工控安全进入“软件定义”时代
在2024年中国工博会上,曙光网络凭借其敏锐的市场洞察力和深厚的技术积累,正式发布了基于软件定义工控安全——“工业物联网融合平台 ”,为工控安全领域带来了一条新思路。
根据二十大报告指出,“坚持把发展经济的着力点放在实体经济上,推进新型工业化”,这一方针不仅为我国经济发展指明了方向,也为新型工业化的推进提供了行动指南。
2024年中国经济“半年报”显示,国内工业生产在加速回暖,制造业投资正在回升。但工业控制系统(ICS)的安全问题成为了企业不可忽视的痛点,曙光网络科技有限公司副总裁李开科、副总工程师李彦宾也在分享中指出,“数字化转型能助力工业企业升级,但与此同时,工业资产逐步变成数字化资产暴露在整个公网领域,这是非常大的安全风险。”
根据数世咨询《工业互联网安全能力指南》报告,在新型工业场景里,传统IT安全中的机密性、完整性与可用性在理论上依然有一定价值——但是在实践中,受限于工业场景的特殊性,需要更专业的OT安全防护方案。
数字化转型带来新风险,网络攻击从IT向OT渗透
传统的工业控制系统多以封闭、隔离的方式运行,以确保安全和稳定性。然而,随着数字化转型的推进,越来越多的工业控制系统需要联网,与企业内部其他系统乃至云端进行数据交换。这种从封闭到开放的转变,使得工业控制系统直接暴露在整个公网领域,网络攻击范围加剧从IT向OT渗透,增加了工业控制系统的攻击面,进而带来了新的安全风险。
同时,工业生产环境中最大的特点,就是生产稳定性高于一般安全性——即在不会直接影响正常生产的情况时,安全性可以被牺牲。对于工业生产环境而言,生产机器的启动本身就极有可能消耗极大的人力和物力,而局部机器的停止运作又有可能影响整体生产的情况——最终造成巨大的经济损失。另一方面,在关键基础设施中,机器的停运也同样可能对社会产生负面影响。因此,在工业生产环境中,生产稳定性是最重要的。
IT安全无法满足工业场景防护需求,工控协议复杂多样性
不同行业的国产化进程、不同产品的国产化进程存在差异化,因而带来了较大的供应链安全难题。大型企业之前仅有办公区部署IT安全产品,生产区处于隔离区,基于其特殊性需要多种不同的OT安全防护方案。另一方面,工业企业本身,由于对网络技术的实践总体更为滞后,大型企业与中小型企业均需要采取不同的防护方案。
工业控制系统中自动化设备,采用工控协议进行通信,然而主流工控协议设计之初没有考虑网络安全因素,不同的生产商的设备会采用不同的协议,这就给安全防护带来了极大的难度。除了主流协议以外,还存在一些私有协议,就更需要安全厂商有能力对陌生的工控协议有学习协议规则和行为的能力,从而建立新的安全模型。
关基领域不断遭受黑客攻击
随着工业数字化进程的加快,工业控制系统成为了黑客攻击的新目标,涉及运输、能源、农业、汽车等多个行业,黑客可以通过网络攻击,对工业控制系统进行篡改、破坏,甚至造成物理损害。例如,丰田汽车、宝马、蔚来汽车、台积电等都遭受网络攻击,这种攻击不仅威胁到企业的数据安全,更可能对企业的运营造成严重影响。
根据4月份,Vedere Labs发布研究报告,全球有近11万台OT/ICS设备暴露在互联网上,其中Modbus协议占暴露服务的29%,S7协议增加了121%。这一数据突显了工业控制系统在网络安全方面的脆弱性。
目前,工控安全领域主要采用“一个中心三重防护”安全体系框架,一个中心指的是“安全管理中心”,三重防护是指“安全计算环境、安全网络通信、安全区域边界”。此外,还需要一个可信的基础设施作为支撑,以确保安全系统的安全性和可靠性。
