【公益译文】采取纵深防御策略 提升工控系统网络安全
工控系统作为关键基础设施不可分割的一部分,可简化电力、石油天然气、供水、交通及化工等重要行业部门的运营。日益增长的网络安全问题及其对工控系统的影响愈发凸显了关键基础设施所面临的重大风险。解决工控系统的网络安全问题,须对安全挑战与特定防护措施有清晰认识。全局法使用特定措施逐步增强安全,助力防护工控系统中的网络安全威胁与漏洞。这种方法一般被称为“纵深防御”,适用于工控系统,为优化网络安全防护提供了灵活、可用的框架。
人们之所以关注控制系统的网络安全问题,一方面是因为某些系统沿用传统特性,另一方面是因为工控系统联网需求日益增长。在这种关注下,大量已知漏洞被发现,同时一些工控系统领域前所未见的新型威胁也浮出水面。许多老旧系统缺乏恰当的安防能力,无法抵御新型威胁,而现行网络安全方案由于会影响到系统可用性而无法使用。工控系统连接到企业、厂商或对等网络可加剧此问题。
本文深度探讨了较突出的网络风险问题,并结合工控系统对这些问题做了进一步阐述。文章还就如何针对特定问题制定缓解策略发表了看法,并为如何在工控环境制定深度安全防护计划提供了建议,目的是为网络缓解策略的制定以及策略在工控环境中的应用提供指导。
现行工控系统架构概览
曾经隔离的工控系统逐渐走向融合,助力企业简化并管理复杂的环境。在联网及向工控系统域添加IT组件时,如下情况可导致安全问题:
对于自动化与工控系统越来越依赖;
与外部网络的不安全连接;
使用的技术包含已知漏洞,在控制域造成前所未见的网络风险;
缺乏与工控系统环境相关的网络安全业务案例;
某些控制系统技术仅有有限的安全能力,这种能力一般仅在管理员发现(或不会阻碍流程)时才会启用;
许多常用的控制系统通信协议缺乏基本的安全功能(如认证与授权);
关于工控系统、工控系统操作及安全漏洞的开源信息大量存在。对于有效保障网络与IT网络安全,这种方法可谓另辟蹊径。将新型IT架构与缺乏真正网络安全防护措施的隔离网络融合具有很大挑战。显然,使用路由器与交换机可将设备进行简单互联,但是个人的非法入侵会导致对系统的不受限访问。图2中提供的融合架构包含了来自于外部的连接,如企业局域网、对端站点、厂商站点以及互联网。
长期以来,业界将控制系统的运营安全定义为系统安全有效运行的可靠性水平。将工控系统同外部(不可信)网络完全隔离,总体通信安全的范围被压缩至员工相关威胁(这里的员工指的是可物理访问设备或工厂车间的员工)。这样,信息基础设施内的大多数数据通信仅需要有限授权或安全监管。运行命令、指令与数据采集发生在封闭环境中,这个环境中的所有通信都受信任。一般情况下,命令或指令通过网络下发,预期在到达目标后执行授权功能,因为只有授权操作员才可以访问系统。
如图所示,融合架构若被入侵,攻击者可通过各种渠道访问企业局域网、控制系统局域网甚或通信局域网的关键系统。此种架构本质上要求与各种信息源交换数据,这可以被攻击者所利用。
工控系统内的安全挑战
在基于传输控制协议/互联网协议(TCP/IP)的现代计算环境中(如对驱动控制系统运行的业务进行管理的企业基础设施),需解决技术相关漏洞问题。传统上,这些问题由企业的IT安全组织负责,根据重要信息资产的安全指导方案与运营计划进行工作。当工控系统从属于联动架构时,主要关注的问题就变成如何提供同时覆盖控制系统域的安全规程。现有基于网络的通信所产生的某些安全问题须在控制系统域解决,因为各厂商使用不同协议,再加上老旧系统固有的安全问题,也许很难保护关键业务系统免于遭受时下的网络攻击。
开放的系统架构中存在的、可迁移至控制系统域的漏洞包括恶意软件(病毒、蠕虫等等)漏洞、通过操控代码提权、网络侦测与数据收集、隐蔽流量分析、通过或绕过边界防护非法入侵网络等。对于更为先进的系统,漏洞还包括恶意移动代码,如涉及JavaScript、applet小程序、VBScript及ActiveX的恶意活动内容。成功入侵工控系统网络后,会出现新的问题,如控制系统协议反向工程、针对操作员控制台的攻击、非法访问受信任的对端网络与远程设施等。要将信息安全与信息保障完全引入控制系统域,必须了解传统IT架构与工控系统技术之间的关键差异。
工控系统的五个关键的安全措施
以下是五个关键的安全措施,可推动工控系统环境中的网络安全活动。
- 安全指导方案。应针对控制系统及其各部件制定安全指导方案,定期评审,以便纳入当前威胁环境、系统功能以及所需的安全级别。
