很多人都在講工控系統(tǒng)安全與互聯(lián)網(wǎng)安全或者辦公網(wǎng)的安全又很大的不同�����。 具體有哪些不同呢��? 其實(shí)NIST的SP800-82的工控系統(tǒng)安全指南里面講了10大類����。 作為目前我們看到的比較系統(tǒng)的工控系統(tǒng)安全的標(biāo)準(zhǔn)或者指南來說���。 NIST的這個文件概括的還是比較全面的�。 不過����, 在實(shí)踐中,有些重要的不同點(diǎn)NIST并沒有提到或者沒有強(qiáng)調(diào) 而有些NIST的指南則未免有些紙上談兵�。 這里我舉幾個例子。
安全實(shí)施與設(shè)備管理在不同部門導(dǎo)致的責(zé)任問題
在互聯(lián)網(wǎng)或者企業(yè)網(wǎng)里����, 所保護(hù)的對象比如服務(wù)器,存儲�����,網(wǎng)絡(luò)設(shè)備等的管理一般屬于IT部門��。 而實(shí)施網(wǎng)絡(luò)安全方案的也是IT部門。 而在工控系統(tǒng)的安全里��, 一般來說安全也是由IT部門主導(dǎo)����, 而設(shè)備則是由另外的部門來管理。 比如在電網(wǎng)有所謂的OT部門��。 在化工企業(yè)可能是設(shè)備處等等��。 總之�����, 工控系統(tǒng)設(shè)備不歸IT部門管����。 有很多時(shí)候, IT部門的人員甚至都進(jìn)不了工控機(jī)房���。
這樣帶來了工控系統(tǒng)安全產(chǎn)品開發(fā)和銷售中的一個很大的挑戰(zhàn)���。
首先是責(zé)任劃分問題���, 也就是說出了事誰負(fù)責(zé)的問題�����。 IT系統(tǒng)安全很簡單��, 出了事就是IT部門的事�����。 而在工控系統(tǒng)安全中�����,就存在責(zé)任劃分問題��。 “要是裝了你的安全方案后出了問題算誰的���?”設(shè)備部門的第一個問題往往就是這個��。 如果沒有一個很好的技術(shù)和管理結(jié)合的解決方案���,控安全的方案就很難在企業(yè)真正大規(guī)模推廣開。
其次�����, 在工控系統(tǒng)安全方案中, 客戶對于生產(chǎn)系統(tǒng)的可持續(xù)性(continuity)的要求要大大高于IT安全的方案�。 對一些大型工控系統(tǒng),停一次機(jī)的損失就得幾千萬人民幣或者幾百萬美元��, 客戶的生產(chǎn)部門對于由于安全方案需要的停機(jī)就特別反感��, 尤其是在沒有現(xiàn)實(shí)的威脅的情況下��, 很難說服客戶去做大規(guī)模的停機(jī)升級�。 那么, 很多針對IT系統(tǒng)安全的方案比如升級或者補(bǔ)丁等就不一定合適����。 且不說很多工控系統(tǒng)出于系統(tǒng)穩(wěn)定性的考慮, 根本不允許進(jìn)行補(bǔ)丁升級���。 這樣就要求我們不得不在網(wǎng)絡(luò)層根據(jù)流量模式進(jìn)行相應(yīng)的防御����。
工控系統(tǒng)的“縱深防御“存在很大困難��, 邊界安全非常重要
“縱深防御”是互聯(lián)網(wǎng)和企業(yè)安全的一個很重要的策略���。 在NIST的指南里也提到要采用“縱深防御“的策略����。 不過���, 從實(shí)踐上來看���, 在現(xiàn)階段工控系統(tǒng)架構(gòu)和設(shè)計(jì)不能做出重大改變的情況下,”縱深防御“很難實(shí)施���,而邊界安全其實(shí)更加重要�。
首先是工控系統(tǒng)的主機(jī)防御有很大困難����, 很多主機(jī)系統(tǒng)非常老舊,漏洞非常多���。 我們甚至在客戶的工控系統(tǒng)中看到過Windows98的系統(tǒng)���。 而由于存在升級的困難(事實(shí)上, 很多主機(jī)系統(tǒng)運(yùn)行了超過10年�, 都找不到相應(yīng)的升級補(bǔ)?。?。
