今日頭條
官方微信
官方抖音
訪談?lì)l道
啟明星辰集團(tuán)工控產(chǎn)品經(jīng)理 張曄
信息安全專家長期以來的看法:人為因素是網(wǎng)絡(luò)安全問題中最薄弱的一環(huán),成功的攻擊和信息犯罪往往利用了人性的弱點(diǎn)。企業(yè)防火墻通常能夠阻止病毒和其他惡意軟件感染計(jì)算機(jī),竊取重要數(shù)據(jù)信息,然而人為錯(cuò)誤往往使這樣的努力白費(fèi)。
啟明星辰集團(tuán)工控產(chǎn)品經(jīng)理張曄表示,由運(yùn)維人員做帶外運(yùn)維管理而引起的安全事件已經(jīng)在各個(gè)行業(yè)發(fā)生過多起,特別是在工業(yè)控制領(lǐng)域頻有發(fā)生。因此,對(duì)帶外運(yùn)維進(jìn)行有效地安全管理已經(jīng)到了非常緊迫的時(shí)候。國內(nèi)針對(duì)帶內(nèi)運(yùn)維安全防范的市場關(guān)注度較高,但帶外運(yùn)維安全防范卻很少有廠商顧及。啟明星辰針對(duì)這一領(lǐng)域?qū)iT研發(fā)了相關(guān)解決方案——“現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)”,把帶外運(yùn)維安全管理提升到了一個(gè)新的高度。
日前,啟明星辰、網(wǎng)御星云共同召開了這款專利創(chuàng)新產(chǎn)品“現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)”的發(fā)布會(huì)。在發(fā)布會(huì)上張曄介紹說:“現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)研發(fā)的初衷是針對(duì)專網(wǎng)或者涉密網(wǎng),也就是相對(duì)比較獨(dú)立的網(wǎng)絡(luò)的帶外運(yùn)維安全管理。”
該系統(tǒng)經(jīng)過一年時(shí)間的潛心研發(fā)成功上市,填補(bǔ)了國內(nèi)帶外運(yùn)維管理安全防范市場的空白。系統(tǒng)由兩部分組成,一部分是管理平臺(tái),用于工單創(chuàng)建,審計(jì)數(shù)據(jù)、配置數(shù)據(jù)、設(shè)備的管理;另一部分是移動(dòng)運(yùn)維網(wǎng)關(guān),用于運(yùn)維設(shè)備與被運(yùn)維設(shè)備之間的安全隔離和運(yùn)維行為的審計(jì)。當(dāng)運(yùn)維管理人員到機(jī)房進(jìn)行帶外運(yùn)維時(shí),可通過運(yùn)維管理平臺(tái)配發(fā)工單,工單下載到移動(dòng)運(yùn)維網(wǎng)關(guān)后,運(yùn)維人員攜帶移動(dòng)運(yùn)維網(wǎng)關(guān)到機(jī)房進(jìn)行設(shè)備帶外運(yùn)維。運(yùn)維時(shí),將便攜式的移動(dòng)運(yùn)維網(wǎng)關(guān)串接在被運(yùn)維設(shè)備與運(yùn)維筆記本電腦之間,移動(dòng)運(yùn)維網(wǎng)關(guān)就起到安全隔離、數(shù)據(jù)防泄漏以及對(duì)運(yùn)維行為進(jìn)行審計(jì)的作用。
提升帶外運(yùn)維管理安全
一般來說,信息系統(tǒng)運(yùn)行維護(hù)管理分為帶內(nèi)管理(In-Band)和帶外管理(Out-Of-Band)。帶外管理是指通過不同的運(yùn)維物理通道和業(yè)務(wù)網(wǎng)絡(luò),分別傳送運(yùn)維控制信息和業(yè)務(wù)數(shù)據(jù)信息。運(yùn)維物理通道可以是以太網(wǎng),也可以是串口線。運(yùn)維網(wǎng)與業(yè)務(wù)網(wǎng)一定是完全獨(dú)立,互不影響的。
帶外管理大量應(yīng)用于設(shè)備的初始配置、設(shè)備的升級(jí)和設(shè)備的故障維護(hù)中。運(yùn)維人員運(yùn)用管理設(shè)備(如筆記本)通過telnet、SSH、FTP等軟件對(duì)被運(yùn)維設(shè)備進(jìn)行管理,一般情況下是在機(jī)房對(duì)設(shè)備點(diǎn)對(duì)點(diǎn)進(jìn)行運(yùn)維。張曄指出,機(jī)房中的核心設(shè)備自身比較脆弱,由于服務(wù)器承載著重要業(yè)務(wù),一般都不會(huì)安裝殺毒軟件和及時(shí)打補(bǔ)丁。在做現(xiàn)場運(yùn)維時(shí),核心設(shè)備直接暴露在運(yùn)維人員面前,沒有任何安全監(jiān)控和防護(hù)措施。