工控系統(tǒng)作為關鍵基礎設施不可分割的一部分，可簡化電力、石油天然氣、供水、交通及化工等重要行業(yè)部門的運營。日益增長的網(wǎng)絡安全問題及其對工控系統(tǒng)的影響愈發(fā)凸顯了關鍵基礎設施所面臨的重大風險。解決工控系統(tǒng)的網(wǎng)絡安全問題，須對安全挑戰(zhàn)與特定防護措施有清晰認識。全局法使用特定措施逐步增強安全，助力防護工控系統(tǒng)中的網(wǎng)絡安全威脅與漏洞。這種方法一般被稱為“縱深防御”，適用于工控系統(tǒng)，為優(yōu)化網(wǎng)絡安全防護提供了靈活、可用的框架。

人們之所以關注控制系統(tǒng)的網(wǎng)絡安全問題，一方面是因為某些系統(tǒng)沿用傳統(tǒng)特性，另一方面是因為工控系統(tǒng)聯(lián)網(wǎng)需求日益增長。在這種關注下，大量已知漏洞被發(fā)現(xiàn)，同時一些工控系統(tǒng)領域前所未見的新型威脅也浮出水面。許多老舊系統(tǒng)缺乏恰當?shù)陌卜滥芰?，無法抵御新型威脅，而現(xiàn)行網(wǎng)絡安全方案由于會影響到系統(tǒng)可用性而無法使用。工控系統(tǒng)連接到企業(yè)、廠商或對等網(wǎng)絡可加劇此問題。

本文深度探討了較突出的網(wǎng)絡風險問題，并結合工控系統(tǒng)對這些問題做了進一步闡述。文章還就如何針對特定問題制定緩解策略發(fā)表了看法，并為如何在工控環(huán)境制定深度安全防護計劃提供了建議，目的是為網(wǎng)絡緩解策略的制定以及策略在工控環(huán)境中的應用提供指導。

現(xiàn)行工控系統(tǒng)架構概覽

曾經(jīng)隔離的工控系統(tǒng)逐漸走向融合，助力企業(yè)簡化并管理復雜的環(huán)境。在聯(lián)網(wǎng)及向工控系統(tǒng)域添加IT組件時，如下情況可導致安全問題：

對于自動化與工控系統(tǒng)越來越依賴;

與外部網(wǎng)絡的不安全連接;

使用的技術包含已知漏洞，在控制域造成前所未見的網(wǎng)絡風險;

缺乏與工控系統(tǒng)環(huán)境相關的網(wǎng)絡安全業(yè)務案例;

某些控制系統(tǒng)技術僅有有限的安全能力，這種能力一般僅在管理員發(fā)現(xiàn)(或不會阻礙流程)時才會啟用;

許多常用的控制系統(tǒng)通信協(xié)議缺乏基本的安全功能(如認證與授權);

關于工控系統(tǒng)、工控系統(tǒng)操作及安全漏洞的開源信息大量存在。對于有效保障網(wǎng)絡與IT網(wǎng)絡安全，這種方法可謂另辟蹊徑。將新型IT架構與缺乏真正網(wǎng)絡安全防護措施的隔離網(wǎng)絡融合具有很大挑戰(zhàn)。顯然，使用路由器與交換機可將設備進行簡單互聯(lián)，但是個人的非法入侵會導致對系統(tǒng)的不受限訪問。圖2中提供的融合架構包含了來自于外部的連接，如企業(yè)局域網(wǎng)、對端站點、廠商站點以及互聯(lián)網(wǎng)。

長期以來，業(yè)界將控制系統(tǒng)的運營安全定義為系統(tǒng)安全有效運行的可靠性水平。將工控系統(tǒng)同外部(不可信)網(wǎng)絡完全隔離，總體通信安全的范圍被壓縮至員工相關威脅(這里的員工指的是可物理訪問設備或工廠車間的員工)。這樣，信息基礎設施內的大多數(shù)數(shù)據(jù)通信僅需要有限授權或安全監(jiān)管。運行命令、指令與數(shù)據(jù)采集發(fā)生在封閉環(huán)境中，這個環(huán)境中的所有通信都受信任。一般情況下，命令或指令通過網(wǎng)絡下發(fā)，預期在到達目標后執(zhí)行授權功能，因為只有授權操作員才可以訪問系統(tǒng)。

如圖所示，融合架構若被入侵，攻擊者可通過各種渠道訪問企業(yè)局域網(wǎng)、控制系統(tǒng)局域網(wǎng)甚或通信局域網(wǎng)的關鍵系統(tǒng)。此種架構本質上要求與各種信息源交換數(shù)據(jù)，這可以被攻擊者所利用。

