我的位置 首页  >  新闻动态  >  国内新闻

构建工控网络安全的几点思考

来源:科技成果转化中心时间:2018-10-13
      

前言:在新奥尔良召开的(ISC)²安全大会上,安全专家开始讨论工业控制系统连接到云和物联网所需面对的安全问题。


埃森哲高级ICS经理Graham Speake在本周于新奥尔良举行的(ISC)²安全大会上发表演讲时说,物联网正在发展,现在正在进入工业领域。因此,安全专业人员必须考虑保护其系统处理的数据。

 

 “有些行业信息化发展有点慢,”他解释说,并指出以石油和天然气行业为例。Speake说,如果你在六到七年前告诉那些公司,他们会将数据发送到云端,他们会对此表示怀疑。但现在,情况不同了,工业互联网正在迎头赶上。

 

他继续说,联网设备的数量每年都在增加10%,预计到2020年全球将拥有200多亿台设备。虽然许多联网设备将用于个人,但在工业领域,将会有越来越多的设备与云连接,更多的员工使用可穿戴设备,这既是为了提高生产率,也是为了安全。



例如,Speake描述了通过员工佩戴的设备跟踪其活动路径,以便控制室人员可以监控他们的位置。如果有人暂时没有移动,那可能表明他们遇到了问题。如果进行疏散,系统可以确定是否有人处于危险境地。

 

他说:“在一个大型炼油厂,或一个大型工厂,很难清晰地定位某个人的具体位置,许多行业(以化工行业为例),越来越多地将机器人技术应用到企业生产当中,作为提高生产效率的手段。

 

然而,工业控制系统与其他网络的连接产生了新的安全问题。例如,在工业领域,某些组件的使用寿命为5到30年并不罕见 - 远远超过一般设备的使用寿命。控制这些设备的软件更新部署缓慢,这些脆弱的设备连接到其他网络,使工控系统的脆弱性完全暴露。


Dragos威胁运营中心主任本米勒(Ben Miller)在演讲中阐述了工控系统如何应对入侵。

 

 “ICS安全的关注度并不高,一般企业中,通常是由一个负责安全的工程师,或者是一个负责控制系统网络的安全人员来进行ICS安全管理。”他指出,这两种方法都不可能完全有效,因为培养具备ICS安全技能的人员需要数年时间。”


这是工业组织面临的三大挑战之一。另一个原因是缺乏对ICS环境的可见性,并且缺乏在工业环境中使用IT工具的相关技能。然而,最大的障碍是威胁



米勒说,我们还不清楚工业环境中的威胁情况。我们大部分关于工控系统的知识都是听别人讲述的;企业并没有建立 ICS威胁相关的数据。缺乏这些安全威胁数据使安全成为一项挑战:如果你不知道安全防护目标是什么,就无法分配资源保护这些系统。


Speake强调说,企业必须综合考虑工控领域既有的安全威胁,又要在使用原有系统和系统上云之间做出选择。

 

以杀毒软件为例:“它确实有效,但它不会阻止一切。防火墙也是如此。公司通常有这样一种心态——如果我们只是把东西向数据流连接到防火墙,会起到安全防护作用,但防火墙也存在很多问题,也就是说,即使配置了防火墙,也会存在安全问题。” Speake说。



密码安全是另一个例子,在IT部门中,管理员提倡设置复杂的密码并经常更改它们。管理工业控制系统ICS的员工通常不使用密码,因为他们知道谁在使用它们,并且认为自己的系统是安全的,不会受到外界的攻击。


供应商之间也缺乏产品测试和安全培训,因为它们优先考虑的是运行速度。


他补充道:“在这个领域,我们更感兴趣的是将产品推向市场,而不是试图建立安全和弹性。“供应商的问题是,他们不培训安全人员”。虽然有些人开始这样做,但他指出,“这已经晚了几年。”


Speake建议从一开始就建立安全体系,这样系统就会受到默认保护。这意味着不仅要测试设备,还要评估通信的可靠性。如果你必须要求一定程度的安全性,并威胁说如果不提供,就要更换供应商。


采购文件应该明确提出某种级别安全需求,供应商如果不能满足安全需求,就需要寻找其它有能力满足安全需求的供应商。


作者: e小安

文章来源:e安在线(工业互联网安全应急响应中心经授权转载)


       (科技成果转化中心供稿)