公司成为攻击目标的第一位，不仅由于其子行业分散、数目众多，同时反映出网络威胁逐步渗透到日常的生产环节领域。

　　从受到攻击的公司规模来看，中小型公司受到威胁的概率日益增高，占比迅速提升，成为网络攻击的新欢。不到2500人的公司受到攻击的数量占比50%，与超过2500人的大型公司受攻击情况不分伯仲。其中1到250人的小型公司占比为31%，在中小型公司中比例超过了一半，较2011年的18%上升了近三倍。相对于大型企业，限于自身发展规模和经济实力，中小公司在网络安全的投入以及基础均非常薄弱，受到的威胁更为明显，提升中小型公司的信息安全保障水平是亟待解决的问题。

　　在商业机构中，信息窃取活动与信息泄露行为成为重中之重。2012年共有9300万份身份信息遭到泄露，尽管总数相对于前一年下滑，但是每次侵入系统泄露身份信息的中位数却比2011年增长了3.5倍。这意味着虽然极端泄露情况发生的次数变少，但常态化的网络威胁日益加剧。

　　另外，工业控制安全也成为热点。传统的信息安全事件造成的后果是信息的窃取、经济利益的损失等虚拟化的损害，对于实际人身造成的威胁没有直接影响。而工控安全直接影响生产制造环节，无论对于操作员工还是对最终的客户，产生的危害极有可能直接影响人身安全。

　　随着智能终端的迅速普及以及移动互联网的高速发展，手机也成为了信息安全威胁又一大受害区。当前手机的作用不仅仅局限于传统的语音与短信服务，而扩展到网上浏览、在线媒体、移动支付等高附加值功能。借由移动高速网络已经越发丰富的程序应用，手机承载的私密信息越来越多，遭受的安全威胁也越来越大。同时由于手机还记录着大量的其他用户联系方式及记录，更为攻击范围的迅速扩大提供了条件。

　　据赛门铁克公司统计，2010年、2011年与2012年手机漏洞分别为163、315与415个，复合增长率近60%。在恶意软件方面，仅仅其种类即同比增长了58%，数量的增长情况更加惊人。在我国，国家互联网应急中心发布的安全态势综述显示，2012年移动互联网的恶意程序数量超过16万个，相较于2011年的增长25倍。 　　APT防御 构建“零信任网络”

　　随着厂商对安全威胁的理解深入与技术创新，防护和抵御手段不断涌现，催生了新网络安全环境下令人期待的产业。

　　网络安全攻击通常可植入后门程序或者控制漏洞，隐匿地获取被攻击方的信息和数据。APT攻击通常不仅仅为了短时间内攻破对方信息系统，而是长年累月的潜伏在对象系统直至完成收集或者破坏任务。由于APT攻击通过长达数年的观察、分析、监视至掌控，一旦获取到重要的情报信息或是需要完成破坏任务，那么将整个数据库全部转移甚至将被全部摧毁也是轻而易举，破坏程度之大甚于原来的所有攻击方式。

　　APT攻击中通常使用0day漏洞，即官方软件厂商或者网上尚未公开发布补丁的漏洞。由于其动机和目的的隐秘性，在公开环境中很难探寻到特定APT攻击的踪迹。另外攻击的方式具有战术思想，在发动多种混合攻击的同时善于将主要的攻击手段隐藏在内，传统的防御措施束手无策或者仅能识别防御其小部分的伪装攻击，而无法全局控制和抵御真正的威胁。

　　从目前的攻击方式及手段来看，主要通过最小网络授权、网络应用管理和网络审计监测三种方式进行抵御与防护。

　　最小网络授权源于安全领域顶尖咨询机构Forrester提出的“零信任网络”概念。其认为所有的流量都不可信，无论访问来自于何种位置，都必须遵守最严格的控制访问策略。作为隔断内部网络和外部网络第一道防线的防火墙是最基础的角色，通过限制网络互访来保护内网资源。传统的防火墙分为四种类型，包过滤、状态性协议监测、网络地址转换(NAT)以及虚拟私用网络接入(VPN)，主要适用于OSI模型中传输层与网络层的防护。而随着攻击技术的不断升级，传统的防火墙存在着无法检测加密Web流量、对于Web应用防护能力不足、深度检测扩展能力有限、遭遇攻击时有效流量无法通过等问题，日渐难以对应未来的复杂网络威胁环境。于是，下一代防火墙(NGFW)应运而生，其能够支持全面面向安全漏洞与威胁的特征码，动态启发性的探测攻击方式及手段，同时能够识别在应用和应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务部署网络安全政策，有效的弥补了传统安全设备在设备性能、访问控制、应用识别和内容安全等方面的缺陷，在未来相当长的阶段中能较为成功的承担起Forrester“零信任网络”模型中网络隔离网关的角色。

