工(gōng)控安全要避開(kāi)傳統IT安全思路的幾個“暗坑”

很多人都在講工(gōng)控系統安全與互聯網安全或者辦公網的安全又(yòu)很大(dà)的不同。 具體(tǐ)有哪些不同呢? 其實NIST的SP800-82的工(gōng)控系統安全指南(nán)裏面講了10大(dà)類。  作爲目前我(wǒ)(wǒ)們看到的比較系統的工(gōng)控系統安全的标準或者指南(nán)來說。 NIST的這個文件概括的還是比較全面的。 不過，  在實踐中(zhōng)，有些重要的不同點NIST并沒有提到或者沒有強調 而有些NIST的指南(nán)則未免有些紙(zhǐ)上談兵。 這裏舉幾個例子。

安全實施與設備管理在不同部門導緻的責任問題

        在互聯網或者企業網裏， 所保護的對象比如服務器，存儲，網絡設備等的管理一(yī)般屬于IT部門。 而實施網絡安全方案的也是IT部門。 而在工(gōng)控系統的安全裏，  一(yī)般來說安全也是由IT部門主導， 而設備則是由另外(wài)的部門來管理。 比如在電(diàn)網有所謂的OT部門。 在化工(gōng)企業可能是設備處等等。 總之，  工(gōng)控系統設備不歸IT部門管。 有很多時候， IT部門的人員(yuán)甚至都進不了工(gōng)控機房。

        這樣帶來了工(gōng)控系統安全産品開(kāi)發和銷售中(zhōng)的一(yī)個很大(dà)的挑戰。

        首先是責任劃分(fēn)問題， 也就是說出了事誰負責的問題。 IT系統安全很簡單， 出了事就是IT部門的事。 而在工(gōng)控系統安全中(zhōng)，就存在責任劃分(fēn)問題。  “要是裝了你的安全方案後出了問題算誰的?”設備部門的第一(yī)個問題往往就是這個。   如果沒有一(yī)個很好的技術和管理結合的解決方案，工(gōng)控安全的方案就很難在企業真正大(dà)規模推廣開(kāi)。

        其次， 在工(gōng)控系統安全方案中(zhōng)， 客戶對于生(shēng)産系統的可持續性(continuity)的要求要大(dà)大(dà)高于IT安全的方案。   對一(yī)些大(dà)型工(gōng)控系統，停一(yī)次機的損失就得幾千萬人民币或者幾百萬美元， 客戶的生(shēng)産部門對于由于安全方案需要的停機就特别反感， 尤其是在沒有現實的威脅的情況下(xià)，  很難說服客戶去(qù)做大(dà)規模的停機升級。 那麽， 很多針對IT系統安全的方案比如升級或者補丁等就不一(yī)定合适。 且不說很多工(gōng)控系統出于系統穩定性的考慮，  根本不允許進行補丁升級。 這樣就要求我(wǒ)(wǒ)們不得不在網絡層根據流量模式進行相應的防禦。

工(gōng)控系統的“縱深防禦“存在很大(dà)困難， 邊界安全非常重要

        “縱深防禦”是互聯網和企業安全的一(yī)個很重要的策略。 在NIST的指南(nán)裏也提到要采用“縱深防禦“的策略。 不過， 從實踐上來看，  在現階段工(gōng)控系統架構和設計不能做出重大(dà)改變的情況下(xià)，”縱深防禦“很難實施，而邊界安全其實更加重要。

        首先是工(gōng)控系統的主機防禦有很大(dà)困難， 很多主機系統非常老舊(jiù)，漏洞非常多。 我(wǒ)(wǒ)們甚至在客戶的工(gōng)控系統中(zhōng)看到過Windows98的系統。  而由于存在升級的困難(事實上， 很多主機系統運行了超過10年， 都找不到相應的升級補丁)。

