工(gōng)控安全要避開(kāi)傳統IT安全思路的幾個“暗坑”
很多人都在講工(gōng)控系統安全與互聯網安全或者辦公網的安全又(yòu)很大(dà)的不同。 具體(tǐ)有哪些不同呢? 其實NIST的SP800-82的工(gōng)控系統安全指南(nán)裏面講了10大(dà)類。 作爲目前我(wǒ)(wǒ)們看到的比較系統的工(gōng)控系統安全的标準或者指南(nán)來說。 NIST的這個文件概括的還是比較全面的。 不過, 在實踐中(zhōng),有些重要的不同點NIST并沒有提到或者沒有強調 而有些NIST的指南(nán)則未免有些紙(zhǐ)上談兵。 這裏舉幾個例子。
安全實施與設備管理在不同部門導緻的責任問題
在互聯網或者企業網裏, 所保護的對象比如服務器,存儲,網絡設備等的管理一(yī)般屬于IT部門。 而實施網絡安全方案的也是IT部門。 而在工(gōng)控系統的安全裏, 一(yī)般來說安全也是由IT部門主導, 而設備則是由另外(wài)的部門來管理。 比如在電(diàn)網有所謂的OT部門。 在化工(gōng)企業可能是設備處等等。 總之, 工(gōng)控系統設備不歸IT部門管。 有很多時候, IT部門的人員(yuán)甚至都進不了工(gōng)控機房。
這樣帶來了工(gōng)控系統安全産品開(kāi)發和銷售中(zhōng)的一(yī)個很大(dà)的挑戰。
首先是責任劃分(fēn)問題, 也就是說出了事誰負責的問題。 IT系統安全很簡單, 出了事就是IT部門的事。 而在工(gōng)控系統安全中(zhōng),就存在責任劃分(fēn)問題。 “要是裝了你的安全方案後出了問題算誰的?”設備部門的第一(yī)個問題往往就是這個。 如果沒有一(yī)個很好的技術和管理結合的解決方案,工(gōng)控安全的方案就很難在企業真正大(dà)規模推廣開(kāi)。
其次, 在工(gōng)控系統安全方案中(zhōng), 客戶對于生(shēng)産系統的可持續性(continuity)的要求要大(dà)大(dà)高于IT安全的方案。 對一(yī)些大(dà)型工(gōng)控系統,停一(yī)次機的損失就得幾千萬人民币或者幾百萬美元, 客戶的生(shēng)産部門對于由于安全方案需要的停機就特别反感, 尤其是在沒有現實的威脅的情況下(xià), 很難說服客戶去(qù)做大(dà)規模的停機升級。 那麽, 很多針對IT系統安全的方案比如升級或者補丁等就不一(yī)定合适。 且不說很多工(gōng)控系統出于系統穩定性的考慮, 根本不允許進行補丁升級。 這樣就要求我(wǒ)(wǒ)們不得不在網絡層根據流量模式進行相應的防禦。
工(gōng)控系統的“縱深防禦“存在很大(dà)困難, 邊界安全非常重要
“縱深防禦”是互聯網和企業安全的一(yī)個很重要的策略。 在NIST的指南(nán)裏也提到要采用“縱深防禦“的策略。 不過, 從實踐上來看, 在現階段工(gōng)控系統架構和設計不能做出重大(dà)改變的情況下(xià),”縱深防禦“很難實施,而邊界安全其實更加重要。
首先是工(gōng)控系統的主機防禦有很大(dà)困難, 很多主機系統非常老舊(jiù),漏洞非常多。 我(wǒ)(wǒ)們甚至在客戶的工(gōng)控系統中(zhōng)看到過Windows98的系統。 而由于存在升級的困難(事實上, 很多主機系統運行了超過10年, 都找不到相應的升級補丁)。
其次, 工(gōng)控系統從設計上不是一(yī)個通用計算系統, 設計的資(zī)源餘量很少, 除了幹工(gōng)控系統本身的事之外(wài), 從主機到網絡都很少有冗餘的資(zī)源進行其他工(gōng)作。 不要說病毒, 就是一(yī)個掃描程序都可能導緻工(gōng)控系統的資(zī)源枯竭而導緻問題。