　　对于企业内部信息系统而言，网络应用的管理成为防御APT攻击的重要方式，相对应的安全防护产品应用防护系统(WAF)成为完善这一方式的有利手段。WAF是执行系列针对HTTP/HTTPS的安全策略专门为Web应用提供保护的一款产品，主要面向Web服务器。虽然与下一代防火墙同为在应用层层面的防护，但是两者的部署位置与防护对象均不同。从防护对象来说，NGFW的防护对象是网络中的外部应用，例如P2P下载、外部网页访问等，而WAF的防护对象主要是内部服务器，两款产品的保护对象、防护的威胁种类、安全需求均不同。其次，从部署位置来说，NGFW一般部署在整个网络的网关位置，而WAF部署在WEB服务器之前，二者的性能压力也完全不同。

　　在面对APT的混合攻击时以上防护方式可能也会存在百密一疏，或者更新的APT攻击手段超越了目前的业界已有的防护措施。细致、精确的网络审计监测系统则成为监测预警、过程记录、事后追溯的强有力手段。在为自身业务提供高效的网络运营平台同时，日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来潜在的威胁，如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问、网络文件共享等方式被篡改、泄露和窃取，都极有可能成为APT攻击者发现、利用并进行长期潜伏、日后破坏的手段。有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，成为防御APT攻击的重要方式和手段，网络安全审计系统成为必不可少的组件。 　　数据泄露防护 外忧易现内患常存

　　对于商业机构的攻击，通常采用集中一次的高破坏性攻击，使商业机构备受损失、声誉扫地，失去客户的信任。而传统的攻击方式通常为分布式拒绝服务(DDoS)等方式，将大量的计算机终端组成攻击平台，短时间高密度发动指定的攻击请求，使得内存较小、带宽不足或者处理速度不够的网站失去正常工作与服务的状态，形似崩溃。

　　这种方式短时间造成的影响较大，尤其是大型公司及门户网站的拒绝服务成为短期舆论的热点，但是对于长期来说影响甚微，攻击的商业性质甚微，所以对于商业机构的威胁已经逐步从DDoS转向了数据泄露，窃取用户的资料信息成为了攻击者的首选目标。

　　目前来看，对于互联网企业来说，如果发生了数据泄露的事件，不仅仅代表竞争对手和其余信息需求方能够以非常低的价格获取到公司积累的客户群，同时会造成客户对公司的不信任与技术水平的怀疑，客户群的流失亦显而易见，对公司造成致命打击。2014年3月22日携程网站被乌云漏洞平台指出用户的信用卡支付信息，如卡号和CVV2码等遭到了泄露，引起了用户的恐慌，信用卡的发卡行受到大量用户换卡的要求，携程自身的用户数量、信任程度受损也在所难免。

　　越来越多的数据泄露事件近期频频发生，影响范围以及社会关注程度均在不断提高。目前泄露的途径主要有三条：使用泄露、存储泄露和传输泄露。使用泄露是指员工或技术人员在日常工作中因为操作失误导致了技术数据的泄露或损坏，或者内部员工通过打印、剪切、复制、粘贴、重命名等操作泄漏数据；存储泄露是指数据中心、服务器、数据库被被随意下载、共享泄漏，员工通过U盘、移动硬盘等移动存储介质将公司内的核心机密资料转移，或者由于笔记本维修、盗窃或丢失等物理环节不可控因素导致了资料泄露；传输泄露是指公司内部员工通过Email、MSN等方式轻易的传输机密资料，或者网络黑客通过网络监听、拦截等方式篡改、伪造传输数据，导致数据外泄和损害。

