工业控制网络安全策略中常见误区的分析与解决 点击:456 | 回复:2



海天炜业

    
发表于:2011-10-12 15:52:12
楼主

工业控制系统的管理员和工程师们早已认识到保证控制系统安全的重要性,并采取了多种安全策略来保证系统的安全,但在安全认识方面仍存在以下常见误区。

误区一:控制系统对黑客或病毒来说不是那么脆弱

事实并非如此,在一些实际应用中任何忽略安全因素的策略都会引起灾难性的后果。近几年来发生的安全事故也给工业自动化行业的安全问题敲响了警钟,让人们意识到现在的自动化系统在安全方面的脆弱。

1、伊朗Stuxnet病毒事件
2010年10月发生在伊朗的震网蠕虫Stuxnet病毒事件造成伊朗布什尔核电站推迟发电,并对伊朗国内工业造成大面积影响。

2、佳士拿汽车工厂事件2005年8月13日美国的佳士拿汽车工厂被一个简单的电脑病毒关闭了。 尽管公司网络与互联网之间已安装了专业防火墙,病毒依然能进入了工厂的控制系统(可能是通过一台笔记本电脑)。 一旦进入了控制系统,病毒就能够在几秒钟之内从一个車间感染到另一个車间。 大约50,000流水线工人因此要暫停工作在这期间。该事故的原因是什么?就是一个叫Zotob的蠕虫病毒经过第二通道进入了网络。估计损失影响为1,400万美元。3、美国Browns Ferry核工厂的“安全”事件 2006年8月因反应堆在‘高功率、低流量条件’的危险情况下, Browns Ferry核电厂所有人员不得不全部撤离。 控制循环水系统的冗余驱动器失效了,原因是控制网络上“过量交通”的缘故。 可能是两种不同供应商的控制产品产生了通讯过荷现像。该事故的原因是什么?是在控制网络上不当和过度的交通。核电厂因此停机2天,估计损失的费用约60万美元。

4、水处理
2006年10月黑客入侵了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统 。被攻破的笔记本电脑是通过互联网,然后与一个VPN连接作为切入点用来安装病毒和间谍软件在这工厂SCADA系统的PC里。虽然进攻目标似乎並没有在水的质量上,但此事如果没有被发现的话,恶意软件随时可以干扰了工厂的业务 。

误区二:目前为止没有什么事情发生,所以我们是安全的
近年来工业控制系统面临的安全威胁与过去十年相比,其主要类型已经从根本上发生了变化,导致以前貌似安全的控制系统存在的问题更容易暴露出来,防患于未燃的任务变得更加重要。

2001年之前特点分析:敌对事件为主要原因,包括不合适的雇用活动、不满意的雇用员工和偶然事件等。

2001年之后特点分析:大部分为外部攻击,例如系统突破、病毒/特洛伊/蠕虫、拒绝服务(DOS)、阴谋破坏等

误区三:我们的控制系统没连因特网,所以控制系统很安全
即便如此,来自病毒、系统突破、蠕虫等等的外部攻击仍有可能通过WANS和MES、因特网、被信任的第三方以及连接到PC网的笔记本电脑等对控制系统进行破坏。
误区四:黑客不懂SCADA/PLC/DCS事实上SCADA系统暴露着很多问题,在这些系统或者子系统上的信息攻击可以通过远程登录或者同时多重登录实现,从而使SCADA系统也成为黑客攻击的对象。

这些事件都有着以下的共同点:

1、‘软’目标漏洞
大多数控制网络中在运行的电脑,很少或没有机会安装全天候病毒防护或更新版本。另外,控制器的设计都以优化实时的I/O功能为主,而并不提供加强的网络连接安全防护功能。RTU、PLC或DCS系统都是非常容易受到攻击的对象,一般的黑客初学者很容易就能获取入侵这些系统的工具。

2、多个网络端口切入点
在多个网络事件中,事由都源于对多个网络端口进入点疏于防护,包括USB钥匙、维修连接、笔记本电脑等。

3、疏漏的网络分割设计
实际应用中的许多控制网络都是“敞开的”,不同的子系统之间都没有有效的隔离,尤其是基于OPC、MODBUS等通讯的工业控制网络,从而造成安全故障通过网络迅速蔓延。

那么如何保护这些控制系统就成为大家要思考的问题,一个普遍的解决方案就是在企业和控制系统之间安装单一的防火墙,采用独一网络端口的方式,也就是所谓的堡垒模型。问题的关键在于传统的防火墙并非专为控制系统或工业环境而设计的,特别是采用OPC方式通讯时,很容易把一切的工厂设备和系统都暴露给黑客。每年,网络攻击事件造成的损失高达数十亿美元。在这样的背景下,人们迫切需要一款针对工业控制网络安全特定的防护产品。

受聘于加拿大政府,专门负责收集整理北美、欧洲等地区网络安全事件,并提供分析报告和解决方案的Byres Security Inc. 公司推出的Tofino(多芬诺)产品是一个不错的选择,该产品已为全球包括波音(Boeing)飞机制造公司、英国BP石油、美国ExxonMobil、中石油(Petrochina)、中石化(Sinopec)等大型企业提供了网络安全防护方案,同时Byres Security Inc. 也为全球知名的自动化供应商(如Honeywell、Invensys、MTL等)提供OEM安全防护产品。

Tofino产品严格参照国际行业标准ANSI/ISA-99中关于工业网络安全的要求,通过区域划分、管道建立、通信管控三大手段为工业网络提供的安全防护远远超越一般传统的防火墙。ANSI/ISA-99安全标准的核心理念是“区域和管道”,根据控制功能将具备相同功能和安全要求的设备划分在同一区域内,实现安全等级分区。区域之间的连接被称为管道,同样也要有安全管制,包括进入区域的管制、采用抵御拒绝服务(DOS)防范恶意软件或攻击的转移、屏蔽其他网络系统、保护网络流量的完整性和保密性等。管道的建立使得系统的安全防护更易于控制,通过控制管道中数据通信,即只允许正确设备操作所必须的通信通过来实现设备保护和网络安全。下图以一座炼油厂为例,形象地展示了Tofino的设计理念。
 
感兴趣的朋友可以联系我获取更详细的资料O(∩_∩)O~


楼主最近还看过

SSI ļʱ