【发现中国原创技术】匡恩网络：自主可控是工控网络安全的关键_公司_经济网_国家一类新闻网站
【发现中国原创技术】匡恩网络：自主可控是工控网络安全的关键
文章导读：
随着“中国制造2025”和“互联网+”在各个领域的深度渗透和广泛推进，我们期待出现基于智能化、网络化的新的经济发展形态。而这个目标的实现，离不开自主可控的工控系统，离不开我国工控网络安全行业的健康快速发展和像匡恩网络这样专注于智能工业网络安全解决方案的高科技创新企业。
《中国经济周刊》记者 张伟|北京报道
（本文刊发于《中国经济周刊》2016年第19期）
4月29日，智能工业网络安全专家&&北京匡恩网络科技有限责任公司（下称&匡恩网络&），向市场推出业界首款便携式、可移动的工控安全威胁评估平台。
这家成立刚刚两年的公司再一次填补了我国在工业控制系统（下称&工控系统&）网络安全风险评估领域缺乏有效工具和方法的空白。
近年来，国内外发生的越来越多的工控网络安全事件，用惨重的经济损失和被危及的国家安全警示我们：工业控制网络安全正在成为网络空间对抗的主战场和反恐新战场。
随着&中国制造2025&和&互联网+&在各个领域的深度渗透和广泛推进，我们期待出现基于智能化、网络化的新的经济发展形态。而这个目标的实现，离不开自主可控的工控系统，离不开我国工控网络安全行业的健康快速发展和像匡恩网络这样专注于智能工业网络安全解决方案的高科技创新企业。
近日，就我国工控网络安全的行业现状和产业发展等相关问题，《中国经济周刊》记者专访了匡恩网络总裁孙一桉。
匡恩网络总裁孙一桉说，预计匡恩网络在今年可以实现可信和自主控制，形成一个基于可信计算的安全体系。
《中国经济周刊》视觉中心 首席摄影记者 肖翊|摄
匡恩网络是工控安全行业最强的技术力量
《中国经济周刊》：在国内工控网络安全行业，匡恩网络是规模最大、实力最强的企业之一，匡恩网络在发展工控网络安全产业方面有哪些优势？
孙一桉：匡恩网络作为中国的工控安全民营企业，源于中国，扎根于中国，对中国工控网络安全行业有自己的见解和应对之道。
首先，匡恩网络汇聚了网络安全、工控系统等领域的优秀人才，是国内安全界普遍认可的工控网络安全领域技术实力最强、规模最大的一支技术力量。
其次，匡恩网络拥有完全自主知识产权的安全检测和防护技术，国际领先，填补国内空白，申请和取得了发明专利30余项和著作权30余项。
再就是，以&4+1&防护理念为指导思想，匡恩网络已完成3大系列、12条产品线，成为国内首家以全产品线和服务覆盖工控网络全业务领域的高技术创新公司；独创了从设备检测、安全服务到威胁管理、监测审计再到智能保护的全生命周期自主可控的解决方案。
&四个安全性&加&时间持续性&缺一不可
《中国经济周刊》：我们了解到，您提出了&4+1&工控网络安全防护理念，这一理念应该如何理解，对匡恩网络的产品研发有什么意义？
孙一桉：匡恩网络在实践探索中创新性地提出了&4+1&的立体化工控安全防护理念。
第一是结构安全性，包括网络结构的优化和防护类设备的部署；第二是本体安全性，主要关注工控系统中设备自身的安全性；第三是行为安全性，工控系统对行为的判断、处理原则和入侵容忍度与信息系统不同，要根据工控系统的行业特点，判断系统内部发起的行为是否具有安全隐患，系统外部发起的行为是否具有安全威胁，并采取相应的机制；第四是基因安全性，实现工控安全设备基础软硬件的自主可控、安全可信，并进一步将可信平台植入到工业控制设备上；最后是时间持续性，即安全的持续管理与运维，在持续的对抗中保障安全。
综上，四个安全性加时间持续性，就构成了我们的工控安全防护体系。
在&4&29 首都网络安全日&博览会上，匡恩网络推出的部分保护类产品。
匡恩网络已实现全系列产品自主可控