        其次， 工(gōng)控系統從設計上不是一(yī)個通用計算系統， 設計的資(zī)源餘量很少， 除了幹工(gōng)控系統本身的事之外(wài)， 從主機到網絡都很少有冗餘的資(zī)源進行其他工(gōng)作。  不要說病毒， 就是一(yī)個掃描程序都可能導緻工(gōng)控系統的資(zī)源枯竭而導緻問題。

        在此情況下(xià)， 工(gōng)控系統内部其實是一(yī)個資(zī)源緊張， 漏洞百出的系統。 而且是短時間内無法改變的狀況。 在此種情況下(xià)進行工(gōng)控系統安全的防禦，  隻能從邊界安全上做文章。

        而邊界安全來說， 傳統企業安全的防火(huǒ)牆等方案并不能解決問題。 因爲很多客戶提出的所謂“安全隔離(lí)”， 其實并不能真正的隔離(lí)工(gōng)控系統與外(wài)界的通信。  有很多工(gōng)控系統的運行需要與辦公網進行數據交流。 比如很多生(shēng)産調度是要在辦公網進行的。 有些辦公系統應用需要從工(gōng)控系統中(zhōng)或者實時數據庫中(zhōng)取數據(比如商(shāng)業分(fēn)析，  生(shēng)産優化等)。 目前普遍采用的OPC協議采用的動态端口分(fēn)配的方式， 使得傳統防火(huǒ)牆很難簡單的通過規則制定來進行防護。 事實上，  我(wǒ)(wǒ)們看到不少客戶買了由互聯網防火(huǒ)牆改成的所謂“工(gōng)控網防火(huǒ)牆“後， 發現無法适應生(shēng)産的要求而棄之不用的情況。 我(wǒ)(wǒ)們的實踐發現，  目前階段工(gōng)控系統邊界安全的比較有效的方案是通過針對網絡流量的分(fēn)析， 利用人工(gōng)智能的方式建立行爲模式的白(bái)名單， 以及持續進行非主動的流量監測。

工(gōng)控系統的數據安全需要格外(wài)重視

        工(gōng)控系統的數據風險有兩個方面的威脅：

• 一(yī)個是網絡攻擊的威脅， 我(wǒ)(wǒ)們通過對一(yī)些客戶網絡中(zhōng)的攻擊分(fēn)析發現，  目前對工(gōng)控系統的攻擊主要還是在系統信息收集以及工(gōng)控數據篡改(事實上“震網“在最後實施攻擊的那一(yī)步就是篡改了儀表數據進行的)；

• 另外(wài)一(yī)個是對于客戶工(gōng)控系統的經營和管理數據的竊取， 這裏面包括可能有價值的工(gōng)藝流程等情報。

        而在實踐中(zhōng)， 數據也是工(gōng)控系統與外(wài)界通信的最主要原因。 大(dà)量的不同應用要去(qù)工(gōng)控系統上取數據， 這也帶來了工(gōng)控系統一(yī)個主要的攻擊面。 因此，  對于工(gōng)控系統來說， 需要比企業網或者互聯網要有更多的對數據安全的重視。

        在進行數據安全的方案中(zhōng)， 一(yī)個需要注意的問題就是信息安全不能影響到工(gōng)控系統的正常經營。 由于工(gōng)控系統的資(zī)源冗餘度很低，   數據安全的解決方案要考慮到資(zī)源占用的問題， 同時也要考慮到滿足數據應用的大(dà)量需求， 這個矛盾需要認真解決。   僅僅按照企業網的數據安全的方案是不符合實際情況的。關于工(gōng)控安全與傳統IT安全思路的重大(dà)差異，讀者還可以參考：工(gōng)控安全，該做的和不該做的。

        我(wǒ)(wǒ)們首先說說哪些不該做：

不要用傳統的漏洞掃描工(gōng)具去(qù)掃描工(gōng)控網設備：

        很多工(gōng)控網設備很脆弱， 而且并不是爲了能夠經受頻(pín)繁掃描而設計的。 有一(yī)次我(wǒ)(wǒ)們問一(yī)個設備供應商(shāng)爲什麽簡單的端口掃描就會導緻它的設備崩潰。 他回答說：“我(wǒ)(wǒ)們才用的是工(gōng)控系統的TCP/IP堆棧。”

