采取縱深防御策略 提升工控系統(tǒng)網(wǎng)絡(luò)安全

　工控系統(tǒng)作為關(guān)鍵基礎(chǔ)設(shè)施不可分割的一部分，可簡化電力、石油天然氣、供水、交通及化工等重要行業(yè)部門的運(yùn)營。日益增長的網(wǎng)絡(luò)安全問題及其對(duì)工控系統(tǒng)的影響愈發(fā)凸顯了關(guān)鍵基礎(chǔ)設(shè)施所面臨的重大風(fēng)險(xiǎn)。解決工控系統(tǒng)的網(wǎng)絡(luò)安全問題，須對(duì)安全挑戰(zhàn)與特定防護(hù)措施有清晰認(rèn)識(shí)。全局法使用特定措施逐步增強(qiáng)安全，助力防護(hù)工控系統(tǒng)中的網(wǎng)絡(luò)安全威脅與漏洞。這種方法一般被稱為“縱深防御”，適用于工控系統(tǒng)，為優(yōu)化網(wǎng)絡(luò)安全防護(hù)提供了靈活、可用的框架。

　　人們之所以關(guān)注控制系統(tǒng)的網(wǎng)絡(luò)安全問題，一方面是因?yàn)槟承┫到y(tǒng)沿用傳統(tǒng)特性，另一方面是因?yàn)楣た叵到y(tǒng)聯(lián)網(wǎng)需求日益增長。在這種關(guān)注下，大量已知漏洞被發(fā)現(xiàn)，同時(shí)一些工控系統(tǒng)領(lǐng)域前所未見的新型威脅也浮出水面。許多老舊系統(tǒng)缺乏恰當(dāng)?shù)陌卜滥芰Γ瑹o法抵御新型威脅，而現(xiàn)行網(wǎng)絡(luò)安全方案由于會(huì)影響到系統(tǒng)可用性而無法使用。工控系統(tǒng)連接到企業(yè)、廠商或?qū)Φ染W(wǎng)絡(luò)可加劇此問題。

　　本文深度探討了較突出的網(wǎng)絡(luò)風(fēng)險(xiǎn)問題，并結(jié)合工控系統(tǒng)對(duì)這些問題做了進(jìn)一步闡述。文章還就如何針對(duì)特定問題制定緩解策略發(fā)表了看法，并為如何在工控環(huán)境制定深度安全防護(hù)計(jì)劃提供了建議，目的是為網(wǎng)絡(luò)緩解策略的制定以及策略在工控環(huán)境中的應(yīng)用提供指導(dǎo)。

　　現(xiàn)行工控系統(tǒng)架構(gòu)概覽

　　曾經(jīng)隔離的工控系統(tǒng)逐漸走向融合，助力企業(yè)簡化并管理復(fù)雜的環(huán)境。在聯(lián)網(wǎng)及向工控系統(tǒng)域添加IT組件時(shí)，如下情況可導(dǎo)致安全問題：

　　對(duì)于自動(dòng)化與工控系統(tǒng)越來越依賴;

　　與外部網(wǎng)絡(luò)的不安全連接;

　　使用的技術(shù)包含已知漏洞，在控制域造成前所未見的網(wǎng)絡(luò)風(fēng)險(xiǎn);

　　缺乏與工控系統(tǒng)環(huán)境相關(guān)的網(wǎng)絡(luò)安全業(yè)務(wù)案例;

　　某些控制系統(tǒng)技術(shù)僅有有限的安全能力，這種能力一般僅在管理員發(fā)現(xiàn)(或不會(huì)阻礙流程)時(shí)才會(huì)啟用;

　　許多常用的控制系統(tǒng)通信協(xié)議缺乏基本的安全功能(如認(rèn)證與授權(quán));

