编辑:小星
多一份网络防护技能
多一份信息安全保障
随着越来越多的针对性的黑客攻击,工控系统(ICS)的网络安全问题早已成为许多企业保护的头等大事。毕竟工控系统不论是在哪个企业中都或多或少的存在着,比如每个数据中心,每个建筑的环境控制中,门禁系统等等自动化系统都是工控系统。
而且大部分行业里,工控系统都掌控这企业运营的关键部分。而且因为这些系统的专业、复杂性,所以很多工控系统都不是让企业的IT部门来管理的,有些企业甚至是交由第三方来远程管理和维护的,如此一来这将会成为企业信息安全薄弱的环节。
安全问题划分:
1、工控系统本质问题:
(1)设计缺陷:在设计初期,互联网等技术还未普及,资源也比较受限,虽然实现了实时性和可用性,但是工控系统各层的设计都普遍缺乏安全性。由于缺乏顶层安全架构设计,产品形态大多集中于网络安全防护的表层,所以安全性能的提升缺乏长远的规划。
(2)技术落后:硬件基础平台的核心就是CPU,但是技术的掌握一直不在我国的厂商手中,始终存在“后门”漏洞威胁。虽然目前国内已经研究和生产出了可用的CPU,但是却无法保证是否符合相关的性能、安全要求。
(3)缺乏动力:因为技术、市场、使用环境等因素制约,虽然工控产品提供商慢慢开始对旧的系统进行升级加固,并且研发新的安全工控产品,但是还是普遍缺乏主动进行安全加固的动力。
2、安全策略与管理流程问题:
从事工控系统的人员一般都缺少安全培训,缺乏安全意识;企业也没有明确、规范的相关的安全流程、安全策略,缺少业务连续性与灾难恢复计划机制等。
3、工控系统平台问题:
(1)硬件缺陷:缺少关键系统的物理防护措施,例如:安全环境控制机制,授权设置,安全变更测试机制等。
(2)软件缺陷:OPC组态软件的通信依赖于的工控协议十分不安全,缺少入侵检测与防护措施,缺乏有效的认证、鉴别与访问控制机制。
(3)配置缺陷:系统与应用补丁缺少维护和测试,系统多采用默认配置;关键配置信息未备份,数据存储没有使用安全的移动介质;系统缺少必要的口令策略,如:口令缺失、口令泄露、口令易猜解,使用不规范、不充分的访问控制规则等。
(4)恶意代码:缺少恶意代码安全防护程序,或恶意代码防护程序不能及时升级更新,甚至存在兼容性的问题等。
4、工控系统网络问题:
(1) 结构缺陷:工控系统网络未进行虚拟局域网划分,架构设计也不合理,不能有效防止广播风暴等问题。
(2) 硬件缺陷:网络设备物理端口缺少安全防护,环境控制缺失,没有设置访问权限,缺少关键设施的备份、容错和冗余,缺乏安全防护或防护工作的不够充分。
(3)配置缺陷:网络安全设备配置不当,关键信息没有备份,设备口令策略设置不合理。
(4)边界缺陷:网络边界缺失或配置的防护设备不合理。
(5) 通信缺陷:采用明文传输的协议,缺少对数据、设备、用户、实体等的规范的认证机制,通信完整性检查缺失。
(6)监控与日志缺陷:工控系统网络日志记录不完整,没有安全监控审计机制。
(7) 无线连接缺陷:对无线AP与客户端间的数据保护机制缺失或者认证不充分。
欢迎关注小星(ID:DBXSJ01)
网友评论