很多人都在講工控系統(tǒng)安全與互聯(lián)網(wǎng)安全或者辦公網(wǎng)的安全又很大的不同���。 具體有哪些不同呢�? 其實NIST的SP800-82的工控系統(tǒng)安全指南里面講了10大類�����。 作為目前我們看到的比較系統(tǒng)的工控系統(tǒng)安全的標準或者指南來說�。 NIST的這個文件概括的還是比較全面的。 不過�����, 在實踐中,有些重要的不同點NIST并沒有提到或者沒有強調(diào) 而有些NIST的指南則未免有些紙上談兵�。 這里我舉幾個例子。
安全實施與設備管理在不同部門導致的責任問題
在互聯(lián)網(wǎng)或者企業(yè)網(wǎng)里���, 所保護的對象比如服務器�,存儲�����,網(wǎng)絡設備等的管理一般屬于IT部門��。 而實施網(wǎng)絡安全方案的也是IT部門���。 而在工控系統(tǒng)的安全里��, 一般來說安全也是由IT部門主導�����, 而設備則是由另外的部門來管理���。 比如在電網(wǎng)有所謂的OT部門����。 在化工企業(yè)可能是設備處等等���。 總之���, 工控系統(tǒng)設備不歸IT部門管。 有很多時候�, IT部門的人員甚至都進不了工控機房。
這樣帶來了工控系統(tǒng)安全產(chǎn)品開發(fā)和銷售中的一個很大的挑戰(zhàn)�。
首先是責任劃分問題, 也就是說出了事誰負責的問題����。 IT系統(tǒng)安全很簡單���, 出了事就是IT部門的事�。 而在工控系統(tǒng)安全中�����,就存在責任劃分問題。 “要是裝了你的安全方案后出了問題算誰的��?”設備部門的第一個問題往往就是這個�����。 如果沒有一個很好的技術(shù)和管理結(jié)合的解決方案�����,控安全的方案就很難在企業(yè)真正大規(guī)模推廣開��。
其次�, 在工控系統(tǒng)安全方案中, 客戶對于生產(chǎn)系統(tǒng)的可持續(xù)性(continuity)的要求要大大高于IT安全的方案�����。 對一些大型工控系統(tǒng)�����,停一次機的損失就得幾千萬人民幣或者幾百萬美元�����, 客戶的生產(chǎn)部門對于由于安全方案需要的停機就特別反感, 尤其是在沒有現(xiàn)實的威脅的情況下��, 很難說服客戶去做大規(guī)模的停機升級����。 那么, 很多針對IT系統(tǒng)安全的方案比如升級或者補丁等就不一定合適����。 且不說很多工控系統(tǒng)出于系統(tǒng)穩(wěn)定性的考慮, 根本不允許進行補丁升級��。 這樣就要求我們不得不在網(wǎng)絡層根據(jù)流量模式進行相應的防御�。
工控系統(tǒng)的“縱深防御“存在很大困難, 邊界安全非常重要
“縱深防御”是互聯(lián)網(wǎng)和企業(yè)安全的一個很重要的策略��。 在NIST的指南里也提到要采用“縱深防御“的策略��。 不過���, 從實踐上來看, 在現(xiàn)階段工控系統(tǒng)架構(gòu)和設計不能做出重大改變的情況下���,”縱深防御“很難實施����,而邊界安全其實更加重要。
首先是工控系統(tǒng)的主機防御有很大困難�����, 很多主機系統(tǒng)非常老舊��,漏洞非常多�。 我們甚至在客戶的工控系統(tǒng)中看到過Windows98的系統(tǒng)。 而由于存在升級的困難(事實上���, 很多主機系統(tǒng)運行了超過10年�����, 都找不到相應的升級補?����。?。
