工控系統網絡安全的四大誤區

文章推薦指數: 80 %
投票人數:10人

儘管人們在防範工控系統網絡攻擊方面的意識在逐漸加強,但是現有的很多網絡安全防護框架仍然依賴於過時的安全性理念,即物理上獨立的網絡系統是足夠安全的、通過信息隱匿的方式可有效地防護網絡威脅等。

目前,關於工控網絡系統安全主要存在四大誤區。

誤區1:工控自動化系統沒有和網際網路連接,所以足夠安全

一項在某代表性能源公司內部進行的調查顯示,大部分的管理部門認為公司內的控制系統並沒有連接網際網路,然而,調查和審計顯示89%的控制系統是聯網的。

另外,工控網絡系統有時在企業網絡和網際網路之間採用多種連接類型,包括內部連接、直連、無線連接以及撥號連接。

這些拼湊型的網絡連接方式使得工控系統非常開放。

以Slammer蠕蟲病毒為例,該蠕蟲可在3秒內以全掃描速度(55million/秒)攻擊多種類的基礎設施,例如緊急服務、空管系統、ATM等。

這正是由於網際網路的開放性能而致。

然而,諷刺的是唯一減緩蠕蟲病毒攻擊速率的卻是網絡帶寬。

誤區2:工控網絡安裝了防火牆,足夠抵抗外界威脅

防火牆為工控網絡系統提供了一定程度的安全防護,然而,這不能使得工控系統無懈可擊。

在一項針對金融、能源、通信、媒體行業使用的37種防火牆進行調研中,人們發現:

(1)大約80%的防火牆是允許入站規則內的「一切」服務,包括不安全的訪問侵入防火牆和非保護區域;

(2)大約70%的防火牆允許網絡外圍的設備訪問並控制防火牆。

誤區3:黑客無法理解SCADA/DCS/PLC

近期,SCADA和處理控制系統成為了黑帽技術大會(Black Hat)的共同主題。

對於黑客們來說,網絡犯罪是非常有利可圖的。

例如,幾乎不耗周期的一次攻擊獲取的信息可以80k美元賣給犯罪組織。

同時,由於以下原因,黑客逐漸具有了攻擊工控系統的能力。

(1)不少蠕蟲病毒都是為特定的目標和應用量身定製的。

(2)現有的SCADA規範可以隨處購買或從網絡上獲取,這也為黑客在一定程度上理解SCADA規範提供了便利。

(3)Shodan搜尋引擎很容易定位不安全的工控設備和系統,同時,很多被攻擊的系統仍採用低安全係數的用戶名和密碼,例如「windows」,「123456」。

誤區4:我們的設備不會成為目標

這是一個很危險的意識。

首先,我們的系統並不是一定會成為攻擊目標,但是會變成受害者。

80%的工控網絡安全事件都是無意中發生的,卻是極具危害性。

仍以Slammer蠕蟲病毒為例,該病毒目的在於儘可能多地擊倒所有網絡系統中的所有設備,而並不是針對性地襲擊某個能源公司或者緊急設備。

然而,該病毒的侵入對這些緊急設備造成了重要危害。

另外,由於很多工控系統基於不安全的作業系統,使得這些工控系統很容易暴露在網絡攻擊中。

所以,針對工控網絡安全防護,我們可以做些什麼?

為了抵抗工控網絡攻擊,安全防護系統需要符合特定的要求。

其中,基於網絡邊界的防護方法是工控網絡安全的第一道重要防線。

另外,人們必須對網絡內的脆弱系統和易成為攻擊目標的設備進行安全防護。

由於網絡安全犯罪活動的頻率和複雜度不斷增長,工控網絡安全防護系統必須進行持續審查和重新評估,任何關於工控網絡安全的固定認知也需要不斷的更新或改變。


請為這篇文章評分?


相關文章 

目前工廠控制系統網絡防護分析

3.1工廠網絡情況概述伴隨國家工業化、信息化的兩化融合,石化企業提出管控一體化規劃,基於實時資料庫應用的MES系統在各大企業得到大力推廣。實時資料庫的建立是以採集過程控制系統的數據為前提,這就需...

工控安全,那麼近,那麼遠

導讀:當前的工業控制系統運營者所面對的威脅的規模、類型和嚴重性都在快速增加,其危險程度前所未有。有哪些威脅?又該如何防止?