启明星辰泰合工控信息安全管理系统构建工控安全体系

近年来，随着网络信息化在工业控制系统中的不断深入，国家层面“互联网+”战略布局的推进，国际先进制造业工业4.0时代的到来，传统的工业制造和工业生产已经势不可挡的走入了信息化、互联网化的时代。互联网给工业控制带来的巨大的变革，包括生产效率的提升，管理手段、控制能力的提升等等，其益处是显而易见的。但是生产系统的开放性势必带来了不可预知的安全隐患，把原本封闭的工控环境开放给缺乏安全可信的互联网或是直通互联网的办公网，就等于给黑客和各种的恶意行为打开了攻击和破坏的大门，并且工控安全所带来的生产事故往往比信息安全的数据丢失要严重的多。

正是因为工控系统此前基本运行在一个封闭的环境中，系统的生产研发和设计部署过程很少甚至根本就没有考虑安全的因素，这种背景下一旦黑客通过可达网络访问到工控环境，是极易攻击得手的，所以工控系统所面临的将是比传统IT网络更严峻的安全威胁。

随着工控安全日益受到国家和行业的重视，启明星辰在几年以前就开始布局工控安全领域，成为国内最早一批进入该领域的专业安全厂商，推出了各类工控安全产品以及解决方案。

工业控制系统是由一系列的生产装置、现场设备、控制终端、操作站以及工业以太网、本地总线网络等组成。同传统的IT信息网络安全一样，工控信息安全也是一个体系化的工程，因为威胁和攻击是来自多方面的，可能是外部黑客透过办公网控制了某工程师站，可能是工作站PC主机一次不安全的U盘使用导致的病毒感染，可能是内部人员下达给PLC的违规指令，也可能是针对核心工控业务蓄谋已久的APT攻击。所以工控安全领域里，只部署工控防火墙或是只进行工控漏洞扫描是不够的，局部的防护无法构建完整的防护系统，无法形成全局监控的完整视图，也无法抵御各个层面的攻击威胁。

面对工控环境总体的安全防护需求，工控信息安全管理平台系统无疑是最佳的选择。如果说单个的防护设备是防御战场上的一个个孤立的碉堡的话，那么工控信息安全管理平台系统的作用就是集中自身及外部各种防护资源形成覆盖全部被保护对象的防护网，是整体防御的指挥部和情报中心。启明星辰泰合本部一直以来致力于安全管理平台系统的研发和应用，代表着国内同类产品的最高水平，并且拥有各大行业大量的客户实践案例。泰合本部随启明星辰总体工控安全解决方案所推出的泰合工控信息安全管理系统拥有全网安全状态监控、流量合规及异常分析检测等功能，同时可以整合启明星辰以及第三方公司的工控防火墙、工控漏扫、工控入侵检测等各类安全防护设备，形成工控系统的全方位立体化防护。

在一个典型的工控环境中，泰合工控信息安全管理系统的防护范围包括管理网络层中的IT系统，MES层中的工作站、操作站等终端机服务器，以及生产过程层中的PLC、DCS等工控设备装置。管理平台系统自身可提供适应工控环境的设备安全监控功能、采集设备及网络的安全运行信息，并且可将环境中所部署的所有防护设备或子系统进行整合，集中所有的监控信息进行统一展现，综合处理分析及时发现各节点环节的异常和威胁，统一提供告警及处置支撑功能。同时管理系统还通过专门的流行为分析模块，从流量和流行为的维度实现工控环境的流安全分析和异常发现。在工控环境中部署面向工控安全的管理系统可主要为用户带来如下安全防护价值：

• 工控环境动态监控拓扑

泰合工控信息安全管理系统首先提供了动态拓扑监控功能。拓扑展现是对网络环境最直观的监控形式，也是工控系统操作人员比较认可的监控方式，该拓扑监控可以完整直观的表现工控系统各设备、装置的部署位置以及链路连接情况。同时拓扑上可以动态的展现设备和链路的状态及安全相关信息，包括设备的故障、通断、威胁事件和链路的可用性、流量异常等信息。

• 设备资产安全管理及监控

工业控制系统是由一系列工控装置以及控制设备组成的，因此工控安全的首要任务就是保障这些设备资产的正常运行，泰合工控信息安全管理系统提供全面的设备资产安全监控管理功能，可自动发现并帮助用户梳理全网设备，在此基础上维护设备信息，进行生命周期管理，可对网络中的设备资产进行运行状态监控，包括可用性，CPU、内存使用率，接口、服务应用状态等信息。此外可关联所有与设备相关的监控信息、漏洞、事件等安全信息，一旦出现异常实时报警。

• 设备的漏洞及配置脆弱性管理

工控设备的安全威胁往往来自于设备主机的安全漏洞和不安全配置，一旦被黑客或内部别有用心的人员利用，将直接危害到所连接控制的生产系统。泰合工控信息安全管理系统提供有设备配置核查功能，发现设备的不安全配置和不合规的安全策略。此外，管理系统可与工控漏洞扫描设备联动，驱动工控漏扫对指定目标进行漏洞发现，并将扫描结果与设备资产联动，展示设备的漏洞信息。

• 安全事件集中管理分析和异常发现告警

工控安全可能涉及各类安全防护设备，包括工控防火墙、防病毒设备、入侵检测、漏洞扫描等，这些设备的防护范围、具体功能各不相同，工控信息安全管理系统会统一采集并识别各类工控安全设备产生的安全事件和告警信息，并通过多维度可视化的界面进行综合展示，使监控人员一站式的查阅检索安全及威胁信息，了解安全态势。同时安全管理系统在收集全网安全信息的同时可以进行综合关联分析，发现类似于APT攻击等的更深层更隐蔽的威胁和安全隐患。

• 流行为异常分析与监测

传统的安全管理系统大多是基于事件的监控，但是有些攻击行为和安全异常更多暴露于网络流的维度。尤其对于工控领域，对生产设备的操作有专用的工控协议，所以对工控协议的识别和操作行为审计是发现违规操作和异常的关键，另外工业控制中各设备间的访问多是较为固定的访问关系和流量，如果掌握了一般的访问规律也是发现异常的重要手段。泰合工控信息安全管理系统加强了对流安全的分析能力，提供了流行为分析模块，该模块可识别监控各设备间的访问关系和流量是否合规，形成不合规告警，并且可对工控协议进行深度解析，发现违规行为。流行为分析补充了事件级监控在网络流层面的缺失，为工控环境提供了更加全面立体的防护能力。

总之，泰合工控信息安全管理系统秉承启明星辰泰合本部多年来在安全管理平台领域的深厚积累，结合公司在工控安全领域中的不断探索，力求为工业控制领域用户提供最为专业、最为高效、最具用户使用价值的工控信息安全管理系统。