因此可能產(chǎn)生以下三方面的安全風(fēng)險(xiǎn):一是惡意代碼擴(kuò)散風(fēng)險(xiǎn)。運(yùn)維人員的筆記本和移動(dòng)存儲(chǔ)介質(zhì)或者上傳數(shù)據(jù)如果存在惡意代碼,則很快會(huì)在信息系統(tǒng)的核心進(jìn)行擴(kuò)散。這種安全威脅無防護(hù)、無監(jiān)控,惡意代碼在神不知鬼不覺的情況下感染信息系統(tǒng)的心臟地帶,對(duì)整個(gè)信息系統(tǒng)的安全形成嚴(yán)重威脅。第二是運(yùn)行維護(hù)缺乏審計(jì)。通過帶外管理方式對(duì)設(shè)備進(jìn)行維護(hù)是在一種無監(jiān)控、無防護(hù)的情況下進(jìn)行的。有的單位會(huì)安排陪同人員,但陪同人員是否具備相應(yīng)的運(yùn)維知識(shí)?是否可以判斷識(shí)別運(yùn)維風(fēng)險(xiǎn)?是否可以記憶運(yùn)維過程?這些都不具有客觀性。因此,帶外運(yùn)維人員所有的操作是在一種無審計(jì)的情況下進(jìn)行的,一旦信息系統(tǒng)出現(xiàn)問題,將無法追溯和問責(zé)。第三是敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)。通過帶外進(jìn)行運(yùn)維的設(shè)備,大多數(shù)是部署在機(jī)房中的關(guān)鍵設(shè)備,尤其是一些涉密行業(yè)、生產(chǎn)企業(yè),信息系統(tǒng)中承載著大量的敏感信息或涉密信息。通過帶外管理泄露信息悄無聲息,后果嚴(yán)重。
“帶外運(yùn)維的安全風(fēng)險(xiǎn)是需要依靠相應(yīng)的技術(shù)措施來加以防范的,”張曄指出,“現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)針對(duì)帶外運(yùn)維的安全風(fēng)險(xiǎn),給予了全面的解決。”
現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)綜合采用了安全隔離技術(shù)、數(shù)據(jù)擺渡技術(shù)、網(wǎng)絡(luò)行為審計(jì)技術(shù)等技術(shù)。針對(duì)不同的安全問題,現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)設(shè)計(jì)了幾個(gè)功能:運(yùn)維行為審計(jì)。移動(dòng)運(yùn)維網(wǎng)關(guān)可以全程記錄現(xiàn)場運(yùn)維人員對(duì)運(yùn)維設(shè)備的操作行為,用于事前警示與事后定責(zé);運(yùn)維設(shè)備隔離。
移動(dòng)運(yùn)維網(wǎng)關(guān)可以安全隔離運(yùn)維設(shè)備與被運(yùn)維設(shè)備,避免運(yùn)維設(shè)備自身感染的惡意代碼擴(kuò)散到脆弱的工業(yè)控制系統(tǒng);運(yùn)維數(shù)據(jù)管理。現(xiàn)場運(yùn)維審計(jì)與管理平臺(tái)對(duì)上傳、下載的數(shù)據(jù)進(jìn)行管理,避免上傳數(shù)據(jù)感染病毒,把下載的配置數(shù)據(jù)存儲(chǔ)備份。此系統(tǒng)可以廣泛應(yīng)用于軍工、軍隊(duì)、電信運(yùn)營商、銀行、交通、涉密行業(yè)、央企重要生產(chǎn)企業(yè)等行業(yè)。張曄表示:“現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)可以面向各個(gè)行業(yè)進(jìn)行定制化設(shè)計(jì),從而滿足不同行業(yè)對(duì)于帶外運(yùn)維管理安全防范的不同需求。”
助力工業(yè)控制系統(tǒng)現(xiàn)場運(yùn)維
工業(yè)控制系統(tǒng)信息安全風(fēng)險(xiǎn)是IT系統(tǒng)風(fēng)險(xiǎn)的延伸,張曄談到,解決工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)的方法有其自身的特點(diǎn)。在進(jìn)行工業(yè)控制系統(tǒng)信息安全防護(hù)時(shí)一定要兼顧其特殊性,如果引起工業(yè)控制系統(tǒng)失效,則會(huì)發(fā)生安全生產(chǎn)事故、導(dǎo)致意外停車。大量的統(tǒng)計(jì)數(shù)據(jù)表明,由線上運(yùn)維引起的工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)非常大。啟明星辰的此款產(chǎn)品不存在加裝防火墻的問題,只需在進(jìn)行現(xiàn)場運(yùn)維時(shí)連接一個(gè)移動(dòng)運(yùn)維網(wǎng)關(guān)即可,應(yīng)用簡單,能夠有效地解決帶外管理可能引發(fā)的安全問題,把風(fēng)險(xiǎn)降到最低。
