工控系统作为关键基础设施不可分割的一部分,可简化电力、石油天然气、供水、交通及化工等重要行业部门的运营。日益增长的网络安全问题及其对工控系统的影响愈发凸显了关键基础设施所面临的重大风险。解决工控系统的网络安全问题,须对安全挑战与特定防护措施有清晰认识。全局法使用特定措施逐步增强安全,助力防护工控系统中的网络安全威胁与漏洞。这种方法一般被称为“纵深防御”,适用于工控系统,为优化网络安全防护提供了灵活、可用的框架。
人们之所以关注控制系统的网络安全问题,一方面是因为某些系统沿用传统特性,另一方面是因为工控系统联网需求日益增长。在这种关注下,大量已知漏洞被发现,同时一些工控系统领域前所未见的新型威胁也浮出水面。许多老旧系统缺乏恰当的安防能力,无法抵御新型威胁,而现行网络安全方案由于会影响到系统可用性而无法使用。工控系统连接到企业、厂商或对等网络可加剧此问题。
本文深度探讨了较突出的网络风险问题,并结合工控系统对这些问题做了进一步阐述。文章还就如何针对特定问题制定缓解策略发表了看法,并为如何在工控环境制定深度安全防护计划提供了建议,目的是为网络缓解策略的制定以及策略在工控环境中的应用提供指导。
现行工控系统架构概览
曾经隔离的工控系统逐渐走向融合,助力企业简化并管理复杂的环境。在联网及向工控系统域添加IT组件时,如下情况可导致安全问题:
对于自动化与工控系统越来越依赖;
与外部网络的不安全连接;
使用的技术包含已知漏洞,在控制域造成前所未见的网络风险;
缺乏与工控系统环境相关的网络安全业务案例;
某些控制系统技术仅有有限的安全能力,这种能力一般仅在管理员发现(或不会阻碍流程)时才会启用;
许多常用的控制系统通信协议缺乏基本的安全功能(如认证与授权);
关于工控系统、工控系统操作及安全漏洞的开源信息大量存在。对于有效保障网络与IT网络安全,这种方法可谓另辟蹊径。将新型IT架构与缺乏真正网络安全防护措施的隔离网络融合具有很大挑战。显然,使用路由器与交换机可将设备进行简单互联,但是个人的非法入侵会导致对系统的不受限访问。图2中提供的融合架构包含了来自于外部的连接,如企业局域网、对端站点、厂商站点以及互联网。
长期以来,业界将控制系统的运营安全定义为系统安全有效运行的可靠性水平。将工控系统同外部(不可信)网络完全隔离,总体通信安全的范围被压缩至员工相关威胁(这里的员工指的是可物理访问设备或工厂车间的员工)。这样,信息基础设施内的大多数数据通信仅需要有限授权或安全监管。运行命令、指令与数据采集发生在封闭环境中,这个环境中的所有通信都受信任。一般情况下,命令或指令通过网络下发,预期在到达目标后执行授权功能,因为只有授权操作员才可以访问系统。
如图所示,融合架构若被入侵,攻击者可通过各种渠道访问企业局域网、控制系统局域网甚或通信局域网的关键系统。此种架构本质上要求与各种信息源交换数据,这可以被攻击者所利用。
工控系统内的安全挑战
在基于传输控制协议/互联网协议(TCP/IP)的现代计算环境中(如对驱动控制系统运行的业务进行管理的企业基础设施),需解决技术相关漏洞问题。传统上,这些问题由企业的IT安全组织负责,根据重要信息资产的安全指导方案与运营计划进行工作。当工控系统从属于联动架构时,主要关注的问题就变成如何提供同时覆盖控制系统域的安全规程。现有基于网络的通信所产生的某些安全问题须在控制系统域解决,因为各厂商使用不同协议,再加上老旧系统固有的安全问题,也许很难保护关键业务系统免于遭受时下的网络攻击。
开放的系统架构中存在的、可迁移至控制系统域的漏洞包括恶意软件(病毒、蠕虫等等)漏洞、通过操控代码提权、网络侦测与数据收集、隐蔽流量分析、通过或绕过边界防护非法入侵网络等。对于更为先进的系统,漏洞还包括恶意移动代码,如涉及JavaScript、applet小程序、VBScript及ActiveX的恶意活动内容。成功入侵工控系统网络后,会出现新的问题,如控制系统协议反向工程、针对操作员控制台的攻击、非法访问受信任的对端网络与远程设施等。要将信息安全与信息保障完全引入控制系统域,必须了解传统IT架构与工控系统技术之间的关键差异。
工控系统的五个关键的安全措施
以下是五个关键的安全措施,可推动工控系统环境中的网络安全活动。
- 安全指导方案。应针对控制系统及其各部件制定安全指导方案,定期评审,以便纳入当前威胁环境、系统功能以及所需的安全级别。
- 阻止对资源和服务的访问。一般情况下,在网络中部署提供访问控制列表的边界设备如防火墙或代理服务器,提供该技术。而主机方面,该技术可通过部署基于主机的防火墙和杀毒软件实现。
- 检测恶意活动。恶意活动检测可在网络或主机层面实现,通常需有经验的管理员对日志文件定期监控。IDS是识别网络问题的常用手段,也可部署在单个主机上。尽量在主机上开启审计和事件日志功能。
- 缓解可能出现的攻击。在很多情况下,无需处理漏洞,因为漏洞修复可能会使系统不可用或效率降低。通过缓解措施,管理员可控制对漏洞的访问,确保漏洞不被利用。通常,这一情况在制定临时技术方案,创建过滤器或运行具备特定配置的服务和应用时非常必要。
- 解决核心问题。要解决核心安全问题,需经常更新、升级、安装软件漏洞补丁或移除有漏洞的应用。软件漏洞可能会存在于网络、操作系统或应用这三层中的任一层。厂商或开发人员应提供缓解措施(如果有的话)供管理员部署。
免责声明
本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。