为什么传统信息安全产品不能解决工控安全问题
不能用传统信息安全思路解决工控安全问题——专访北京威努特技术
黄敏分析 , “ 震 网” 病 毒 的 攻 击
目标 非 常精 确 或 者说 单 一 , “ 震 网” 病 毒 并 不 以 刺 探 情 报 为 目 的 , 而 是 按 照 设 计 者 的 设 想 , 定 向 破 坏 离 心
担 负 起 工 业 系 统 安 全 保 障 的重 任 。
机 等 要 害 目标 。目前 , 这 种 病 毒 已 经 感染 了超 过 1 0万 台 个 人 电 脑 和 “ 光
2 0 2 5、 制 造 业 与 互 联 网 融 合 发 展
计划。
据 北 京 威 努 特 技 术 有 限 公 司 首 席 技 术 官 兼 研 发 副 总 经 理 黄 敏 介 绍 说 , “ 震 网” 病 毒 采 取 的 就 是 通 过 移
于是 , 2 0 1 1年 工 信 设 备 进 行 传 播 的 方 式 。 该 病 毒 首 先 在 互 联 网 上 进 行 传 播 , 大 量
感 染 的 主 机 也 就 成 为 潜 在 的 向 内 部
的通 知 》 ( 简称 “ 4 5 1号 文 件 ” ) , 拉 开
了 中 国重 新 审 视 与 解 决 工 控 安 全 的
严 峻 的 工 控 安 全 形 势
伊 朗“ 震 网” 病毒事件的发生 , 引 起 了全 世 界 对 于 工 业 控 制 系 统 信 息 安 全 的重 视 。
制 和 自动化 网络 与 系 统 信 息 安全 》 ( I E C 6 2 4 4 3) 中, 针 对 工 控 系 统 信 息
和 展 望 了 当 前 中 国 工 控 安 全 的
装 有 目标 软 件 的 主 机 后 展 开 攻 击 。
这使 得在 U盘内的“ 震 网” 病 毒 只 需要所 在 U盘插入 主机的 U S B 接
网络信息安全,保护工业控制系统的挑战
网络信息安全,保护工业控制系统的挑战网络信息安全一直是一个全球范围内的热点话题。
随着工业控制系统(Industrial Control Systems,ICS)的广泛应用,保护工业控制系统的网络信息安全也成为了一项重大挑战。
在这篇文章中,我们将探讨保护工业控制系统的网络信息安全所面临的挑战,并提出一些解决方案。
首先,工业控制系统与传统的信息技术系统有着显著的不同。
工业控制系统通常在物理上与互联网隔离,因此很难直接接触到。
这就导致了工业控制系统中的软件和设备往往落后于其他信息技术系统,容易受到网络攻击的影响。
此外,工业控制系统的稳定性和可靠性要求非常高,而网络安全防护可能会对其性能产生一定的影响。
其次,工业控制系统的网络拓扑相对复杂,包括各种设备、传感器、控制器等。
这些设备通常分布在不同的地理位置,使得网络信息安全的部署更加困难。
同时,由于工业控制系统的特殊性,许多设备和协议并不支持常见的网络安全机制,这给网络信息安全的保护带来了挑战。
另外,工业控制系统的网络信息安全还面临着来自内外部的威胁。
外部威胁包括黑客攻击、病毒和恶意软件的传播,这些攻击可能导致生产过程中断、财务损失甚至环境灾难。
内部威胁则主要来自员工的不当行为,包括泄露敏感信息、滥用权限等。
因此,保护工业控制系统的网络信息安全需要防范外部和内部威胁的同时,保障工业控制系统的正常运行。
为了解决这些挑战,我们可以采取以下措施来保护工业控制系统的网络信息安全。
首先,加强网络边界的防护,使用防火墙、入侵检测系统等技术来阻止未经授权的访问,并对网络流量进行监控和审计。
其次,定期对工业控制系统进行安全漏洞扫描和漏洞修补,确保系统的软件和设备始终运行在最新、最安全的状态下。
同时,还应加强对员工的网络安全教育和培训,提高员工的网络安全意识。
此外,我们可以使用工业控制系统专用的网络安全技术来加强对工业控制系统的保护。
例如,使用网络隔离技术来划分工业控制系统的不同网络,防止网络攻击的扩散。
工控系统安全防护问题对策分析
工控系统安全防护问题对策分析随着信息化技术的发展,工控系统作为现代工业生产的核心组成部分,也面临日益严峻的安全威胁。
工控系统安全问题对策分析的目的是通过识别现有的安全问题,并提出相应的对策,以保障工控系统的稳定运行和信息安全。
一、工控系统安全问题的来源1. 网络攻击:工控系统通常与互联网相连,网络攻击者可以通过入侵系统控制节点、网络设备或工控设备,进行恶意操作,例如破坏设备、篡改数据等。
