在線客服
企業微信
核心提示:背景分析
近年來,隨著基于工業以太網開放性通信協議的引入,系統平臺趨于開放化,與外界的連接更為頻繁。而同時外界的
背景分析
近年來,隨著基于工業以太網開放性通信協議的引入,系統平臺趨于開放化,與外界的連接更為頻繁。而同時外界的安全威脅實踐日益增多,許多攻擊可以通過互聯網入侵到工控系統當中,石油石化、能源煤炭、水利水電、交通運輸等關乎國民經濟命脈的產業與之息息相關,復雜多變的攻擊風險,對國民經濟建設和工業安全產生了一定威脅。由于工控網絡存在著特殊性,商用的信息安全技術無法全面應對此類風險,解決工業控制系統安全需要有針對性地實施特殊措施。
工業控制網絡的安全漏洞
對工控系統而言,可能帶來直接隱患的安全漏洞主要包括以下幾種:
1、病毒與惡意代碼
全球范圍內,每年都會發生大規模的病毒爆發,目前已發現數萬種病毒,每天還會新生數十余種。除了傳統意義上必須寄生在其它實用程序中的病毒種類外,各種新型的惡意代碼更是層出不窮,如邏輯炸彈、特洛伊木馬、蠕蟲等,它們往往具有更強的傳播能力和破壞性。蠕蟲病毒和傳統病毒相比,其最大的不同在于可以進行自我復制,傳統病毒的復制過程需要依賴人工干預,而蠕蟲卻可以自己獨立完成,破壞性和生命力自然強大得多。
2、SCADA系統軟件的漏洞
國家信息安全漏洞共享平臺收錄的工業控制系統軟件安全漏洞近年來數量大幅增長。SCADA中的安全問題包括缺乏安全授權機制、缺乏代碼混淆、缺乏安全地存儲數據、缺乏通信安全,而后端系統的漏洞類型包括SQL注入漏洞、內存破壞漏洞、DoS漏洞和信息泄露漏洞,黑客完全可以利用這些漏洞影響工業生產過程。
3、操作系統安全漏洞
PC與Windows的技術架構現已成為控制系統上位機/操作站的主流,而在控制網絡中,操作站是實現與MES通信的主要網絡結點,因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。
4、網絡通信協議安全漏洞
隨著TCP/IP協議的普遍適用,網絡通信協議漏洞也隨之增多。TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡,這一網絡是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會應用環境后,安全問題接踵而至,也說明了TCP/IP在先天上就存在著致命的設計性安全缺陷。
5、安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多工業控制系統存在的普遍現象,缺乏完整有效的安全策略與管理流程,也給工業控制系統信息安全帶來了一定威脅。
安全防護策略
工業控制系統的安全防護需要考慮每一個細節。從現場I/O設備、控制器,到操作站的計算機操作系統,工業控制網絡中同時存在保障工業系統的工業控制網絡和保障生產經營的辦公網絡,考慮到不同業務終端的安全性與故障容錯程度的不同,防御策略和保障措施應該按照等級進行劃分,而實施分層次的縱深防御架構,分別采取不同的對應手段,構筑從整體到細節的立體防御體系。
1. 實施網絡物理隔離
根據公安部制定的《GA370-2001端設備隔離部件安全技術要求》中所定義的,物理隔離的含義是:公共網絡和專網在網絡物理連線上是完全隔離的,且沒有任何公用的存儲信息。物理隔離部件的安全功能應保證被隔離的計算機資源不能被訪問(至少應包括硬盤、軟盤和光盤),計算機數據不能被重用(至少應包括內存)。
信息安全是一個體系防護的概念,網絡物理隔離技術不可能解決所有信息安全問題,但能大大提高網絡的安全性和可控性,能徹底消除內部網絡遭受外部網絡侵入和破壞的可能性,從而大大減少網絡中的不安全因素,縮小追蹤網絡中非法用戶和黑客的范圍。目前存在的安全問題,對網絡隔離技術而言在理論上都不存在,這就是各國政府都大力推行網絡隔離技術的主要原因。
網絡隔離技術目前已經發展到了第五代,第一代隔離技術實際上是將網絡進行物理上的分開,形成信息孤島;第二代采用硬件卡隔離技術;第三代采用數據轉發隔離技術;第四代采用的是空氣開關隔離技術;而第五代隔離技術采用了安全通道隔離技術。基于安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,還能有效把內外部網絡隔離開,高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成為當前隔離技術的主要發展方向。
總的來說,網絡隔離技術的主要目標是解決工業控制系統中的各種漏洞:操作系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等,網絡隔離也是目前唯一能解決上述問題的安全技術。
2. 構建網絡防火墻
網絡防火墻通過設置不同的安全規則來控制設備或系統之間的數據流,在實際應用中主要用于分析與互聯網連接的TCP/IP協議簇。防火墻在網絡中使用的前提是必須保證網絡的連通性,其通過規則設置和協議分析,來限制和過濾那些敏感、不安全的信息,防止未經授權的訪問。由于工業控制與商用網絡的差異,常規的網絡安全設置規則用在工業控制網絡中會存在很多問題。只有正確地設計、配置和維護硬件防火墻的規則,才可以保護工業控制網絡系統的安全環境。
