?





當前位置:>> 首頁 > 焦點新聞 > 行業熱點

排列五和值走势图最近500期:工控安全要避開傳統IT安全思路的幾個“暗坑”

更新時間:2017-06-06 15:08:54點擊次數:1427次字號:T|T
        很多人都在講工控系統安全與互聯網安全或者辦公網的安全又很大的不同。 具體有哪些不同呢? 其實NIST的SP800-82的工控系統安全指南里面講了10大類。  作為目前我們看到的比較系統的工控系統安全的標準或者指南來說。 NIST的這個文件概括的還是比較全面的。 不過,  在實踐中,有些重要的不同點NIST并沒有提到或者沒有強調 而有些NIST的指南則未免有些紙上談兵。 這里舉幾個例子。

体彩排列五走势图500期 www.lsnuqm.com.cn

安全實施與設備管理在不同部門導致的責任問題

        在互聯網或者企業網里, 所?;さ畝韻蟊熱綬衿?,存儲,網絡設備等的管理一般屬于IT部門。 而實施網絡安全方案的也是IT部門。 而在工控系統的安全里,  一般來說安全也是由IT部門主導, 而設備則是由另外的部門來管理。 比如在電網有所謂的OT部門。 在化工企業可能是設備處等等。 總之,  工控系統設備不歸IT部門管。 有很多時候, IT部門的人員甚至都進不了工控機房。

        這樣帶來了工控系統安全產品開發和銷售中的一個很大的挑戰。

        首先是責任劃分問題, 也就是說出了事誰負責的問題。 IT系統安全很簡單, 出了事就是IT部門的事。 而在工控系統安全中,就存在責任劃分問題。  “要是裝了你的安全方案后出了問題算誰的?”設備部門的第一個問題往往就是這個。   如果沒有一個很好的技術和管理結合的解決方案,工控安全的方案就很難在企業真正大規模推廣開。

        其次, 在工控系統安全方案中, 客戶對于生產系統的可持續性(continuity)的要求要大大高于IT安全的方案。   對一些大型工控系統,停一次機的損失就得幾千萬人民幣或者幾百萬美元, 客戶的生產部門對于由于安全方案需要的?;吞乇鴟錘?, 尤其是在沒有現實的威脅的情況下,  很難說服客戶去做大規模的?;?。 那么, 很多針對IT系統安全的方案比如升級或者補丁等就不一定合適。 且不說很多工控系統出于系統穩定性的考慮,  根本不允許進行補丁升級。 這樣就要求我們不得不在網絡層根據流量模式進行相應的防御。


工控系統的“縱深防御“存在很大困難, 邊界安全非常重要

        “縱深防御”是互聯網和企業安全的一個很重要的策略。 在NIST的指南里也提到要采用“縱深防御“的策略。 不過, 從實踐上來看,  在現階段工控系統架構和設計不能做出重大改變的情況下,”縱深防御“很難實施,而邊界安全其實更加重要。

        首先是工控系統的主機防御有很大困難, 很多主機系統非常老舊,漏洞非常多。 我們甚至在客戶的工控系統中看到過Windows98的系統。  而由于存在升級的困難(事實上, 很多主機系統運行了超過10年, 都找不到相應的升級補丁)。

        其次, 工控系統從設計上不是一個通用計算系統, 設計的資源余量很少, 除了干工控系統本身的事之外, 從主機到網絡都很少有冗余的資源進行其他工作。  不要說病毒, 就是一個掃描程序都可能導致工控系統的資源枯竭而導致問題。

        在此情況下, 工控系統內部其實是一個資源緊張, 漏洞百出的系統。 而且是短時間內無法改變的狀況。 在此種情況下進行工控系統安全的防御,  只能從邊界安全上做文章。

        而邊界安全來說, 傳統企業安全的防火墻等方案并不能解決問題。 因為很多客戶提出的所謂“安全隔離”, 其實并不能真正的隔離工控系統與外界的通信。  有很多工控系統的運行需要與辦公網進行數據交流。 比如很多生產調度是要在辦公網進行的。 有些辦公系統應用需要從工控系統中或者實時數據庫中取數據(比如商業分析,  生產優化等)。 目前普遍采用的OPC協議采用的動態端口分配的方式, 使得傳統防火墻很難簡單的通過規則制定來進行防護。 事實上,  我們看到不少客戶買了由互聯網防火墻改成的所謂“工控網防火墻“后, 發現無法適應生產的要求而棄之不用的情況。 我們的實踐發現,  目前階段工控系統邊界安全的比較有效的方案是通過針對網絡流量的分析, 利用人工智能的方式建立行為模式的白名單, 以及持續進行非主動的流量監測。


