目前,超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化作業。工業控制系統的安全關系到國家的戰略安全。
而與此同時,信息安全廠商也在工業控制領域進行著積極的投入。近日,本網記者就工控系統安全問題采訪了天融信安全技術專家肖松。
肖松認為:工業控制系統與一般IT信息系統安全防護在防護目標、防護重點等方面都有所不同,大多數工業控制系統安全防護目標和重點更多側重在保障工業控制系統的高可用性和高可靠性方面,防范工控系統安全事件的發生對工業基礎設施以至于人的生命安全的影響。
“同時,由于工業控制系統內部運行較多的工控通訊協議,且標準不統一,如SCADA、DCS、PLC等工業控制系統早期都運行在相對獨立、封閉的網絡中,運行獨特的工業控制協議OPC、Profinet、Ethernet/IP、Modbus、CAN等,這些通訊協議在設計之初,對安全方面考慮較少,這給工業控制系統的安全防御帶來了較大的挑戰。”肖松說道。
近年來,隨著工業以太網的逐步推廣與應用,工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件,以各種方式與互聯網等公共網絡間接連接,傳統IT信息網中的安全威脅已逐步滲透到生產控制網絡中。
肖松表示:對于傳統IT網絡的攻擊,攻擊者可以通過多種渠道滲透到目標主機;而工業控制網絡一般不與互聯網直接連接,因此攻擊者需要通過U盤擺渡、植入后門或內部人滲透等方式對目標系統發起攻擊。
“工控系統安全是一個比較新的安全課題。由于工控系統運行環境相對獨立,工業控制系統安全并沒有得到同等的重視,安全防護技術手段單一,如僅采用傳統的防病毒軟件,也沒有專職的安全管理與技術人員。”肖松說道。
此外,據肖松介紹,在安全技術研究方面,目前主要有愛達荷、桑迪亞等多家國家級實驗室在對工業控制系統安全漏洞進行挖掘與分析,建立測試平臺,對工業控制系統安全漏洞進行挖掘與分析。
對于目前單純從自動控制設備及工控協議優化的角度來提高工業控制系統安全性的做法,肖松表示并不現實,對此他建議:“目前需要針對工業控協議的脆弱性以及安全防護關鍵點進行風險分析,并部署相應的安全防護技術措施和安全產品,輔之以工控網安全管理和運維手段的提升,來進一步提高工業控制系統整體安全水平。”
據了解,北京天融信公司近幾年來一直關注工業控制領域安全。2012年,天融信推出了自主知識產權的工業防火墻,該產品部署于工業以太網環境中,能夠對企業信息層和監控管理層之間、監控管理層和過程控制層之間進行有效隔離與訪問控制,對工業控制通訊協議進行深度協議分析與攻擊防護,防范來自企業信息層對監控管理層和過程控制層的攻擊與威脅。
