欢迎来到安联智库seczk.com--做最好网安新媒体!!
快捷搜索:  热点  资讯  事件  漏洞  技术  攻防  

迈入“智造”新时代,工控安全不容忽视

 

6.jpg


提到病毒,我们能够想到很多“大名鼎鼎”的名字,像是90年代的CIH病毒,世纪初的震荡波、熊猫烧香,还有近些年的WannaCry永恒之蓝等等,然而,有一类病毒常常潜伏在我们的视线之外,只有在它们发挥出极具的破坏性之后,才会登上新闻网站映入我们的眼帘,它们就是工业病毒。

 

个人电脑等感染病毒,一般会造成文件丢失、系统损坏或者信息泄露等,危害性较小。相对于个人用户,企业、工厂已经大多采用更加集成化的电子信息系统,虽然安装了硬件和软件防火墙,可是一旦被病毒攻破,受感染的可不只是一两台电脑,而是整个系统联网的所有电脑。整个系统被感染所导致的后果十分严重,一般会导致企业信息的泄露,甚者直接影响到突破网络破坏现实世界的工业设备。

 

2011年2月,伊朗突然宣布暂时卸载首座核电站——布什尔核电站的核燃料,西方国家也悄悄对伊朗核计划进展预测进行了重大修改。但就在几个月前,美国和以色列还在警告,伊朗只需一年就能拥有快速制造核武器的能力。为什么会突然出现如此重大变化?


事实是布什尔核电站遭到了“震网”病毒的攻击,其1/5的离心机被报废。“震网”(Stuxnet)病毒是一种专门针对特定工业设施的蠕虫病毒,针对的目标主要是西门子公司专门为核电站设计开发的PLC控制软件,并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。另外,从“震网”病毒代码的复杂性和精确攻击来看,很可能是来自于某个组织或者大国的网络攻击手段。

 

由此引申出一个值得思考的问题,我们的工业设施控制系统是否安全?如何避免因为此类病毒攻击而导致的巨大损失?

 

一、工控安全基本概念

 

工业控制系统(Industrial Control System, ICS)是由各种自动化控制组件以及对实时数据进行采集和监测的过程控制组件共同构成的信息系统。工控系统是确保工业技术自动化设施、过程控制和监控的业务流程管控等工业系统安全运行的保证。一般来说,工控系统的核心组件包括数据采集与监控系统(SCDA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)和确保各组件通信的接口等技术系统。工控系统是制造、电力、交通、能源、水利、冶金、航空航天等国家重要基础设施的“大脑”和“神经中枢”,当前超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。

 

随着信息技术在工业领域的大规模应用,针对工业控制系统的病毒、木马等攻击行为大幅度增长,有些安全事故,会对人员、设备和环境造成严重的后果,工控系统信息安全问题变成了阻碍制造业转型升级和社会公共基础设施治理方面的重要障碍。尤其是在各行业大规模使用机器人等系统之后,工控系统的连接设备将呈指数式增加,工控系统的安全事件将会呈现快速发展的态势。尤其是工业互联网、云制造等技术实施,工控系统安全不仅将面临终端设施增加、网络环境复杂的挑战,而且还将面临系统综合风险增加,发生安全事故的成本不可控等更大的风险。

 

二、工控网络安全技术现状


工业控制系统作为传统信息系统的延伸和扩展,一方面,可以沿用许多在信息技术领域被广泛使用,且被证明行之有效的安全手段;另一方面,由于工业控制系统有许多不同于传统信息系统的特征,这些安全手段往往需要进行必要的调整和改进,以适应工控领域的应用需求和应用环境。

 

2.1 工业防火墙

防火墙最初源自传统信息系统,工业防火墙与传统信息网络中的防火墙不同,它需要支持工业控制系统中的专有协议(如DNP3、CP Modbus等),需要支持工业控制现场的高温高湿等恶劣环境。

 

2.2工控蜜罐

蜜罐( Honeypot)好比情报收集系统,本质上是一种对攻击方进行欺骗的技术,它通过布置一些作为诱饵的智能设备、主机、网络服务,诱使敌方对它们实施攻击,从而对攻击行为进行捕获、分析,了解攻击方所使用的工具和方法,推测攻击意图和动机。在工控场景下,蜜罐所模拟的对象往往是一个PLC、RTU,或是某一个控制系统(如DCS SCADA等)。

 

2.3入侵检测系统

入侵检测系统是一种对网络传输进行实时监视,在发现可疑传输时发出警报或采取主动反应措施的网络安全设备。它通常由4个组件构成:事件产生器( Event Generator)、事件分析器( Event Analyzer)、响应单元( Response Unit)、事件数据库( Event Database)。事件产生器从整个计算环境中获得事件,并向系统的其他部分提供此事件的原始数据。事件分析器分析采集到的原始数据,并产生分析结果。响应单元是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等反制手段,也可以只是简单的报警。事件数据库是存放各种中间数据和最终数据的存储资源,它可以是复杂的数据库,也可以是简单的文本文件。

 

三、工控安全保护要点

 

3.1 保护网络

工业公司应确保自身网络设计良好,有着防护周全的边界。企业应按 ISA IEC62443 标准划分自身网络,保护所有无线应用,部署能快速排除故障的安全远程访问解决方案。公司网络,包括其工业网络基础设施设备,都应列入监视对象范围。

 

3.2 保护终端

运营技术(OT)团队可能会觉得公司的终端受到边界防火墙、专利安防软件、专业协议和物理隔离的防护,可以抵御数字攻击。但事实不是这样的,雇员、承包商和供应链员工将他们的笔记本电脑或U盘带入企业网络时,这些安全防护措施就被绕过了。

 

必须确保所有终端都是安全的,要防止员工将自己的设备接入公司网络。事实上,黑客可以侵入OT环境中基于PC的终端。公司企业还应保护其IT终端不受OT环境中横向移动的数字攻击侵袭。

 

购买资产发现产品,或者实现网上终端清点过程,是保护终端安全的不错开端。可以定义控制措施和自动化以确保防护到位。然后公司企业必须保证每台终端上的配置是安全的,并监视这些终端以防遭到未授权修改。

 

总体上,IT和OT环境通用的解决方案是公司企业明智的选择。应定义一个足够灵活的安全平台,既能够深度覆盖IT,又适用于敏感的OT环境。

 

3.3 保护控制器

每个工业环境都有其物理系统——致动器、校准器、阀门、温度感应器、压力传感器一类机械装置。这些与现实世界交互的物理系统被称为控制器,也就是桥接物理系统控制和网络指令接收行为的特殊计算机。很多案例中恶意黑客都曾获取过这些设备的控制权,引发设备故障,造成物理破坏,或对公司的损害。不过,如果仅仅是能访问而不能控制,恶意黑客也无法直接造成破坏。

 

通过加强检测能力和对ICS修改及威胁的可见性,实现脆弱控制器的安全防护措施,监视可疑访问及控制修改,以及及时检测/控制威胁,公司企业可有效防止工业控制器遭到数字攻击。

 

网络犯罪已成当今世界发展最快的产业之一。其范围涵盖仅仅出于好玩就发起攻击的脚本小子,以及像跨国公司一样运营的犯罪组织。随着ICS成为网络罪犯的主要目标,公司企业需采取措施做好ICS对数字威胁的防护。而要做好防护,就需要重点放在网络安全、终端安全和工业控制器安全的多层安全措施。

9999.jpg


暂无

您可能还会对下面的文章感兴趣: