工控行業需要安全審計產品嗎？天地和興用經驗來解答

安全審計產品是對網路或指定系統的使用狀態進行跟蹤記錄和綜合梳理的工具，主要分為用戶自主保護 、系統審計保護兩種 。網路安全審計能夠對網路進行動態實時監控，可通過尋找入侵和違規行為，記錄網路上發生的一切，為用戶提供取證手段。網路安全審計不但能夠監視和控制來自外部的入侵，還能夠監視來自內部人員的違規和破壞行動。在當前工控環境中，經常會遇到一個現象，我有了基本的防護產品，有了隔離的「安全區域」，為什麼還要部署安全審計產品？下文將會帶領大家來看看安全審計的前生今世：

安全審計產品是什麼？

安全審計產品的最早出現是在2005年11月23日經公安部部長辦公會議通過-自2006年3月1日起施行《互聯網安全保護技術措施規定》也就是我們俗稱的《中華人民共和國公安部令 第82號》之後，自此大部分信息安全廠家將安全審計產品作為了其產品中重要的一環。

但是由於82號令只是針對經營性以及非經營性上網場所內的網路行為做了規定，對於工控行業的安全審計產品，由於無人認責、無人管理而一直未有建樹，當然筆者認為主要原因是工控環境特性導致的「虛假的隔離安全」致使工控行業的安全審計一直在「行內人」看來是一款可有可無的產品。

安全審計產品簡單來講就是通過對網路中的數據進行採集、處理、分析、展示以及存儲的智能化產品。其中採集、分析和展示是審計產品的主要功能點，也是現階段工控環境中最迫切需要的。

為什麼需要安全審計產品？

新一代電力信息網路系統具有複雜性、開放性、動態性等特點。這些特點使其具有天生的脆弱性,拒絕服務攻擊、網路掃描、網路欺騙、病毒木馬、信息泄露等安全事件的層出不窮，既有來自外部的惡意入侵,又有來自內部的許可權濫用，來自內外部的安全風險給信息安全工作帶來了不小的壓力與挑戰。因此，新一代電力信息網路安全架構必須是以「智能＋防護＋控制」為基礎貫穿信息系統全生命周期，更加強調整體安全能力，涵蓋「雲＋端＋邊界」的立體防護體系，強調多鏈條、多層次安全防線之間的聯動和協同，以形成真正體系化的信息安全能力。

單一的網路安全產品，已不能從整體架構中幫助用戶完善信息安全的防護等級，工控環境多年來建立的「虛假的隔離安全」在日異月新的技術面前也變得不堪一擊。

從政策層面去看，05年頒布的電監會第5號令到11年的工信部《關於加強工業控制系統信息安全管理的通知》再到發改委14號令《電力監控系統防護管理規定》以及國家能源局36號文件《電力監控系統安全防護總體方案》等等一系列政策的頒布也表達了行業層面甚至國家層面對於整個工控信息安全的重視以及整改力度。

總結：電力行業是國家重要的基礎性行業，隨著電力行業信息系統實用化水平的不斷提高，電力信息系統安全嚴重性也日益凸顯，電力信息安全的重要性已不言而喻。為解決新一代網路安全問題，國內外信息安全研究人員紛紛提出了一些安全體系加以應對，如「木桶理論」安全體系、「雲＋端＋邊界」安全體系、大數據安全體系等，這些安全體系的思想有一個共同點，即摒棄了過去單點化、孤立式的防護思想，取而代之的是立體化、全局式的智能防護和控制思想，而其中，北京天地和興科技有限公司經過10年內不斷專註於工控信息安全產業的技術研發和前瞻性理論研究，超過500餘個工控信息安全現場的勘查以及近百個解決方案的應用，並且針對工控信息安全的特殊性，天地和興的工控安全審計產品無需改變原有網路結構和設備，採用先進的技術防護理念，在不影響控制系統穩定運行的同時，幫助用戶達到立體化的防護標準。

安全審計產品能幹什麼？

市面上上安全審計產品繁多，而在國內針對工控環境的安全審計產品就超過了20多家，筆者建議從如下幾個方面對安全審計產品進行篩選和測試：

1、網路審計功能

深度報文解析；

關鍵事件檢測；

工控協議語法檢查；

正常通信行為建模。

2、審計策略設置

以策略的方式對用戶的網路行為進行審計。策略可分為全局策略和針對一組審計對象的策略。安全審計產品必須具備高顆粒度的審計策略設置，為用戶提供了多種定製化的選擇，例如：針對時間段、IP地址範圍、埠、協議、數據流向、文件傳輸、下裝行為等。

3、工控協議分析

在工控環境下必須以協議級的審計維度來進行安全審計工作，包括主流的DL/T860 MMS協議、DL/T860 GOOSE協議、DL/T860 SNTP協議、DL/T634.5104協議、OPC DA/HAD/AE/DX、MODBUS TCP、 DNP3 1.0 、DNP3 2.O等，這個根據各個廠家的不同所支持的協議種類也不同，但主流協議不能差。

4、自身安全性

安全審計產品在幫助業主的同時更要有自身安全的保障措施，包括軟硬體的設計安全、數據的安全、安裝的安全、對網路整體影響的安全以及管理的安全等等。

都有誰來做安全審計產品？

市面上的安全審計產品主要分為兩大類：工控安全審計產品和傳統安全審計產品（又包含了有線審計和無線審計）。這兩類產品也是整個信息安全行業的小縮影，傳統安全審計產品與工控安全審計產品區別較大，主要問題集中在針對的客戶群體，傳統信安產品種類多而且功能較全，但由於各個廠家的技術能力不同、側重點不同設計出的產品也各有特點。傳統安全審計產品多為X86架構，設計之初考慮的主要以商業機房為中心，許多工業環境的特性並未考慮全面，並且多為遠程升級模式，不能保證工控系統的網路純凈性，加密方式更多採用商用級的密碼方式，易破解、易更換。功能方面也多以用戶體驗為主，未考慮到工控系統的特徵。

而工控安全審計產品在功能設計之初就未涉及到很多商用化的功能，從功能多樣性來講並不能勝任商業中複雜的環境，但勝在穩定性強，多以工控環境為設計背景，從設計到研發到成品整個產品的生命周期中更是有許多行業中的從業人員進行了針對性的改進，所以工控安全審計產品在工控行業中的優勢較大，在傳統商業領域中的表現就不如人意。當然還有其他的差異，比如硬體設計、協議分析、升級方式等等，產品各有優劣，故在產品的選擇上，筆者認為針對當前環境的選擇才是最適合的產品。