“K鹰”监测审计平台，助力物联网“智”能飞翔

随着工业信息化进程的深入，信息技术广泛应用于工业领域， 现有工业控制系统的软硬件、通信协议等均存在信息安全隐患，并在一定程度上对国家和地区的关键信息基础设施安全和重要基础设施安全产生重大影响。

信息技术在工业领域的深度应用，以及逐年增加的工控网络安全事件，倒逼推动工业控制网络安全产业和创新技术的发展。工控网络安全非同于IT安全。工业生产对于可靠性、实时性、稳定性要求极为严苛。因此，如何在不影响工业正常生产的情况下，对工控系统进行实时监测、实时告警和精准安全审计非常关键。匡恩网络监测审计平台正是这样一款产品，它更大程度的满足了工业企业对工控网络安全产品的技术和应用需求。

工控网络安全事件发生频率远超想象

工控网络安全真正进入公众视野并得到高度重视，始于2010年震网病毒奇袭伊朗核电站事件。其实，早在 1992 年 2 月，立陶宛 Inalina 核电站就曾遭遇核心控制系统网络安全危机。该核电站计算机中心员工因为发泄对管理当局不满，在电厂控制程序内植入恶意程序 ( 逻辑炸弹 )，使控制系统功能异常。从90年代初，全球范围内就已暴露出对于工控网络安全重视和监管问题。尤其近年来，针对于工控网络安全的攻击事件发生频率远超外界想象，工控企业面临的安全威胁越发多样化，遭受攻击的程和力度也逐渐升级。

2016年8月，网络安全界监测到了Operation Ghoul（食尸鬼行动）网络攻击，Operation Ghoul针对30多个国家的工业、制造业和工程管理机构发起了定向渗透入侵。攻击者通过伪装阿联酋国家银行电邮，使用鱼叉式钓鱼邮件，对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。

目前，网络安全界发现全球130多个受攻击目标，其中大多为石化、海洋、军事、航空航天、重型机械和轨道交通等行业，涉及西班牙、巴基斯坦、阿联酋、印度、中国、埃及等国。攻击使用的鱼叉式邮件主要发送对象为目标机构的高级管理人员，如销售和市场经理、财务和行政经理、采购主管、工程师等。

事实上，能够披露公布出来的工控网络安全事件仅为冰山一角，工控网络安全形势远比所知所见更为严峻。

工控网络安全迎全面爆发期

工业信息化已成大势所趋，控制系统网络安全是其重要组成部分。国家对于对于关键信息基础设施安全和重要基础设施安全的高度重视，推动了工控网络安全的产业化发展。从工信部2011年下发451号文件《关于加强工业控制系统信息安全管理的通知》，明确规定加强重点领域工控信息系统安全管理措施；到2014年2月27日， 中央网络安全和信息化领导小组宣告成立，标志着网络安全已被提升到国家战略层面。2016年11月3日，工信部网站正式发布“工业和信息化部关于印发《工业控制系统信息安全防护指南》（工信软函〔2016〕338号），对工控信息安全做了标准化的技术要求。

受益于政策的支持，从事IIoT工业物联网安全和工控网络安全企业如雨后春笋般涌现。作为产业发展和技术创新的主体，这些网络安全企业的涌现进一步推动了产业化发展，更大程度满足工业企业对工控网络安全产品的技术和应用需求。从工业企业层面，随工业信息化发展所趋和企业转型升级所需，工业企业的网络安全意识提升，企业逐渐意识到工控网络安全的重要性与必要性，对部署于工业现场的工控网络安全产品需求相应提高。

监测审计是工控网络安全的切入点，应常态化

结合匡恩网络近三年来的工程实施经验，工控网络安全防护的防御应从结构安全、本体安全、行为安全、基因安全加时间持续性五方面着手。在网络安全生态闭环中，检测评估是工控网络安全的基础，而实时监测和实时告警及有效安全审计是工控网络安全的切入点，应成为工业企业工控网络防护的常态化。

鉴于工业控制网络的特殊性，有众多和传统信息安全不同的元素，如使用协议和应用场景等，匡恩网络针对工控网络提出并研究出利于现场发现安全事件的产品——“K鹰”监测审计平台，是一款专门针对工业控制网络设计的实时监测、实时告警、安全审计系统，通过特定的安全策略，快速识别出系统中存在的非法操作、异常事件、外部攻击。“K鹰”监测审计除了深度解析功能外，高度覆盖绝大多数工控厂商的工业协议外，还能够实时给用户展示当前现场网络及设备运行状况，对突发事件进行实时告警和事件追溯提供证据，对远程了解现场生产情况尤为重要。

结合工业现场环境和工控特性，产品在技术和设计上的创新更符合工业网络安全防护需求：

旁路监测审计：旁路监测审计不影响原有工业生产正常运行；

避免增加威胁端口：部署于交换机镜像端口，采用单向数据抓包方式，避免其他威胁因素；

无延时传输生产安全事件：0延时保证工控系统控制指令的实时性，及时发现现场安全问题，保障客户有效精准生产。

避免增加故障点：不会因为增加了安全设备而增加故障点；

典型应用场景如下：

用户价值：

全网实时监测，保障正常生产：对网络数据、事件进行实时监测、实时警告，帮助用户实时掌握工业控制网络运行状况,，保障正常生产。

网络安全审计，便于历史追踪：对网络中存在的所有活动提供行为审计、内容审计、协议审计、流量审计，生成完整记录便于事件追溯。

未知设备监测，及时威胁发现：对工业控制网络系统内未知的设备接入进行实时告警，迅速发现工业控制网络系统中存在的非法接入。

防御策略建议，完善防御体系：根据监测结果，提供防御策略建议，帮助用户构建适用的专属工业控制网络安全防御体系。

结语：

随着工控网络安全市场的发展，“K鹰”监测审计平台已衍生出更多满足细分行业需求的产品。匡恩网络作为工控信息安全领域的领航者，将以持续不断技术创新，打造丰富“K鹰”监测审计平台，使之成为工控网络安全防护的标配产品，以专业的服务赢得更为广阔的市场。