今日頭條
官方微信
官方抖音
資訊頻道1 工業控制系統信息安全趨勢
隨著工業控制系統的通用化、網絡化、智能化發展,工業控制系統信息安全形勢日漸嚴峻。一方面,傳統的互聯網信息安全威脅正在向工業控制系統蔓延,另一方面,針對關鍵基礎設施及其控制系統,以竊取敏感信息和破壞關鍵基礎設施運行為主要目的的攻擊愈演愈烈。主要原因是工業控制系統建設時更多的是考慮各自系統的可用性,并沒有充分考慮系統之間互聯互通的信息安全風險和防護建設,使得國際國內針對工業控制系統的攻擊事件層出不窮。“震網”病毒事件為全球工業控制系統安全問題敲響了警鐘,促使國家和社會逐漸重視工業控制系統的信息安全問題。
2010年以前,全球工業安全事件發生頻率還較少,但這個數據在2010年以后急劇上升。據權威工業安全事件信息庫RISI統計,截止到2013年10 月,全球已發生300余起針對工業控制系統的攻擊事件,而且,這個數據還在不斷刷新。這說明黑客針對工業控制系統的關注度在不斷提升,嚴重威脅著生產安全。
全球各地不斷發生的工控信息安全事件給我們3個啟示:一是黑客技術高超,制造的病毒不易被發現;二是針對工控系統的攻擊不是個人所為,而是團伙作案;三是針對工控系統的攻擊除了個人獲利因素外,更重要的是帶有敵對思想和很強的政治色彩。
因此,如果對工控系統沒有嚴格的管控措施,在敵對勢力發動網絡攻擊,或是潛藏在工控系統中的木馬病毒發生作用時,其后果堪比一場戰爭帶來的災難。目前,我國工控領域的法律規范和國家安全標準相對欠缺,也沒有嚴格的市場準入制度,國家對國產工控設備的產業支持力度還有待加強。這種局面必須得到徹底改觀,否則,國家安全、人民的安康都將籠罩在工控系統安全風險的陰霾之中。
近年來,國家非常重視工業控制系統信息安全問題,已經把安全問題提升到與發展同等的高度來看待。中共中央總書記、國家主席、中央軍委主席、中央網絡安全和信息化領導小組組長習近平2014年2月27日下午主持召開中央網絡安全和信息化領導小組第一次會議并發表重要講話。會議中,習總書記指出,沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。
工業和信息化部2011年9月發布《關于加強工業控制系統信息安全管理的通知》([2011]451號),通知明確了工業控制系統信息安全管理的組織領導、技術保障、規章制度等方面的要求,并在工業控制系統的連接、組網、配置、設備選擇與升級、數據、應急管理等六個方面提出了具體要求。
2012年6月28號國務院《關于大力推進信息化發展和切實保障信息安全的若干意見(國發[2012]23號》中明確要求:保障工業控制系統安全;重點保障對可能危及生命和公共財產安全的工業控制系統。
國家發改委從2011年開始開展工業控制系統信息安全專項,涉及到面向現場設備環境的邊界安全專用網關產品、面向集散控制系統(DCS)的異常監測產品、面向SCADA系統的安全采集遠程終端單元(RTU)產品以及工業應用軟件漏洞掃描產品等產業化項目。在電力電網、石油石化、先進制造、軌道交通等領域,支持大型重點骨干企業,按照信息安全等級保護相關要求,開展工業控制系統信息安全建設的試點示范。
目前已頒布了如下標準:
GB/T 26333-2010《工業控制網絡安全風險評估規范》;
GB/T 30976.1-2014-工業控制系統信息安全 第1部分:評估規范;
GB/T 30976.2-2014-工業控制系統信息安全 第2部分:驗收規范;
