實(shí)踐證明傳統(tǒng)信息安全產(chǎn)品不能解決工業(yè)控制系統(tǒng)的安全問(wèn)題
我們?cè)诂F(xiàn)場(chǎng)調(diào)研時(shí)發(fā)現(xiàn),一些工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)中,已經(jīng)有部署傳統(tǒng)的防火墻產(chǎn)品,在工作站上也有安裝殺毒軟件產(chǎn)品。但是,傳統(tǒng)的防火墻在保護(hù)O P C服務(wù)器時(shí),由于不支持OPC協(xié)議的動(dòng)態(tài)端口開(kāi)放,不得不允許O P C客戶端和O P C服務(wù)器之間大范圍內(nèi)的任意端口號(hào)的T C P連接,因此防火墻提供的安全保障被降至最低,從而很容易受到惡意軟件和其他安全威脅的攻擊。而反病毒軟件,通常因得不到及時(shí)更新,導(dǎo)致失去了對(duì)主流病毒、惡意代碼的防護(hù)能力?,F(xiàn)場(chǎng)調(diào)研的另一個(gè)發(fā)現(xiàn),是工業(yè)控制系統(tǒng)的系統(tǒng)漏洞,不能像IT系統(tǒng)一樣,得到及時(shí)的漏洞修復(fù),大量漏洞長(zhǎng)期存在。
綜上所述,傳統(tǒng)信息安全產(chǎn)品(如防火墻、反病毒軟件)及傳統(tǒng)信息安全的管理方法(如漏洞及時(shí)修復(fù))并不適用于工業(yè)控制系統(tǒng),不能解決其信息安全問(wèn)題。
為什么傳統(tǒng)信息安全產(chǎn)品/方法不適用于工業(yè)控制系統(tǒng)
傳統(tǒng)信息安全產(chǎn)品/方法不適用于工業(yè)控制系統(tǒng),是由于工業(yè)控制系統(tǒng)相對(duì)于IT信息系統(tǒng)的有其獨(dú)特差異性,而傳統(tǒng)信息安全產(chǎn)品是針對(duì)IT信息系統(tǒng)的需求開(kāi)發(fā)的。工業(yè)控制系統(tǒng)相對(duì)于IT信息系統(tǒng)的差異,在信息安全需求方面主要有以下體現(xiàn):
-
1) 工業(yè)控制系統(tǒng)以“可用性”為第一安全需求,而IT信息系統(tǒng)以“機(jī)密性”為第一安全需求。在信息安全的三個(gè)屬性(機(jī)密性、完整性、可用性)中,IT信息系統(tǒng)的優(yōu)先順序是機(jī)密性、完整性、可用性,而工業(yè)控制系統(tǒng)則是可用性、完整性、機(jī)密性。這一差異,導(dǎo)致工業(yè)控制系統(tǒng)中的信息安全產(chǎn)品,必須從軟硬件設(shè)計(jì)上達(dá)到更高的可靠性,例如硬件要求無(wú)風(fēng)扇設(shè)計(jì)(風(fēng)扇平均無(wú)故障時(shí)間不到3年)。另外,導(dǎo)致傳統(tǒng)信息安全產(chǎn)品的“故障關(guān)閉”原則如防火墻故障則斷開(kāi)內(nèi)外網(wǎng)的網(wǎng)絡(luò)連接,不適用于工業(yè)控制系統(tǒng),工業(yè)控制系統(tǒng)的需求是防火墻故障時(shí)保證網(wǎng)絡(luò)暢通。
2) 工業(yè)控制系統(tǒng)不能接受頻繁的升級(jí)更新操作,而IT信息系統(tǒng)通常能夠接受頻繁的升級(jí)更新操作。這對(duì)依賴一個(gè)黑名單庫(kù)來(lái)提供防護(hù)能力的信息安全產(chǎn)品(例如:反病毒軟件,IDS/IPS)是一個(gè)嚴(yán)峻的挑戰(zhàn)。 -
3) 工業(yè)控制系統(tǒng)對(duì)報(bào)文時(shí)延很敏感,而IT信息系統(tǒng)通常強(qiáng)調(diào)高吞吐量。在網(wǎng)絡(luò)報(bào)文處理的性能指標(biāo)(吞吐量、并發(fā)連接數(shù)、連接速率、時(shí)延)中,IT信息系統(tǒng)強(qiáng)調(diào)吞吐量、并發(fā)連接數(shù)、連接速率,對(duì)時(shí)延要求不太高(通常幾百微秒);而工業(yè)控制系統(tǒng)對(duì)時(shí)延要求高,某些應(yīng)用場(chǎng)景要求時(shí)延在幾十微秒內(nèi),對(duì)吞吐量、并發(fā)連接數(shù)、連接速率往往要求不高。這一差異,導(dǎo)致工業(yè)控制系統(tǒng)中的信息安全產(chǎn)品,必須從CPU選型、軟硬件架構(gòu)上做到低時(shí)延,這對(duì)當(dāng)前一些基于x86 CPU及開(kāi)源軟件架構(gòu)的信息安全產(chǎn)品是一個(gè)嚴(yán)峻挑戰(zhàn)。 -
4) 工業(yè)控制系統(tǒng)基于工業(yè)控制協(xié)議(例如,OPC、Modbus、DNP3、S7),而IT信息系統(tǒng)基于IT通信協(xié)議(例如,HTTP、FTP、SMTP、TELNET)。雖然,現(xiàn)在主流工業(yè)控制系統(tǒng)已經(jīng)廣泛采用工業(yè)以太技術(shù),基于IP/TCP/UDP通信,但是應(yīng)用層協(xié)議是不同的,這就要求信息安全產(chǎn)品必須支持工業(yè)控制協(xié)議(例如,OPC、Modbus、DNP3、S7),否則就會(huì)出現(xiàn)上面提到的為了支持OPC Classic服務(wù)而放開(kāi)大量TCP端口的問(wèn)題。 -
5) 工業(yè)控制系統(tǒng)的工業(yè)現(xiàn)場(chǎng)環(huán)境惡劣(如,野外零下幾十度的低溫、潮濕、高原、鹽霧),而IT信息系統(tǒng)通常在恒溫、恒濕的機(jī)房中。這就要求工業(yè)控制系統(tǒng)中的信息安全硬件產(chǎn)品,必須按照工業(yè)現(xiàn)場(chǎng)環(huán)境的要求專門設(shè)計(jì)硬件,做到全密閉、無(wú)風(fēng)扇,支持﹣40℃~70℃等。
所以,要想解決工業(yè)控制系統(tǒng)的信息安全問(wèn)題,傳統(tǒng)信息安全產(chǎn)品和解決方案并不是一劑對(duì)癥良藥,工業(yè)控制系統(tǒng)需要有一套為自己量身打造的信息安全產(chǎn)品,才能有效抵御工業(yè)系統(tǒng)面臨的各種安全威脅,為客戶帶來(lái)工控安全防護(hù)的真正價(jià)值。