通過多年的工控網絡安全工作，我們可以看到很多行業(yè)用戶的工控網絡安全意識都在明顯提高，在2013年至2014年期間，中科網威接到大量的來自于自動化生產企業(yè)用戶的來電咨詢，可以明顯看到，在某些行業(yè)的工業(yè)控制系統(tǒng)網絡安全需求呈明顯上升趨勢，如下圖所示圖1，甚至一些用戶對工控網絡安全風險的研究并不亞于專業(yè)的工控網絡安全廠商。

圖1 工控網絡安全需求年度對比

我們知道，安全意識的提高可以明顯降低網絡受到威脅的程度，但并不能從根本上消減網絡安全威脅問題。要應對這一問題，針對工控網絡的安全規(guī)劃工作是必不可少的。我們必須認識到，雖然隨著很多工控網絡安全事件的曝光，我們的意識正在飛速提高，但我們需要有效的應對手段來填補我們由安全意識提高所帶來的“安全恐慌”。

目前可以看到，在工控網絡中面臨的最大問題是安全設備“無作為”與安全事件“無定位”。

現(xiàn)狀：安全設備“無作為”

很多生產型企業(yè)在信息化融合的過程中缺少網絡安全評估環(huán)節(jié)，以至于無法準確定位現(xiàn)有生產網絡的安全風險點，對于企業(yè)而言帶來的直接問題就是部署的安全設備無法有效的起到防護作用，甚至有可能對生產業(yè)務的連續(xù)性起到負面影響。

例如，大多數(shù)的企業(yè)在控制系統(tǒng)前都架設了防火墻，如下圖所示圖2，這一位置的防火墻往往由生產部門統(tǒng)一管理，由于一部分自動化工程師對網絡安全威脅的意識不足，防火墻的策略配置往往比較簡單，或干脆由集成商托管，而集成商無法做到7X24小時監(jiān)測網絡安全風險，只能依靠人員經驗為防火墻配置常規(guī)策略，這就導致了我們的這種被動防護行為有可能無法起到有效的作用。

圖2常見的工業(yè)控制系統(tǒng)網絡防護方式

        還有一些企業(yè)選擇了應用于傳統(tǒng)IT涉密網的網閘產品進行工控網與信息網的隔離，這一類網閘產品可以有效防止外網直接訪問控制網絡，但必須要注意，“網閘思維”實際上會讓我們的工程師放松警惕，入侵者也會隨之乘虛而入，而惡意代碼往往會通過正常的通信過程進入到你的控制系統(tǒng)網絡中，令網閘無從察覺。畢竟不是所有的惡意代碼都需要實時連接C&C，對于近期常見的“智能化”的攻擊技術來說，網閘產品就有些力不從心了。

現(xiàn)狀：安全事件“無定位”

        現(xiàn)在，很多由工控網絡安全隱患引起的導致生產業(yè)務中斷的事件被人為定義為工控設備自身故障，這一問題已成為普遍現(xiàn)象，無形中給用戶增加了每年的設備維護費用，對自動化設備廠商來講這種“誤解”也不是一件好事。分析原因，這一現(xiàn)象主要由于大部分工程師對工控網絡安全事件缺少定位手段，以致無從判斷，輕易歸結為“見的到、摸得著”的工控網絡設備的自身故障。

有效的安全事件追溯可以幫助我們快速解決工控網絡的安全問題。然而，當我們了解到，某些影響工控網絡正常生產業(yè)務流程的事件，可能是由于網絡安全問題引起的時候，就有一個新的問題擺在我們的面前：工控網絡的安全問題往往非常復雜，眾多的脆弱性問題可能導致某一個安全事件的發(fā)生，我們如何做到有效的定位與追溯呢？我們如何解決惡意代碼利用0Day漏洞、免殺技術等手段來進行惡意傳播的問題呢？

這就需要我們對整個工控網絡進行統(tǒng)一的安全規(guī)劃部署，以便于我們制定實時、高效的安全風險應對策略。

工控網絡安全統(tǒng)籌規(guī)劃、實時感知

        面對工控網絡不斷發(fā)生的由網絡安全風險導致的嚴重后果，實現(xiàn)工控網絡安全統(tǒng)籌規(guī)劃、快速降低網絡安全風險成為迫在眉睫的工作。然而，對整個工控網絡進行統(tǒng)一的安全規(guī)劃并不是一件易事，充分掌握工控網絡的安全風險成為第一道門檻，而對工控網絡安全風險的識別與分析能力同時成為致勝的關鍵。

哪些資產是關鍵資產？哪些業(yè)務的中斷會導致更嚴重的后果？哪些安全風險不能避而不視？

這些年來我們一直在研究如何有效降低工控網絡內的安全風險，其實不難看出，傳統(tǒng)的基于已知特征庫的安全檢測手段已經無法滿足這一需求，我們必須把基于已知特征庫的安全檢測技術晉升為一種更加智能的檢測技術或手段才可以解決這一問題，網威把這種技術叫做工控網絡的“態(tài)勢感知技術”。

工控網絡的“態(tài)勢感知技術”應不同于我們在INTERNET中常見的態(tài)勢感知技術，由于工控網絡基于業(yè)務流程分區(qū)的特點，工控網絡的“態(tài)勢感知技術”應是一種打破傳統(tǒng)網絡安全邊界定義的感知技術，工控網絡安全風險數(shù)據(jù)的收集、降噪等能力成為這一技術能否具有生命力的關鍵。

2012年我們嘗試推出了第一代網威異常感知系統(tǒng)（當時叫做“網威異常檢測系統(tǒng)”），來幫助用戶改善工控網絡安全問題，截至目前，中科網威（Netpower）的異常感知系統(tǒng)已經在大多數(shù)的用戶現(xiàn)場環(huán)境進行部署，同時包括網威工控防火墻、網威異常感知系統(tǒng)在內的全系列工控網絡安全產品均已應用了網威“態(tài)勢感知技術”，以便配合整體工控網絡安全解決方案，來幫助用戶掌控工控網絡安全風險，從而為用戶提供一套網絡感知、秩序可控、多種安全技術聯(lián)動的智能型管理方案。

通過對工控網絡安全風險的實時感知，用戶就可以對安全風險進行高效有據(jù)的判斷，同時動態(tài)的改善工控網絡安全環(huán)境，盡可能將安全風險降至最低。

同時，中科網威（Netpower）也歡迎來自各行業(yè)用戶與廠商的技術交流，共同改善中國的工控網絡安全環(huán)境。