《中国经济周刊》：工控网络安全领域的关键就是自主可控。匡恩网络在这方面是如何布局并逐步推进的？
孙一桉：匡恩网络是做工业控制网络安全的，行业涉及国家关键基础设施、制造、军队军工等重大领域，所以我们从一开始就在硬件和软件方面全部坚持自主研发，所有的解决方案都是自主开发，也申请了大量的专利和知识产权保护，目前已做到了全系列十几款产品的自主可控，是国内同类厂商中的佼佼者。下一步，我们将把自己开发的硬件、软件全部纳入可信计算体系。我们可以保证任何篡改、植入的系统都不能在我们的环境下运行。预计匡恩网络在今年可以实现可信和自主控制，形成一个基于可信计算的安全体系。
工控系统的特点是行业差异化大、投资大
《中国经济周刊》：许多业内人士表示，工控网络安全是一个很大的市场，也是将来能出现大公司的行业。关于这个市场，目前工控网络安全主要针对或服务的是哪些行业？
孙一桉： 工控网络安全的市场应从三个层次去看。
第一，工控网络安全本身。我国制造业、基础设施的规模非常大，它们在安全方面的花费有一个固定的比例。
第二，更大范围内的大安全的概念。工业网络安全也是生产安全的一部分，在大安全概念中的市场就更广泛了，涉及到与功能安全相结合、数据安全相结合等，而不仅仅是网络安全。
第三，做安全一方面是为了保护、防御系统安全，另一方面也是为了提高生产力，所以，在此基础上衍生出了工控系统本身智能化的提升和生产力的提高。匡恩网络的定位是从&工控的安全&做到&安全的工控&。这个过程当然不是一蹴而就，我们先要解决工控系统的网络安全，之后再扩大到大安全的概念，最后再扩大到工业智能化，以安全为基因的智能化生产和智能化服务。
我们自2015年成立匡恩网络智能工业安全研究院以来，就已经突破了传统的、简单的工业网络安全的概念，在新能源和智能制造等领域开始布局新的产品，今年会有一系列新的产品发布。随后我们还会再进一步扩大范围。
之前的一两年我们着重做平台建设。工控系统的特点是行业差异化太大，我们投入巨大的研发力量，做了一个适应性非常好的平台。这些前期的工作现在已经开花结果了，我们针对各个行业的特点做行业解决方案，提供定制化服务。目前覆盖的行业主要包括能源电力、轨道交通、石油石化、智能制造等，凡是智能化水平比较高的工业和制造业企业都是我们的客户。也包括基础设施如燃气、水、电、轨道交通、高铁、航空、港口等。今后我们还要继续拓展行业范围，比如防疫站、医院，未来也会关注更多的物联网终端。
匡恩网络推出的虚拟电子沙盘，展示智能制造等六大行业解决方案。
工控安全市场只开发了冰山一角
《中国经济周刊》：工控网络安全的需求这么大，您估计国内市场有多大规模？
孙一桉：我一直都不认为工控网络安全是整体信息安全的一个细分市场，它更像是传统信息安全领域的平行市场，市场规模非常大。但是这个市场的成长，从大家认识到开始采用再到大量采用，跳跃性很强，需要一个比较长的培养过程。
这种跳跃是由几个原因造成的：一、这个市场更大程度上是一个事件驱动、政策驱动的市场，是跳跃性的。二、行业进入门槛非常高。不管是匡恩网络还是华为、思科，要进入一个新行业，都要经过一个很长时间的试点和适应阶段，而且在此期间看不到效益。但一个小小的试点，随之而来的可能就是复制性很强的、爆炸性的市场。
现在我们所做的点点滴滴，只是未来更大的市场的冰山一角。尽管我们2015年相比2014年有10倍的增长，今年预计还会有大幅增长，但这并不是我们最看重的。在工控安全市场爆发点来临之前，我们要做的，就是全力以赴地练内功，做品牌，做产品，让用户的认可度和满意度不断提升。
我们与传统信息安全厂商主要还是合作关系，我们做工业控制网络安全，介于信息安全和工业控制之间。这是一个新生态，我们在努力适应并融入这个新的生态圈。
北京中安国发信息技术研究院院长、信息安全应急演练关键技术研究中心主任张胜生：