2. 恶意软件:恶意软件是工控系统的一个重要威胁源,如病毒、木马、蠕虫等。
这些恶意软件可以通过USB设备、电子邮件等方式进入工控系统,并对系统进行破坏或数据窃取。
3. 社会工程学攻击:社会工程学攻击是通过对工控系统用户进行欺骗或人性弱点的利用,获取系统或数据的非授权访问权限。
4. 硬件安全问题:硬件安全问题主要包括设备被物理攻击、设备损坏或破坏、不安全的通信线路等。
5. 员工内部威胁:由于员工行为不当、不慎或蓄意破坏,会导致工控系统的安全威胁,例如泄露密钥、篡改数据等。
1. 强化网络安全防护:建立基于网络的安全防火墙、入侵检测与防御系统(IDS/IPS)等技术手段,及时发现并阻止网络攻击。
2. 加强恶意软件防护:使用杀毒软件、防火墙等防护工具,定期对系统进行安全扫描和补丁更新,防止恶意软件的侵入和传播。
3. 加强身份认证与访问控制:采用多因素身份认证方式,限制非授权访问,并对内部员工进行权限管理和监控。
4. 加强物理安全:加密系统控制节点和数据传输通道,确保数据传输的机密性与完整性。
在设计和建设工控设备时要考虑到物理安全问题,采取相应的措施避免设备被物理攻击。
5. 加强员工培训与管理:加强对员工的安全意识教育和培训,制定明确的安全政策和操作规程,并进行定期的安全演练和违规行为检查。
6. 实施数据备份和恢复措施:定期进行数据备份和灾难恢复演练,确保在系统故障或攻击事件发生后能够迅速恢复到正常运行状态。
7. 建立安全事件监测与响应机制:建立安全事件监测与响应中心,及时发现和处置安全事件,同时开展安全事件的调查和分析,总结经验教训,不断提高系统的安全性。
网络安全与工业控制系统保护工控系统的安全
网络安全与工业控制系统保护工控系统的安全一、引言随着信息技术的飞速发展和工业控制系统(Industrial Control Systems,ICS)的广泛应用,网络安全问题日益凸显。
工控系统是指用于监控和控制物理过程的计算机系统,用于管理和操作设施如发电厂、工厂生产线以及城市基础设施等。
保护工控系统的安全尤为重要,因为一旦遭受攻击,可能导致生产中断、安全事故甚至人员伤亡。
本文将探讨网络安全对工业控制系统的重要性,并提出一些保护工控系统安全的措施。
二、工业控制系统的特点及其安全挑战工业控制系统在网络安全方面面临着独特的挑战,主要体现在以下几个方面:1. 可靠性要求高:工控系统通常用于控制关键设施或过程,如核电站或化工厂。
因此,其可靠性要求极高,一旦遭受攻击或故障,后果不堪设想。
2. 资源有限:由于工控系统的特殊需求,其硬件和软件资源往往有限。
这意味着无法直接应用传统的网络安全解决方案,需要寻求更加精细化的保护措施。
3. 长期运行:许多工控系统需要长期运行,甚至数十年。
而网络安全形势在不断演变,需要及时更新和升级安全措施,这对工控系统的运维带来了较大挑战。
4. 通信协议差异:不同的工控系统常使用不同的通信协议,这使得工控系统之间的网络连通性复杂,攻击者可以通过攻击通信协议获得操控系统的权限。
三、保护工业控制系统安全的关键措施针对工业控制系统的特点和安全挑战,采取以下措施可以有效保护工控系统的安全:1. 网络分割与隔离:将工控系统与企业内部网络分隔开来,形成不同的安全域,限制通信流量,并采用虚拟专用网络(Virtual Private Network,VPN)等技术实现远程访问,避免攻击者通过企业网络入侵工控系统。
2. 强化身份验证:在工控系统中,严格控制用户的身份认证,确保只有授权人员能够访问系统。
采用多因素身份认证、访问控制列表等方式,加强对系统的访问管控。
3. 加密通信与数据保护:工控系统通信中的数据传输应采用加密协议,确保数据在传输过程中不被篡改或窃取。
何以解忧 工控企业正遭新旧数据安全问题吞噬
何以解忧工控企业正遭新旧数据安全问题吞噬工业控制系统安全不是“老系统碰上新问题”,而是传统信息安全问题在工业控制领域的延伸。
当前信息技术已广泛应用于石油、化工、电力等众多领域,为传统工业控制系统优化升级提供了重要的支撑,同时也带来了网络环境下的信息安全问题,蠕虫、木马、黑客攻击等网络威胁对工业控制系统的冲击呈现出愈演愈烈的发展态势。
