資訊中心

MORE+

聯系我們

  • 廣西航天信息技術有限公司
  • 網址:/
  • 電話(huà):0771-5675955
  • 郵箱: zjgxxxjs@qq.com
  • 地址:南甯市楓林(lín)路6号鳳嶺春天商業區(qū)二樓
您的當前位置:首頁 > 新聞資訊

工(gōng)控安全要避開(kāi)傳統IT安全思路的幾個“暗坑”

發布時(shí)間:2019-09-17 15:56:00 來(lái)源:http://www.zjgxxxjs.com 分類:新聞資訊 次浏覽

很(hěn)多人都在講工(gōng)控系統安全與互聯網安全或者辦公網的安全又很(hěn)大(dà)的不同。 具體有哪些(xiē)不同呢(ne)? 其實NIST的SP800-82的工(gōng)控系統安全指南裏面講了(le)10大(dà)類。  作(zuò)爲目前我們看(kàn)到(dào)的比較系統的工(gōng)控系統安全的标準或者指南來(lái)說。 NIST的這(zhè)個文(wén)件概括的還是比較全面的。 不過,  在實踐中,有些(xiē)重要的不同點NIST并沒有提到(dào)或者沒有強調 而有些(xiē)NIST的指南則未免有些(xiē)紙(zhǐ)上(shàng)談兵。 這(zhè)裏舉幾個例子。


安全實施與設備管理(lǐ)在不同部門(mén)導緻的責任問題

        在互聯網或者企業網裏, 所保護的對(duì)象比如服務器,存儲,網絡設備等的管理(lǐ)一般屬于IT部門(mén)。 而實施網絡安全方案的也(yě)是IT部門(mén)。 而在工(gōng)控系統的安全裏,  一般來(lái)說安全也(yě)是由IT部門(mén)主導, 而設備則是由另外(wài)的部門(mén)來(lái)管理(lǐ)。 比如在電網有所謂的OT部門(mén)。 在化工(gōng)企業可能(néng)是設備處等等。 總之,  工(gōng)控系統設備不歸IT部門(mén)管。 有很(hěn)多時(shí)候, IT部門(mén)的人員甚至都進不了(le)工(gōng)控機房。

        這(zhè)樣帶來(lái)了(le)工(gōng)控系統安全産品開(kāi)發和(hé)銷售中的一個很(hěn)大(dà)的挑戰。

        首先是責任劃分問題, 也(yě)就是說出了(le)事(shì)誰負責的問題。 IT系統安全很(hěn)簡單, 出了(le)事(shì)就是IT部門(mén)的事(shì)。 而在工(gōng)控系統安全中,就存在責任劃分問題。  “要是裝了(le)你(nǐ)的安全方案後出了(le)問題算(suàn)誰的?”設備部門(mén)的第一個問題往往就是這(zhè)個。   如果沒有一個很(hěn)好(hǎo)的技術和(hé)管理(lǐ)結合的解決方案,工(gōng)控安全的方案就很(hěn)難在企業真正大(dà)規模推廣開(kāi)。

        其次, 在工(gōng)控系統安全方案中, 客戶對(duì)于生産系統的可持續性(continuity)的要求要大(dà)大(dà)高(gāo)于IT安全的方案。   對(duì)一些(xiē)大(dà)型工(gōng)控系統,停一次機的損失就得幾千萬人民币或者幾百萬美(měi)元, 客戶的生産部門(mén)對(duì)于由于安全方案需要的停機就特别反感, 尤其是在沒有現(xiàn)實的威脅的情況下(xià),  很(hěn)難說服客戶去做大(dà)規模的停機升級。 那麽, 很(hěn)多針對(duì)IT系統安全的方案比如升級或者補丁等就不一定合适。 且不說很(hěn)多工(gōng)控系統出于系統穩定性的考慮,  根本不允許進行補丁升級。 這(zhè)樣就要求我們不得不在網絡層根據流量模式進行相應的防禦。


工(gōng)控系統的“縱深防禦“存在很(hěn)大(dà)困難, 邊界安全非常重要

        “縱深防禦”是互聯網和(hé)企業安全的一個很(hěn)重要的策略。 在NIST的指南裏也(yě)提到(dào)要采用(yòng)“縱深防禦“的策略。 不過, 從(cóng)實踐上(shàng)來(lái)看(kàn),  在現(xiàn)階段工(gōng)控系統架構和(hé)設計(jì)不能(néng)做出重大(dà)改變的情況下(xià),”縱深防禦“很(hěn)難實施,而邊界安全其實更加重要。

        首先是工(gōng)控系統的主機防禦有很(hěn)大(dà)困難, 很(hěn)多主機系統非常老(lǎo)舊,漏洞非常多。 我們甚至在客戶的工(gōng)控系統中看(kàn)到(dào)過Windows98的系統。  而由于存在升級的困難(事(shì)實上(shàng), 很(hěn)多主機系統運行了(le)超過10年, 都找不到(dào)相應的升級補丁)。