此外,《工業控制系統信息安全等級保護設計技術指南(草稿)》、《工業控制系統信息安全等級保護基本要求(草稿)》正在編寫過程中。
《集散控制系統(DCS)安全防護標準》正在征求意見中。
在工控安全建設方面走在前列的電力行業早些年已經在生產系統中建立了相關規范,如《電力二次系統安防護規定》(電監會5號令)、《電力二次系統安全防護總體方案》(電監會全34號文)等,發改委14號令 《電力監控系統安全防護規定》。
公安部、經信委等也在不斷對影響國計民生的公共系統進行滲透檢查,發現了眾多問題。
2 工業控制系統信息安全建設思路
目前,工業控制系統信息安全建設思路是以風險管理為核心,通過了解自身工業控制系統信息安全風險,并通過合適的管理和技術措施對這些風險進行控制,達到企業工控系統信息安全風險可控的目標。風險管理是指如何在一個肯定有風險的環境里把風險減至最低的管理過程。風險管理包括對風險的量度、評估和應變策略。
眾所周知,工業控制系統信息安全風險和事件不可能完全避免,沒有絕對的安全。信息安全本身是高技術的對抗,有別于傳統安全,呈現擴散速度快、難控制等特點。因此,管理工業控制系統信息安全必須以風險管理的方式,關鍵在于如何控制、化解和規避風險,而不是完全消除風險。好的風險管理過程可以讓企業以最具成本效益的方式運行,并且使已知的風險維持在可接受的水平。好的風險管理過程使組織可以用一種一致的、條理清晰的方式來組織有限的資源并確定優先級,更好地管理風險,而不是將寶貴的資源用于解決所有可能的風險。
風險,通俗講是指不幸事件發生的概率。影響風險的發生與兩個因素密不可分,即弱點和威脅。也就是說,要做到風險可控,就必須非常清楚地了解自身的弱點和威脅源,通過對自身弱點進行加固,并有效阻止威脅源的入侵來實現風險可控。
2.1 工業控制系統面臨的主要威脅
(1)外部攻擊的發展
工業控制系統采用大量的IT技術,互聯性逐步加強,神秘的面紗逐步被揭開,工業控制信息安全日益進入黑客的研究范圍,國內外大型的信息安全交流會議已經把工業控制信息安全作為一個重要的討論議題。隨著黑客的攻擊技術不斷進步,攻擊的手段日趨多樣,對于他們來說,入侵到某個系統,成功破壞其完整性是很有可能的。例如近幾年的震網、duqu、火焰、havex等病毒攻擊證明黑客開始對工控系統感興趣。
(2)內部威脅的加劇
根據FBI和CSI對484家公司進行的網絡安全專項調查結果顯示,超過70%的安全威脅來自公司內部,在損失金額上,由于內部人員泄密導致了6056.5萬美元的損失,是黑客造成損失的16倍,是病毒造成損失的12倍。另據中國國家信息安全測評中心調查,信息安全的現實威脅也主要為內部信息泄露和內部人員犯罪,而非病毒和外來黑客。
工業控制系統普遍缺乏網絡準入和控制機制,上位機與下位機通訊缺乏身份鑒別和認證機制,只要能夠從協議層面跟下位機建立連接,即可以對下位機進行修改,普遍缺乏對系統最高權限的限制,高權限賬號往往掌握著數據庫和業務系統的命脈,任何一個操作都可能導致數據的修改和泄露。并且缺乏事后追查的有效工具,也讓責任劃分和威脅追蹤變得更加困難。
(3)應用軟件的威脅
設備提供商提供的應用授權版本不可能十全十美,各種各樣的后門、漏洞等問題都有可能出現。出于成本的考慮,工業控制系統的組態軟件一般與其工控系統是同一家公司的產品,在測試節點問題容易隱藏,且組態軟件的不成熟也會為系統帶來威脅。
(4)第三方維護人員的威脅
第三方維護人員的威脅。工業控制系統建設在發展的過程中,因為戰略定位和人力等諸多原因,越來越多的會將非核心業務外包給設備商。如何有效地管控設備廠商和運維人員的操作行為,并進行嚴格的審計是系統運營面臨的一個關鍵問題。