　　關(guān)于工控系統(tǒng)、工控系統(tǒng)操作及安全漏洞的開源信息大量存在。對(duì)于有效保障網(wǎng)絡(luò)與IT網(wǎng)絡(luò)安全，這種方法可謂另辟蹊徑。將新型IT架構(gòu)與缺乏真正網(wǎng)絡(luò)安全防護(hù)措施的隔離網(wǎng)絡(luò)融合具有很大挑戰(zhàn)。顯然，使用路由器與交換機(jī)可將設(shè)備進(jìn)行簡單互聯(lián)，但是個(gè)人的非法入侵會(huì)導(dǎo)致對(duì)系統(tǒng)的不受限訪問。圖2中提供的融合架構(gòu)包含了來自于外部的連接，如企業(yè)局域網(wǎng)、對(duì)端站點(diǎn)、廠商站點(diǎn)以及互聯(lián)網(wǎng)。

　　長期以來，業(yè)界將控制系統(tǒng)的運(yùn)營安全定義為系統(tǒng)安全有效運(yùn)行的可靠性水平。將工控系統(tǒng)同外部(不可信)網(wǎng)絡(luò)完全隔離，總體通信安全的范圍被壓縮至員工相關(guān)威脅(這里的員工指的是可物理訪問設(shè)備或工廠車間的員工)。這樣，信息基礎(chǔ)設(shè)施內(nèi)的大多數(shù)數(shù)據(jù)通信僅需要有限授權(quán)或安全監(jiān)管。運(yùn)行命令、指令與數(shù)據(jù)采集發(fā)生在封閉環(huán)境中，這個(gè)環(huán)境中的所有通信都受信任。一般情況下，命令或指令通過網(wǎng)絡(luò)下發(fā)，預(yù)期在到達(dá)目標(biāo)后執(zhí)行授權(quán)功能，因?yàn)橹挥惺跈?quán)操作員才可以訪問系統(tǒng)。

/uploadImages/2016/09/20160928102738712.jpg

　　如圖所示，融合架構(gòu)若被入侵，攻擊者可通過各種渠道訪問企業(yè)局域網(wǎng)、控制系統(tǒng)局域網(wǎng)甚或通信局域網(wǎng)的關(guān)鍵系統(tǒng)。此種架構(gòu)本質(zhì)上要求與各種信息源交換數(shù)據(jù)，這可以被攻擊者所利用。

　　工控系統(tǒng)內(nèi)的安全挑戰(zhàn)

　　在基于傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)的現(xiàn)代計(jì)算環(huán)境中(如對(duì)驅(qū)動(dòng)控制系統(tǒng)運(yùn)行的業(yè)務(wù)進(jìn)行管理的企業(yè)基礎(chǔ)設(shè)施)，需解決技術(shù)相關(guān)漏洞問題。傳統(tǒng)上，這些問題由企業(yè)的IT安全組織負(fù)責(zé)，根據(jù)重要信息資產(chǎn)的安全指導(dǎo)方案與運(yùn)營計(jì)劃進(jìn)行工作。當(dāng)工控系統(tǒng)從屬于聯(lián)動(dòng)架構(gòu)時(shí)，主要關(guān)注的問題就變成如何提供同時(shí)覆蓋控制系統(tǒng)域的安全規(guī)程。現(xiàn)有基于網(wǎng)絡(luò)的通信所產(chǎn)生的某些安全問題須在控制系統(tǒng)域解決，因?yàn)楦鲝S商使用不同協(xié)議，再加上老舊系統(tǒng)固有的安全問題，也許很難保護(hù)關(guān)鍵業(yè)務(wù)系統(tǒng)免于遭受時(shí)下的網(wǎng)絡(luò)攻擊。

　　開放的系統(tǒng)架構(gòu)中存在的、可遷移至控制系統(tǒng)域的漏洞包括惡意軟件(病毒、蠕蟲等等)漏洞、通過操控代碼提權(quán)、網(wǎng)絡(luò)偵測與數(shù)據(jù)收集、隱蔽流量分析、通過或繞過邊界防護(hù)非法入侵網(wǎng)絡(luò)等。對(duì)于更為先進(jìn)的系統(tǒng)，漏洞還包括惡意移動(dòng)代碼，如涉及JavaScript、applet小程序、VBScript及ActiveX的惡意活動(dòng)內(nèi)容。成功入侵工控系統(tǒng)網(wǎng)絡(luò)后，會(huì)出現(xiàn)新的問題，如控制系統(tǒng)協(xié)議反向工程、針對(duì)操作員控制臺(tái)的攻擊、非法訪問受信任的對(duì)端網(wǎng)絡(luò)與遠(yuǎn)程設(shè)施等。要將信息安全與信息保障完全引入控制系統(tǒng)域，必須了解傳統(tǒng)IT架構(gòu)與工控系統(tǒng)技術(shù)之間的關(guān)鍵差異。