        其次, 工(gōng)控系統從(cóng)設計(jì)上(shàng)不是一個通用(yòng)計(jì)算(suàn)系統, 設計(jì)的資源餘量很(hěn)少, 除了(le)幹工(gōng)控系統本身的事(shì)之外(wài), 從(cóng)主機到(dào)網絡都很(hěn)少有冗餘的資源進行其他(tā)工(gōng)作(zuò)。  不要說病毒, 就是一個掃描程序都可能(néng)導緻工(gōng)控系統的資源枯竭而導緻問題。

        在此情況下(xià), 工(gōng)控系統内部其實是一個資源緊張, 漏洞百出的系統。 而且是短時(shí)間内無法改變的狀況。 在此種情況下(xià)進行工(gōng)控系統安全的防禦,  隻能(néng)從(cóng)邊界安全上(shàng)做文(wén)章。

        而邊界安全來(lái)說, 傳統企業安全的防火牆等方案并不能(néng)解決問題。 因爲很(hěn)多客戶提出的所謂“安全隔離”, 其實并不能(néng)真正的隔離工(gōng)控系統與外(wài)界的通信。  有很(hěn)多工(gōng)控系統的運行需要與辦公網進行數據交流。 比如很(hěn)多生産調度是要在辦公網進行的。 有些(xiē)辦公系統應用(yòng)需要從(cóng)工(gōng)控系統中或者實時(shí)數據庫中取數據(比如商業分析,  生産優化等)。 目前普遍采用(yòng)的OPC協議(yì)采用(yòng)的動态端口分配的方式, 使得傳統防火牆很(hěn)難簡單的通過規則制定來(lái)進行防護。 事(shì)實上(shàng),  我們看(kàn)到(dào)不少客戶買了(le)由互聯網防火牆改成的所謂“工(gōng)控網防火牆“後, 發現(xiàn)無法适應生産的要求而棄之不用(yòng)的情況。 我們的實踐發現(xiàn),  目前階段工(gōng)控系統邊界安全的比較有效的方案是通過針對(duì)網絡流量的分析, 利用(yòng)人工(gōng)智能(néng)的方式建立行爲模式的白(bái)名單, 以及持續進行非主動的流量監測。


工(gōng)控系統的數據安全需要格外(wài)重視(shì)

        工(gōng)控系統的數據風(fēng)險有兩個方面的威脅:

  • 一個是網絡攻擊的威脅, 我們通過對(duì)一些(xiē)客戶網絡中的攻擊分析發現(xiàn),  目前對(duì)工(gōng)控系統的攻擊主要還是在系統信息收集以及工(gōng)控數據篡改(事(shì)實上(shàng)“震網“在最後實施攻擊的那一步就是篡改了(le)儀表數據進行的);

  • 另外(wài)一個是對(duì)于客戶工(gōng)控系統的經營和(hé)管理(lǐ)數據的竊取, 這(zhè)裏面包括可能(néng)有價值的工(gōng)藝流程等情報(bào)。

        而在實踐中, 數據也(yě)是工(gōng)控系統與外(wài)界通信的最主要原因。 大(dà)量的不同應用(yòng)要去工(gōng)控系統上(shàng)取數據, 這(zhè)也(yě)帶來(lái)了(le)工(gōng)控系統一個主要的攻擊面。 因此,  對(duì)于工(gōng)控系統來(lái)說, 需要比企業網或者互聯網要有更多的對(duì)數據安全的重視(shì)。

        在進行數據安全的方案中, 一個需要注意的問題就是信息安全不能(néng)影響到(dào)工(gōng)控系統的正常經營。 由于工(gōng)控系統的資源冗餘度很(hěn)低(dī),   數據安全的解決方案要考慮到(dào)資源占用(yòng)的問題, 同時(shí)也(yě)要考慮到(dào)滿足數據應用(yòng)的大(dà)量需求, 這(zhè)個矛盾需要認真解決。   僅僅按照企業網的數據安全的方案是不符合實際情況的。關于工(gōng)控安全與傳統IT安全思路的重大(dà)差異,讀者還可以參考:工(gōng)控安全,該做的和(hé)不該做的。


        我們首先說說哪些(xiē)不該做:


不要用(yòng)傳統的漏洞掃描工(gōng)具去掃描工(gōng)控網設備:

        很(hěn)多工(gōng)控網設備很(hěn)脆弱, 而且并不是爲了(le)能(néng)夠經受頻繁掃描而設計(jì)的。 有一次我們問一個設備供應商爲什(shén)麽簡單的端口掃描就會(huì)導緻它的設備崩潰。 他(tā)回答(dá)說:“我們才用(yòng)的是工(gōng)控系統的TCP/IP堆棧。”

 

不要指望傳統的漏洞掃描工(gōng)具能(néng)夠發現(xiàn)工(gōng)控網軟件的漏洞:

        傳統的漏洞管理(lǐ)工(gōng)具會(huì)漏掉很(hěn)多工(gōng)控網的漏洞, 而更加糟糕的是, 有些(xiē)工(gōng)控網的漏洞, 比如說硬編碼, 後門(mén)密碼等, 會(huì)被認爲是産品功能(néng)而不是漏洞。