近年來,隨著基于工業以太網開放性通信協議的引入,系統平臺趨于開放化,與外界的連接更為頻繁。而同時外界的安全威脅實踐日益增多,許多攻擊可以通過互聯網入侵到工控系統當中,石油石化、能源煤炭、水利水電、交通運輸等關乎國民經濟命脈的產業與之息息相關,復雜多變的攻擊風險,對國民經濟建設和工業安全產生了一定威脅。由于工控網絡存在著特殊性,商用的信息安全技術無法全面應對此類風險,解決工業控制系統安全需要有針對性地實施特殊措施。
工業控制網絡的安全漏洞
對工控系統而言,可能帶來直接隱患的安全漏洞主要包括以下幾種:
1、病毒與惡意代碼
全球范圍內,每年都會發生大規模的病毒爆發,目前已發現數萬種病毒,每天還會新生數十余種。除了傳統意義上必須寄生在其它實用程序中的病毒種類外,各種新型的惡意代碼更是層出不窮,如邏輯炸彈、特洛伊木馬、蠕蟲等,它們往往具有更強的傳播能力和破壞性。蠕蟲病毒和傳統病毒相比,其最大的不同在于可以進行自我復制,傳統病毒的復制過程需要依賴人工干預,而蠕蟲卻可以自己獨立完成,破壞性和生命力自然強大得多。
2、SCADA系統軟件的漏洞
國家信息安全漏洞共享平臺收錄的工業控制系統軟件安全漏洞近年來數量大幅增長。SCADA中的安全問題包括缺乏安全授權機制、缺乏代碼混淆、缺乏安全地存儲數據、缺乏通信安全,而后端系統的漏洞類型包括SQL注入漏洞、內存破壞漏洞、DoS漏洞和信息泄露漏洞,黑客完全可以利用這些漏洞影響工業生產過程。
3、操作系統安全漏洞
PC與Windows的技術架構現已成為控制系統上位機/操作站的主流,而在控制網絡中,操作站是實現與MES通信的主要網絡結點,因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。
4、網絡通信協議安全漏洞
隨著TCP/IP協議的普遍適用,網絡通信協議漏洞也隨之增多。TCP/IP協議簇最初設計的應用環境是美國國防系統的內部網絡,這一網絡是互相信任的,因此它原本只考慮互通互聯和資源共享的問題,并未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會應用環境后,安全問題接踵而至,也說明了TCP/IP在先天上就存在著致命的設計性安全缺陷。
5、安全策略和管理流程漏洞
追求可用性而犧牲安全,是很多工業控制系統存在的普遍現象,缺乏完整有效的安全策略與管理流程,也給工業控制系統信息安全帶來了一定威脅。
安全防護策略
工業控制系統的安全防護需要考慮每一個細節。從現場I/O設備、控制器,到操作站的計算機操作系統,工業控制網絡中同時存在保障工業系統的工業控制網絡和保障生產經營的辦公網絡,考慮到不同業務終端的安全性與故障容錯程度的不同,防御策略和保障措施應該按照等級進行劃分,而實施分層次的縱深防御架構,分別采取不同的對應手段,構筑從整體到細節的立體防御體系。
1. 實施網絡物理隔離
根據公安部制定的《GA370-2001端設備隔離部件安全技術要求》中所定義的,物理隔離的含義是:公共網絡和專網在網絡物理連線上是完全隔離的,且沒有任何公用的存儲信息。物理隔離部件的安全功能應保證被隔離的計算機資源不能被訪問(至少應包括硬盤、軟盤和光盤),計算機數據不能被重用(至少應包括內存)。
信息安全是一個體系防護的概念,網絡物理隔離技術不可能解決所有信息安全問題,但能大大提高網絡的安全性和可控性,能徹底消除內部網絡遭受外部網絡侵入和破壞的可能性,從而大大減少網絡中的不安全因素,縮小追蹤網絡中非法用戶和黑客的范圍。目前存在的安全問題,對網絡隔離技術而言在理論上都不存在,這就是各國政府都大力推行網絡隔離技術的主要原因。
網絡隔離技術目前已經發展到了第五代,第一代隔離技術實際上是將網絡進行物理上的分開,形成信息孤島;第二代采用硬件卡隔離技術;第三代采用數據轉發隔離技術;第四代采用的是空氣開關隔離技術;而第五代隔離技術采用了安全通道隔離技術。基于安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,還能有效把內外部網絡隔離開,高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成為當前隔離技術的主要發展方向。
總的來說,網絡隔離技術的主要目標是解決工業控制系統中的各種漏洞:操作系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等,網絡隔離也是目前唯一能解決上述問題的安全技術。
2. 構建網絡防火墻
網絡防火墻通過設置不同的安全規則來控制設備或系統之間的數據流,在實際應用中主要用于分析與互聯網連接的TCP/IP協議簇。防火墻在網絡中使用的前提是必須保證網絡的連通性,其通過規則設置和協議分析,來限制和過濾那些敏感、不安全的信息,防止未經授權的訪問。由于工業控制與商用網絡的差異,常規的網絡安全設置規則用在工業控制網絡中會存在很多問題。只有正確地設計、配置和維護硬件防火墻的規則,才可以保護工業控制網絡系統的安全環境。
