自2002年“新型工業(yè)化”在我國首次被提出

到明確“2025年將大力推進(jìn)新型工業(yè)化”

這期間的二十余年里

我國新型工業(yè)化的發(fā)展之路并非一帆風(fēng)順

特別是在工業(yè)漏洞方面遭遇了多重挑戰(zhàn)

?工業(yè)漏洞現(xiàn)狀?

近年來，我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)蓬勃發(fā)展，應(yīng)用領(lǐng)域不斷拓展，越來越多的工業(yè)控制系統(tǒng)暴露在互聯(lián)網(wǎng)上，利用工業(yè)漏洞的攻擊行為日益突出，嚴(yán)重影響著工業(yè)企業(yè)的生產(chǎn)運(yùn)營。

工業(yè)互聯(lián)網(wǎng)是新型工業(yè)化的戰(zhàn)略性基礎(chǔ)設(shè)施和發(fā)展新質(zhì)生產(chǎn)力的重要驅(qū)動力量。根據(jù)國家信息安全漏洞共享平臺（CNVD）收錄漏洞數(shù)據(jù)顯示，自2021年開始，新增工業(yè)漏洞數(shù)量總體雖呈下降的趨勢，但高危漏洞占比在近兩年仍然很高，漏洞所蘊(yùn)含的安全風(fēng)險(xiǎn)不能忽視。

CNVD收錄新增工業(yè)漏洞數(shù)量年度統(tǒng)計(jì)

工業(yè)漏洞痛點(diǎn)

研究表明，工業(yè)漏洞利用可能引發(fā)工業(yè)主機(jī)死機(jī)、工業(yè)主機(jī)藍(lán)屏、組態(tài)監(jiān)控畫面失效、通信網(wǎng)絡(luò)中斷、控制器宕機(jī)等安全事件，給工業(yè)生產(chǎn)帶來安全隱患。

當(dāng)前，部分工業(yè)控制器與操作系統(tǒng)因廠商停止技術(shù)支持而陷入無補(bǔ)丁可用的困境，且補(bǔ)丁升級與修復(fù)過程可能與現(xiàn)有系統(tǒng)、軟件及配置產(chǎn)生不兼容，導(dǎo)致系統(tǒng)穩(wěn)定性受損或功能部分失效。為降低工業(yè)漏洞對工業(yè)生產(chǎn)造成的安全威脅，多數(shù)網(wǎng)絡(luò)安全廠商傾向于采用傳統(tǒng)的虛擬補(bǔ)丁方案來應(yīng)對工業(yè)漏洞帶來的安全隱患，但這種方式存在延遲高、誤判、運(yùn)維成本高等一系列問題。

01 虛擬補(bǔ)丁采用全量級黑名單規(guī)則庫檢測機(jī)制，在實(shí)際應(yīng)用中會大量消耗安全設(shè)備資源，導(dǎo)致通信網(wǎng)絡(luò)延遲高，容易對工業(yè)生產(chǎn)業(yè)務(wù)運(yùn)行造成影響。

02 虛擬補(bǔ)丁雖然提供了一種較為廣泛的防護(hù)手段，但缺乏靶向式的精確性。面對復(fù)雜多變的工業(yè)網(wǎng)絡(luò)攻擊時(shí)，為保證安全策略不對工業(yè)生產(chǎn)的正常運(yùn)行造成影響，容易產(chǎn)生較多誤判問題。

03 虛擬補(bǔ)丁的更新升級通常需要依賴外部互聯(lián)網(wǎng)連接，這一機(jī)制并不適用于工業(yè)現(xiàn)場。此外，頻繁地更新虛擬補(bǔ)丁無疑會加重運(yùn)維工作的負(fù)擔(dān)，導(dǎo)致運(yùn)維成本顯著提升。

基于上述原因，多數(shù)企業(yè)無法有效落實(shí)工業(yè)漏洞利用防護(hù)措施，漏洞防護(hù)已成為工業(yè)企業(yè)網(wǎng)絡(luò)安全防護(hù)體系中的薄弱環(huán)節(jié)。在此背景下，天融信提出了基于靶向式虛擬補(bǔ)丁的工業(yè)漏洞安全防護(hù)新思路。

基于靶向式虛擬補(bǔ)丁的

工業(yè)漏洞安全防護(hù)新思路

靶向式虛擬補(bǔ)丁的顯著優(yōu)勢在于其采用靶向式、輕量級的規(guī)則庫，可根據(jù)控制器品牌、型號、版本，操作系統(tǒng)版本，數(shù)據(jù)庫版本以及組態(tài)軟件版本等漏洞利用特征和CVE編號信息，對工業(yè)現(xiàn)場存在的漏洞進(jìn)行針對性的防護(hù)，有效解決全規(guī)則庫造成的高延遲問題。具體可參考下述步驟展開。

1、考慮工業(yè)環(huán)境通信資源受限的特殊性，主動探測掃描易引發(fā)DDoS攻擊，導(dǎo)致通信中斷、控制器宕機(jī)。天融信工業(yè)漏洞掃描系統(tǒng)采用靜態(tài)掃描方式，將需要掃描的工業(yè)資產(chǎn)進(jìn)行梳理和信息收集后，靜態(tài)導(dǎo)入設(shè)備進(jìn)行精細(xì)化漏洞匹配。在不影響工業(yè)生產(chǎn)業(yè)務(wù)的同時(shí)，準(zhǔn)確識別系統(tǒng)存在的漏洞信息，為靶向式虛擬補(bǔ)丁防御規(guī)則配置提供依據(jù)。