信息全球化工控企业数据安全正面临巨大挑战近年来,随着经济全球化的深入推进,国际竞争越来越激烈,工业控制系统作为能源、制造、军工等国家命脉行业的重要基础设施,在信息攻防战的阴影下面临着安全风险持续攀升的运行环境。
据统计,过去一年,国家信息安全漏洞共享平台收录了100余个对我国影响广泛的工业控制系统软件安全漏洞,较2010年大幅增长近10倍。
安全漏洞的涌现,无疑为工业控制系统增加了风险,进而影响正常的生产秩序,甚至会危及人员健康和公共财产安全。
两化融合和物联网的发展使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。
例如,OPCClassic协议(OPCDA,OPCHAD和OPCA&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC 通讯采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。
因此确保使用OPC 通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
IT技术多样介入工控各层面遭受多样安全危机提到工控安全问题,很多人可能会简单地理解为直接用于控制的实时操作系统设备的安全。
然而,从整个架构上看,工业控制系统是由服务器、终端、前端的实时操作系统等共同构成的网络体系,同样涉及物理层、网络层、主机层、应用层等传统信息安全问题。
在整个工业控制系统中,大多数工控软件都是运行在通用操作系统上,例如操作员站一般都是采用Linux或Windows平台,由于考虑到系统运行的稳定性,一般系统运行后不会对Linux或Windows平台打补丁;另外,大多工业控制网络都属于专用内部网络,不与互联网相连,即使安装反病毒软件,也不能及时地更新病毒数据库,并且杀毒软件对未知病毒和恶意代码也无能为力。
传统信息安全产品VS工控安全问题
传统信息安全产品VS工控安全问题•关键词:威努特工控网络安全信息安全•作者:wnt•摘要:为什么传统信息安全产品不能解决工控安全问题从2010年针对伊朗核工厂的Stuxnet病毒,到2014年席卷欧洲的Havex病毒,针对工业控制系统的网络攻击越演越烈,工业控制系统迫切需要得到安全防护。
那么,把传统信息安全产品如防火墙、反病毒软件、IDS/IPS,部署到工业控制系统中是不是就能解决其信息安全问题呢?答案是——不能!实践证明传统信息安全产品不能解决工业控制系统的安全问题我们在现场调研时发现,一些工业控制系统的网络中,已经有部署传统的防火墙产品,在工作站上也有安装杀毒软件产品。
但是,传统的防火墙在保护O P C 服务器时,由于不支持OPC协议的动态端口开放,不得不允许O P C客户端和O P C服务器之间大范围内的任意端口号的T C P连接,因此防火墙提供的安全保障被降至最低,从而很容易受到恶意软件和其他安全威胁的攻击。
而反病毒软件,通常因得不到及时更新,导致失去了对主流病毒、恶意代码的防护能力。
现场调研的另一个发现,是工业控制系统的系统漏洞,不能像IT系统一样,得到及时的漏洞修复,大量漏洞长期存在。
综上所述,传统信息安全产品(如防火墙、反病毒软件)及传统信息安全的管理方法(如漏洞及时修复)并不适用于工业控制系统,不能解决其信息安全问题。
为什么传统信息安全产品/方法不适用于工业控制系统传统信息安全产品/方法不适用于工业控制系统,是由于工业控制系统相对于IT 信息系统的有其独特差异性,而传统信息安全产品是针对IT信息系统的需求开发的。
工业控制系统相对于IT信息系统的差异,在信息安全需求方面主要有以下体现:1)工业控制系统以“可用性”为第一安全需求,而IT信息系统以“机密性”为第一安全需求。
在信息安全的三个属性(机密性、完整性、可用性)中,IT信息系统的优先顺序是机密性、完整性、可用性,而工业控制系统则是可用性、完整性、机密性。
工业控制系统与传统IT信息系统差异性对比
工控网络与传统IT信息网络的对比
资源限制 变更Βιβλιοθήκη 理工业控制系统传统IT信息系统
资源受限;
指定足够的资源来支持增加的第
多数不允许使用第三方信息安全解 三方应用程序,安全解决方案是其
决方案;
中的一种;
变更前必须进行彻底的测试和部署 通常可以自动地进行软件更新,
