工控系统作为关键基础设施不可分割的一部分,可简化电力、石油天然气、供水、交通及化工等重要行业部门的运营。日益增长的网络安全问题及其对工控系统的影响愈发凸显了关键基础设施所面临的重大风险。解决工控系统的网络安全问题,须对安全挑战与特定防护措施有清晰认识。全局法使用特定措施逐步增强安全,助力防护工控系统中的网络安全威胁与漏洞。这种方法一般被称为“纵深防御”,适用于工控系统,为优化网络安全防护提供了灵活、可用的框架。
创新互联建站坚持“要么做到,要么别承诺”的工作理念,服务领域包括:成都网站建设、网站建设、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的奈曼网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!
人们之所以关注控制系统的网络安全问题,一方面是因为某些系统沿用传统特性,另一方面是因为工控系统联网需求日益增长。在这种关注下,大量已知漏洞被发现,同时一些工控系统领域前所未见的新型威胁也浮出水面。许多老旧系统缺乏恰当的安防能力,无法抵御新型威胁,而现行网络安全方案由于会影响到系统可用性而无法使用。工控系统连接到企业、厂商或对等网络可加剧此问题。
本文深度探讨了较突出的网络风险问题,并结合工控系统对这些问题做了进一步阐述。文章还就如何针对特定问题制定缓解策略发表了看法,并为如何在工控环境制定深度安全防护计划提供了建议,目的是为网络缓解策略的制定以及策略在工控环境中的应用提供指导。
现行工控系统架构概览
曾经隔离的工控系统逐渐走向融合,助力企业简化并管理复杂的环境。在联网及向工控系统域添加IT组件时,如下情况可导致安全问题:
对于自动化与工控系统越来越依赖;
与外部网络的不安全连接;
使用的技术包含已知漏洞,在控制域造成前所未见的网络风险;
缺乏与工控系统环境相关的网络安全业务案例;
某些控制系统技术仅有有限的安全能力,这种能力一般仅在管理员发现(或不会阻碍流程)时才会启用;
许多常用的控制系统通信协议缺乏基本的安全功能(如认证与授权);
关于工控系统、工控系统操作及安全漏洞的开源信息大量存在。对于有效保障网络与IT网络安全,这种方法可谓另辟蹊径。将新型IT架构与缺乏真正网络安全防护措施的隔离网络融合具有很大挑战。显然,使用路由器与交换机可将设备进行简单互联,但是个人的非法入侵会导致对系统的不受限访问。图2中提供的融合架构包含了来自于外部的连接,如企业局域网、对端站点、厂商站点以及互联网。
长期以来,业界将控制系统的运营安全定义为系统安全有效运行的可靠性水平。将工控系统同外部(不可信)网络完全隔离,总体通信安全的范围被压缩至员工相关威胁(这里的员工指的是可物理访问设备或工厂车间的员工)。这样,信息基础设施内的大多数数据通信仅需要有限授权或安全监管。运行命令、指令与数据采集发生在封闭环境中,这个环境中的所有通信都受信任。一般情况下,命令或指令通过网络下发,预期在到达目标后执行授权功能,因为只有授权操作员才可以访问系统。
如图所示,融合架构若被入侵,攻击者可通过各种渠道访问企业局域网、控制系统局域网甚或通信局域网的关键系统。此种架构本质上要求与各种信息源交换数据,这可以被攻击者所利用。
工控系统内的安全挑战
在基于传输控制协议/互联网协议(TCP/IP)的现代计算环境中(如对驱动控制系统运行的业务进行管理的企业基础设施),需解决技术相关漏洞问题。传统上,这些问题由企业的IT安全组织负责,根据重要信息资产的安全指导方案与运营计划进行工作。当工控系统从属于联动架构时,主要关注的问题就变成如何提供同时覆盖控制系统域的安全规程。现有基于网络的通信所产生的某些安全问题须在控制系统域解决,因为各厂商使用不同协议,再加上老旧系统固有的安全问题,也许很难保护关键业务系统免于遭受时下的网络攻击。
开放的系统架构中存在的、可迁移至控制系统域的漏洞包括恶意软件(病毒、蠕虫等等)漏洞、通过操控代码提权、网络侦测与数据收集、隐蔽流量分析、通过或绕过边界防护非法入侵网络等。对于更为先进的系统,漏洞还包括恶意移动代码,如涉及JavaScript、applet小程序、VBScript及ActiveX的恶意活动内容。成功入侵工控系统网络后,会出现新的问题,如控制系统协议反向工程、针对操作员控制台的攻击、非法访问受信任的对端网络与远程设施等。要将信息安全与信息保障完全引入控制系统域,必须了解传统IT架构与工控系统技术之间的关键差异。
工控系统的五个关键的安全措施
以下是五个关键的安全措施,可推动工控系统环境中的网络安全活动。
免责声明
本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。
名称栏目:【公益译文】采取纵深防御策略提升工控系统网络安全
本文来源:http://www.shufengxianlan.com/qtweb/news26/252876.html
网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联