很多人都在講工控系統(tǒng)安全與互聯(lián)網安全或者辦公網的安全又很大的不同��。 具體有哪些不同呢? 其實NIST的SP800-82的工控系統(tǒng)安全指南里面講了10大類���。 作為目前我們看到的比較系統(tǒng)的工控系統(tǒng)安全的標準或者指南來說。 NIST的這個文件概括的還是比較全面的���。 不過�����, 在實踐中�����,有些重要的不同點NIST并沒有提到或者沒有強調 而有些NIST的指南則未免有些紙上談兵����。 這里我舉幾個例子。
安全實施與設備管理在不同部門導致的責任問題
在互聯(lián)網或者企業(yè)網里���, 所保護的對象比如服務器,存儲���,網絡設備等的管理一般屬于IT部門�����。 而實施網絡安全方案的也是IT部門�。 而在工控系統(tǒng)的安全里���, 一般來說安全也是由IT部門主導���, 而設備則是由另外的部門來管理�。 比如在電網有所謂的OT部門�。 在化工企業(yè)可能是設備處等等。 總之����, 工控系統(tǒng)設備不歸IT部門管。 有很多時候�����, IT部門的人員甚至都進不了工控機房�。
這樣帶來了工控系統(tǒng)安全產品開發(fā)和銷售中的一個很大的挑戰(zhàn)。
首先是責任劃分問題����, 也就是說出了事誰負責的問題。 IT系統(tǒng)安全很簡單��, 出了事就是IT部門的事�。 而在工控系統(tǒng)安全中,就存在責任劃分問題���。 “要是裝了你的安全方案后出了問題算誰的����?”設備部門的第一個問題往往就是這個。 如果沒有一個很好的技術和管理結合的解決方案����,控安全的方案就很難在企業(yè)真正大規(guī)模推廣開。
其次����, 在工控系統(tǒng)安全方案中, 客戶對于生產系統(tǒng)的可持續(xù)性(continuity)的要求要大大高于IT安全的方案�。 對一些大型工控系統(tǒng),停一次機的損失就得幾千萬人民幣或者幾百萬美元���, 客戶的生產部門對于由于安全方案需要的停機就特別反感��, 尤其是在沒有現(xiàn)實的威脅的情況下, 很難說服客戶去做大規(guī)模的停機升級���。 那么��, 很多針對IT系統(tǒng)安全的方案比如升級或者補丁等就不一定合適�����。 且不說很多工控系統(tǒng)出于系統(tǒng)穩(wěn)定性的考慮��, 根本不允許進行補丁升級�。 這樣就要求我們不得不在網絡層根據流量模式進行相應的防御。
工控系統(tǒng)的“縱深防御“存在很大困難��, 邊界安全非常重要
“縱深防御”是互聯(lián)網和企業(yè)安全的一個很重要的策略��。 在NIST的指南里也提到要采用“縱深防御“的策略��。 不過�, 從實踐上來看, 在現(xiàn)階段工控系統(tǒng)架構和設計不能做出重大改變的情況下����,”縱深防御“很難實施,而邊界安全其實更加重要�。
首先是工控系統(tǒng)的主機防御有很大困難, 很多主機系統(tǒng)非常老舊�����,漏洞非常多���。 我們甚至在客戶的工控系統(tǒng)中看到過Windows98的系統(tǒng)���。 而由于存在升級的困難(事實上�, 很多主機系統(tǒng)運行了超過10年�����, 都找不到相應的升級補?����。?。
其次, 工控系統(tǒng)從設計上不是一個通用計算系統(tǒng)����, 設計的資源余量很少, 除了干工控系統(tǒng)本身的事之外����, 從主機到網絡都很少有冗余的資源進行其他工作��。 不要說病毒����, 就是一個掃描程序都可能導致工控系統(tǒng)的資源枯竭而導致問題。
在此情況下, 工控系統(tǒng)內部其實是一個資源緊張���, 漏洞百出的系統(tǒng)��。 而且是短時間內無法改變的狀況�����。 在此種情況下進行工控系統(tǒng)安全的防御��, 只能從邊界安全上做文章�����。
而邊界安全來說���, 傳統(tǒng)企業(yè)安全的防火墻等方案并不能解決問題。 因為很多客戶提出的所謂“安全隔離”�����, 其實并不能真正的隔離工控系統(tǒng)與外界的通信���。 有很多工控系統(tǒng)的運行需要與辦公網進行數據交流���。 比如很多生產調度是要在辦公網進行的�����。 有些辦公系統(tǒng)應用需要從工控系統(tǒng)中或者實時數據庫中取數據(比如商業(yè)分析��, 生產優(yōu)化等)���。 目前普遍采用的OPC協(xié)議采用的動態(tài)端口分配的方式, 使得傳統(tǒng)防火墻很難簡單的通過規(guī)則制定來進行防護�����。 事實上����, 我們看到不少客戶買了由互聯(lián)網防火墻改成的所謂“工控網防火墻“后, 發(fā)現(xiàn)無法適應生產的要求而棄之不用的情況�����。 我們的實踐發(fā)現(xiàn)�, 目前階段工控系統(tǒng)邊界安全的比較有效的方案是通過針對網絡流量的分析����, 利用人工智能的方式建立行為模式的白名單�����, 以及持續(xù)進行非主動的流量監(jiān)測�。
工控系統(tǒng)的數據安全需要格外重視
工控系統(tǒng)的數據風險有兩個方面的威脅:
一個是網絡攻擊的威脅���, 我們通過對一些客戶網絡中的攻擊分析發(fā)現(xiàn)�����, 目前對工控系統(tǒng)的攻擊主要還是在系統(tǒng)信息收集以及工控數據篡改(事實上“震網“在最后實施攻擊的那一步就是篡改了儀表數據進行的)�����。 另外一個是對于客戶工控系統(tǒng)的經營和管理數據的竊取�����, 這里面包括可能有價值的工藝流程等情報����。
而在實踐中�����, 數據也是工控系統(tǒng)與外界通信的最主要原因。 大量的不同應用要去工控系統(tǒng)上取數據�, 這也帶來了工控系統(tǒng)一個主要的攻擊面。 因此��, 對于工控系統(tǒng)來說��, 需要比企業(yè)網或者互聯(lián)網要有更多的對數據安全的重視�。
在進行數據安全的方案中, 一個需要注意的問題就是信息安全不能影響到工控系統(tǒng)的正常經營�。 由于工控系統(tǒng)的資源冗余度很低, 數據安全的解決方案要考慮到資源占用的問題���, 同時也要考慮到滿足數據應用的大量需求���, 這個矛盾需要認真解決。 僅僅按照企業(yè)網的數據安全的方案是不符合實際情況的���。關于工控安全與傳統(tǒng)IT安全思路的重大差異��,讀者還可以參考我兩年前發(fā)布的這篇文章:工控安全���,該做的和不該做的����。