(5)多種病毒的泛濫
病毒可通過移動存儲設備、外來運維的電腦,無線系統等進入工控系統,當病毒侵入網絡后,自動收集有用信息,如關鍵業務指令、網絡中傳輸的明文口令等,或是探測網內計算機的漏洞,向網內計算機傳播病毒。由于病毒在網絡中大規模的傳播與復制,極大地消耗網絡資源,嚴重時有可能造成網絡擁塞、網絡風暴甚至網絡癱瘓,這是影響工業控制系統網絡安全的主要因素之一。
2.2 工業控制系統自身弱點按管理和技術的分類
(1)信息安全管理方面脆弱性
·組織結構人員職責不完善,缺乏專業人員。大部分行業未設置工控系統信息安全管理部門,未明確建設運維相關部門的安全職責和技能要求。同時普遍缺乏信息安全人才。
·信息安全管理制度流程欠完善。現在大部分行業還未形成完整的政策制度保障信息安全,缺乏工業控制系統規劃、建設、運維、廢止全生命周期的信息安全需求和設計管理,欠缺配套的管理體系、處理流程、人員責任等規定。
·應急響應機制欠健全,需進一步提高信息安全事件的應對能力。由于響應機制不夠健全,缺乏應急響應組織和標準化的事件處理流程,發生信息安全事件后人員通常依靠經驗判斷安全事件發生的設備和影響范圍,逐一進行排查,響應能力不高。
·人員信息安全培訓不足,技術和管理能力以及人員安全意識有待提高。大部分行業有針對工控系統的業務培訓,但是面向全員的信息安全意識宣傳,信息安全技術和管理培訓均比較薄弱,需加強信息安全體系化宣傳和培訓。
·尚需完善第三方人員管理體制。大部分的行業會將設備建設運維工作外包給設備商或集成商,尤其針對國外廠商,業主不了解工控設備技術細節,對于所有的運維操作無控制、無審計,留有安全隱患。
(2)信息安全技術方面脆弱性
·未進行安全域劃分,區域間未設置訪問控制措施。隨著工控系統的集成度越來越高,呈現統一管理、集中監控的趨勢,系統的互聯程度大大提高。但是大部分行業的工控系統各子系統之間沒進行安全分區,系統邊界不清楚,邊界訪問控制策略缺失等。
·缺少信息安全風險監控技術,不能及時發現信息安全問題,出現問題后靠人員經驗排查。在工控網絡上普遍缺少信息安全監控機制,不能及時了解網絡狀況,一旦發生問題不能及時確定問題所在,及時排查到故障點,排查過程耗費大量人力成本、時間成本。
·系統運行后,操作站和服務器很少打補丁,存在系統漏洞,系統安全配置較薄弱,防病毒軟件安裝不全面。大部分行業工控系統投產后,對操作系統極少升級,而操作系統會不斷曝出漏洞,導致操作站和服務器暴露在風險中。系統自身的安全策略未啟用或配置薄弱。防病毒軟件的安裝不全面,即使安裝后也不及時更新防惡意代碼軟件版本和惡意代碼庫。
·工程師站缺少身份認證和接入控制,且權限很大。有些行業工程師站登陸過程缺少身份認證,且工程師站對操作站、控制器等進行組態時均缺乏身份認證,存在任意工程師站可以對操作站、現場設備直接組態的可能性。
·存在使用移動存儲介質不規范問題,易引入病毒以及黑客攻擊程序。在工控系統運維和使用過程中,存在隨意使用U盤、光盤、移動硬盤等移動存儲介質現象,有可能傳染病毒、木馬等威脅生產系統。
·第三方人員運維生產系統無審計措施。出現問題后無法及時準確定位問題原因、影響范圍及追究責任。
·上線前未進行信息安全測試。一些行業工控系統在上線前未進行安全性測試,系統在上線后存在大量安全風險漏洞,安全配置薄弱,甚至有的系統帶毒工作。