　　三大安全威胁对应的三大防护主体也显而易见：终端设备，例如台式机、笔记本以及业务相关的各种可移动设备；网络设备，例如内部的传输网络、网关等；存储设备，例如文件服务器、NAS等设备。

　　在这三大防护主体中催生的网络安全方式亦各不相同。在终端数据安全方面主要是在软件层面的权限管理系统(DRM)，例如文档权限管理系统、安全外发系统、安全管理系统、硬盘加密系统、设备安全防护系统等软件服务，主要防止员工的误操作以及在权限方面的越权导致的关键数据的泄露。在网络数据安全方面需要采用软硬兼施的手段加以保护，软件方面需要例如使用邮件加密系统、应用准入安全系统、网络安全审计系统等，同时也需要硬件方面的配合，例如防火墙、入侵检测及防御系统、VPN设备等硬件来组织来自外部的侦测窃取同时完成来自可信源的权限授予和数据调取。另外，目前软件厂商的部分产品属于软网关产品，以软件的方式嵌入于现有的网关上达到安全防护的效果，成为纯安全软件与纯硬件的纽带，类似于跨界产品。在存储安全方面，则大部分需要通过硬件的方式加以保护，例如SAN加密存储设备、NAS加密存储设备以及加强加密和授权功能的安全U盘等移动存储设备，完成最核心部件的保护。如防御APT攻击情况一致，DLP防御工作也不仅仅是单一的硬件或者软件能够所达成，而是需要一套完善的体系与构架进行系统设计、部署、反馈与调整，使得整个商业组织的数据安全得以保障。从技术难度来说，DLP实现的难度与APT防御不属于同一层级，因此在完成DLP的过程中所使用的硬件及软件的功能及性能并不用达到保护政府及重要机构所使用的层级，这也与商业机构在信息安全上的投资与开支水平相一致。

　　对于商业公司而言，由于各级部门与子母公司体系的建立更加分散、复杂，安全管理的压力有增无减，内部产生的安全威胁通常高于来自外部的威胁。据统计，在所有的数据泄露事件中，由于内部造成的事故比例高达97%，远高于来自外部黑客的攻击及窃取，因此商业机构内部安全体系的建立、安全制度的建立、内部人员的培训工作都需要成为关注的重点，任意一块的缺失都将成DLP防护上的短板。 　　工控安全渐入视野

　　制造业细分行业众多、企业数量庞大，各个公司的管理水平及技术实力差别也大相径庭，安全防护难点和盲点均位列各个领域前茅。从2012年全球各个行业成为网络安全目标的份额来看，制造业占比为24%，位居各行业之首，成为安全威胁的“新宠”。

　　工业控制系统的使用范围不仅仅限于制造业，在矿产、公用事业、航空航天行业中的使用也相当广泛。据不完全统计，超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业，工业控制系统已是国家安全战略的重要组成部分。

　　随着企业内外网对接、信息系统与客户及供应商的联结、设备自动化的水平上升，企业的信息网络变得更加的开放与智能化。以智能精密机床为例，其系统的通讯方面已经配备了微机上才具备的USB接口与网线接口，未来的生产指令与调度程序将统一通过中央控制系统的方式加以推送，生产任务的建立、更换、取消也将更加智能。然而开放与智能带来的副作用就是安全威胁。有别于传统的安全威胁，如果工业控制成为了攻击的目标导致系统无法正常工作或损坏，那么将不仅仅限于虚拟化的信息层面，而直接影响人员的生命安全。事实上，国外此类事件的发生已经造成了严重的后果。

　　工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护。横向分层用来区分管理信息系统，每层系统有不同的信息系统管理需求，纵向分域用来分离各个不同的生产执行业务线，而区域分等级将根据资产与生产过程的核心等级逐级建立层层严格防护屏障，一旦产生了安全威胁能够将威胁控制在最小层面，防止其向其它层面扩散，最大程度上保证整体工业生产系统的安全与稳定。

　　通常横向分层分为计划管理层、制造执行层、工业控制层。计划管理层一般包括了以ERP为核心的管理信息系统。制造执行层处于工业控制层与计划管理层之间，主要负责生产管理和调度执行，通过制造执行层管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化，实现对工艺的过程监视与控制。工业控制层是直接面向生产的终端层，由自动化控制组件和实时数据采集、监测的过程控制组件共同构成，完成具体的加工作业、检测和操控作业、作业管理等功能。

