0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

工控系统安全知识大盘点

pIuy_EAQapp 来源:未知 作者:胡薇 2018-09-07 16:53 次阅读

ICS(工业控制系统)安全问题越来越引起相关单位的重视,是因为这些年发生的ICS安全大事件进入了大众视野。ICS 是含着安全的钥匙诞生的,它与互联网天生隔绝,让外部网络的任何攻击在最后一步戛然而止,但方法总比困难多,ICS 很难得手,不代表绝对不得手,一旦得手,就是大灾难,这是传统 ICS 的一个特点,外绝内松,以为自己百毒莫侵,高枕无忧,所以对内网安全十分忽视。这些年最为著名的 ICS 安全事件非震网莫属,美国国家队花费巨资打造精巧的 Stuxnet(震网),对伊朗首座核电厂围追堵截,以U盘的方式将其带入工厂并感染 ICS,加速离心机转速而致其损坏,使得浓缩铀迟迟生产不出来,最终让伊朗核计划推迟2年。有人猜测是某个工程师被钓鱼攻击感染了电脑,然后把U盘带入工厂;也有人猜测是工程师被收买,因为震网病毒的破坏目标不只是离心机,还会针对其他零部件,所以要升级更新,需要有人拿新版本震网U盘久不久插一次 ICS。

信息技术(IT)和运营技术(OT)/工控系统安全之间的差异,加之工控系统不断出现的安全问题和工业物联网(IIoT)的激增,进而推动了一轮新的共识。

NIST,ANSSI,ARC,Garter 集团等都认识到,对于工厂而言,要想维持安全可靠的运营,需要把防止系统误操作提到首要位置,而同时,IT 网络的头等大事则仍然是数据保护。

IT、OT优先性差异

IT 网络安全一直被定义为一整套保护数据机密性、完整性以及可用性的措施。而工控系统网络安全则逐渐被定义为一套能确保物理工控流程以及流控电脑安全可靠运行的措施。

NIST 800-82r2 建议:确保工控系统的网络安全对于安全可靠地运行现代工业流程非常重要。

ARC 顾问团指出:工业流程安全可靠的运行是至关重要的。这也是工业网络安全有别于其他 IT 网络安全项目的原因。

Gartner 则发现,从安全规划和运行角度来看,运营技术环节在设计时的首要因素就是安全和可靠性。与信息技术相比,后者更侧重数据的机密性、完整性和可用性。这种优先性上的差异导致了信息技术(IT)和运营技术(OT)安全计划的不同。在侧重可靠性和安全性的网络时,信息技术风险评估方法就不适用,信息技术安全计划通常也不太适合。

例如,Garter 2017年发表的《运营技术和工业物联网的七大网络安全神话》一文中指出,用 IT 风险评估方法来评估 OT 风险是错误的,而企业也不能一开始就期望一个保护信息的安全架构和设计能解决物理系统的特定需求。

工控系统安全是不同的

在设计工控安全计划时,入侵防御被重视的程度远高于突发安全事故的检测,响应和恢复。而一个预防性的以 OT 为中心的安全方案应包括以下要素:

周边安全——重要的工厂通常都具备强大的物理和网络周边保护。这些地方都不允许公众涉足其敏感物理设备。他们也不允许有人从外网测试其系统查找零日漏洞。

基于功能的设计——保护措施做得好的工业网站会精心设计自己的安全计划,以抵御各种攻击,而不是试图感知特定攻击者的动机。

而 Gartner 在报告中指出,侧重工控系统防御性的原因是——“许多运营技术安全的失败会对物理环境产生直接影响,会潜在导致伤亡,环境破坏或服务的大规模中断。虽然 IT 安全出行问题的后果严重并对业务产生威胁,但是 IT 安全的失败很少危及人生安全或财产损失。”检测,响应和恢复在工控系统网络中仍然很重要,但是首要的还是预防——毕竟,人身安全,环境灾难和被破坏的物理设备都是不能从备份中恢复的。

单向网关技术

在工控系统网络防火墙连接方面,有记载的各种专家,标准和指导都推荐在工业环境的防火墙中使用单向网关和相关技术。用于工业网络安全的 ANSSI 标准允许在 IT 网络上使用防火墙,但是强烈推荐在 IT/OT 接口使用单向网关,且在连接最敏感工业网络的接口是完全禁用防火墙。