·無線通信安全性不足。一些行業工控系統中大量使用無線網絡,在帶來方便的同時,隨之而來的是無線網絡安全方面的威脅。其中包括未授權用戶的非法接入、非法AP欺騙生產設備接入、數據在傳輸過程中被監聽竊取、基于無線的入侵行為等。
通過開展工控信息安全風險評估工作,能夠詳細分析出上述威脅和弱點產生原因和安全風險防御的方法,再選擇合適的管理措施和技術措施進行加固,從而實現工控信息安全風險可控。
3 工業控制系統信息安全解決方案
啟明星辰工業控制系統信息安全解決方案,以工業控制信息安全管理系統為核心,以旁路檢測、串聯防護、現場防護三大引擎為支撐,全面實現全網工控設備的統一安全監測和防護,安全風險集中分析和展現。輔助以貫穿工業控制系統需求、設計、建設、運營、廢除全生命周期的工控安全風險評估平臺,實現信息安全風險的動態管理。工控信息安全防護體系如圖1所示。
圖1 工業控制信息安全管理系統
啟明星辰工控信息安全解決方案主要特點:一是縱深防御,集防護、監測、管理于一體;二是基于全生命周期管理,即工控系統軟件開發全生命周期管理、攻擊過程全生命周期管理。
3.1 縱深防御,集防護、監測、管理于一體
啟明星辰縱深防御思想,主要體現在保證系統可用性前提下,對工業控制系統進行防護,實現“垂直分層,水平分區;邊界控制,內部監測;集中展現”。
“垂直分層、水平分區”,即按照工業控制系統的層次結構,垂直方向化分為四層:現場設備層、現場控制層、監督控制層、生產管理層。水平分區指各工業控制系統之間應該從網絡上隔離開,處于不同的安全區。
“邊界控制,內部監測”,即對系統邊界,即各操作站、工業控制系統連接處、無線網絡等要進行邊界防護和準入控制等。對工業控制系統內部要監測網絡流量數據以發現入侵、業務異常、訪問關系異常和流量異常等問題。
“集中展現”,即對工控系統中可能涉及的各類設備,包括工業防火墻、防病毒系統、入侵檢測系統、漏洞掃描系統、操作員站、工程師站、適時數據庫、歷史數據庫、PLC、路由器、交換機等,進行統一采集和識別這些設備產生的安全事件和告警信息、日志信息等,并通過多維度可視化的界面進行綜合展示,使監控人員一站式的查詢檢索安全及威脅信息,了解安全態勢,指導企業進行工控系統信息安全建設。
系統面臨的主要安全威脅來自于黑客攻擊、惡意代碼(病毒蠕蟲)、越權訪問(非授權接入)、移動介質、弱口令、操作系統漏洞、誤操作和業務異常等,因此,其安全防護應在以下方面予以重點完善和強化。
·入侵檢測及防御;
·惡意代碼防護;
·內部網絡異常行為的檢測;
·邊界訪問控制和系統訪問控制策略;
·工業控制系統開發與維護的安全;
·身份認證和行為審計;
·賬號唯一性和口令安全,尤其是管理員賬號和口令的管理;
·操作站操作系統安全;
·移動存儲介質的標記、權限控制和審計;
·設備物理安全。
結合工業控制系統信息安全防護思路,將典型工業控制系統分為四層,即生產管理層、監督控制層、現場控制層、現場設備層。每一個工業控制系統應單獨劃分在一個區域里。
生產管理層主要是生產調度,詳細生產流程,可靠性保證和站點范圍內的控制優化相關的系統。監督控制層包括了監督和控制實際生產過程的相關系統。包括如下設備:
·人機界面HMI,操作員站,負責組態的工程師站等;
·報警服務器及報警處理;
·監督控制功能;
·實時數據收集與歷史數據庫,用于連接的服務器客戶機等。
現場控制層是對來自現場設備層的傳感器所采集的數據進行操作,執行控制算法,輸出到執行器(如控制閥門等)執行,該層通過現場總線或實時網絡與現場設備層的傳感器和執行器形成控制回路。該層控制功能可以是連續控制、順序控制、批量控制和離散控制等類型。設備包括但不限于如下所示:
·DCS控制器;
·可編程邏輯控制器PLC;
·遠程終端單元RTU。
現場設備層對生產設施的現場設備進行數據采集和輸出操作的功能,包括所有連在現場總線或實時網絡的傳感器(模擬量和開關量輸入)和執行器(模擬量和開關量輸出)。
對單一工業控制系統的網絡安全域劃分如圖2所示。
圖2 單一工業控制系統的網絡安全域
根據“邊界控制,內部監測,集中展現”的防護思路,典型的工業控制網絡安全防護如圖3所示。
圖3 典型的工業控制網絡安全防護
通過工業控制信息安全管理系統對整個工業控制理。對工業控制現場控制設備、信息安全設備、網絡設備、服務器、操作站等進行統一資產管理,并對各設備的信息安全監控和報警、信息安全日志信息進行集中管理。根據安全審計策略對各類安全信息進行分類管理與查詢,系統對各類信息安全報警和日志信息進行關聯分析,展現全網的安全風險分布和趨勢。
防護類措施如下:
(1)在區域邊界處部署工業防火墻設備,實現IP/端口的訪問控制、應用層協議訪問控制、流量控制等。或者部署網閘設備,切斷網絡鏈路層鏈接,完成兩個網絡的數據交換。
(2)在操作站、工程師站部署操作站安全系統實現移動存儲介質使用的管理、軟件黑白名單管理、聯網控制、網絡準入控制、安全配置管理等。
(3)現場運維審計與管理系統是手持移動設備,運維人員運維現場設備時,先接入審計系統,再連接現場設備。審計系統可審計運維操作命令、運維工具使用錄像等,亦可進行防病毒、訪問控制等安全防護。
(4)WiFi入侵檢測與防護設備是放在基于WiFi組網的現場設備網絡中,可實現非法AP阻斷,非法外來設備接入生產網絡,基于WiFi的入侵檢測等。
監控檢查類措施如下:
(1)在工業以太網交換機上部署工控異常監測系統,監測工業控制系統內部入侵行為,異常操作行為,發現異常流量和異常訪問關系等。
(2)部署工控漏洞掃描系統,在系統檢修、停機或新系統上線時進行漏洞掃描,對漏洞進行修補。
(3)部署安全配置基線核查系統,在系統檢修、停機或新系統上線時進行配置基線檢查,重點關注操作站、工程師站、服務器等開放的服務,賬號密碼策略、協議的安全配置等問題,對風險進行安全加固。
縱深防御的工控信息安全防護體系是建立在整體工業控制網絡各個關鍵環節的基礎之上,能夠有效發現、防護、監測和審計網絡安全活動,對企業工控系統正常生產運行起到了非常關鍵的作用。但是對于工控系統本身而言,系統自身存在的安全缺陷卻容易被威脅利用,從根本上解決這類問題還需要從軟件開發全生命周期管理來盡可能地實現軟件本身的安全性。
3.2 基于全生命周期管理
3.2.1 工業控制系統軟件開發全生命周期管理
工業控制系統開發商在需求、設計、編碼、測試、上線、運行和持續完善的各個階段,存在的主要問題是重功能實現,輕安全功能,這樣就造成了工業控制系統本身存在許多可以被威脅利用的漏洞,從而產生工控信息安全風險。
下面通過說明應用程序設計風險、編碼缺陷與配置缺陷來重點闡述工業控制系統應用程序的安全風險。
(1)工業控制系統應用程序設計風險
·設計復雜,沒有達到簡單性與附加安全特征間的平衡。在系統中通過少數的瓶頸點實現安全關鍵的操作,運用少量的、復雜的、多功能軟件組件操作,在多個安全級別,在不需要時調用了組件的安全功能。
過多的用戶接口與輸出,沒有確保用戶接口僅包含需要的功能,設計接口沒有考慮是否會被用戶繞過。沒有集中向下寫到一個程序,沒有做程序信息流的分析。