工控系統(tǒng)內的安全挑戰(zhàn)

在基于傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)的現(xiàn)代計算環(huán)境中(如對驅動控制系統(tǒng)運行的業(yè)務進行管理的企業(yè)基礎設施)，需解決技術相關漏洞問題。傳統(tǒng)上，這些問題由企業(yè)的IT安全組織負責，根據(jù)重要信息資產(chǎn)的安全指導方案與運營計劃進行工作。當工控系統(tǒng)從屬于聯(lián)動架構時，主要關注的問題就變成如何提供同時覆蓋控制系統(tǒng)域的安全規(guī)程?，F(xiàn)有基于網(wǎng)絡的通信所產(chǎn)生的某些安全問題須在控制系統(tǒng)域解決，因為各廠商使用不同協(xié)議，再加上老舊系統(tǒng)固有的安全問題，也許很難保護關鍵業(yè)務系統(tǒng)免于遭受時下的網(wǎng)絡攻擊。

開放的系統(tǒng)架構中存在的、可遷移至控制系統(tǒng)域的漏洞包括惡意軟件(病毒、蠕蟲等等)漏洞、通過操控代碼提權、網(wǎng)絡偵測與數(shù)據(jù)收集、隱蔽流量分析、通過或繞過邊界防護非法入侵網(wǎng)絡等。對于更為先進的系統(tǒng)，漏洞還包括惡意移動代碼，如涉及JavaScript、applet小程序、VBScript及ActiveX的惡意活動內容。成功入侵工控系統(tǒng)網(wǎng)絡后，會出現(xiàn)新的問題，如控制系統(tǒng)協(xié)議反向工程、針對操作員控制臺的攻擊、非法訪問受信任的對端網(wǎng)絡與遠程設施等。要將信息安全與信息保障完全引入控制系統(tǒng)域，必須了解傳統(tǒng)IT架構與工控系統(tǒng)技術之間的關鍵差異。

工控系統(tǒng)的五個關鍵的安全措施

以下是五個關鍵的安全措施，可推動工控系統(tǒng)環(huán)境中的網(wǎng)絡安全活動。

• 安全指導方案。應針對控制系統(tǒng)及其各部件制定安全指導方案，定期評審，以便納入當前威脅環(huán)境、系統(tǒng)功能以及所需的安全級別。
• 阻止對資源和服務的訪問。一般情況下，在網(wǎng)絡中部署提供訪問控制列表的邊界設備如防火墻或代理服務器，提供該技術。而主機方面，該技術可通過部署基于主機的防火墻和殺毒軟件實現(xiàn)。
• 檢測惡意活動。惡意活動檢測可在網(wǎng)絡或主機層面實現(xiàn)，通常需有經(jīng)驗的管理員對日志文件定期監(jiān)控。IDS是識別網(wǎng)絡問題的常用手段，也可部署在單個主機上。盡量在主機上開啟審計和事件日志功能。
• 緩解可能出現(xiàn)的攻擊。在很多情況下，無需處理漏洞，因為漏洞修復可能會使系統(tǒng)不可用或效率降低。通過緩解措施，管理員可控制對漏洞的訪問，確保漏洞不被利用。通常，這一情況在制定臨時技術方案，創(chuàng)建過濾器或運行具備特定配置的服務和應用時非常必要。
• 解決核心問題。要解決核心安全問題，需經(jīng)常更新、升級、安裝軟件漏洞補丁或移除有漏洞的應用。軟件漏洞可能會存在于網(wǎng)絡、操作系統(tǒng)或應用這三層中的任一層。廠商或開發(fā)人員應提供緩解措施(如果有的話)供管理員部署。

免責聲明

本文原文來自于互聯(lián)網(wǎng)的公共方式，由“安全加”社區(qū)出于學習交流的目的進行翻譯，而無任何商業(yè)利益的考慮和利用，“安全加”社區(qū)已經(jīng)盡可能地對作者和來源進行了通告，但不保證能夠窮盡，如您主張相關權利，請及時與“安全加”社區(qū)聯(lián)系。

“安全加”社區(qū)不對翻譯版本的準確性、可靠性作任何保證，也不為由翻譯不準確所導致的直接或間接損失承擔責任。在使用翻譯版本中所包含的技術信息時，用戶同意“安全加”社區(qū)對可能出現(xiàn)的翻譯不完整、或不準確導致的全部或部分損失不承擔任何責任。用戶亦保證不用做商業(yè)用途，也不以任何方式修改本譯文，基于上述問題產(chǎn)生侵權行為的，法律責任由用戶自負。