其次���, 工控系統(tǒng)從設計上不是一個通用計算系統(tǒng)�����, 設計的資源余量很少�����, 除了干工控系統(tǒng)本身的事之外�����, 從主機到網(wǎng)絡都很少有冗余的資源進行其他工作�����。 不要說病毒��, 就是一個掃描程序都可能導致工控系統(tǒng)的資源枯竭而導致問題�����。
在此情況下���, 工控系統(tǒng)內(nèi)部其實是一個資源緊張����, 漏洞百出的系統(tǒng)�����。 而且是短時間內(nèi)無法改變的狀況���。 在此種情況下進行工控系統(tǒng)安全的防御����, 只能從邊界安全上做文章�����。
而邊界安全來說���, 傳統(tǒng)企業(yè)安全的防火墻等方案并不能解決問題����。 因為很多客戶提出的所謂“安全隔離”�, 其實并不能真正的隔離工控系統(tǒng)與外界的通信。 有很多工控系統(tǒng)的運行需要與辦公網(wǎng)進行數(shù)據(jù)交流�。 比如很多生產(chǎn)調(diào)度是要在辦公網(wǎng)進行的。 有些辦公系統(tǒng)應用需要從工控系統(tǒng)中或者實時數(shù)據(jù)庫中取數(shù)據(jù)(比如商業(yè)分析�����, 生產(chǎn)優(yōu)化等)。 目前普遍采用的OPC協(xié)議采用的動態(tài)端口分配的方式�����, 使得傳統(tǒng)防火墻很難簡單的通過規(guī)則制定來進行防護�。 事實上, 我們看到不少客戶買了由互聯(lián)網(wǎng)防火墻改成的所謂“工控網(wǎng)防火墻“后����, 發(fā)現(xiàn)無法適應生產(chǎn)的要求而棄之不用的情況。 我們的實踐發(fā)現(xiàn)�����, 目前階段工控系統(tǒng)邊界安全的比較有效的方案是通過針對網(wǎng)絡流量的分析���, 利用人工智能的方式建立行為模式的白名單����, 以及持續(xù)進行非主動的流量監(jiān)測�。
工控系統(tǒng)的數(shù)據(jù)安全需要格外重視
工控系統(tǒng)的數(shù)據(jù)風險有兩個方面的威脅:
一個是網(wǎng)絡攻擊的威脅, 我們通過對一些客戶網(wǎng)絡中的攻擊分析發(fā)現(xiàn), 目前對工控系統(tǒng)的攻擊主要還是在系統(tǒng)信息收集以及工控數(shù)據(jù)篡改(事實上“震網(wǎng)“在最后實施攻擊的那一步就是篡改了儀表數(shù)據(jù)進行的)���。 另外一個是對于客戶工控系統(tǒng)的經(jīng)營和管理數(shù)據(jù)的竊取�����, 這里面包括可能有價值的工藝流程等情報。
而在實踐中����, 數(shù)據(jù)也是工控系統(tǒng)與外界通信的最主要原因。 大量的不同應用要去工控系統(tǒng)上取數(shù)據(jù)�, 這也帶來了工控系統(tǒng)一個主要的攻擊面。 因此�����, 對于工控系統(tǒng)來說���, 需要比企業(yè)網(wǎng)或者互聯(lián)網(wǎng)要有更多的對數(shù)據(jù)安全的重視��。
在進行數(shù)據(jù)安全的方案中��, 一個需要注意的問題就是信息安全不能影響到工控系統(tǒng)的正常經(jīng)營�。 由于工控系統(tǒng)的資源冗余度很低�����, 數(shù)據(jù)安全的解決方案要考慮到資源占用的問題, 同時也要考慮到滿足數(shù)據(jù)應用的大量需求���, 這個矛盾需要認真解決�。 僅僅按照企業(yè)網(wǎng)的數(shù)據(jù)安全的方案是不符合實際情況的��。關(guān)于工控安全與傳統(tǒng)IT安全思路的重大差異�����,讀者還可以參考我兩年前發(fā)布的這篇文章:工控安全��,該做的和不該做的�。