·設計層次沒有防御概念,在系統中僅有很少的安全層次,當一個層次被破壞的情況下,不能有效地阻止安全違背行為。沒有一系列的防御層,使得一個單層被滲透的情況下能夠造成整個系統被破壞的可能性。如表1所示,隨著防御機制的增強,攻擊者需要偷取數據所花費的代價也相應加大。
表1 防御機制與攻擊者所花費代價對比
·用戶與應用數據的驗證,沒有考察所有的潛在區域,有可能通過這些區域,不可信的信息輸入進入應用程序,沒有驗證通過應用程序的任意數值,沒有檢查接收的數值是否是允許的數據類型或格式。
·沒有限制特權,允許不必要的特權給應用和功能,可能會潛在地導致未授權的信息進入敏感區域。特權沒有給予時間限制,沒有實現角色概念,實現不同的角色關聯不同的特權。
·信任開源軟件,使用前沒有進行評估。目前由于使用開源軟件帶來的問題遠遠高于商業軟件,所以這也是導致應用系統風險的重要因素之一。
·無失效保護。應用系統沒有考慮失效保護問題,通常攻擊者會等待他們期待的系統失效類型,進而來挖掘系統的脆弱性,比如說系統失效時是否允許訪問,是否恢復到安全狀態等。
·無敏感信息保護。對應用系統來說阻止訪問敏感信息是非常重要的,以防止信息泄露。這方面的設計通常需要注意:當敏感信息不再使用時沒有立即刪除;加密密鑰沒有存儲在安全區域;
沒有運用CRC或SHA算法進行完整性保護;沒有關閉調試代碼,從而導致應用系統的關鍵信息對外部接口是開放的。
·沒有安全的保護網絡接口,應用系統的進出點沒有很好的定義、文檔化,網絡端口在通信完成后還處于激活狀態,通信發生時沒有相應的審計與日志。
(2)工業控制系統編碼缺陷工業控制系統編碼缺陷包括如下幾個方面:
·未驗證的輸入。比如緩沖區溢出、整形溢出、注入缺陷(命令、SQL、LDAP)等。
·數據保護或存儲失效。在安全存儲數據時,需要考慮:需要訪問數據的權限;數據加密問題;存儲密鑰的威脅。
·不正確的錯誤處理。通常包含幾個方面:不能處理一個錯誤的條件;程序停留在一個不安全的狀態;由拒絕服務導致應用程序死掉。
·信息泄露。通常導致信息泄露的主要方式有兩種:一種是無意的,比如由于代碼或非顯而易見的通道問題導致有價值的信息輸出,或由于代碼中的注釋或冗長的錯誤信息導致;另一種是故意的,比如沒有適當的保護機密信息。防止信息泄露需要深入理解黑客通常所用的技術與方法,以及對他們有用的信息類型。
·競爭條件。指的是應用系統如果采用多任務的方式,需要考慮系統資源的管理,需要考慮不同任務的優先級,任務的調度機制,內存的分配,避免任務間的死鎖等情況。
·惡意代碼。有意地插入代碼以破壞應用的安全性,通常能夠隱藏在調試軟件、加載程序、時間炸彈、特洛伊木馬等程序中。
(3)工業控制系統配置缺陷
工業控制系統配置缺陷通常是由于沒有好的配置管理導致,沒有建立一個專門的配置管理團隊負責不同項目配置管理分支的創建、更改、撤銷與維護。沒有設置不同的配置管理級別,以禁止對配置項目未授權的更改,比如說禁止測試人員在開發分支上更改代碼。另外,好的配置管理禁止開發與測試人員刪除配置項,只允許添加,對測試文檔,測試過程中使用的任何工具都需要在配置管理中進行維護。
工控系統本身的健壯性對工業生產起到決定性的作用,只有工控系統軟件在需求、設計、編碼、測試、上線、運行和不斷完善的各個階段在考慮功能實現的同時,充分考慮安全功能需求,才能加強工控系統本身的健壯性,避免漏洞被威脅利用。
3.2.2 攻擊過程全生命周期管理
