信息來源:企業(yè)網(wǎng)
很多人都在講工控系統(tǒng)安全與互聯(lián)網(wǎng)安全或者辦公網(wǎng)的安全又很大的不同�。 具體有哪些不同呢�? 其實NIST的SP800-82的工控系統(tǒng)安全指南里面講了10大類�。 作為目前我們看到的比較系統(tǒng)的工控系統(tǒng)安全的標(biāo)準(zhǔn)或者指南來說�。 NIST的這個文件概括的還是比較全面的。 不過�����, 在實踐中�����,有些重要的不同點NIST并沒有提到或者沒有強調(diào) 而有些NIST的指南則未免有些紙上談兵�。 這里我舉幾個例子。
安全實施與設(shè)備管理在不同部門導(dǎo)致的責(zé)任問題
在互聯(lián)網(wǎng)或者企業(yè)網(wǎng)里�����, 所保護(hù)的對象比如服務(wù)器,存儲�,網(wǎng)絡(luò)設(shè)備等的管理一般屬于IT部門。 而實施網(wǎng)絡(luò)安全方案的也是IT部門�����。 而在工控系統(tǒng)的安全里�, 一般來說安全也是由IT部門主導(dǎo), 而設(shè)備則是由另外的部門來管理�。 比如在電網(wǎng)有所謂的OT部門。 在化工企業(yè)可能是設(shè)備處等等�����。 總之�����, 工控系統(tǒng)設(shè)備不歸IT部門管�����。 有很多時候�, IT部門的人員甚至都進(jìn)不了工控機房�����。
這樣帶來了工控系統(tǒng)安全產(chǎn)品開發(fā)和銷售中的一個很大的挑戰(zhàn)�。
首先是責(zé)任劃分問題�, 也就是說出了事誰負(fù)責(zé)的問題。 IT系統(tǒng)安全很簡單�, 出了事就是IT部門的事。 而在工控系統(tǒng)安全中�,就存在責(zé)任劃分問題。 “要是裝了你的安全方案后出了問題算誰的�?”設(shè)備部門的第一個問題往往就是這個。 如果沒有一個很好的技術(shù)和管理結(jié)合的解決方案�,控安全的方案就很難在企業(yè)真正大規(guī)模推廣開�����。
其次�, 在工控系統(tǒng)安全方案中, 客戶對于生產(chǎn)系統(tǒng)的可持續(xù)性(continuity)的要求要大大高于IT安全的方案�。 對一些大型工控系統(tǒng),停一次機的損失就得幾千萬人民幣或者幾百萬美元�, 客戶的生產(chǎn)部門對于由于安全方案需要的停機就特別反感, 尤其是在沒有現(xiàn)實的威脅的情況下�, 很難說服客戶去做大規(guī)模的停機升級�。 那么�, 很多針對IT系統(tǒng)安全的方案比如升級或者補丁等就不一定合適。 且不說很多工控系統(tǒng)出于系統(tǒng)穩(wěn)定性的考慮�, 根本不允許進(jìn)行補丁升級。 這樣就要求我們不得不在網(wǎng)絡(luò)層根據(jù)流量模式進(jìn)行相應(yīng)的防御�����。
工控系統(tǒng)的“縱深防御“存在很大困難�, 邊界安全非常重要
“縱深防御”是互聯(lián)網(wǎng)和企業(yè)安全的一個很重要的策略。 在NIST的指南里也提到要采用“縱深防御“的策略�����。 不過�, 從實踐上來看, 在現(xiàn)階段工控系統(tǒng)架構(gòu)和設(shè)計不能做出重大改變的情況下�����,”縱深防御“很難實施�,而邊界安全其實更加重要。
首先是工控系統(tǒng)的主機防御有很大困難�����, 很多主機系統(tǒng)非常老舊,漏洞非常多�。 我們甚至在客戶的工控系統(tǒng)中看到過Windows98的系統(tǒng)。 而由于存在升級的困難(事實上�, 很多主機系統(tǒng)運行了超過10年, 都找不到相應(yīng)的升級補?。?/span>