在此情況下(xià), 工(gōng)控系統内部其實是一(yī)個資(zī)源緊張, 漏洞百出的系統。 而且是短時間内無法改變的狀況。 在此種情況下(xià)進行工(gōng)控系統安全的防禦, 隻能從邊界安全上做文章。
而邊界安全來說, 傳統企業安全的防火(huǒ)牆等方案并不能解決問題。 因爲很多客戶提出的所謂“安全隔離(lí)”, 其實并不能真正的隔離(lí)工(gōng)控系統與外(wài)界的通信。 有很多工(gōng)控系統的運行需要與辦公網進行數據交流。 比如很多生(shēng)産調度是要在辦公網進行的。 有些辦公系統應用需要從工(gōng)控系統中(zhōng)或者實時數據庫中(zhōng)取數據(比如商(shāng)業分(fēn)析, 生(shēng)産優化等)。 目前普遍采用的OPC協議采用的動态端口分(fēn)配的方式, 使得傳統防火(huǒ)牆很難簡單的通過規則制定來進行防護。 事實上, 我(wǒ)(wǒ)們看到不少客戶買了由互聯網防火(huǒ)牆改成的所謂“工(gōng)控網防火(huǒ)牆“後, 發現無法适應生(shēng)産的要求而棄之不用的情況。 我(wǒ)(wǒ)們的實踐發現, 目前階段工(gōng)控系統邊界安全的比較有效的方案是通過針對網絡流量的分(fēn)析, 利用人工(gōng)智能的方式建立行爲模式的白(bái)名單, 以及持續進行非主動的流量監測。
工(gōng)控系統的數據安全需要格外(wài)重視
工(gōng)控系統的數據風險有兩個方面的威脅:
一(yī)個是網絡攻擊的威脅, 我(wǒ)(wǒ)們通過對一(yī)些客戶網絡中(zhōng)的攻擊分(fēn)析發現, 目前對工(gōng)控系統的攻擊主要還是在系統信息收集以及工(gōng)控數據篡改(事實上“震網“在最後實施攻擊的那一(yī)步就是篡改了儀表數據進行的);
另外(wài)一(yī)個是對于客戶工(gōng)控系統的經營和管理數據的竊取, 這裏面包括可能有價值的工(gōng)藝流程等情報。
而在實踐中(zhōng), 數據也是工(gōng)控系統與外(wài)界通信的最主要原因。 大(dà)量的不同應用要去(qù)工(gōng)控系統上取數據, 這也帶來了工(gōng)控系統一(yī)個主要的攻擊面。 因此, 對于工(gōng)控系統來說, 需要比企業網或者互聯網要有更多的對數據安全的重視。
在進行數據安全的方案中(zhōng), 一(yī)個需要注意的問題就是信息安全不能影響到工(gōng)控系統的正常經營。 由于工(gōng)控系統的資(zī)源冗餘度很低, 數據安全的解決方案要考慮到資(zī)源占用的問題, 同時也要考慮到滿足數據應用的大(dà)量需求, 這個矛盾需要認真解決。 僅僅按照企業網的數據安全的方案是不符合實際情況的。關于工(gōng)控安全與傳統IT安全思路的重大(dà)差異,讀者還可以參考:工(gōng)控安全,該做的和不該做的。
我(wǒ)(wǒ)們首先說說哪些不該做:
不要用傳統的漏洞掃描工(gōng)具去(qù)掃描工(gōng)控網設備:
很多工(gōng)控網設備很脆弱, 而且并不是爲了能夠經受頻(pín)繁掃描而設計的。 有一(yī)次我(wǒ)(wǒ)們問一(yī)個設備供應商(shāng)爲什麽簡單的端口掃描就會導緻它的設備崩潰。 他回答說:“我(wǒ)(wǒ)們才用的是工(gōng)控系統的TCP/IP堆棧。”