其次, 工控系統(tǒng)從設(shè)計(jì)上不是一個通用計(jì)算系統(tǒng)����, 設(shè)計(jì)的資源余量很少, 除了干工控系統(tǒng)本身的事之外����, 從主機(jī)到網(wǎng)絡(luò)都很少有冗余的資源進(jìn)行其他工作。 不要說病毒����, 就是一個掃描程序都可能導(dǎo)致工控系統(tǒng)的資源枯竭而導(dǎo)致問題。
在此情況下���, 工控系統(tǒng)內(nèi)部其實(shí)是一個資源緊張�, 漏洞百出的系統(tǒng)����。 而且是短時(shí)間內(nèi)無法改變的狀況。 在此種情況下進(jìn)行工控系統(tǒng)安全的防御�, 只能從邊界安全上做文章。
而邊界安全來說��, 傳統(tǒng)企業(yè)安全的防火墻等方案并不能解決問題。 因?yàn)楹芏嗫蛻籼岢龅乃^“安全隔離”�����, 其實(shí)并不能真正的隔離工控系統(tǒng)與外界的通信�。 有很多工控系統(tǒng)的運(yùn)行需要與辦公網(wǎng)進(jìn)行數(shù)據(jù)交流�����。 比如很多生產(chǎn)調(diào)度是要在辦公網(wǎng)進(jìn)行的�。 有些辦公系統(tǒng)應(yīng)用需要從工控系統(tǒng)中或者實(shí)時(shí)數(shù)據(jù)庫中取數(shù)據(jù)(比如商業(yè)分析, 生產(chǎn)優(yōu)化等)����。 目前普遍采用的OPC協(xié)議采用的動態(tài)端口分配的方式, 使得傳統(tǒng)防火墻很難簡單的通過規(guī)則制定來進(jìn)行防護(hù)����。 事實(shí)上, 我們看到不少客戶買了由互聯(lián)網(wǎng)防火墻改成的所謂“工控網(wǎng)防火墻“后�, 發(fā)現(xiàn)無法適應(yīng)生產(chǎn)的要求而棄之不用的情況。 我們的實(shí)踐發(fā)現(xiàn)�, 目前階段工控系統(tǒng)邊界安全的比較有效的方案是通過針對網(wǎng)絡(luò)流量的分析, 利用人工智能的方式建立行為模式的白名單����, 以及持續(xù)進(jìn)行非主動的流量監(jiān)測��。
工控系統(tǒng)的數(shù)據(jù)安全需要格外重視
工控系統(tǒng)的數(shù)據(jù)風(fēng)險(xiǎn)有兩個方面的威脅:
一個是網(wǎng)絡(luò)攻擊的威脅����, 我們通過對一些客戶網(wǎng)絡(luò)中的攻擊分析發(fā)現(xiàn)�����, 目前對工控系統(tǒng)的攻擊主要還是在系統(tǒng)信息收集以及工控?cái)?shù)據(jù)篡改(事實(shí)上“震網(wǎng)“在最后實(shí)施攻擊的那一步就是篡改了儀表數(shù)據(jù)進(jìn)行的)����。 另外一個是對于客戶工控系統(tǒng)的經(jīng)營和管理數(shù)據(jù)的竊取, 這里面包括可能有價(jià)值的工藝流程等情報(bào)��。
而在實(shí)踐中����, 數(shù)據(jù)也是工控系統(tǒng)與外界通信的最主要原因。 大量的不同應(yīng)用要去工控系統(tǒng)上取數(shù)據(jù)�, 這也帶來了工控系統(tǒng)一個主要的攻擊面。 因此��, 對于工控系統(tǒng)來說�����, 需要比企業(yè)網(wǎng)或者互聯(lián)網(wǎng)要有更多的對數(shù)據(jù)安全的重視。
在進(jìn)行數(shù)據(jù)安全的方案中��, 一個需要注意的問題就是信息安全不能影響到工控系統(tǒng)的正常經(jīng)營�。 由于工控系統(tǒng)的資源冗余度很低, 數(shù)據(jù)安全的解決方案要考慮到資源占用的問題��, 同時(shí)也要考慮到滿足數(shù)據(jù)應(yīng)用的大量需求���, 這個矛盾需要認(rèn)真解決。 僅僅按照企業(yè)網(wǎng)的數(shù)據(jù)安全的方案是不符合實(shí)際情況的����。關(guān)于工控安全與傳統(tǒng)IT安全思路的重大差異,讀者還可以參考我兩年前發(fā)布的這篇文章:工控安全��,該做的和不該做的�����。