增量;
包括信息安全的补丁的及时变更;
ICS中断必须要提前数天/数周进行
连续工作,一年365天不间断;
TCP/IP,UDP等常见协议;
在某些情况下,需要为工业控制系统环境量身定制新的安全解决方案。
修改或升时需要不同程度的专业知识;
通常可以自动地进行软件更新,包括信息安全的补丁的及时变更; 工控系统与IT系统存在明显的差别:
工业控制系统
传统IT信息系统
指定足够的资源来支持增加的第三方应用程序,安全解决方案是其中的一种;
工业控制系统
传统IT信息系统
实时通信; 响应时间很关键; 延迟和抖动都限定在一定的水平; 适度的吞吐量;
不要求实时性; 通常情况下可以忍受高时延和 延迟抖动; 高吞吐量;
15年至20年
高可用性,需要有冗余架构; 连续工作,一年365天不间断; 若有中断必须要提前进行规划 并制 定严格的时间表; 有详细的部署测试
工控网络与传统IT信息网络的对比
操作较简单;
多种类型的通信介质中,大体包括专用线和无线(无线没电和有卫安星)全两内种;置的安全功能,软件变
可以有重新启动系统等反应;
系统被设计为典型的操作系统,
人员安全是最终要的,其次是过系程的统保操护;作 更必须小心进行;
I虽并工CS然制控中安 网断定全络必严解与须格决传要的方统提时案I前T间信已数表息经天;网被/数络设周的计进对来行比处详理细这计些划典并型确的定IT时识系间统;表修安,全改系问统或题也,升要但求时是把在需再引确要进认这不作些为同相更同程新的过度解程决的的方一专案部到业分工内知业容控;制利行系用升统环自级境动等中时部系,署统必须工操采具作取特可;殊较的防为护简措施单。地进
工业控制系统的信息安全管理挑战与应对策略(一)
工业控制系统的信息安全管理挑战与应对策略随着信息技术的高速发展和工业控制系统的广泛应用,工业控制系统的信息安全管理面临着前所未有的挑战。
这些挑战来自于技术漏洞、网络攻击、人为疏忽等多方面因素。
本文将从技术、管理及人员等角度,探讨工业控制系统信息安全管理面临的挑战,并提出相应的应对策略。
一、威胁与挑战1. 技术漏洞:工业控制系统的信息安全问题主要源于其基础设施过于陈旧,很多系统在设计和实施之初并没有考虑到网络安全的因素。
此外,供应商为了追求效益,忽视了系统的安全性和可靠性,容易被黑客攻击利用。
因此,技术漏洞是工业控制系统信息安全面临的主要挑战。
2. 网络攻击:随着工业控制系统的网络化,网络攻击成为影响信息安全的重要因素。
网络攻击手段多样化,如拒绝服务攻击、病毒传播、恶意软件植入等,进一步加剧了工业控制系统的信息安全风险。
3. 人为疏忽:工业控制系统操作及维护人员的不规范操作、疏忽大意也是信息安全的隐患之一。
例如,工作人员在操作中使用弱密码或共享账号密码、未及时更新系统补丁等,都有可能导致系统遭受攻击与损失。
二、应对策略1. 完善技术防护措施:工业控制系统应加强对技术方面的防护措施,尽早发现和弥补系统中的漏洞。
一方面,工业控制系统可以采用先进的网络安全技术,如防火墙、入侵检测与防御等,实现对系统的主动监控和保护。
另一方面,工业控制系统的供应商应对产品进行安全检测和更新,修复软件和硬件的潜在漏洞。
2. 加强网络监管与安全培训:工业控制系统的信息安全需要全方位的管理与监管。
相关部门应建立信息安全监管机制,明确责任分工,组织开展安全评估与监测。
同时,加强对工业控制系统操作员的安全意识教育和技能培训,提高其对信息安全风险的认知,减少人为疏忽导致的信息安全隐患。
3. 强化利益相关方合作:信息安全的问题不能仅靠工业控制系统的运维人员来解决,还需要利益相关方的合作共同应对。
政府、企业、研究机构等应加强合作,共同推动工业控制系统信息安全管理的标准化与规范化,共享安全防护技术和经验。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
为什么传统信息安全产品不能解决工控安全问题
winicssec CTO
从2010年针对伊朗核工厂的Stuxnet病毒,到2014年席卷欧洲的Havex病毒,针对工业控制系统的网络攻击越演越烈,工业控制系统迫切需要得到安全防护。
那么,把传统信息安全产品如防火墙、反病毒软件、IDS/IPS,部署到工业控制系统中是不是就能解决其信息安全问题呢?答案是——不能!