不要指望能(néng)夠及時(shí)得到(dào)漏洞通知(zhī)

        很(hěn)多企業漏洞管理(lǐ)工(gōng)具已經非常成熟, 它們會(huì)定期地并且及時(shí)地通知(zhī)企業相關的漏洞。 而在工(gōng)控網領域情況有很(hěn)大(dà)不同, 漏洞的通知(zhī)以及相關的風(fēng)險信息通常并不能(néng)做到(dào)定期和(hé)及時(shí)。


不要以爲外(wài)包給第三方就完事(shì)大(dà)吉了(le)

        工(gōng)控網的運維外(wài)包很(hěn)常見, 比如在一座大(dà)廈的自(zì)動化系統可能(néng)就是外(wài)包給第三方的。企業應該意識到(dào), 工(gōng)控網的運維外(wài)包同時(shí)也(yě)把工(gōng)控網的安全交給了(le)第三方。 企業應該對(duì)第三方充分了(le)解, 了(le)解他(tā)們如何訪問設備, 企業應該要求他(tā)們對(duì)企業工(gōng)控系統的安全采取措施。 如果企業的重要系統是租用(yòng)場地(如IDC), 那麽企業也(yě)需要了(le)解場地的安全管理(lǐ)規章。


不要指望工(gōng)控網設備商有集中式的補丁管理(lǐ)系統:

        給工(gōng)控網打補丁是個很(hěn)困難的事(shì)。 工(gōng)控網常常擔負着企業最重要的生産流程。  而停掉這(zhè)些(xiē)流程往往會(huì)産生巨大(dà)的成本以及運營風(fēng)險。 因此, 集中式的自(zì)動化的補丁管理(lǐ)系統是不存在的。 幾乎所有的工(gōng)控網補丁都必須手動下(xià)載并安裝。 而且很(hěn)多情況下(xià), 隻能(néng)由供應商認證的技術人員進行安裝。


那麽, 在工(gōng)控網安全方面, 哪些(xiē)是應該做的呢(ne)?

辨明(míng)系統中的工(gōng)控設備:

        如果你(nǐ)想要開(kāi)始積極管理(lǐ)工(gōng)控網的安全風(fēng)險, 那麽辨明(míng)網絡中的工(gōng)控網設備非常重要。 理(lǐ)解并且登記在企業網絡環境中的工(gōng)控網系統是工(gōng)控網安全的基礎。


了(le)解訪問工(gōng)控設備的途徑:

        在了(le)解登記的網絡中的工(gōng)控網設備後, 你(nǐ)需要了(le)解這(zhè)些(xiē)設備是如何被訪問的。 它們能(néng)夠從(cóng)Internet上(shàng)訪問嗎? 它們有沒有在防火牆的保護下(xià)?  非工(gōng)控網操作(zuò)人員有沒有可能(néng)訪問這(zhè)些(xiē)設備等等。


 監控對(duì)工(gōng)控設備的訪問:

        工(gōng)控網可能(néng)承擔了(le)企業的一些(xiē)最重要的運營, 而由于工(gōng)控網補丁升級的困難以及很(hěn)多設備自(zì)身的安全防護薄弱, 企業應該嚴格監控對(duì)工(gōng)控網的訪問。 在大(dà)多數情況下(xià), 對(duì)工(gōng)控網設備的訪問應該是一些(xiē)常規的的流量。


了(le)解哪些(xiē)用(yòng)戶/工(gōng)程師能(néng)夠操作(zuò)工(gōng)控網設備:

        對(duì)工(gōng)控網的安全防護, 不僅僅是在設備端, 人的因素同樣重要, 了(le)解對(duì)工(gōng)控設備的操作(zuò)人員及工(gōng)程師是非常重要的一步。 像要求每個操作(zuò)人員隻能(néng)操作(zuò)自(zì)己的工(gōng)位上(shàng)的工(gōng)控設備這(zhè)樣簡單的管理(lǐ)方式, 在實際中往往都很(hěn)難做到(dào)。


(聲明(míng):文(wén)章來(lái)源于網絡,不代表本站(zhàn)觀點及立場,版權歸原作(zuò)者及原出處所有,若有侵權或異議(yì)請(qǐng)聯系更正或删除。)

相關标簽:

上(shàng)一篇:喜報(bào)!慶賀中交信息技術公司中标陸川中學平安校園項目

下(xià)一篇:網絡安全事(shì)件人均損失133元 你(nǐ)收過垃圾短信嗎?

dianhua.png

0771-5675955

廣西航天信息技術有限公司
電話(huà):0771-5675955
地址:南甯市楓林(lín)路6号鳳嶺春天商業區(qū)二樓

掃描左側二維碼
手機訪問更方便

在線客服
分享
歡迎給我們留言
請(qǐng)在此輸入留言内容,我們會(huì)盡快(kuài)與您聯系。
姓名
電話(huà)