我国工控安全保障需要从业务安全需求出发
在&两化融合&&工业4.0&和&中国制造2025&的大背景下，随着信息化的推进和工业化进程的加速，越来越多的计算机和网络技术应用于工业控制系统，在为工业生产带来极大推动作用的同时，也带来了工控系统的安全及泄密问题。我国工控系统及设备的安全保护水平明显偏低，长期以来没有得到关注，如系统终端平台安全防护弱点，系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题、隐藏的后门和未知漏洞、TCP/IP自身的安全问题、用户权限控制的接入、网络安全边界防护，以及内部非法人员、密钥管理、当前国际复杂环境等，存在各种网络安全的风险和漏洞。
以匡恩网络为代表的国内专注工控安全的企业，根据工控业务需求、工控威胁风险以及工控泄密途径的分析，明确工控网络安全防护目标，并根据工控网络安全设计原则以及设计标准，进行工控网络安全方案设计，最终完成工控网络安全防护目标，实现评估、防护和运营的有机结合，形成长期有效的防护机制。
在工控安全发展过程中，具备工控安全知识，能够设计、实施、运维工控安全系统的工程师稀缺性日益凸显出来，企业与院校需要紧密互动，快速建设工控安全人才教育的实验室和课程体系，早日实现中国工控安全强国梦！
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
2016年第19期《中国经济周刊》封面
中国经济周刊-经济网版权作品，转载时须注明来源，违者将被追究法律责任。
(网络编辑：崔晓萌)近年来，针对工业控制系统的各种网络攻击事件日益增多，暴露出工业控制系统在安全防护方面的严重不足。谷神星网络科技为大家汇总了世界七大典型的世界工控网络安全事件，以了解工业控制系统所面临的安全威胁，促进国内工控网络安全事业不断发展。
一、 澳大利亚马卢奇污水处理厂非法入侵事件
2000年3月，澳大利亚昆士兰新建的马卢奇污水处理厂出现故障，无线连接信号丢失，污水泵工作异常，报警器也没有报警。本以为是新系统的磨合问题，后来发现是该厂前工程师Vitek Boden因不满工作续约被拒而蓄意报复所为。
这位前工程师通过一台手提电脑和一个无线发射器控制了150个污水泵站；前后三个多月，总计有100万公升的污水未经处理直接经雨水渠排入自然水系，导致当地环境受到严重破坏。
二、 美国Davis-Besse核电站受到Slammer 蠕虫攻击事件
2003年1月，美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQL Slammer蠕虫病毒攻击，网络数据传输量剧增，导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。
经调查发现，一供应商为给服务器提供应用软件，在该核电站网络防火墙后端建立了一个无防护的T1链接，病毒就是通过这个链接进入核电站网络的。这种病毒主要利用SQL Server 端口的缓冲区溢出漏洞进行攻击，并驻留在内存中，不断散播自身，使得网络拥堵，造成SQL Server无法正常工作或宕机。实际上，微软在半年前就发布了针对SQL Server 2000这个漏洞的补丁程序，但该核电站并没有及时进行更新，结果被Slammer病毒乘虚而入。
三、 美国Browns Ferry核电站受到网络攻击事件
2006年8月，美国阿拉巴马州的Browns Ferry核电站3号机组受到网络攻击，反应堆再循环泵和冷凝除矿控制器工作失灵，导致3号机组被迫关闭。
原来，调节再循环泵马达速度的变频器（VFD）和用于冷凝除矿的可编程逻辑控制器（PLC）中都内嵌了微处理器。通过微处理器，VFD和PLC可以在以太局域网中接受广播式数据通讯。但是，由于当天核电站局域网中出现了信息洪流，VFD和PLC无法及时处理，致使两设备瘫痪。