针对工控安全挑战,曙光网络提出的“软件定义工控安全”理念,通过将 CPU、内存、硬盘、网络等硬件构建一个可信的融合平台, 将工控防火墙、工控安全监测审计、工控主机防护、工控入侵检测、工控安全管理中心、工控堡垒机等变成各项安全应用/能力,实现安全能力模块化,满足客户按需安装、弹性部署,多场景个性化安全需求。
1、软硬件全部自主可信,满足信创要求
曙光网络的工业物联网融合平台采用了全面自主研发技术。从底层的硬件设备到上层的软件应用,平台均采用了国内自主研发的技术和方案。这种自主化特点不仅确保了平台在国内市场的适用性和可靠性,还促进了国内工业物联网技术的快速发展。全面自主平台能够更好地满足国内工业企业的实际需求,推动工业物联网技术的普及和应用。
此外,曙光提供了丰富的工控产品线,包括工业控制计算机、嵌入式工控机、工业平板等,能够满足不同工业领域的需求。
2、软件定义安全,可根据不同关基需求灵活部署安全能力
曙光网络的工业物联网融合平台的核心就是在统一硬件平台资源上,实现工业物联网边缘各种能力,充分利用虚拟化技术,将物理资源抽象成逻辑资源,实现了资源的动态管理和灵活调配,为工业物联网环境提供了一站式的解决方案。通过整合各种工控安全应用,包括工控堡垒机、工控安全管理中心、工控安全日志审计、工控防火墙等常见安全应用,构建了一个完善的工控安全生态,为企业的工业物联网环境提供了全方位的安全防护。
▲工业物联网融合平台界面
工业物联网融合平台另外一个核心能力是可视化网络编排能力,通过可视化的网络编排工具,管理员可以轻松地配置和管理虚拟机应用间的网络连接。并利用国产加密技术,将承载各种安全应用的容器或虚拟化平台进行有效隔离,满足了工业物联网环境对安全性和稳定性的高要求。
3、开放融合架构,支持第三方安全模块
工业物联网融合平台还支持第三方安全能力模块,满足更多安全需求。同时,曙光网络与众多产业链上下游企业建立了紧密的合作关系,形成了完善的生态体系,打造成为一个集虚拟化技术、资源管理、网络编排和安全防护于一体的综合性平台,为工业企业提供了高效、安全、可靠的解决方案。
软件定义工控安全, 全面解决传统安全方案中的诸多痛点,如防御边界扩展不足、分支边缘端点脆弱、数字资产分散安全隐患、高昂的硬件成本、复杂的运维管理、 安全加密能力不足以及容错能力有限等问题。
随着新型工业化的不断推进,未来的工控安全将更加注重开放生态的构建。曙光网络的工业物联网融合平台不仅推动了这一趋势,还展示了其在技术创新和市场应用方面的潜力。
可信安全成为工控安全标配
随着工业控制系统面临的安全威胁日益增加,工控安全将变的更加重要。在推动信创产业发展的过程中,可信安全正逐渐成为工控安全的标配。可信安全不仅要求系统能够抵御外部攻击,还要求软件和硬件均满足可信要求。
关基安全避免“单兵作战”,融合安全防护成为新路径
关键信息基础设施的安全防护越来越受到重视,但传统的单兵作战方式已不再适应当前的安全需求,化繁为简成为安全防护主旋律。软件定义工控安全架构,即将多种安全技术、产品和服务整合在一起,形成一个协同作战的融合安全防护体系,正成为未来的趋势。
工控安全向智能化方向发展
工控安全的未来趋势之一是智能化。随着人工智能和机器学习技术的发展,工控安全系统将能够更加智能地识别和响应威胁,智能化不仅提高了安全防护的效率,还能够降低误报率,提高响应速度。
未来,随着工业物联网的不断发展,工控安全重要性日益凸显,曙光网络的工业物联网融合平台通过软件定义安全,提供快速融合的安全能力,以适应不同行业、不同场景的工控安全需求,为国内工业企业的创新发展提供了有力支持,同时,也为构建更加开放和智能的工控安全生态奠定了基础。