為什么傳統(tǒng)信息安全產(chǎn)品不能解決工控安全問題

從2010年針對伊朗核工廠的Stuxnet病毒，到2014年席卷歐洲的Havex病毒，針對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊越演越烈，工業(yè)控制系統(tǒng)迫切需要得到安全防護。那么，把傳統(tǒng)信息安全產(chǎn)品如防火墻、反病毒軟件、IDS/IPS，部署到工業(yè)控制系統(tǒng)中是不是就能解決其信息安全問題呢?答案是——不能!

實踐證明傳統(tǒng)信息安全產(chǎn)品不能解決工業(yè)控制系統(tǒng)的安全問題

我們在現(xiàn)場調(diào)研時發(fā)現(xiàn)，一些工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)中，已經(jīng)有部署傳統(tǒng)的防火墻產(chǎn)品，在工作站上也有安裝殺毒軟件產(chǎn)品。但是，傳統(tǒng)的防火墻在保護O P C服務(wù)器時，由于不支持OPC協(xié)議的動態(tài)端口開放，不得不允許O P C客戶端和O P C服務(wù)器之間大范圍內(nèi)的任意端口號的T C P連接，因此防火墻提供的安全保障被降至最低，從而很容易受到惡意軟件和其他安全威脅的攻擊。而反病毒軟件，通常因得不到及時更新，導(dǎo)致失去了對主流病毒、惡意代碼的防護能力。現(xiàn)場調(diào)研的另一個發(fā)現(xiàn)，是工業(yè)控制系統(tǒng)的系統(tǒng)漏洞，不能像IT系統(tǒng)一樣，得到及時的漏洞修復(fù)，大量漏洞長期存在。

綜上所述，傳統(tǒng)信息安全產(chǎn)品(如防火墻、反病毒軟件)及傳統(tǒng)信息安全的管理方法(如漏洞及時修復(fù))并不適用于工業(yè)控制系統(tǒng)，不能解決其信息安全問題。

為什么傳統(tǒng)信息安全產(chǎn)品/方法不適用于工業(yè)控制系統(tǒng)

傳統(tǒng)信息安全產(chǎn)品/方法不適用于工業(yè)控制系統(tǒng)，是由于工業(yè)控制系統(tǒng)相對于IT信息系統(tǒng)的有其獨特差異性，而傳統(tǒng)信息安全產(chǎn)品是針對IT信息系統(tǒng)的需求開發(fā)的。工業(yè)控制系統(tǒng)相對于IT信息系統(tǒng)的差異，在信息安全需求方面主要有以下體現(xiàn)：

1) 工業(yè)控制系統(tǒng)以“可用性”為第一安全需求，而IT信息系統(tǒng)以“機密性”為第一安全需求。在信息安全的三個屬性(機密性、完整性、可用性)中，IT信息系統(tǒng)的優(yōu)先順序是機密性、完整性、可用性，而工業(yè)控制系統(tǒng)則是可用性、完整性、機密性。這一差異，導(dǎo)致工業(yè)控制系統(tǒng)中的信息安全產(chǎn)品，必須從軟硬件設(shè)計上達到更高的可靠性，例如硬件要求無風(fēng)扇設(shè)計(風(fēng)扇平均無故障時間不到3年)。另外，導(dǎo)致傳統(tǒng)信息安全產(chǎn)品的“故障關(guān)閉”原則如防火墻故障則斷開內(nèi)外網(wǎng)的網(wǎng)絡(luò)連接，不適用于工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)的需求是防火墻故障時保證網(wǎng)絡(luò)暢通。

2) 工業(yè)控制系統(tǒng)不能接受頻繁的升級更新操作，而IT信息系統(tǒng)通常能夠接受頻繁的升級更新操作。這對依賴一個黑名單庫來提供防護能力的信息安全產(chǎn)品(例如：反病毒軟件，IDS/IPS)是一個嚴峻的挑戰(zhàn)。

3) 工業(yè)控制系統(tǒng)對報文時延很敏感，而IT信息系統(tǒng)通常強調(diào)高吞吐量。在網(wǎng)絡(luò)報文處理的性能指標(吞吐量、并發(fā)連接數(shù)、連接速率、時延)中，IT信息系統(tǒng)強調(diào)吞吐量、并發(fā)連接數(shù)、連接速率，對時延要求不太高(通常幾百微秒);而工業(yè)控制系統(tǒng)對時延要求高，某些應(yīng)用場景要求時延在幾十微秒內(nèi)，對吞吐量、并發(fā)連接數(shù)、連接速率往往要求不高。這一差異，導(dǎo)致工業(yè)控制系統(tǒng)中的信息安全產(chǎn)品，必須從CPU選型、軟硬件架構(gòu)上做到低時延，這對當(dāng)前一些基于x86 CPU及開源軟件架構(gòu)的信息安全產(chǎn)品是一個嚴峻挑戰(zhàn)。

4) 工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議(例如，OPC、Modbus、DNP3、S7)，而IT信息系統(tǒng)基于IT通信協(xié)議(例如，HTTP、FTP、SMTP、TELNET)。雖然，現(xiàn)在主流工業(yè)控制系統(tǒng)已經(jīng)廣泛采用工業(yè)以太技術(shù)，基于IP/TCP/UDP通信，但是應(yīng)用層協(xié)議是不同的，這就要求信息安全產(chǎn)品必須支持工業(yè)控制協(xié)議(例如，OPC、Modbus、DNP3、S7)，否則就會出現(xiàn)上面提到的為了支持OPC Classic服務(wù)而放開大量TCP端口的問題。

5) 工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場環(huán)境惡劣(如，野外零下幾十度的低溫、潮濕、高原、鹽霧)，而IT信息系統(tǒng)通常在恒溫、恒濕的機房中。這就要求工業(yè)控制系統(tǒng)中的信息安全硬件產(chǎn)品，必須按照工業(yè)現(xiàn)場環(huán)境的要求專門設(shè)計硬件，做到全密閉、無風(fēng)扇，支持﹣40℃～70℃等。

所以，要想解決工業(yè)控制系統(tǒng)的信息安全問題，傳統(tǒng)信息安全產(chǎn)品和解決方案并不是一劑對癥良藥，工業(yè)控制系統(tǒng)需要有一套為自己量身打造的信息安全產(chǎn)品，才能有效抵御工業(yè)系統(tǒng)面臨的各種安全威脅，為客戶帶來工控安全防護的真正價值。

【關(guān)于我們】北京威努特技術(shù)有限公司是一家專注于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全(工控安全)產(chǎn)品與解決方案研究開發(fā)的創(chuàng)新型高科技公司，具有完全的自主知識產(chǎn)權(quán)。公司致力于為客戶提供整體工控安全解決方案與服務(wù)，幫助客戶識別工控系統(tǒng)安全風(fēng)險，掌控工控安全現(xiàn)狀與趨勢，提供工控安全防護與事件響應(yīng)能力。

公司建立了一支由華為、綠盟、奇虎360等資深安全研究專家及高級產(chǎn)品研發(fā)工程師、優(yōu)秀企業(yè)管理人才組成的國際化隊伍。可為用戶提供工控系統(tǒng)安全咨詢、培訓(xùn)、漏洞挖掘、風(fēng)險評估、安全防護、攻防演示與測試系統(tǒng)等軟硬件產(chǎn)品及服務(wù)。產(chǎn)品全面適用于電力、石油、石化、水利、化工、制造、軍工、冶金、城市軌道交通等工控行業(yè)及相關(guān)研究機構(gòu)。