导读: 目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。但是,控制系统的安全问题却一直为人所诟病。近日,有记者采访 天融信安全技术专家肖松,他提到:由于工业控制系统内部运行较多的工控通讯协议,且标准不统一,这给工业控制系统的安全防御带来了较大的挑战。
目前,超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业。工业控制系统的安全关系到国家的战略安全。
而与此同时,信息安全厂商也在工业控制领域进行着积极的投入。近日,本网记者就工控系统安全问题采访了天融信安全技术专家肖松。
肖松认为:工业控制系统与一般IT信息系统安全防护在防护目标、防护重点等方面都有所不同,大多数工业控制系统安全防护目标和重点更多侧重在保障工业控制系统的高可用性和高可靠性方面,防范工控系统安全事件的发生对工业基础设施以至于人的生命安全的影响。
“同时,由于工业控制系统内部运行较多的工控通讯协议,且标准不统一,如SCADA、DCS、PLC等工业控制系统早期都运行在相对独立、封闭的网络中,运行独特的工业控制协议 OPC、Profinet、Ethernet/IP、Modbus、CAN等,这些通讯协议在设计之初,对安全方面考虑较少,这给工业控制系统的安全防御带来了较大的挑战。”肖松说道。
近年来,随着工业以太网的逐步推广与应用,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络间接连接,传统IT信息网中的安全威胁已逐步渗透到生产控制网络中。
肖松表示:对于传统IT网络的攻击,攻击者可以通过多种渠道渗透到目标主机;而工业控制网络一般不与互联网直接连接,因此攻击者需要通过U盘摆渡、植入后门或内部人渗透等方式对目标系统发起攻击。
“工控系统安全是一个比较新的安全课题。由于工控系统运行环境相对独立,工业控制系统安全并没有得到同等的重视,安全防护技术手段单一,如仅采用传统的防病毒软件,也没有专职的安全管理与技术人员。”肖松说道。
此外,据肖松介绍,在安全技术研究方面,目前主要有爱达荷、桑迪亚等多家实验室在对工业控制系统安全漏洞进行挖掘与分析,建立测试平台,对工业控制系统安全漏洞进行挖掘与分析。
对于目前单纯从自动控制设备及工控协议优化的角度来提高工业控制系统安全性的做法,肖松表示并不现实,对此他建议:“目前需要针对工业控协议的脆弱性以及安全防护关键点进行风险分析,并部署相应的安全防护技术措施和安全产品,辅之以工控网安全管理和运维手段的提升,来进一步提高工业控制系统整体安全水平。”
据了解,北京天融信公司近几年来一直关注工业控制领域安全。2012年,天融信推出了自主知识产权的工业防火墙,该产品部署于工业以太网环境中,能够对企业信息层和监控管理层之间、监控管理层和过程控制层之间进行有效隔离与访问控制,对工业控制通讯协议进行深度协议分析与攻击防护,防范来自企业信息层对监控管理层和过程控制层的攻击与威胁。
