工(gōng)控安全要避開(kāi)傳統IT安全思路的幾個“暗坑”

很(hěn)多人都在講工(gōng)控系統安全與互聯網安全或者辦公網的安全又很(hěn)大(dà)的不同。 具體有哪些(xiē)不同呢(ne)? 其實NIST的SP800-82的工(gōng)控系統安全指南裏面講了(le)10大(dà)類。  作(zuò)爲目前我們看(kàn)到(dào)的比較系統的工(gōng)控系統安全的标準或者指南來(lái)說。 NIST的這(zhè)個文(wén)件概括的還是比較全面的。 不過，  在實踐中，有些(xiē)重要的不同點NIST并沒有提到(dào)或者沒有強調 而有些(xiē)NIST的指南則未免有些(xiē)紙(zhǐ)上(shàng)談兵。 這(zhè)裏舉幾個例子。

安全實施與設備管理(lǐ)在不同部門(mén)導緻的責任問題

        在互聯網或者企業網裏， 所保護的對(duì)象比如服務器，存儲，網絡設備等的管理(lǐ)一般屬于IT部門(mén)。 而實施網絡安全方案的也(yě)是IT部門(mén)。 而在工(gōng)控系統的安全裏，  一般來(lái)說安全也(yě)是由IT部門(mén)主導， 而設備則是由另外(wài)的部門(mén)來(lái)管理(lǐ)。 比如在電網有所謂的OT部門(mén)。 在化工(gōng)企業可能(néng)是設備處等等。 總之，  工(gōng)控系統設備不歸IT部門(mén)管。 有很(hěn)多時(shí)候， IT部門(mén)的人員甚至都進不了(le)工(gōng)控機房。

        這(zhè)樣帶來(lái)了(le)工(gōng)控系統安全産品開(kāi)發和(hé)銷售中的一個很(hěn)大(dà)的挑戰。

        首先是責任劃分問題， 也(yě)就是說出了(le)事(shì)誰負責的問題。 IT系統安全很(hěn)簡單， 出了(le)事(shì)就是IT部門(mén)的事(shì)。 而在工(gōng)控系統安全中，就存在責任劃分問題。  “要是裝了(le)你(nǐ)的安全方案後出了(le)問題算(suàn)誰的?”設備部門(mén)的第一個問題往往就是這(zhè)個。   如果沒有一個很(hěn)好(hǎo)的技術和(hé)管理(lǐ)結合的解決方案，工(gōng)控安全的方案就很(hěn)難在企業真正大(dà)規模推廣開(kāi)。

        其次， 在工(gōng)控系統安全方案中， 客戶對(duì)于生産系統的可持續性(continuity)的要求要大(dà)大(dà)高(gāo)于IT安全的方案。   對(duì)一些(xiē)大(dà)型工(gōng)控系統，停一次機的損失就得幾千萬人民币或者幾百萬美(měi)元， 客戶的生産部門(mén)對(duì)于由于安全方案需要的停機就特别反感， 尤其是在沒有現(xiàn)實的威脅的情況下(xià)，  很(hěn)難說服客戶去做大(dà)規模的停機升級。 那麽， 很(hěn)多針對(duì)IT系統安全的方案比如升級或者補丁等就不一定合适。 且不說很(hěn)多工(gōng)控系統出于系統穩定性的考慮，  根本不允許進行補丁升級。 這(zhè)樣就要求我們不得不在網絡層根據流量模式進行相應的防禦。

工(gōng)控系統的“縱深防禦“存在很(hěn)大(dà)困難， 邊界安全非常重要

        “縱深防禦”是互聯網和(hé)企業安全的一個很(hěn)重要的策略。 在NIST的指南裏也(yě)提到(dào)要采用(yòng)“縱深防禦“的策略。 不過， 從(cóng)實踐上(shàng)來(lái)看(kàn)，  在現(xiàn)階段工(gōng)控系統架構和(hé)設計(jì)不能(néng)做出重大(dà)改變的情況下(xià)，”縱深防禦“很(hěn)難實施，而邊界安全其實更加重要。

        首先是工(gōng)控系統的主機防禦有很(hěn)大(dà)困難， 很(hěn)多主機系統非常老(lǎo)舊，漏洞非常多。 我們甚至在客戶的工(gōng)控系統中看(kàn)到(dào)過Windows98的系統。  而由于存在升級的困難(事(shì)實上(shàng)， 很(hěn)多主機系統運行了(le)超過10年， 都找不到(dào)相應的升級補丁)。