工控系統的數據安全需要格外重視

        工控系統的數據風險有兩個方面的威脅:

  • 一個是網絡攻擊的威脅, 我們通過對一些客戶網絡中的攻擊分析發現,  目前對工控系統的攻擊主要還是在系統信息收集以及工控數據篡改(事實上“震網“在最后實施攻擊的那一步就是篡改了儀表數據進行的);

  • 另外一個是對于客戶工控系統的經營和管理數據的竊取, 這里面包括可能有價值的工藝流程等情報。

        而在實踐中, 數據也是工控系統與外界通信的最主要原因。 大量的不同應用要去工控系統上取數據, 這也帶來了工控系統一個主要的攻擊面。 因此,  對于工控系統來說, 需要比企業網或者互聯網要有更多的對數據安全的重視。

        在進行數據安全的方案中, 一個需要注意的問題就是信息安全不能影響到工控系統的正常經營。 由于工控系統的資源冗余度很低,   數據安全的解決方案要考慮到資源占用的問題, 同時也要考慮到滿足數據應用的大量需求, 這個矛盾需要認真解決。   僅僅按照企業網的數據安全的方案是不符合實際情況的。關于工控安全與傳統IT安全思路的重大差異,讀者還可以參考:工控安全,該做的和不該做的。


        我們首先說說哪些不該做:


不要用傳統的漏洞掃描工具去掃描工控網設備:

        很多工控網設備很脆弱, 而且并不是為了能夠經受頻繁掃描而設計的。 有一次我們問一個設備供應商為什么簡單的端口掃描就會導致它的設備崩潰。 他回答說:“我們才用的是工控系統的TCP/IP堆棧?!?

 

不要指望傳統的漏洞掃描工具能夠發現工控網軟件的漏洞:

        傳統的漏洞管理工具會漏掉很多工控網的漏洞, 而更加糟糕的是, 有些工控網的漏洞, 比如說硬編碼, 后門密碼等, 會被認為是產品功能而不是漏洞。


不要指望能夠及時得到漏洞通知

        很多企業漏洞管理工具已經非常成熟, 它們會定期地并且及時地通知企業相關的漏洞。 而在工控網領域情況有很大不同, 漏洞的通知以及相關的風險信息通常并不能做到定期和及時。


不要以為外包給第三方就完事大吉了

        工控網的運維外包很常見, 比如在一座大廈的自動化系統可能就是外包給第三方的。企業應該意識到, 工控網的運維外包同時也把工控網的安全交給了第三方。 企業應該對第三方充分了解, 了解他們如何訪問設備, 企業應該要求他們對企業工控系統的安全采取措施。 如果企業的重要系統是租用場地(如IDC), 那么企業也需要了解場地的安全管理規章。


不要指望工控網設備商有集中式的補丁管理系統:

        給工控網打補丁是個很困難的事。 工控網常常擔負著企業最重要的生產流程。  而停掉這些流程往往會產生巨大的成本以及運營風險。 因此, 集中式的自動化的補丁管理系統是不存在的。 幾乎所有的工控網補丁都必須手動下載并安裝。 而且很多情況下, 只能由供應商認證的技術人員進行安裝。


那么, 在工控網安全方面, 哪些是應該做的呢?

辨明系統中的工控設備:

        如果你想要開始積極管理工控網的安全風險, 那么辨明網絡中的工控網設備非常重要。 理解并且登記在企業網絡環境中的工控網系統是工控網安全的基礎。


了解訪問工控設備的途徑:

        在了解登記的網絡中的工控網設備后, 你需要了解這些設備是如何被訪問的。 它們能夠從Internet上訪問嗎? 它們有沒有在防火墻的?;は??  非工控網操作人員有沒有可能訪問這些設備等等。


 監控對工控設備的訪問:

        工控網可能承擔了企業的一些最重要的運營, 而由于工控網補丁升級的困難以及很多設備自身的安全防護薄弱, 企業應該嚴格監控對工控網的訪問。 在大多數情況下, 對工控網設備的訪問應該是一些常規的的流量。


了解哪些用戶/工程師能夠操作工控網設備:

        對工控網的安全防護, 不僅僅是在設備端, 人的因素同樣重要, 了解對工控設備的操作人員及工程師是非常重要的一步。 像要求每個操作人員只能操作自己的工位上的工控設備這樣簡單的管理方式, 在實際中往往都很難做到。

IT經理網 (編輯:王萌)
?