不要指望傳統的漏洞掃描工(gōng)具能夠發現工(gōng)控網軟件的漏洞:
傳統的漏洞管理工(gōng)具會漏掉很多工(gōng)控網的漏洞, 而更加糟糕的是, 有些工(gōng)控網的漏洞, 比如說硬編碼, 後門密碼等, 會被認爲是産品功能而不是漏洞。
不要指望能夠及時得到漏洞通知(zhī)
很多企業漏洞管理工(gōng)具已經非常成熟, 它們會定期地并且及時地通知(zhī)企業相關的漏洞。 而在工(gōng)控網領域情況有很大(dà)不同, 漏洞的通知(zhī)以及相關的風險信息通常并不能做到定期和及時。
不要以爲外(wài)包給第三方就完事大(dà)吉了
工(gōng)控網的運維外(wài)包很常見, 比如在一(yī)座大(dà)廈的自動化系統可能就是外(wài)包給第三方的。企業應該意識到, 工(gōng)控網的運維外(wài)包同時也把工(gōng)控網的安全交給了第三方。 企業應該對第三方充分(fēn)了解, 了解他們如何訪問設備, 企業應該要求他們對企業工(gōng)控系統的安全采取措施。 如果企業的重要系統是租用場地(如IDC), 那麽企業也需要了解場地的安全管理規章。
不要指望工(gōng)控網設備商(shāng)有集中(zhōng)式的補丁管理系統:
給工(gōng)控網打補丁是個很困難的事。 工(gōng)控網常常擔負着企業最重要的生(shēng)産流程。 而停掉這些流程往往會産生(shēng)巨大(dà)的成本以及運營風險。 因此, 集中(zhōng)式的自動化的補丁管理系統是不存在的。 幾乎所有的工(gōng)控網補丁都必須手動下(xià)載并安裝。 而且很多情況下(xià), 隻能由供應商(shāng)認證的技術人員(yuán)進行安裝。
那麽, 在工(gōng)控網安全方面, 哪些是應該做的呢?
辨明系統中(zhōng)的工(gōng)控設備:
如果你想要開(kāi)始積極管理工(gōng)控網的安全風險, 那麽辨明網絡中(zhōng)的工(gōng)控網設備非常重要。 理解并且登記在企業網絡環境中(zhōng)的工(gōng)控網系統是工(gōng)控網安全的基礎。
了解訪問工(gōng)控設備的途徑:
在了解登記的網絡中(zhōng)的工(gōng)控網設備後, 你需要了解這些設備是如何被訪問的。 它們能夠從Internet上訪問嗎(ma)? 它們有沒有在防火(huǒ)牆的保護下(xià)? 非工(gōng)控網操作人員(yuán)有沒有可能訪問這些設備等等。
監控對工(gōng)控設備的訪問:
工(gōng)控網可能承擔了企業的一(yī)些最重要的運營, 而由于工(gōng)控網補丁升級的困難以及很多設備自身的安全防護薄弱, 企業應該嚴格監控對工(gōng)控網的訪問。 在大(dà)多數情況下(xià), 對工(gōng)控網設備的訪問應該是一(yī)些常規的的流量。
了解哪些用戶/工(gōng)程師能夠操作工(gōng)控網設備:
對工(gōng)控網的安全防護, 不僅僅是在設備端, 人的因素同樣重要, 了解對工(gōng)控設備的操作人員(yuán)及工(gōng)程師是非常重要的一(yī)步。 像要求每個操作人員(yuán)隻能操作自己的工(gōng)位上的工(gōng)控設備這樣簡單的管理方式, 在實際中(zhōng)往往都很難做到。
(聲明:文章來源于網絡,不代表本站觀點及立場,版權歸原作者及原出處所有,若有侵權或異議請聯系更正或删除。)
上一(yī)篇:喜報!慶賀中(zhōng)交信息技術公司中(zhōng)标陸川中(zhōng)學平安校園項目
下(xià)一(yī)篇:網絡安全事件人均損失133元 你收過垃圾短信嗎(ma)?