        其次， 工(gōng)控系統從(cóng)設計(jì)上(shàng)不是一個通用(yòng)計(jì)算(suàn)系統， 設計(jì)的資源餘量很(hěn)少， 除了(le)幹工(gōng)控系統本身的事(shì)之外(wài)， 從(cóng)主機到(dào)網絡都很(hěn)少有冗餘的資源進行其他(tā)工(gōng)作(zuò)。  不要說病毒， 就是一個掃描程序都可能(néng)導緻工(gōng)控系統的資源枯竭而導緻問題。

        在此情況下(xià)， 工(gōng)控系統内部其實是一個資源緊張， 漏洞百出的系統。 而且是短時(shí)間内無法改變的狀況。 在此種情況下(xià)進行工(gōng)控系統安全的防禦，  隻能(néng)從(cóng)邊界安全上(shàng)做文(wén)章。

        而邊界安全來(lái)說， 傳統企業安全的防火牆等方案并不能(néng)解決問題。 因爲很(hěn)多客戶提出的所謂“安全隔離”， 其實并不能(néng)真正的隔離工(gōng)控系統與外(wài)界的通信。  有很(hěn)多工(gōng)控系統的運行需要與辦公網進行數據交流。 比如很(hěn)多生産調度是要在辦公網進行的。 有些(xiē)辦公系統應用(yòng)需要從(cóng)工(gōng)控系統中或者實時(shí)數據庫中取數據(比如商業分析，  生産優化等)。 目前普遍采用(yòng)的OPC協議(yì)采用(yòng)的動态端口分配的方式， 使得傳統防火牆很(hěn)難簡單的通過規則制定來(lái)進行防護。 事(shì)實上(shàng)，  我們看(kàn)到(dào)不少客戶買了(le)由互聯網防火牆改成的所謂“工(gōng)控網防火牆“後， 發現(xiàn)無法适應生産的要求而棄之不用(yòng)的情況。 我們的實踐發現(xiàn)，  目前階段工(gōng)控系統邊界安全的比較有效的方案是通過針對(duì)網絡流量的分析， 利用(yòng)人工(gōng)智能(néng)的方式建立行爲模式的白(bái)名單， 以及持續進行非主動的流量監測。

工(gōng)控系統的數據安全需要格外(wài)重視(shì)

        工(gōng)控系統的數據風(fēng)險有兩個方面的威脅：

• 一個是網絡攻擊的威脅， 我們通過對(duì)一些(xiē)客戶網絡中的攻擊分析發現(xiàn)，  目前對(duì)工(gōng)控系統的攻擊主要還是在系統信息收集以及工(gōng)控數據篡改(事(shì)實上(shàng)“震網“在最後實施攻擊的那一步就是篡改了(le)儀表數據進行的)；

• 另外(wài)一個是對(duì)于客戶工(gōng)控系統的經營和(hé)管理(lǐ)數據的竊取， 這(zhè)裏面包括可能(néng)有價值的工(gōng)藝流程等情報(bào)。

        而在實踐中， 數據也(yě)是工(gōng)控系統與外(wài)界通信的最主要原因。 大(dà)量的不同應用(yòng)要去工(gōng)控系統上(shàng)取數據， 這(zhè)也(yě)帶來(lái)了(le)工(gōng)控系統一個主要的攻擊面。 因此，  對(duì)于工(gōng)控系統來(lái)說， 需要比企業網或者互聯網要有更多的對(duì)數據安全的重視(shì)。

        在進行數據安全的方案中， 一個需要注意的問題就是信息安全不能(néng)影響到(dào)工(gōng)控系統的正常經營。 由于工(gōng)控系統的資源冗餘度很(hěn)低(dī)，   數據安全的解決方案要考慮到(dào)資源占用(yòng)的問題， 同時(shí)也(yě)要考慮到(dào)滿足數據應用(yòng)的大(dà)量需求， 這(zhè)個矛盾需要認真解決。   僅僅按照企業網的數據安全的方案是不符合實際情況的。關于工(gōng)控安全與傳統IT安全思路的重大(dà)差異，讀者還可以參考：工(gōng)控安全，該做的和(hé)不該做的。

        我們首先說說哪些(xiē)不該做：

不要用(yòng)傳統的漏洞掃描工(gōng)具去掃描工(gōng)控網設備：

        很(hěn)多工(gōng)控網設備很(hěn)脆弱， 而且并不是爲了(le)能(néng)夠經受頻繁掃描而設計(jì)的。 有一次我們問一個設備供應商爲什(shén)麽簡單的端口掃描就會(huì)導緻它的設備崩潰。 他(tā)回答(dá)說：“我們才用(yòng)的是工(gōng)控系統的TCP/IP堆棧。”

