131
技術社區[雲棲]
工控安全要避開傳統IT安全思路的幾個“暗坑”
很多人都在講工控係統安全與互聯網安全或者辦公網的安全又很大的不同。 具體有哪些不同呢? 其實NIST的SP800-82的工控係統安全指南裏麵講了10大類。 作為目前我們看到的比較係統的工控係統安全的標準或者指南來說。 NIST的這個文件概括的還是比較全麵的。 不過, 在實踐中,有些重要的不同點NIST並沒有提到或者沒有強調 而有些NIST的指南則未免有些紙上談兵。 這裏我舉幾個例子。
安全實施與設備管理在不同部門導致的責任問題
在互聯網或者企業網裏, 所保護的對象比如服務器,存儲,網絡設備等的管理一般屬於IT部門。 而實施網絡安全方案的也是IT部門。 而在工控係統的安全裏, 一般來說安全也是由IT部門主導, 而設備則是由另外的部門來管理。 比如在電網有所謂的OT部門。 在化工企業可能是設備處等等。 總之, 工控係統設備不歸IT部門管。 有很多時候, IT部門的人員甚至都進不了工控機房。
這樣帶來了工控係統安全產品開發和銷售中的一個很大的挑戰。
首先是責任劃分問題, 也就是說出了事誰負責的問題。 IT係統安全很簡單, 出了事就是IT部門的事。 而在工控係統安全中,就存在責任劃分問題。 “要是裝了你的安全方案後出了問題算誰的?”設備部門的第一個問題往往就是這個。 如果沒有一個很好的技術和管理結合的解決方案,控安全的方案就很難在企業真正大規模推廣開。
其次, 在工控係統安全方案中, 客戶對於生產係統的可持續性(continuity)的要求要大大高於IT安全的方案。 對一些大型工控係統,停一次機的損失就得幾千萬人民幣或者幾百萬美元, 客戶的生產部門對於由於安全方案需要的停機就特別反感, 尤其是在沒有現實的威脅的情況下, 很難說服客戶去做大規模的停機升級。 那麼, 很多針對IT係統安全的方案比如升級或者補丁等就不一定合適。 且不說很多工控係統出於係統穩定性的考慮, 根本不允許進行補丁升級。 這樣就要求我們不得不在網絡層根據流量模式進行相應的防禦。
工控係統的“縱深防禦“存在很大困難, 邊界安全非常重要
“縱深防禦”是互聯網和企業安全的一個很重要的策略。 在NIST的指南裏也提到要采用“縱深防禦“的策略。 不過, 從實踐上來看, 在現階段工控係統架構和設計不能做出重大改變的情況下,”縱深防禦“很難實施,而邊界安全其實更加重要。
首先是工控係統的主機防禦有很大困難, 很多主機係統非常老舊,漏洞非常多。 我們甚至在客戶的工控係統中看到過Windows98的係統。 而由於存在升級的困難(事實上, 很多主機係統運行了超過10年, 都找不到相應的升級補丁)。
其次, 工控係統從設計上不是一個通用計算係統, 設計的資源餘量很少, 除了幹工控係統本身的事之外, 從主機到網絡都很少有冗餘的資源進行其他工作。 不要說病毒, 就是一個掃描程序都可能導致工控係統的資源枯竭而導致問題。
在此情況下, 工控係統內部其實是一個資源緊張, 漏洞百出的係統。 而且是短時間內無法改變的狀況。 在此種情況下進行工控係統安全的防禦, 隻能從邊界安全上做文章。
而邊界安全來說, 傳統企業安全的防火牆等方案並不能解決問題。 因為很多客戶提出的所謂“安全隔離”, 其實並不能真正的隔離工控係統與外界的通信。 有很多工控係統的運行需要與辦公網進行數據交流。 比如很多生產調度是要在辦公網進行的。 有些辦公係統應用需要從工控係統中或者實時數據庫中取數據(比如商業分析, 生產優化等)。 目前普遍采用的OPC協議采用的動態端口分配的方式, 使得傳統防火牆很難簡單的通過規則製定來進行防護。 事實上, 我們看到不少客戶買了由互聯網防火牆改成的所謂“工控網防火牆“後, 發現無法適應生產的要求而棄之不用的情況。 我們的實踐發現, 目前階段工控係統邊界安全的比較有效的方案是通過針對網絡流量的分析, 利用人工智能的方式建立行為模式的白名單, 以及持續進行非主動的流量監測。
工控係統的數據安全需要格外重視
工控係統的數據風險有兩個方麵的威脅:
一個是網絡攻擊的威脅, 我們通過對一些客戶網絡中的攻擊分析發現, 目前對工控係統的攻擊主要還是在係統信息收集以及工控數據篡改(事實上“震網“在最後實施攻擊的那一步就是篡改了儀表數據進行的)。 另外一個是對於客戶工控係統的經營和管理數據的竊取, 這裏麵包括可能有價值的工藝流程等情報。
而在實踐中, 數據也是工控係統與外界通信的最主要原因。 大量的不同應用要去工控係統上取數據, 這也帶來了工控係統一個主要的攻擊麵。 因此, 對於工控係統來說, 需要比企業網或者互聯網要有更多的對數據安全的重視。
在進行數據安全的方案中, 一個需要注意的問題就是信息安全不能影響到工控係統的正常經營。 由於工控係統的資源冗餘度很低, 數據安全的解決方案要考慮到資源占用的問題, 同時也要考慮到滿足數據應用的大量需求, 這個矛盾需要認真解決。 僅僅按照企業網的數據安全的方案是不符合實際情況的。關於工控安全與傳統IT安全思路的重大差異,讀者還可以參考我兩年前發布的這篇文章:工控安全,該做的和不該做的。
本文轉自d1net(轉載)
最後更新:2017-07-17 16:41:28