其次�����, 工控系統(tǒng)從設(shè)計上不是一個通用計算系統(tǒng)�����, 設(shè)計的資源余量很少�����, 除了干工控系統(tǒng)本身的事之外�, 從主機到網(wǎng)絡(luò)都很少有冗余的資源進(jìn)行其他工作�。 不要說病毒, 就是一個掃描程序都可能導(dǎo)致工控系統(tǒng)的資源枯竭而導(dǎo)致問題�����。
在此情況下, 工控系統(tǒng)內(nèi)部其實是一個資源緊張�, 漏洞百出的系統(tǒng)。 而且是短時間內(nèi)無法改變的狀況�。 在此種情況下進(jìn)行工控系統(tǒng)安全的防御, 只能從邊界安全上做文章�����。
而邊界安全來說�, 傳統(tǒng)企業(yè)安全的防火墻等方案并不能解決問題。 因為很多客戶提出的所謂“安全隔離”�, 其實并不能真正的隔離工控系統(tǒng)與外界的通信。 有很多工控系統(tǒng)的運行需要與辦公網(wǎng)進(jìn)行數(shù)據(jù)交流�。 比如很多生產(chǎn)調(diào)度是要在辦公網(wǎng)進(jìn)行的。 有些辦公系統(tǒng)應(yīng)用需要從工控系統(tǒng)中或者實時數(shù)據(jù)庫中取數(shù)據(jù)(比如商業(yè)分析�, 生產(chǎn)優(yōu)化等)。 目前普遍采用的OPC協(xié)議采用的動態(tài)端口分配的方式�����, 使得傳統(tǒng)防火墻很難簡單的通過規(guī)則制定來進(jìn)行防護(hù)�����。 事實上�����, 我們看到不少客戶買了由互聯(lián)網(wǎng)防火墻改成的所謂“工控網(wǎng)防火墻“后, 發(fā)現(xiàn)無法適應(yīng)生產(chǎn)的要求而棄之不用的情況�����。 我們的實踐發(fā)現(xiàn)�����, 目前階段工控系統(tǒng)邊界安全的比較有效的方案是通過針對網(wǎng)絡(luò)流量的分析�����, 利用人工智能的方式建立行為模式的白名單�����, 以及持續(xù)進(jìn)行非主動的流量監(jiān)測�����。
工控系統(tǒng)的數(shù)據(jù)安全需要格外重視
工控系統(tǒng)的數(shù)據(jù)風(fēng)險有兩個方面的威脅:
一個是網(wǎng)絡(luò)攻擊的威脅�, 我們通過對一些客戶網(wǎng)絡(luò)中的攻擊分析發(fā)現(xiàn)�, 目前對工控系統(tǒng)的攻擊主要還是在系統(tǒng)信息收集以及工控數(shù)據(jù)篡改(事實上“震網(wǎng)“在最后實施攻擊的那一步就是篡改了儀表數(shù)據(jù)進(jìn)行的)�����。 另外一個是對于客戶工控系統(tǒng)的經(jīng)營和管理數(shù)據(jù)的竊取�, 這里面包括可能有價值的工藝流程等情報�。
而在實踐中, 數(shù)據(jù)也是工控系統(tǒng)與外界通信的最主要原因�����。 大量的不同應(yīng)用要去工控系統(tǒng)上取數(shù)據(jù)�����, 這也帶來了工控系統(tǒng)一個主要的攻擊面�。 因此, 對于工控系統(tǒng)來說�����, 需要比企業(yè)網(wǎng)或者互聯(lián)網(wǎng)要有更多的對數(shù)據(jù)安全的重視�。
在進(jìn)行數(shù)據(jù)安全的方案中, 一個需要注意的問題就是信息安全不能影響到工控系統(tǒng)的正常經(jīng)營�����。 由于工控系統(tǒng)的資源冗余度很低, 數(shù)據(jù)安全的解決方案要考慮到資源占用的問題�����, 同時也要考慮到滿足數(shù)據(jù)應(yīng)用的大量需求�, 這個矛盾需要認(rèn)真解決。 僅僅按照企業(yè)網(wǎng)的數(shù)據(jù)安全的方案是不符合實際情況的�����。關(guān)于工控安全與傳統(tǒng)IT安全思路的重大差異�,讀者還可以參考我兩年前發(fā)布的這篇文章:工控安全,該做的和不該做的�。