实践证明传统信息安全产品不能解决工业控制系统的安全问题
我们威努特公司在现场调研时发现,一些工业控制系统的网络中,已经有部署传统的防火墙产品,在工作站上也有安装杀毒软件产品。
但是,传统的防火墙在保护O P C服务器时,由于不支持OPC协议的动态端口开放,不得不允许O P C客户端和O P C服务器之间大范围内的任意端口号的T C P连接,因此防火墙提供的安全保障被降至最低,从而很容易受到恶意软件和其他安全威胁的攻击。
而反病毒软件,通常因得不到及时更新,导致失去了对主流病毒、恶意代码的防护能力。
现场调研的另一个发现,是工业控制系统的系统漏洞,不能像IT系统一样,得到及时的漏洞修复,大量漏洞长期存在。
综上所述,传统信息安全产品(如防火墙、反病毒软件)及传统信息安全的管理方法(如漏洞及时修复)并不适用于工业控制系统,不能解决其信息安全问题。
为什么传统信息安全产品/方法不适用于工业控制系统
传统信息安全产品/方法不适用于工业控制系统,是由于工业控制系统相对于IT信息系统的有其独特差异性,而传统信息安全产品是针对IT信息系统的需求开发的。
工业控制系统相对于IT信息系统的差异,在信息安全需求方面主要有以下体现:
1)工业控制系统以“可用性”为第一安全需求,而IT信息系统以“机密性”为第一
安全需求。
在信息安全的三个属性(机密性、完整性、可用性)中,IT信息系统的优先顺序是机密性、完整性、可用性,而工业控制系统则是可用性、完整性、机密性。
这一差异,导致工业控制系统中的信息安全产品,必须从软硬件设计上达到更高的可靠性,例如硬件要求无风扇设计(风扇平均无故障时间不到3年)。
另外,导致传统信息安全产品的“故障关闭”原则如防火墙故障则断开内外网的网络连接,不适用于工业控制系统,工业控制系统的需求是防火墙故障时保证网络畅通。
2)工业控制系统不能接受频繁的升级更新操作,而IT信息系统通常能够接受频繁的
升级更新操作。
这对依赖一个黑名单库来提供防护能力的信息安全产品(例如:反病毒
软件,IDS/IPS)是一个严峻的挑战。
3)工业控制系统对报文时延很敏感,而IT信息系统通常强调高吞吐量。
在网络报文
处理的性能指标(吞吐量、并发连接数、连接速率、时延)中,IT信息系统强调吞吐量、并发连接数、连接速率,对时延要求不太高(通常几百微秒);而工业控制系统对时延要求高,某些应用场景要求时延在几十微秒内,对吞吐量、并发连接数、连接速率往往要求不高。
这一差异,导致工业控制系统中的信息安全产品,必须从CPU选型、软硬件架构上做到低时延,这对当前一些基于x86 CPU及开源软件架构的信息安全产品是一个严峻挑战。
4)工业控制系统基于工业控制协议(例如,OPC、Modbus、DNP3、S7),而IT信息系
统基于IT通信协议(例如,HTTP、FTP、SMTP、TELNET)。
虽然,现在主流工业控制系统已经广泛采用工业以太技术,基于IP/TCP/UDP通信,但是应用层协议是不同的,这就要求信息安全产品必须支持工业控制协议(例如,OPC、Modbus、DNP3、S7),否则就会出现上面提到的为了支持OPC Classic服务而放开大量TCP端口的问题。
5)工业控制系统的工业现场环境恶劣(如,野外零下几十度的低温、潮湿、高原、盐
雾),而IT信息系统通常在恒温、恒湿的机房中。
这就要求工业控制系统中的信息安全硬件产品,必须按照工业现场环境的要求专门设计硬件,做到全密闭、无风扇,支持﹣40℃~70℃等。
所以,要想解决工业控制系统的信息安全问题,传统信息安全产品和解决方案并不是一剂对症良药,工业控制系统需要有一套为自己量身打造的信息安全产品,才能有效抵御工业系统面临的各种安全威胁,为客户带来工控安全防护的真正价值。