/uploadImages/2016/09/20160928102738772.jpg

　　工控系統(tǒng)的五個(gè)關(guān)鍵的安全措施

　　以下是五個(gè)關(guān)鍵的安全措施，可推動(dòng)工控系統(tǒng)環(huán)境中的網(wǎng)絡(luò)安全活動(dòng)。

　　· 安全指導(dǎo)方案。應(yīng)針對(duì)控制系統(tǒng)及其各部件制定安全指導(dǎo)方案，定期評(píng)審，以便納入當(dāng)前威脅環(huán)境、系統(tǒng)功能以及所需的安全級(jí)別。

　　· 阻止對(duì)資源和服務(wù)的訪問。一般情況下，在網(wǎng)絡(luò)中部署提供訪問控制列表的邊界設(shè)備如防火墻或代理服務(wù)器，提供該技術(shù)。而主機(jī)方面，該技術(shù)可通過部署基于主機(jī)的防火墻和殺毒軟件實(shí)現(xiàn)。

　　· 檢測惡意活動(dòng)。惡意活動(dòng)檢測可在網(wǎng)絡(luò)或主機(jī)層面實(shí)現(xiàn)，通常需有經(jīng)驗(yàn)的管理員對(duì)日志文件定期監(jiān)控。IDS是識(shí)別網(wǎng)絡(luò)問題的常用手段，也可部署在單個(gè)主機(jī)上。盡量在主機(jī)上開啟審計(jì)和事件日志功能。

　　· 緩解可能出現(xiàn)的攻擊。在很多情況下，無需處理漏洞，因?yàn)槁┒葱迯?fù)可能會(huì)使系統(tǒng)不可用或效率降低。通過緩解措施，管理員可控制對(duì)漏洞的訪問，確保漏洞不被利用。通常，這一情況在制定臨時(shí)技術(shù)方案，創(chuàng)建過濾器或運(yùn)行具備特定配置的服務(wù)和應(yīng)用時(shí)非常必要。

　　· 解決核心問題。要解決核心安全問題，需經(jīng)常更新、升級(jí)、安裝軟件漏洞補(bǔ)丁或移除有漏洞的應(yīng)用。軟件漏洞可能會(huì)存在于網(wǎng)絡(luò)、操作系統(tǒng)或應(yīng)用這三層中的任一層。廠商或開發(fā)人員應(yīng)提供緩解措施(如果有的話)供管理員部署。

　　免責(zé)聲明

　　本文原文來自于互聯(lián)網(wǎng)的公共方式，由“安全加”社區(qū)出于學(xué)習(xí)交流的目的進(jìn)行翻譯，而無任何商業(yè)利益的考慮和利用，“安全加”社區(qū)已經(jīng)盡可能地對(duì)作者和來源進(jìn)行了通告，但不保證能夠窮盡，如您主張相關(guān)權(quán)利，請(qǐng)及時(shí)與“安全加”社區(qū)聯(lián)系。

　　“安全加”社區(qū)不對(duì)翻譯版本的準(zhǔn)確性、可靠性作任何保證，也不為由翻譯不準(zhǔn)確所導(dǎo)致的直接或間接損失承擔(dān)責(zé)任。在使用翻譯版本中所包含的技術(shù)信息時(shí)，用戶同意“安全加”社區(qū)對(duì)可能出現(xiàn)的翻譯不完整、或不準(zhǔn)確導(dǎo)致的全部或部分損失不承擔(dān)任何責(zé)任。用戶亦保證不用做商業(yè)用途，也不以任何方式修改本譯文，基于上述問題產(chǎn)生侵權(quán)行為的，法律責(zé)任由用戶自負(fù)。

原文出自【比特網(wǎng)】，轉(zhuǎn)載請(qǐng)保留原文鏈接：http://sec.chinabyte.com/297/13908797.shtml