工控系統出現信息安全風險看似偶然,但肯定存在其必然性。從整個黑客攻擊過程來看,分為搜索、掃描、獲得權限、保持連接、消除痕跡五個步驟,這五個步驟又可以歸為事前(搜索、掃描)、事中(獲得權限、保持連接)和事后(消除痕跡)三個階段。
啟明星辰工控信息安全解決方案可以通過工控安全評估服務,并結合工控信息安全產品體系,對工業控制系統網絡攻擊過程全生命周期進行管理和控制,從而達到風險可控的目標。具體做法是:
(1)事前
·提供工控系統信息安全意識教育培訓,防止黑客搜索到企業相關信息。比如,確保系統不會將信息泄露到網絡上,其中包括:軟件版本和補丁級別;電子郵件地址;關鍵人員的姓名和職務;確保紙質信息得到妥善處理;接受域名注冊查詢時提供通用的聯系信息;禁止對來自周邊局域網/廣域網設備的掃描企圖進行回應等。
·提供工控系統信息安全風險評估服務。比如:漏洞掃描、配置核查,滲透測試、白盒測試等,發現自身安全漏洞,及時進行安全加固,防止被黑客掃描到漏洞信息。一般加固措施包括:關閉所有不必要的端口和服務;關閉關鍵設備或處理敏感信息的設備,只容許響應經過核準設備的請求;加強管理系統的控制,禁止直接訪問外部服務器,在特殊情況下需要訪問的時間,也應該在訪問控制列表中進行端到端連接的控制;確保局域網/廣域網系統以及端點的補丁級別是足夠安全的。
(2)事中
通過在工業控制系統網絡安全域邊界部署網關設備(工業防火墻、工業網閘、工業入侵防護等設備),對網絡訪問活動進行細粒度過濾和控制,防止非法訪問和連接。
通過在關鍵位置部署工控異常檢測系統,監測工業控制系統網絡異常活動,包括監測基于木馬、病毒特征的特征庫,可以定義針對工控系統業務操作的工控指令行為特征進行過濾,從而實現既能監測網絡異常活動情況,也能同時監測工控系統業務指令的合法性,及時報警,迅速處置,避免風險的發生。
(3)事后
在黑客實現攻擊的目的后,攻擊者通常會采取各種措施來隱藏入侵的痕跡并為今后可能的訪問留下控制權限。所以,在這個階段需要在工業控制系統網絡中部署工控信息安全審計系統,對所有非法、異常活動,主要包括安全事件、安全日志、安全告警等,進行全程審計,以達到追究當事人責任和總結經驗教訓的目的。
另外,對設備運維人員也需要配置運維審計系統,防止發生未授權的操作等情況發生。
“防住風險、控住事故、保住安全”是“抓執行、抓過程、建機制”安全風險管控的最基本和首要要求。應該以“事前預防”做到“防住風險”;以“事中控制”做到“控住事故”;以“事后總結”做到“保住安全”。
4 結語
總之,工業控制系統信息安全事關國家安全,為有效應對網絡攻擊的新變化,需要整個工控系統信息安全產業鏈迅速行動起來。加強信息安全威脅分析等基礎技術研究,加強關鍵基礎設施及其控制系統的安全評估,加快推動國產技術產品對國外產品的替代,聯合開展針對關鍵基礎設施的網絡攻防演習,搭建工業控制系統漏洞檢測等公共技術平臺,為我國工業控制系統安全生產保駕護航!
作者簡介
鄭凌鵬(1978-),男,湖北云夢人,本科學歷,Security CCIE,現就職于啟明星辰信息技術集團股份有限公司,任工控安全首席顧問。專業從事信息安全工作7年時間,精通信息安全體系,熟悉國家和行業信息安全政策及監管要求,熟悉國內國際信息安全標準。曾調研多家DCS廠商和工控企業用戶現場環境,能夠將傳統信息安全理念很好地與工業控制系統有機結合,形成具有不同行業用戶特色的工業控制系統信息安全解決方案。主要專業方向為網絡技術、信息安全技術、工控安全。
摘自《工業控制系統信息安全專刊(第二輯)》
北京市公安局海淀分局備案號:11010802023656號