- 阻止对资源和服务的访问。一般情况下,在网络中部署提供访问控制列表的边界设备如防火墙或代理服务器,提供该技术。而主机方面,该技术可通过部署基于主机的防火墙和杀毒软件实现。
- 检测恶意活动。恶意活动检测可在网络或主机层面实现,通常需有经验的管理员对日志文件定期监控。IDS是识别网络问题的常用手段,也可部署在单个主机上。尽量在主机上开启审计和事件日志功能。
- 缓解可能出现的攻击。在很多情况下,无需处理漏洞,因为漏洞修复可能会使系统不可用或效率降低。通过缓解措施,管理员可控制对漏洞的访问,确保漏洞不被利用。通常,这一情况在制定临时技术方案,创建过滤器或运行具备特定配置的服务和应用时非常必要。
- 解决核心问题。要解决核心安全问题,需经常更新、升级、安装软件漏洞补丁或移除有漏洞的应用。软件漏洞可能会存在于网络、操作系统或应用这三层中的任一层。厂商或开发人员应提供缓解措施(如果有的话)供管理员部署。
免责声明
本文原文来自于互联网的公共方式,由“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。
作者:佚名
来源:51CTO
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
大型分布式网站架构技术总结
本文是学习大型分布式网站架构的技术总结。对架构一个高性能,高可用,可伸缩,可扩展的分布式网站进行了概要性描述,并给出一个架构参考。一部分为读书笔记,一部分是个人经验总结。对大型分布式网站架构有很好的参考价值。 一、大型网站的特点 用户多,分布广泛 大流量,高并发 海量数据,服务高可用 安全环境恶劣,易受网络攻击 功能多,变更快,频繁发布 从小到大,渐进发展 以用户为中心 免费服务,付费体验 二、大型网站架构目标 高性能:提供快速的访问体验。 高可用:网站服务一直可以正常访问。 可伸缩:通过硬件增加/减少,提高/降低处理能力。 安全性:提供网站安全访问和数据加密,安全存储等策略。 扩展性:方便的通过新增/移除方式,增加/减少新的功能/模块。 敏捷性:随需应变,快速响应; 三、大型网站架构模式 分层:一般可分为,应用层,服务层,数据层,管理层,分析层; 分割:一般按照业务/模块/功能特点进行划分,比如应用层分为首页,用户中心。 分布式:将应用分开部署(比如多台物理机),通过远程调用协同工作。 集群:一个应用/模块/功能部署多份(如:多台物理机),通过负载均衡共同提供对外访问。 缓存:将数据...
- 下一篇
我经历的IT公司面试及离职感受
毕业后几年一直待在广州,觉得这是一个比较生活化及务实的城市,其互联网公司和相应的投融资环境都不如北深上活跃,大大小小的面试也有几十个,有点 规模的公司应该都面试过了,面试一般会见到主力技术人员,技术主管,技术总监,人力几个人,狭义上还是可以看出一些公司文化技术氛围滴,于是想写这样一篇 文章,介绍经历也给予朋友们看看。 先介绍下自己的技术背景,二流大学计科毕业,GPA3.21/4.0,计算机专业课都有 90 分以上,高数基础不太好,也是我目前的瓶颈,程序语言基础不算差,外企,国企,民企都混过,做了 6 年的 Android 了,有 3 年是音视频和显示系统(Framework 和 Kernel),到门槛了。有 3 年是 App 方面,有几个千万月活的产品主程序经历,也是 Google Play 的顶尖开发者,随着泡沫入门了。另外也熟悉 IOS 和 NodeJS,会写一些简单的前端,算个二吊子的全栈开发。 所以,我真的只是个不算太差的三四流程序员,交待完背景,开始正文,下文涉及的公司主要有: 甲骨文数据公司,三星通信研究院、腾讯; 阿里巴巴、网易公司、欢聚时代、唯品会、猎豹移动; 卓望公司...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS关闭SELinux安全模块
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Windows10,CentOS7,CentOS8安装Nodejs环境
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- CentOS7安装Docker,走上虚拟化容器引擎之路
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS8编译安装MySQL8.0.19