現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)可以廣泛應(yīng)用于工業(yè)控制系統(tǒng)中的PLC、DCS、工業(yè)交換機(jī)、HMI、操作員站、工程師站、以及歷史數(shù)據(jù)庫、實(shí)時(shí)數(shù)據(jù)庫等系統(tǒng)的現(xiàn)場維護(hù),能夠幫助用戶防止惡意代碼通過運(yùn)維擴(kuò)散到工控系統(tǒng)、防止運(yùn)維過程中泄露生產(chǎn)工藝配方數(shù)據(jù)、防止運(yùn)維操作不當(dāng)造成生產(chǎn)事故,促進(jìn)現(xiàn)場運(yùn)維管理制度的有效落實(shí),提升安全管理績效。具體體現(xiàn)為:第一,解決現(xiàn)場運(yùn)維管理與技術(shù)漏洞。現(xiàn)場運(yùn)維管理無論在管理上還是在技術(shù)上,都長期存在監(jiān)控不到的漏洞,通過此系統(tǒng),不僅可以對(duì)運(yùn)維人員進(jìn)行管理,還可以對(duì)運(yùn)維行為進(jìn)行安全隔離和全程記錄。第二,落實(shí)國家和行業(yè)對(duì)現(xiàn)場運(yùn)維的要求。現(xiàn)場運(yùn)維是工業(yè)控制系統(tǒng)產(chǎn)生風(fēng)險(xiǎn)的主要原因之一,如何對(duì)工業(yè)控制系統(tǒng)現(xiàn)場運(yùn)維人員進(jìn)行有效的安全管理,在技術(shù)上一直是個(gè)空白。同時(shí),工信部協(xié)[2011]451號(hào)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》也對(duì)現(xiàn)場運(yùn)維安全提出了具體的要求。因此,現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)不僅可以解決運(yùn)維安全管理上技術(shù)措施的空白,而且可以落實(shí)國家制度的要求。第三,落實(shí)IT系統(tǒng)對(duì)運(yùn)維人員的管理要求。信息系統(tǒng)安全等級(jí)保護(hù)和涉密信息系統(tǒng)安全分級(jí)保護(hù),都對(duì)現(xiàn)場運(yùn)維管理提出了要求。但是如果沒有有效的現(xiàn)場運(yùn)維安全管理技術(shù),現(xiàn)場運(yùn)維管理就不可能真正實(shí)現(xiàn),對(duì)操作人員的人工審計(jì)也不客觀。借助現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)可以有效落實(shí)IT系統(tǒng)對(duì)運(yùn)維分域的管理要求。第四,促進(jìn)行業(yè)現(xiàn)場運(yùn)維管理規(guī)范的落地。運(yùn)維人員在做現(xiàn)場維護(hù)時(shí),在某些行業(yè)需要安排專人進(jìn)行監(jiān)督,如此操作一方面不人性化,另一方面也不客觀。那么通過現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng),使現(xiàn)場運(yùn)維管理可以有效地執(zhí)行。
從整個(gè)安全防御體系來看,帶外管理安全雖然屬于比較小的安全范疇,但所帶來的安全威脅造成的損失卻是巨大的。現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)的推出填補(bǔ)了國內(nèi)帶外管理市場的空白,完善了安全管理的體系。張曄透露,目前此系統(tǒng)已經(jīng)在某些大型企業(yè)得到成功應(yīng)用。啟明星辰、網(wǎng)御星云憑借專業(yè)的研發(fā)團(tuán)隊(duì),不僅成為了IT界信息安全防護(hù)的專業(yè)領(lǐng)軍企業(yè),也致力成為工業(yè)控制系統(tǒng)信息安全領(lǐng)域的佼佼者。
現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)的功能展示
摘自《自動(dòng)化博覽》2015年7月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)