e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

工控系统信息安全(ICS)产品选型(2017版 )

2017/12/19    来源:e-works    作者:e-works  王慧敏      
关键字:工控安全  工控安全产品选型  
随着企业信息化应用的逐渐深入以及两化深度融合的持续推进,我国工业自动化水平得到了很大提高,信息、网络以及物联网技术在智能化生产设备和信息系统中的应用也日趋广泛。

    那么,智能制造新形势下工控系统面临着哪些安全风险呢?
 
  • 管控一体化:信息化与工业化深度融合,更多的纵向集成,控制层与管理层交互更加频繁,视频/生产控制联动、VR虚拟现实与实时生产互动。

  • 工厂物联网:产线设备更加智能化,封闭系统演变为开放式系统,原先孤立的智能系统相互连接起来,整个工厂构成了一个庞大的网络,任何一个接入点都可以连接到全厂任何设备和子系统,容易导致网络设备或节点故障引发全网瘫痪。

  • 工业云和大数据的应用:互联网+个性化定制生产(根据原材料和消费市场变化、用户需求变化进行柔性生产制造);其次,企业上云,企业电商、协同生产、云制造、基于工业云平台的产业链生态、政府云端监管(安全、环保、能源三位一体)、工业园区聚集区(物流一体化、循环经济化)。

  • 移动互联网的普及:手机、Pad、便携式电脑等移动终端联网,WIFI无线接入,手持式智能巡检操作设备、智能手机充电、USB移动存储介质、云盘存储。

  • 服务外包、设备远程运维:设备和工控系统的远程维护、远程监控、应用软件升级,远程入侵途径。

  • 工控安全大环境严峻:除了病毒和木马之外,工控安全还面临着系统专向攻击(震网病毒)、第三方研究机构针对工控系统进行攻击研究/公开漏洞库等。
 
    工业控制系统常见安全问题
 
    工业控制系统是我国重要基础设施自动化生产的基础组件,安全的重要性可见一斑。然而受到核心技术限制、系统结构复杂、缺乏安全与管理标准等诸多因素影响,运行在ICS系统中的数据及操作指令随时可能遭受来自敌对势力、商业间谍、网络犯罪团伙的破坏。如钢厂异常停机、石化工厂蠕虫泛滥等,这些层出不穷的安全事件,为我国关键基础设施核心要害系统安全问题敲响了警钟。
 
    分析工控系统所遭受的漏洞和攻击可以发现,造成工业控制系统安全风险加剧的主要原因有以下几个层面:利用网络协议进行攻击、针对简单控制器进行攻击、利用病毒进行攻击、针对专门系统和人员进行攻击。
 
    4.1 通信协议漏洞
 
    工业化与信息化的融合,使得TCP/IP协议和OPC协议等通用协议越来越广泛地应用在工控系统中,随之而来的通信协议漏洞问题也日益突出。例如,OPC Classic协议(OPC DA,OPC HAD和OPC A&E)基于微软的DCOM协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC通信采用不固定的端口号,导致目前几乎无法使用传统的IT防火墙来确保其安全性。因此,确保使用OPC通信协议的工控系统安全性和可靠性给工程师带来了极大的挑战。
 
    4.2 操作系统漏洞
 
    目前大多数工控系统的工程师站/操作站/HMI都是Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场的工程师在系统开始后不会对Windows平台安装任何补丁,但是存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。
 
    4.3 杀毒软件漏洞
 
    为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于杀毒需要经常更新病毒库,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
 
    4.4 应用软件漏洞
 
    由于工控应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外,当应用软件面向网络应用时,就必须开放其应用端口。因此,常规的IT防火墙等安全设备很难保障其安全性。互联网攻击者很有可能会利用一些大型工控自动化软件的安全漏洞获取诸如污水处理厂、天然气管道、以及其他大型设备的控制权,一旦这些控制权被不良意图黑客所掌握,后果不堪设想。
 
    4.5 安全策略和管理流程漏洞
 
    追求可用性而牺牲安全,是很多工控系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工控系统安全带来了一定的威胁。很多已经实施了安全防御措施的ICS网络仍然会因为管理或操作上的失误,造成ICS系统出现潜在的安全短板。例如,工控系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。因此,制定满足业务场景需求的安全策略,并依据策略制定管理流程,是确保ICS系统稳定运行的基础。
 

责任编辑:李欢
本文为授权转载文章,任何人未经原授权方同意,不得复制、转载、摘编等任何方式进行使用,e-works不承担由此而产生的任何法律责任! 如有异议请及时告之,以便进行及时处理。联系方式:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