四、 美国Hatch核电厂自动停机事件
2008年3月，美国乔治亚州的Hatch核电厂2号机组发生自动停机事件。
当时，一位工程师正在对该厂业务网络中的一台计算机（用于采集控制网络中的诊断数据）进行软件更新，以同步业务网络与控制网络中的数据信息。当工程师重启该计算机时，同步程序重置了控制网络中的相关数据，使得控制系统以为反应堆储水库水位突然下降，自动关闭了整个机组。
五、 震网）病毒攻击美国Chevron（Stuxnet等四家石油公司
2012年，位于美国加州的Chevron石油公司对外承认，他们的计算机系统曾受到专用于攻击伊朗核设施的震网病毒的袭击。不仅如此，美国Baker Hughes、ConocoPhillips和Marathon等石油公司也相继声明其计算机系统也感染了震网病毒。他们警告说一旦病毒侵害了真空阀，就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。
虽然美国官员指这种病毒不具有传播用途，只对伊朗核设施有效，但事实证明，震网病毒已确确实实扩散开来。
六、 Duqu病毒（Stuxnet变种）出现
2011年安全专家检测到Stuxnet病毒的一个新型变种—Duqu木马病毒，这种病毒比Stuxnet病毒更加聪明、强大。与Stuxnet不同的是，Duqu木马不是为了破坏工业控制系统，而是潜伏并收集攻击目标的各种信息，以供未来网络袭击之用。前不久，已有企业宣称他们的设施中已经发现有Duqu代码。目前，Duqu僵尸网络已经完成了它的信息侦测任务，正在悄然等待中……。没人知晓下一次攻击何时爆发。
 七、 比Suxnet强大20倍的Flame火焰病毒肆虐中东地区
Flame火焰病毒具有超强的数据攫取能力，不仅袭击了伊朗的相关设施，还影响了整个中东地区。据报道，该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实施的高科技的网络武器。以色列计划还包括打击德黑兰所有通讯网络设施，包括电力、雷达、控制中心等。
谷神星网络发现，Flame火焰病毒最早诞生于2010年，迄今为止还在不断发展变化中。该病毒结构非常复杂，综合了多种网络攻击和网络间谍特征。一旦感染了系统，该病毒就会实施一系列操作，如监听网络通讯、截取屏幕信息、记录音频通话、截获键盘信息等等；所有相关数据都可以远程获取。
可以说，Flame病毒的威力大大超过了目前所有已知的网络威胁。
谷神星网络科技：创造性系统解决方案提供商，工控及物联网络安全领域的领跑者。
o谷神星网络科技有限公司，应时代而生，为工业网络的安全提供了国际先进的整体解决方案。
o北京谷神星网络科技有限公司，成立于2012年，以强大技术实力和创新商业理念，致力于成为工控及物联网络安全领域的领跑者。
o谷神星网络科技，基于“物”的网络安全领先技术，聚焦客户最重要的挑战与需求，创造解决本质问题的产品与服务，使得谷神星成为企业决策者和技术高管最信赖的伙伴，保卫万物互联的世界，协助客户实现丰收的喜悦。
文章来源: 中国网热门文章最新文章工控网络安全有没有设计得好一些的呢_百度知道【谷神星网络科技】工控防火墙中的基本类型和应用_工控安全吧_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0可签7级以上的吧50个
本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：13贴子：
【谷神星网络科技】工控防火墙中的基本类型和应用