2、以現(xiàn)場識別的工業(yè)控制系統(tǒng)漏洞為依據(jù)，配置工業(yè)防火墻靶向式虛擬補(bǔ)丁策略，迅速識別并響應(yīng)潛在攻擊。在工業(yè)控制系統(tǒng)邊界檢測網(wǎng)絡(luò)數(shù)據(jù)包、監(jiān)控應(yīng)用層協(xié)議，精準(zhǔn)捕捉數(shù)據(jù)包中潛藏的漏洞特征和攻擊行為，匹配到對應(yīng)攻擊規(guī)則后便會對數(shù)據(jù)包采取阻斷、放行、告警等操作，對工業(yè)漏洞利用攻擊行為進(jìn)行精準(zhǔn)、高效的靶向管控。

3、在工業(yè)控制系統(tǒng)邊界部署工業(yè)入侵檢測系統(tǒng)，形成“工業(yè)入侵檢測+工業(yè)防火墻”聯(lián)動防御策略。工業(yè)入侵檢測實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)流量，運(yùn)用“靶向式虛擬補(bǔ)丁防護(hù)規(guī)則+常規(guī)規(guī)則庫”，精準(zhǔn)識別漏洞利用及網(wǎng)絡(luò)攻擊行為，一旦發(fā)現(xiàn)異?；驖撛诠?，即刻向工業(yè)防火墻發(fā)送告警。工業(yè)防火墻依此動態(tài)調(diào)整策略，快速阻斷惡意流量。此聯(lián)動機(jī)制彌補(bǔ)了工業(yè)防火墻檢測短板，降低威脅響應(yīng)時(shí)間，提升防御精準(zhǔn)度，減少誤報(bào)漏報(bào)情況，實(shí)現(xiàn)智能安全防御。

4、在工業(yè)主機(jī)終端上部署工業(yè)主機(jī)衛(wèi)士，在不需要重啟操作系統(tǒng)的情況下，基于操作系統(tǒng)、數(shù)據(jù)庫、組態(tài)軟件等漏洞特征，通過配置該軟件的靶向式安全防護(hù)策略，實(shí)現(xiàn)漏洞及時(shí)“修復(fù)”，構(gòu)建從網(wǎng)絡(luò)到終端層面上工業(yè)漏洞威脅的閉環(huán)精準(zhǔn)防御能力。

靶向式虛擬補(bǔ)丁應(yīng)用案例

某制造企業(yè)為提升生產(chǎn)管理效率和降低成本，建設(shè)了MES系統(tǒng)。由于MES系統(tǒng)與企業(yè)信息網(wǎng)絡(luò)互聯(lián)且需要從不同車間采集現(xiàn)場生產(chǎn)數(shù)據(jù)，導(dǎo)致工業(yè)控制系統(tǒng)暴露在互聯(lián)網(wǎng)上，極易被攻擊者利用工業(yè)漏洞發(fā)起網(wǎng)絡(luò)攻擊。此外，現(xiàn)場的老舊工業(yè)控制器和工業(yè)主機(jī)系統(tǒng)在補(bǔ)丁升級方面存在兼容性問題，修復(fù)漏洞需在停產(chǎn)或檢修期間進(jìn)行，不可控風(fēng)險(xiǎn)加大。

為應(yīng)對控制器固件版本漏洞、操作系統(tǒng)漏洞等潛在的網(wǎng)絡(luò)安全威脅，天融信在企業(yè)生產(chǎn)網(wǎng)核心交換機(jī)上部署工業(yè)入侵檢測、生產(chǎn)車間邊界部署工業(yè)防火墻、工業(yè)主機(jī)終端上部署工業(yè)主機(jī)衛(wèi)士，結(jié)合靶向式虛擬補(bǔ)丁防護(hù)技術(shù)手段，對企業(yè)存在的工業(yè)漏洞進(jìn)行靶向安全防御，確保企業(yè)業(yè)務(wù)不受影響的同時(shí)，強(qiáng)化企業(yè)漏洞安全防護(hù)、邊界安全防護(hù)及終端安全防護(hù)能力。

近期，在全國工業(yè)和信息化工作會議上，工業(yè)和信息化部表示，2025年將大力推進(jìn)新型工業(yè)化，以進(jìn)一步全面深化改革為動力，深入實(shí)施制造業(yè)重點(diǎn)產(chǎn)業(yè)鏈高質(zhì)量發(fā)展行動，提升產(chǎn)業(yè)科技創(chuàng)新能力，改造升級傳統(tǒng)產(chǎn)業(yè)，鞏固提升優(yōu)勢產(chǎn)業(yè)，培育壯大新興產(chǎn)業(yè)，前瞻布局未來產(chǎn)業(yè)。

作為網(wǎng)絡(luò)安全行業(yè)領(lǐng)軍企業(yè)，天融信在工業(yè)信息安全領(lǐng)域砥礪深耕，緊密結(jié)合工業(yè)實(shí)際場景，已推出5大類共14款工業(yè)安全產(chǎn)品，廣泛應(yīng)用于電力、石油、軌道交通、冶金、煤炭、煙草、制造等30余行業(yè)的80個(gè)細(xì)分業(yè)務(wù)場景，積累了豐富的實(shí)踐經(jīng)驗(yàn)。

相關(guān)閱讀

1、天融信新一代工業(yè)網(wǎng)閘發(fā)布！

2、我國首批工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域國家標(biāo)準(zhǔn)正式發(fā)布，天融信深度參編！

3、10個(gè)標(biāo)桿案例，看天融信2024年工業(yè)安全的創(chuàng)新實(shí)踐！

4、智鏈·向新｜新型工業(yè)化軟件和信息服務(wù)共同體正式成立！