采取纵深防御策略 提升工控系统网络安全

工控系统作为关键基础设施不可分割的一部分,可简化电力、石油天然气、供水、交通及化工等重要行业部门的运营。日益增长的网络安全问题及其对工控系统的影响愈发凸显了关键基础设施所面临的重大风险。解决工控系统的网络安全问题,须对安全挑战与特定防护措施有清晰认识。全局法使用特定措施逐步增强安全,助力防护工控系统中的网络安全威胁与漏洞。这种方法一般被称为“纵深防御”,适用于工控系统,为优化网络安全防护提供了灵活、可用的框架。

采取纵深防御策略 提升工控系统网络安全

人们之所以关注控制系统的网络安全问题,一方面是因为某些系统沿用传统特性,另一方面是因为工控系统联网需求日益增长。在这种关注下,大量已知漏洞被发现,同时一些工控系统领域前所未见的新型威胁也浮出水面。许多老旧系统    缺乏恰当的安防能力,无法抵御新型威胁,而现行网络安全方案由于会影响到系统可用性而无法使用。工控系统连接到企业、厂商或对等网络可加剧此问题。


现行工控系统架构概览

曾经隔离的工控系统逐渐走向融合,助力企业简化并管理复杂的环境。在联网及向工控系统域添加IT组件时,如下情况可导致安全问题:

对于自动化与工控系统越来越依赖;

与外部网络的不安全连接;

使用的技术包含已知漏洞,在控制域造成前所未见的网络风险;

缺乏与工控系统环境相关的网络安全业务案例;

某些控制系统技术仅有有限的安全能力,这种能力一般仅在管理员发现(或不会阻碍流程)时才会启用;

许多常用的控制系统通信协议缺乏基本的安全功能(如认证与授权);

关于工控系统、工控系统操作及安全漏洞的开源信息大量存在。对于有效保障网络与IT网络安全,这种方法可谓另辟蹊径。将新型IT架构与缺乏真正网络安全防护措施的隔离网络融合具有很大挑战。显然,使用路由器与交换机可将设备进行简单互联,但是个人的非法入侵会导致对系统的不受限访问。图2中提供的融合架构包含了来自于外部的连接,如企业局域网、对端站点、厂商站点以及互联网。

工控系统内的安全挑战

在基于传输控制协议/互联网协议(TCP/IP)的现代计算环境中(如对驱动控制系统运行的业务进行管理的企业基础设施),需解决技术相关漏洞问题。传统上,这些问题由企业的IT安全组织负责,根据重要信息资产的安全指导方案与运营计划进行工作。当工控系统从属于联动架构时,主要关注的问题就变成如何提供同时覆盖控制系统域的安全规程。现有基于网络的通信所产生的某些安全问题须在控制系统域解决,因为各厂商使用不同协议,再加上老旧系统固有的安全问题,也许很难保护关键业务系统免于遭受时下的网络攻击。

开放的系统架构中存在的、可迁移至控制系统域的漏洞包括恶意软件(病毒、蠕虫等等)漏洞、通过操控代码提权、网络侦测与数据收集、隐蔽流量分析、通过或绕过边界防护非法入侵网络等。对于更为先进的系统,漏洞还包括恶意移动代码,如涉及JavaScript、applet小程序、VBScript及ActiveX的恶意活动内容。成功入侵工控系统网络后,会出现新的问题,如控制系统协议反向工程、针对操作员控制台的攻击、非法访问受信任的对端网络与远程设施等。要将信息安全与信息保障完全引入控制系统域,必须了解传统IT架构与工控系统技术之间的关键差异。 

工控系统的五个关键的安全措施

以下是五个关键的安全措施,可推动工控系统环境中的网络安全活动。

1.安全指导方案。应针对控制系统及其各部件制定安全指导方案,定期评审,以便纳入当前威胁环境、系统功能以及所需的安全级别。

 2.阻止对资源和服务的访问。一般情况下,在网络中部署提供访问控制列表的边界设备如防火墙或代理服务器,提供该技术。而主机方面,该技术可通过部署基于主机的防火墙和杀毒软件实现。

 3.检测恶意活动。恶意活动检测可在网络或主机层面实现,通常需有经验的管理员对日志文件定期监控。IDS是识别网络问题的常用手段,也可部署在单个主机上。尽量在主机上开启审计和事件日志功能。

4.缓解可能出现的攻击。在很多情况下,无需处理漏洞,因为漏洞修复可能会使系统不可用或效率降低。通过缓解措施,管理员可控制对漏洞的访问,确保漏洞不被利用。通常,这一情况在制定临时技术方案,创建过滤器或运行具备特定配置的服务和应用时非常必要。

 5.解决核心问题。要解决核心安全问题,需经常更新、升级、安装软件漏洞补丁或移除有漏洞的应用。软件漏洞可能会存在于网络、操作系统或应用这三层中的任一层。厂商或开发人员应提供缓解措施(如果有的话)供管理员部署。

金其利作为国产操作系统技术支持厂商,支持RK3399工控机操作系统、嵌入式操作系统、龙芯工控机系统、飞腾工控机系统等国产化整体解决方案,全势打造国产“工控”生态体系。

更多关于国产系统,国产操作系统等产品相关配置知识,敬请关注广州金其利企业官网新闻资讯相关栏目:http://www.kimkylin.com/

 



相关推荐

导致数控嵌入式主板死机的软件原因有哪些呢?
一、软件升级不当    数控嵌入式主板软件升级是对性能的提升,但...
嵌入式工业平板电脑在自动售票检票系统中的应用
嵌入式操作系统的发展使得很多行业也渐渐进入自动化,比如现在广...
 X86嵌入式主板在自动化机器领域中的应用
随着近些年来工业生产的持续不断增加,越来越多的企业逐渐走向...
嵌入式工控机的性能特点有哪些呢?
嵌入式工控机可以说是专门为工业行业量身定制的计算机,是一种加固的增强型...