工控安全要避開傳統IT安全思路的幾個“暗坑”
很多人都在講工控系統安全與互聯網安全或者辦公網的安全又很大的不同。具體有哪些不同呢? 其實NIST的SP800-82的工控系統安全指南里面講了10大類。作為目前我們看到的比較系統的工控系統安全的標準或者指南來說。NIST的這個文件概括的還是比較全面的。不過,在實踐中,有些重要的不同點NIST并沒有提到或者沒有強調而有些NIST的指南則未免有些紙上談兵。這里舉幾個例子。
安全實施與設備管理在不同部門導致的責任問題
在互聯網或者企業網里,所保護的對象比如服務器,存儲,網絡設備等的管理一般屬于IT部門。而實施網絡安全方案的也是IT部門。而在工控系統的安全里,一般來說安全也是由IT部門主導,而設備則是由另外的部門來管理。比如在電網有所謂的OT部門。在化工企業可能是設備處等等。總之,工控系統設備不歸IT部門管。有很多時候,?IT部門的人員甚至都進不了工控機房。
這樣帶來了工控系統安全產品開發和銷售中的一個很大的挑戰。
首先是責任劃分問題,也就是說出了事誰負責的問題。IT系統安全很簡單,出了事就是IT部門的事。而在工控系統安全中,就存在責任劃分問題.“要是裝了你的安全方案后出了問題算誰的?”設備部門的第一個問題往往就是這個。如果沒有一個很好的技術和管理結合的解決方案,控安全的方案就很難在企業真正大規模推廣開。
其次,在工控系統安全方案中,客戶對于生產系統的可持續性(continuity)的要求要大大高于IT安全的方案。對一些大型工控系統,停一次機的損失就得幾千萬人民幣或者幾百萬美元,客戶的生產部門對于由于安全方案需要的停機就特別反感,尤其是在沒有現實的威脅的情況下,很難說服客戶去做大規模的停機升級。那么,很多針對IT系統安全的方案比如升級或者補丁等就不一定合適。且不說很多工控系統出于系統穩定性的考慮,根本不允許進行補丁升級。這樣就要求我們不得不在網絡層根據流量模式進行相應的防御。
工控系統的“縱深防御“存在很大困難,邊界安全非常重要
“縱深防御”是互聯網和企業安全的一個很重要的策略。在NIST的指南里也提到要采用“縱深防御“的策略。 不過,從實踐上來看,在現階段工控系統架構和設計不能做出重大改變的情況下,”縱深防御“很難實施,而邊界安全其實更加重要。
首先是工控系統的主機防御有很大困難,很多主機系統非常老舊,漏洞非常多。我們甚至在客戶的工控系統中看到過Windows98的系統。而由于存在升級的困難(事實上,很多主機系統運行了超過10年,都找不到相應的升級補丁)。
其次,工控系統從設計上不是一個通用計算系統,設計的資源余量很少,除了干工控系統本身的事之外, 從主機到網絡都很少有冗余的資源進行其他工作。不要說病毒,就是一個掃描程序都可能導致工控系統的資源枯竭而導致問題。
在此情況下,工控系統內部其實是一個資源緊張?漏洞百出的系統。而且是短時間內無法改變的狀況。在此種情況下進行工控系統安全的防御,只能從邊界安全上做文章。
而邊界安全來說,傳統企業安全的防火墻等方案并不能解決問題。因為很多客戶提出的所謂“安全隔離”,其實并不能真正的隔離工控系統與外界的通信。有很多工控系統的運行需要與辦公網進行數據交流。比如很多生產調度是要在辦公網進行的。有些辦公系統應用需要從工控系統中或者實時數據庫中取數據(比如商業分析, 生產優化等)。目前普遍采用的OPC協議采用的動態端口分配的方式,使得傳統防火墻很難簡單的通過規則制定來進行防護。事實上,我們看到不少客戶買了由互聯網防火墻改成的所謂“工控網防火墻“后,發現無法適應生產的要求而棄之不用的情況。我們的實踐發現,目前階段工控系統邊界安全的比較有效的方案是通過針對網絡流量的分析,利用人工智能的方式建立行為模式的白名單,以及持續進行非主動的流量監測。
工控系統的數據安全需要格外重視
工控系統的數據風險有兩個方面的威脅:
·????? 一個是網絡攻擊的威脅,我們通過對一些客戶網絡中的攻擊分析發現,目前對工控系統的攻擊主要還是在系統信息收集以及工控數據篡改(事實上“震網“在最后實施攻擊的那一步就是篡改了儀表數據進行的);
·????? 另外一個是對于客戶工控系統的經營和管理數據的竊取,這里面包括可能有價值的工藝流程等情報。
而在實踐中數據也是工控系統與外界通信的最主要原因。大量的不同應用要去工控系統上取數據,這也帶來了工控系統一個主要的攻擊面。因此,對于工控系統來說,需要比企業網或者互聯網要有更多的對數據安全的重視。
在進行數據安全的方案中,一個需要注意的問題就是信息安全不能影響到工控系統的正常經營。由于工控系統的資源冗余度很低, 數據安全的解決方案要考慮到資源占用的問題,同時也要考慮到滿足數據應用的大量需求,這個矛盾需要認真解決。僅僅按照企業網的數據安全的方案是不符合實際情況的。關于工控安全與傳統IT安全思路的重大差異,讀者還可以參考我兩年前發布的這篇文章:工控安全,該做的和不該做的。