　　根据业界专业观点，工控系统的三层横向分层中需要对层与层之间的数据交换和信息处理进行防护，催生了工控系统的两层防护体系。首先是计划管理层与制造执行层之间进行的防护，避免这两层系统通讯交换带来的威胁，具体表现形式为避免非授权访问和滥用、对操作失误篡改数据及抵赖行为的可控制、可追溯性、避免终端违规操作、及时发现非法入侵行为、过滤恶意代码。其次是制造执行层与工业控制层之间的安全防护，通过部署工业安全防火墙的方式能够避免从计划管理层未经授权的指令或者有害代码，完成区域隔离、通信管控、实时报警等重要功能。

　　相对于其他行业信息安全防护，工控安全防护在实时性、可靠性及安全性方面的需求等级更高，要求也更加严格。一旦发生了安全威胁，需要在最短的时间内进行发现、矫正或者停止作业，防止危害进一步向其他系统或者层级渗透，同时能够第一时间发出警报供安全管理人员和生产执行人员知晓，及时采取行动应对特殊事件。基于工控安全的特点，需要通过四类产品对此领域安全进行全面防护：网关类安全产品、异常检测类产品、安全管理类产品、日志审批类产，而这四类产品均需对于工业安全进行针对性的调整和优化才能保证整体的安全。

　　工控安全在设计及应用方面具有其特殊性，例如工业管理系统中通常不会采用TCP/IP或者IPX这样的常用协议，而采用系统间或者生产厂商自建的专门协议，这类协议的建立一方面是生产厂商对于自身商业利益产品闭环的考虑，另一方面是出于对安全的考虑。在传统协议上传播的安全威胁难以对专用协议产生影响，但随着威胁程度不断加剧，攻击水平不断提高，而专用协议由于没有被公开环境所熟识并加以监督完善而存在更多安全隐患，对于安全厂商的发现和控制难度进一步加剧。因此，网络监控除了在传统协议层面上推行，各种各样的专用协议也需要纳入分析管控的范围，并对其中的数据进行深入精确的判别。

　　同时由于工业控制将极有可能出现在极端情况下，温度、湿度的适应能力、电磁防护能力等在普通环境下极少检测的指标，在这一领域却会显得异常重要。这些要求对厂商的技术实力提出了新的挑战，也成为未来产品发展的方向所在。

　　此外，随着创意型企业和科技类的公司逐渐增多，BYOD概念未来几年或在国内生根发芽。

　　BYOD(Bring Your Own Device)即允许员工携带自己的设备进行办公，这些设备包括个人电脑、手机、平板等。在国外的商业环境中，许多高科技公司通常允许员工以这样的方式办公，企业在满足员工自身对于新科技和个性化追求的同时能够提高员工的工作效率，降低企业在移动终端上的成本和投入。

　　由于员工使用自带设备，设备与设备之间的差异度非常明显，设备本身硬件设计与操作系统的安全等级不尽相同，攻击方只需要从安全防护最弱的系统或者硬件中入手就可以掌握设备的信息从而达到入侵公司系统的初步条件。同时由于员工在自身的设备中会安装应用程序，其中含有恶意代码、病毒信息或获取不正当权限的情况就更有可能发生。相对于在公司内网中有防火墙的保护，设备在外部网络环境中遭受的侵袭概率明显增大。链路通讯方面的情况也会由于BYOD的实施变得更加复杂多样化，由于自带设备在公开网络中使用的情形会远多于固定场所中，那么网络状态也会呈现五花八门的状态，在对信息安全防护不够到位的场所和地区，Wi-Fi没有加密的保护，或者无线信号发射源本身含有恶意的代码或被侦听，这些情况都会对自有设备与公司的通讯安全造成威胁。

　　移动终端安全管理领域，国内厂商虽然起步较晚，但是市场需求和自身的努力下发展迅速，华为公司、东软集团、国信灵通、天畅信息等厂商均在此领域中谋得一席之地。随着未来BYOD概念在国内的不断壮大，国内企业对于终端安全防护国产化自主可控的诉求也将与日俱增，具备本土优势和技术实力的国内安全厂商将充分受益。(中国证券报) 责任编辑：风铃