在大量使用标准网络和互联网技术之后，工业控制系统在获得了大量益处的同时，加强其信息安全和网络安全业也变得更加重要。防火墙在阻断外部威胁以及内部可能影响生产安全、可靠性和生产力的网络事件方面扮演了重要角色，它们控制通信数据流并通过滤数据包来阻断有害的网络流量。今天有工业用层2和层3交换机、路由器、防火墙等安全装置支持很多数据包过滤技术，比如接入控制清单、状态检测和深度包解析，每一种技术都过滤不同的消息。这里我们研究要在深度防御的安全体系架构设计中做出明智选择时，你需要了解的基本概念。数据包结构基础知识：UDP和TCP要理解数据包过滤，首先要了解消息（数据包）是怎样构成的。今天的工业网络是构建在标准互联网的之上的。在物理层，以太网提供将数据包从一个地方到另一个地方运送的“管道”。在以太网数据帧上典型的载荷就是IP包，在IP包内有：发送消息设备的IP地址（也就是源地址）接受消息设备的IP地址（也就是目的地址）优先级信息数据包载荷部分的协议名称通常是UDP或TCP协议。下面是这两种协议的不同点：数据包可以使用成UDP或TCP通信协议。UDP的优点是延时短，而TCP的优点是有状态。首先解释一下“面向连接”和 “有状态的”的含义，在面向连接的协议中，设备之间的对话就像讲故事。对话有开始，内容和结束。发送内容时有序号，这样整个故事就有意义。当我们说设备间的通信时有状态是因为，每个数据包在某种程度上依赖之前的数据包。在网络中，“状态”包括了一些信息比如哪个设备启动会话，上一条消息是谁发送的，因为什么错误上一条消息被拒绝了等等。在无连接的协议中，没有建立一个对话的开始或结束。消息只是根据需要发送到目的地，与之前发送的消息没有关联。TCP是一个有状态协议，UDP是无状态的。了解这种能力的不同在构建工业以太网的纵深防御时非常重要和有用。基于TCP和UDP数据包结构的背景了解，我们可以审视不同的数据包过滤的机制。记住：数据包过滤的目的是确保只有你想要的数据流才能进入你的网络传输。数据包过滤做了什么？数据包过滤其实就是在网络之间或网络内部监视和控制数据流，是通过捕获流经网络的数据流与事先定义的一套规则进行比较进行的。不符合规则的消息被丢弃，原理上说以太网数据帧的所有信息包括载荷都可以用于创建一条规则，比如源IP地址、目的IP地址、MAC地址、协议信息和端口号等。使用访问控制清单进行包过滤你也许能够通过名字就能够猜到，访问控制清单（Access Control List：ACL）其实就是一个基于以太网、IP地址和TCP/UDP包头内的数值获得授权网络流量的列表。ACL也可以规定带宽限制或延迟某些流量的传输提高特定通信的优先级。ACL的功能可以内置于交换机芯片，使得ACL以“有线速率”运行成为可能，“有线速率”是指在转发数据帧时没有增加什么延时。ACL作用于每个数据包(也就是说是无状态的)。ACL通过限制网络通信特定的发送端、接收端和协议（端口）来提供信息安全。把以上汇总起来，想像你希望Modbus TCP数据流在IP地址为192.168.1.10的客户端与IP地址是192.168.1.20的目的地址之间传输。由于Modbus使用了TCP/IP，你需要创建两条规则来完成双向通信，你构建的ACL规则如下：“允许 Scr=192.168.1.10 Dis=192.168.1.20 Port=502 Protocol=Modbus”“允许 Scr=192.168.1.20 Dis=192.168.1.10 Port=502 Protocol=Modbus”ACL的优势在于过滤迅速，缺点是不能阻断非“向外”请求引起的“向内的”消息。他们不能确定一个刚收到的TCP消息是不是一个正在进行的TCP连接的一部分或一个未经请求响应，因此很可能是恶意的未完成或不稳定的数据包。