单向网关可极大推进工业物联网的部署。单向网关与防火墙不同,它可以直接将工业网络连接到IT,互联网和云系统,但是不用担心黑客攻击渗透到受保护的工业网络中。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • IT
    IT
    +关注

    关注

    2

    文章

    843

    浏览量

    63432
  • 工控系统
    +关注

    关注

    1

    文章

    99

    浏览量

    14516

原文标题:关于工控系统安全的几点新共识

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    基于本体安全工控系统安全现状及问题分析

    工控安全与传统信息安全最大的不同是其基于业务和工艺,针对应用场景,必须结合工艺业务要求进行安全保障,简单以“零和思维”、“木桶理论”思 路或试图用一个统一的技术思路来解决
    的头像 发表于 12-20 10:30 2535次阅读

    快速充电电源电路设计大盘点

    快速充电电源电路设计大盘点
    发表于 01-16 10:30

    汽车动力系统大盘点:助你设计绝佳方案

    技术、电机控制技术等等。  最新的电路设计供你下载,涵盖动力系统电路设计精华。汽车动力系统大盘点:助你设计绝佳方案,点击进入吧》》》》
    发表于 04-21 14:59

    检查系统安全和仪器保护的重要性

    检查系统安全和仪器保护的重要性
    发表于 05-13 06:10

    怎么实现工业控制系统安全防护的设计?

    工业控制系统潜在的风险是什么?怎么实现工业控制系统安全防护的设计?
    发表于 05-25 06:12

    BMS电池管理系统安全定义

    ​1. 系统安全定义包含电子电气的功能安全还包含机械等其他防护部分1. 机械安全需求无锋利锐边/强度保证(碰撞/冲击/挤压/振动/承载等)2. 化学安全需求无有毒有害化学物质/材料的可
    发表于 09-15 08:12

    网络系统安全

    网络系统安全操作系统安全入网登录访问控制帐号的识别与验证帐号的默认限制检查网络的权限控制目录与属性级安全控制网络服务器安全控制Window
    发表于 06-16 23:12 0次下载

    UNIX系统安全工具

    本书详细介绍了UNIX系统安全的问题、解决方法和策略。其内容包括:帐号安全及相关工具Crack;日志系统的机制和安全性,日志安全工具Swat
    发表于 08-27 16:20 0次下载

    Windows系统安全模式另类应用

    Windows系统安全模式另类应用 相信有一部份的用户对Windows操作系统安全模式的应用还比较模糊,下面的我们就给大家讲讲Windows安全
    发表于 01-27 09:58 650次阅读

    Linux必学的系统安全命令

    虽然Linux和Windows NT/2000系统一样是一个多用户的系统,但是它们之间有不少重要的差别。对于很多习惯了Windows系统的管理员来讲,如何保证Linux操作系统安全、可
    发表于 11-02 15:09 0次下载

    盘点全球工业控制系统安全攻击事件

    我国工控领域的安全可靠性问题突出,工控系统的复杂化、IT化和通用化加剧了系统安全隐患,潜在的更
    发表于 07-11 15:55 1.5w次阅读
    <b class='flag-5'>盘点</b>全球工业控制<b class='flag-5'>系统安全</b>攻击事件

    工控系统安全现状和存在的问题及思想和形式说明

    本文在总结分析工控系统安全现状和问题基础上,提出基于本体安全的工业控制系统安全思想方法和形式描述。
    的头像 发表于 12-31 09:14 8220次阅读
    <b class='flag-5'>工控</b><b class='flag-5'>系统</b>的<b class='flag-5'>安全</b>现状和存在的问题及思想和形式说明

    工控系统安全隐患巨大 工控安全需重视

    由于早期没考虑互联,工控系统在设计之初几乎都没有考虑安全问题,多数工控协议都很脆弱。现在因为管理的需求,很多工控
    发表于 06-19 11:46 1464次阅读

    嵌入式系统安全实用技巧

    嵌入式系统安全实用技巧
    的头像 发表于 12-28 09:51 674次阅读

    基于MCU通用GUI大盘点

    基于MCU通用GUI大盘点
    的头像 发表于 10-18 17:07 803次阅读
    基于MCU通用GUI<b class='flag-5'>大盘点</b>