不要指望傳統的漏洞掃描工(gōng)具能(néng)夠發現(xiàn)工(gōng)控網軟件的漏洞：

        傳統的漏洞管理(lǐ)工(gōng)具會(huì)漏掉很(hěn)多工(gōng)控網的漏洞， 而更加糟糕的是， 有些(xiē)工(gōng)控網的漏洞， 比如說硬編碼， 後門(mén)密碼等， 會(huì)被認爲是産品功能(néng)而不是漏洞。

不要指望能(néng)夠及時(shí)得到(dào)漏洞通知(zhī)

        很(hěn)多企業漏洞管理(lǐ)工(gōng)具已經非常成熟， 它們會(huì)定期地并且及時(shí)地通知(zhī)企業相關的漏洞。 而在工(gōng)控網領域情況有很(hěn)大(dà)不同， 漏洞的通知(zhī)以及相關的風(fēng)險信息通常并不能(néng)做到(dào)定期和(hé)及時(shí)。

不要以爲外(wài)包給第三方就完事(shì)大(dà)吉了(le)

        工(gōng)控網的運維外(wài)包很(hěn)常見， 比如在一座大(dà)廈的自(zì)動化系統可能(néng)就是外(wài)包給第三方的。企業應該意識到(dào)， 工(gōng)控網的運維外(wài)包同時(shí)也(yě)把工(gōng)控網的安全交給了(le)第三方。 企業應該對(duì)第三方充分了(le)解， 了(le)解他(tā)們如何訪問設備， 企業應該要求他(tā)們對(duì)企業工(gōng)控系統的安全采取措施。 如果企業的重要系統是租用(yòng)場地（如IDC）， 那麽企業也(yě)需要了(le)解場地的安全管理(lǐ)規章。

不要指望工(gōng)控網設備商有集中式的補丁管理(lǐ)系統：

        給工(gōng)控網打補丁是個很(hěn)困難的事(shì)。 工(gōng)控網常常擔負着企業最重要的生産流程。  而停掉這(zhè)些(xiē)流程往往會(huì)産生巨大(dà)的成本以及運營風(fēng)險。 因此， 集中式的自(zì)動化的補丁管理(lǐ)系統是不存在的。 幾乎所有的工(gōng)控網補丁都必須手動下(xià)載并安裝。 而且很(hěn)多情況下(xià)， 隻能(néng)由供應商認證的技術人員進行安裝。

那麽， 在工(gōng)控網安全方面， 哪些(xiē)是應該做的呢(ne)？

辨明(míng)系統中的工(gōng)控設備：

        如果你(nǐ)想要開(kāi)始積極管理(lǐ)工(gōng)控網的安全風(fēng)險， 那麽辨明(míng)網絡中的工(gōng)控網設備非常重要。 理(lǐ)解并且登記在企業網絡環境中的工(gōng)控網系統是工(gōng)控網安全的基礎。

了(le)解訪問工(gōng)控設備的途徑：

        在了(le)解登記的網絡中的工(gōng)控網設備後， 你(nǐ)需要了(le)解這(zhè)些(xiē)設備是如何被訪問的。 它們能(néng)夠從(cóng)Internet上(shàng)訪問嗎？ 它們有沒有在防火牆的保護下(xià)？  非工(gōng)控網操作(zuò)人員有沒有可能(néng)訪問這(zhè)些(xiē)設備等等。

 監控對(duì)工(gōng)控設備的訪問：

        工(gōng)控網可能(néng)承擔了(le)企業的一些(xiē)最重要的運營， 而由于工(gōng)控網補丁升級的困難以及很(hěn)多設備自(zì)身的安全防護薄弱， 企業應該嚴格監控對(duì)工(gōng)控網的訪問。 在大(dà)多數情況下(xià)， 對(duì)工(gōng)控網設備的訪問應該是一些(xiē)常規的的流量。

了(le)解哪些(xiē)用(yòng)戶/工(gōng)程師能(néng)夠操作(zuò)工(gōng)控網設備：

        對(duì)工(gōng)控網的安全防護， 不僅僅是在設備端， 人的因素同樣重要， 了(le)解對(duì)工(gōng)控設備的操作(zuò)人員及工(gōng)程師是非常重要的一步。 像要求每個操作(zuò)人員隻能(néng)操作(zuò)自(zì)己的工(gōng)位上(shàng)的工(gōng)控設備這(zhè)樣簡單的管理(lǐ)方式， 在實際中往往都很(hěn)難做到(dào)。

（聲明(míng)：文(wén)章來(lái)源于網絡，不代表本站(zhàn)觀點及立場，版權歸原作(zuò)者及原出處所有，若有侵權或異議(yì)請(qǐng)聯系更正或删除。）