不要指望傳統的漏洞掃描工(gōng)具能夠發現工(gōng)控網軟件的漏洞：

        傳統的漏洞管理工(gōng)具會漏掉很多工(gōng)控網的漏洞， 而更加糟糕的是， 有些工(gōng)控網的漏洞， 比如說硬編碼， 後門密碼等， 會被認爲是産品功能而不是漏洞。

不要指望能夠及時得到漏洞通知(zhī)

        很多企業漏洞管理工(gōng)具已經非常成熟， 它們會定期地并且及時地通知(zhī)企業相關的漏洞。 而在工(gōng)控網領域情況有很大(dà)不同， 漏洞的通知(zhī)以及相關的風險信息通常并不能做到定期和及時。

不要以爲外(wài)包給第三方就完事大(dà)吉了

        工(gōng)控網的運維外(wài)包很常見， 比如在一(yī)座大(dà)廈的自動化系統可能就是外(wài)包給第三方的。企業應該意識到， 工(gōng)控網的運維外(wài)包同時也把工(gōng)控網的安全交給了第三方。 企業應該對第三方充分(fēn)了解， 了解他們如何訪問設備， 企業應該要求他們對企業工(gōng)控系統的安全采取措施。 如果企業的重要系統是租用場地（如IDC）， 那麽企業也需要了解場地的安全管理規章。

不要指望工(gōng)控網設備商(shāng)有集中(zhōng)式的補丁管理系統：

        給工(gōng)控網打補丁是個很困難的事。 工(gōng)控網常常擔負着企業最重要的生(shēng)産流程。  而停掉這些流程往往會産生(shēng)巨大(dà)的成本以及運營風險。 因此， 集中(zhōng)式的自動化的補丁管理系統是不存在的。 幾乎所有的工(gōng)控網補丁都必須手動下(xià)載并安裝。 而且很多情況下(xià)， 隻能由供應商(shāng)認證的技術人員(yuán)進行安裝。

那麽， 在工(gōng)控網安全方面， 哪些是應該做的呢？

辨明系統中(zhōng)的工(gōng)控設備：

        如果你想要開(kāi)始積極管理工(gōng)控網的安全風險， 那麽辨明網絡中(zhōng)的工(gōng)控網設備非常重要。 理解并且登記在企業網絡環境中(zhōng)的工(gōng)控網系統是工(gōng)控網安全的基礎。

了解訪問工(gōng)控設備的途徑：

        在了解登記的網絡中(zhōng)的工(gōng)控網設備後， 你需要了解這些設備是如何被訪問的。 它們能夠從Internet上訪問嗎(ma)？ 它們有沒有在防火(huǒ)牆的保護下(xià)？  非工(gōng)控網操作人員(yuán)有沒有可能訪問這些設備等等。

 監控對工(gōng)控設備的訪問：

        工(gōng)控網可能承擔了企業的一(yī)些最重要的運營， 而由于工(gōng)控網補丁升級的困難以及很多設備自身的安全防護薄弱， 企業應該嚴格監控對工(gōng)控網的訪問。 在大(dà)多數情況下(xià)， 對工(gōng)控網設備的訪問應該是一(yī)些常規的的流量。

了解哪些用戶/工(gōng)程師能夠操作工(gōng)控網設備：

        對工(gōng)控網的安全防護， 不僅僅是在設備端， 人的因素同樣重要， 了解對工(gōng)控設備的操作人員(yuán)及工(gōng)程師是非常重要的一(yī)步。 像要求每個操作人員(yuán)隻能操作自己的工(gōng)位上的工(gōng)控設備這樣簡單的管理方式， 在實際中(zhōng)往往都很難做到。

（聲明：文章來源于網絡，不代表本站觀點及立場，版權歸原作者及原出處所有，若有侵權或異議請聯系更正或删除。）