當前位置:主頁 > 房產 > 財經新聞 > 正文

為何傳統信息安全產品不能解決工控安全問題?

未知 2019-10-17 15:13

  從2010年針對伊朗核工廠的Stuxnet病毒,到2014年席卷歐洲的Havex病毒,針對工業控制系統的網絡攻擊越演越烈,工業控制系統迫切需要得到安全防護。那么,把傳統信息安全產品如防火墻、反病毒軟件、IDS/IPS,部署到工業控制系統中是不是就能解決其信息安全問題呢?答案是不能!

  實踐證明傳統信息安全產品不能解決工業控制系統的安全問題

  我們在現場調研時發現,一些工業控制系統的網絡中,已經有部署傳統的防火墻產品,在工作站上也有安裝殺毒軟件產品。但是,傳統的防火墻在保護OPC服務器時,由于不支持OPC協議的動態端口開放,不得不允許OPC客戶端和OPC服務器之間大范圍內的任意端口號的TCP連接,因此防火墻提供的安全保障被降至最低,從而很容易受到惡意軟件和其他安全威脅的攻擊。而反病毒軟件,通常因得不到及時更新,導致失去了對主流病毒、惡意代碼的防護能力。現場調研的另一個發現,是工業控制系統的系統漏洞,不能像IT系統一樣,得到及時的漏洞修復,大量漏洞長期存在。

  綜上所述,傳統信息安全產品(如防火墻、反病毒軟件)及傳統信息安全的管理方法(如漏洞及時修復)并不適用于工業控制系統,不能解決其信息安全問題。

  為什么傳統信息安全產品/方法不適用于工業控制系統

  傳統信息安全產品/方法不適用于工業控制系統,是由于工業控制系統相對于IT信息系統的有其獨特差異性,而傳統信息安全產品是針對IT信息系統的需求開發的。工業控制系統相對于IT信息系統的差異,在信息安全需求方面主要有以下體現:

  1)工業控制系統以可用性為第一安全需求,而IT信息系統以機密性為第一安全需求。在信息安全的三個屬性(機密性、完整性、可用性)中,IT信息系統的優先順序是機密性、完整性、可用性,而工業控制系統則是可用性、完整性、機密性。這一差異,導致工業控制系統中的信息安全產品,必須從軟硬件設計上達到更高的可靠性,例如硬件要求無風扇設計(風扇平均無故障時間不到3年)。另外,導致傳統信息安全產品的故障關閉原則如防火墻故障則斷開內外網的網絡連接,不適用于工業控制系統,工業控制系統的需求是防火墻故障時保證網絡暢通。

  2)工業控制系統不能接受頻繁的升級更新操作,而IT信息系統通常能夠接受頻繁的升級更新操作。這對依賴一個黑名單庫來提供防護能力的信息安全產品(例如:反病毒軟件,IDS/IPS)是一個嚴峻的挑戰。

  3)工業控制系統對報文時延很敏感,而IT信息系統通常強調高吞吐量。在網絡報文處理的性能指標(吞吐量、并發連接數、連接速率、時延)中,IT信息系統強調吞吐量、并發連接數、連接速率,對時延要求不太高(通常幾百微秒);而工業控制系統對時延要求高,某些應用場景要求時延在幾十微秒內,對吞吐量、并發連接數、連接速率往往要求不高。這一差異,導致工業控制系統中的信息安全產品,必須從CPU選型、軟硬件架構上做到低時延,這對當前一些基于x86CPU及開源軟件架構的信息安全產品是一個嚴峻挑戰。

  4)工業控制系統基于工業控制協議(例如,OPC、Modbus、DNP3、S7),而IT信息系統基于IT通信協議(例如,HTTP、FTP、SMTP、TELNET)。雖然,現在主流工業控制系統已經廣泛采用工業以太技術,基于IP/TCP/UDP通信,但是應用層協議是不同的,這就要求信息安全產品必須支持工業控制協議(例如,OPC、Modbus、DNP3、S7),否則就會出現上面提到的為了支持OPCClassic服務而放開大量TCP端口的問題。

  5)工業控制系統的工業現場環境惡劣(如,野外零下幾十度的低溫、潮濕、高原、鹽霧),而IT信息系統通常在恒溫、恒濕的機房中。這就要求工業控制系統中的信息安全硬件產品,必須按照工業現場環境的要求專門設計硬件,做到全密閉、無風扇,支持﹣40℃~70℃等。

  所以,要想解決工業控制系統的信息安全問題,傳統信息安全產品和解決方案并不是一劑對癥良藥,工業控制系統需要有一套為自己量身打造的信息安全產品,才能有效抵御工業系統面臨的各種安全威脅,為客戶帶來工控安全防護的真正價值。

標簽
18选5