縱觀網(wǎng)絡安全發(fā)展幾十年，安全威脅依然隨處可見，正所謂，“你見或者不見，我就在那里，只增不減”。從傳統(tǒng)網(wǎng)絡安全三劍客“入侵防御、防火墻、防病毒、”到下一代防火墻，從傳統(tǒng)網(wǎng)絡安全到工業(yè)控制系統(tǒng)安全，都離不開安全保護、離不開安全保護產(chǎn)品。尤其是在國家安全的大形勢下，公共基礎設施安全已列入國家安全范疇中，工業(yè)控制系統(tǒng)安全更是保障民生安全的基礎。在如此重要的區(qū)域，誰來保護工控系統(tǒng)安全？

國內(nèi)工業(yè)控制自動化和智能化進程的深入，工業(yè)控制網(wǎng)絡與外部互聯(lián)網(wǎng)或企業(yè)辦公網(wǎng)絡的信息交互日趨頻繁，使得工業(yè)控制網(wǎng)絡不斷面臨著來自外部互聯(lián)網(wǎng)的惡意攻擊和內(nèi)部人員的誤操作等威脅。早期工控設備使用環(huán)境相對封閉，工業(yè)控制系統(tǒng)在開發(fā)時往往更重視功能的實現(xiàn)，而缺少對工控網(wǎng)絡自身安全的關注，導致工業(yè)控制系統(tǒng)中不可避免的存在安全缺陷。目前，傳統(tǒng)防火墻已無法完全解決這些問題，無法將工控網(wǎng)絡置于安全的保護之下。匡恩網(wǎng)絡通過自主研發(fā)，深入市場細分領域，在公共基礎設施安全層面率先推出工控網(wǎng)絡IAD（Intelligent APT defense）智能保護平臺，以此來解決工控網(wǎng)絡潛在威脅。

你永遠不能保證你沒看見的東西處于安全狀態(tài)。工業(yè)控制系統(tǒng)邏輯范圍廣，應用軟件多，涉及硬件復雜，生產(chǎn)設備與生產(chǎn)環(huán)境多樣，一旦遭到破壞，可能對物理世界造成直接的巨大傷害。標準IEC62443對工控系統(tǒng)信息安全的定義：“保護系統(tǒng)所采取的措施；由建立和維護保護系統(tǒng)的措施所得到的系統(tǒng)狀態(tài)；能夠免于對系統(tǒng)資源的非授權訪問和非授權或意外的變更、破壞或者損失；基于計算機系統(tǒng)的能力，能夠保證非授權人員和系統(tǒng)既無法修改軟件及其數(shù)據(jù)，也無法訪問系統(tǒng)功能，確保授權人員和系統(tǒng)不被阻止；防止對工業(yè)控制系統(tǒng)的非法或有害入侵，或者干擾其正確和計劃的操作。”總結為物理安全、功能安全以及信息安全，強調(diào)不同于傳統(tǒng)IT安全的需求，首先保證整個系統(tǒng)的可用性和可靠性，其次才是保證控制平臺的可靠性與存儲其中數(shù)據(jù)的機密性。

工控安全面臨的五大威脅

ICS威脅指的是可能給ICS資產(chǎn)造成損失的來源，威脅分五大類，具體如下：

第一，環(huán)境和自然威脅：供電不足、電磁干擾、靜電、惡劣的溫度濕度條件、粉塵等，地震、雷電、臺風、洪澇、火災等。

第二，內(nèi)部無意威脅：操作失誤、軟件故障、硬件故障老化、網(wǎng)絡過載、隱藏信道（Covert Channels）。

第三，內(nèi)部有意威脅：蓄意破壞、非授權篡改、非授權使用、竊取竊聽內(nèi)部重要信息。

第四，外部攻擊：普通攻擊、商業(yè)竊密、信息戰(zhàn)、恐怖襲擊等。

第五，第三方人員：留有后門，第三方人員在對系統(tǒng)進行維護時，可能會未授權對系統(tǒng)進行更改或安裝非法軟件。

IAD智能保護平臺，用戶價值的最大化

在工業(yè)網(wǎng)絡中部署工業(yè)控制網(wǎng)絡保護產(chǎn)品，最終用戶價值是為其帶來最大化的安全防護，保證工業(yè)生產(chǎn)的順利進行。匡恩IAD智能保護平臺可從如下幾方面為國家基礎設施保駕護航：

l  保障工業(yè)網(wǎng)絡的結構安全性：

通過部署工業(yè)控制網(wǎng)絡IAD智能保護平臺，可以對工業(yè)網(wǎng)絡進行分層次保護，包括現(xiàn)場終端保護、區(qū)域保護以及邊界保護。實現(xiàn)各個層次內(nèi)的通信隔離，各個層次之間的訪問授權控制。幫助用戶完成工業(yè)網(wǎng)絡的全方位、立體化的保護，最終實現(xiàn)工業(yè)網(wǎng)絡的結構安全性。

l  保障工業(yè)網(wǎng)絡的本體安全性：

通過部署工業(yè)控制網(wǎng)絡IAD智能保護平臺，可以使用戶深度掌握工業(yè)網(wǎng)絡的運轉狀況，深度挖掘網(wǎng)絡中協(xié)議流量中存在的潛在漏洞并對這些漏洞進行處理，從而最終實現(xiàn)對工業(yè)網(wǎng)絡從內(nèi)到外的深層次保護。

l  保障工業(yè)網(wǎng)絡的行為安全性：

通過部署工業(yè)控制網(wǎng)絡IAD智能保護平臺，可以獲取網(wǎng)絡日志以及告警事件，并定期生成報告提供給用戶的網(wǎng)絡維護人員進行分析，從而使用戶掌握工業(yè)網(wǎng)絡的行為屬性，從網(wǎng)絡行為的角度保證網(wǎng)絡生產(chǎn)安全。

l  保障工業(yè)網(wǎng)絡的基因安全性：

通過部署工業(yè)控制網(wǎng)絡IAD智能保護平臺，使用戶可以對工業(yè)網(wǎng)絡進行基于控制協(xié)議的深層次分析診斷，同時工業(yè)控制網(wǎng)絡IAD智能保護平臺具備自身可信，并對工業(yè)網(wǎng)絡提供完整性檢驗。意味著將網(wǎng)絡安全基因深植于生產(chǎn)全環(huán)節(jié)，滲透于生產(chǎn)力諸基本要素之中，為用戶找到安全防護的最優(yōu)化點，為工業(yè)生產(chǎn)安全植入網(wǎng)絡安全基因。

伴隨著匡恩網(wǎng)絡產(chǎn)品系列的不斷豐富，IAD智能保護平臺也得到了不斷的加強和延展，該系列產(chǎn)品建立在智能機器學習引擎、深度數(shù)據(jù)包解析引擎和開放式特征匹配三大功能引擎之上，支持工控協(xié)議和工業(yè)以太網(wǎng)協(xié)議，擁有白名單一鍵式智能學習、黑名單主動防御、大規(guī)模分布式實時網(wǎng)絡部署等功能，能夠為工業(yè)控制網(wǎng)絡提供了全方位的綜合防御與保護。同時結合工業(yè)控制網(wǎng)絡安全自身內(nèi)在的組網(wǎng)需求，支持路由模式，提供靜態(tài)路由功能，既為工業(yè)控制網(wǎng)絡安全保駕護航，也同時滿足其三層組網(wǎng)需求。