因此，带有ACL的层2或层3的交换机在排除多余的数据包是扮演重要角色，它们不会阻断无序数据包。根据你的应用，比如高速机器人应用，ACL也许是数据包过滤的唯一选择。使用状态检测进行包过滤正好相反，状态防火墙着眼于其他参数并保持内部记录跟踪会话状态的细节。这些信息随后被用于分析每个数据包的合理性。客户端设备的内向流量只有是针对外向请求的响应时才被接受。由于内向的请求与之前外向的请求没有关联，ACL不能防止PLC面临的拒绝服务（DoS）攻击。状态防火墙（也就是SPI防火墙）可以阻止这样的攻击，因为攻击的内向消息与正确的事件序列没有关联。基于前面ACL规则的例子，检查数据包要满足标准：发自Modbus端口源于授权的源发送到授权的目的地尽管如此，如果数据包不是当前进行中的TCP会话也会被阻断，以保护网络不会遭受外部发起的攻击。由于要额外处理确定”状态”，状态检测不能以“有线速率”工作并且引入了转发数据包延迟。根据你的应用和安全策略，状态防火墙可能应用于网络边界（包括无线网络边界）来分割内部网络，或是现场级网络。使用深度包解析进行包过滤前面我们介绍了ACL防火墙和状态检测防火墙，ACL限制网络上传输的消息类型而转台检测防火墙确保特定数据包和之前通信有关联性，两种技术都是有用的保护，但是它们都不能阻止有“坏企图”的数据包。回到前面的例子， 使用ACL或状态检测你允许Modbus消息通过或阻断所有消息。对协议的精细控制室不可能的。这样，如果你允许从HMI到PLC读数据，你也就允许编程消息通过。这是一个严重的安全问题。相反，如果你不允许所有Modbus消息，那么网络控制必须的消息也被阻断了。这些宽泛的规则也许适合系统的较高层次，因为我们只关心数据包使用了许可的协议发送给过从授权设备。但是如果我们在深入系统到PLC和其他控制设备，则需要更精细的保护。这就是深度包解析要做的，它不仅要检查消息头也要多载荷部分解码，允许我们定义非常精细的规则，例如：PLC只接收来自HMI的读消息， 任何来自HMI的写操作消息都视为可疑并阻断。允许IP地址是192.168.1.15的设备发布Modbus写操作请求到特定的寄存器。对异常格式的消息和不寻常的行为做“完整性检查”。比如一个请求消息有10,000个响应消息就属于不寻常的行为。这种方法可以阻断一个故障设备导致的网络洪水攻击或黑客搞跨PLC的企图。简言之，深度包解析是我们能够确保应用需要的所有消息通过，并阻断所有其它消息。你可以想象，完全解码并在应用协议级别分析每个数据包需要额外的处理能力，深度包解析技术隐含着巨大的处理开销和网络延时。然而，根据IEC62443，要保护运营中重要系统，比如生产安全系统、RTU和汽轮机等，确保现场设备的区域之间的各种管道安全，精细保护是最理想的方案。深度包解析的设备实例可以在谷神星工业防火墙的实现看到（）。深度包解析可以是“针对协议”或“针对内容”，还有一种深度包解析是”基于签名”的。这种方法非常不同，它是映射一些列字节到签名数据库中已知字节模式，然后进行比较。基于签名的深度包解析可以对抗已知漏洞，但不提供针对协议深度包解析格式错误数据包的宽泛保护。为了真正确保ICS和SCADA网络的安全，针对协议的深度包解析通常在控制系统的底层需要。纵深防御中的不同包过滤技术前面我们介绍了在工业以太网交换机使用访问控制清单，在路由器或无线接入点使用SPI防火墙或具有深度包解析功能的安全设施。在实施纵深防御战略时最好在网络架构中的每个网元采用与之匹配的保护手段，如果想了解一个工业防火墙的具体实现，请参见谷神星相关的防护产品。谷神星()致力于工业控制系统与设备漏洞扫描与漏洞挖掘，软件白名单，工业控制网络风险评估与安全审计等，为企业工控网络安全保驾护航。
贴吧热议榜
使用签名档&&
保存至快速回贴