如何保护工控系统安全?
- 2014/4/6 21:45:00 4937
- 来源:OFweek工控网
摘要: 导读:随着信息安全被提升到国家安全的层面,工业控制系统作为关系国之命脉的重要体系,其安全防御也日益成为信息安全领域关注的热点。
导读:随着信息安全被提升到国家安全的层面,工业控制系统作为关系国之命脉的重要体系,其安全防御也日益成为信息安全领域关注的热点。
然而,与传统的信息安全相比,工控系统安全又有其独特之处。我国工控系统安全当前面临的形势如何,我们又该如何对工控系统安全进行有效防御?近日,本网记者就此采访了北京网御星云信息技术有限公司助理总裁孟庆森。
自2010年伊朗布什尔核电站遭到“震网病毒”攻击以来,针对工业控制系统的信息安全日益被各个国家所重视。“目前在我国,虽然尚未发生重大的工控系统安全事件,但工控系统安全一旦出现问题,其后果会十分严重。”孟庆森说道,“从总体来说,国内对于工控系统的安全意识仍旧薄弱,对工控系统安全的资源、专业安全人员等方面的投入还相对少。”
与传统的IT系统有所区别的是,工控系统采用的一般都是专用系统,其操作系统、通信协议也与一般的系统有很大差别。相较于开放的互联网环境,工控系统则比较独立。
孟庆森表示:“近年来,随着两化融合的发展趋势,管理系统与工控系统的互联互通,在提升效率的同时,也把传统IT风险延伸到了工业控制系统。此外,随着越来越多通用系统、通用硬件被逐渐应用于工控系统设施中,传统的系统漏洞也对工控系统安全构成了威胁。但就目前而言,工控系统安全所面临的大威胁还在于APT攻击。”
APT攻击攻击者往往是有组织、有计划,采用多攻击模式结合,通过全面的情报搜集,持久的搜索目标的漏洞,直到攻陷系统为止。这类攻击往往有明确的目标、巨大的资金支持。由于其很强的计划性、组织性与隐蔽性,且攻击持续时间很长,很难被发现和进行防御。加之工控安全系统在信息安全防御方面的设计先天不足,APT攻击便成为威胁工控系统安全的头号杀手。
那么,工控系统安全该如何保障?目前,我国在工控系统安全方面已发布了相关指导文件,如工业和信息化部发布的《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)、国务院发布的《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)等,均对重点领域工业控制系统信息安全的管理提出了意见,要求建立国家信息安全保障体系,并且明确提出要“保障工业控制系统安全”。
孟庆森认为,国家已从政策层面表达了对工控系统安全的高度重视,但在对工控系统安全防御的实施过程中,仍旧存在一定的困难:“目前国内工控系统所采用的产品种类、品牌繁多,且多以海外厂商产品为主,国内信息安全厂商很难与众多厂商及产品进行一一合作;其次,因为工控系统的特殊性,其一直处于运转生产的状态中,安全厂商无法对其进行试验测试,这也使得安全厂商与用户层面的合作难以实施。”
此外,不同行业、厂商之间的工控协议之间也存在较大区别,各类通信协议甚至多达五六十种,这也为安全厂商在对工控系统安全保护产品的研发造成了困扰。对于这一点,孟庆森建议:对工控系统安全产品及解决方案的研发,好从面向行业的角度入手。
那么,面对如上问题,究竟该如何落实对工控系统安全的防御和保护?孟庆森表示:工控系统安全的保障还需要有大安全的视角,从多个维度进行纵深防御,如:从整个系统体系考虑、安全管理人员的培训、以及安全制度层面的保障等。
在采访中,孟庆森也给出了具体的相关建议:对工控系统进行分层、分域、分等级划分,通过使用网闸设备、VPN接入设备等手段对工控系统进行隔离访问与接入控制;对工控系统及设备进行脆弱性评估,及时更新系统,或更新防护设备的虚拟补丁;通过面向工控系统的监控平台,与其他安全设备一起对工控系统设施进行保护;此外,还要定期进行安全培训、系统评估,及时发现安全威胁隐患等。
然而,与传统的信息安全相比,工控系统安全又有其独特之处。我国工控系统安全当前面临的形势如何,我们又该如何对工控系统安全进行有效防御?近日,本网记者就此采访了北京网御星云信息技术有限公司助理总裁孟庆森。
自2010年伊朗布什尔核电站遭到“震网病毒”攻击以来,针对工业控制系统的信息安全日益被各个国家所重视。“目前在我国,虽然尚未发生重大的工控系统安全事件,但工控系统安全一旦出现问题,其后果会十分严重。”孟庆森说道,“从总体来说,国内对于工控系统的安全意识仍旧薄弱,对工控系统安全的资源、专业安全人员等方面的投入还相对少。”
与传统的IT系统有所区别的是,工控系统采用的一般都是专用系统,其操作系统、通信协议也与一般的系统有很大差别。相较于开放的互联网环境,工控系统则比较独立。
孟庆森表示:“近年来,随着两化融合的发展趋势,管理系统与工控系统的互联互通,在提升效率的同时,也把传统IT风险延伸到了工业控制系统。此外,随着越来越多通用系统、通用硬件被逐渐应用于工控系统设施中,传统的系统漏洞也对工控系统安全构成了威胁。但就目前而言,工控系统安全所面临的大威胁还在于APT攻击。”
APT攻击攻击者往往是有组织、有计划,采用多攻击模式结合,通过全面的情报搜集,持久的搜索目标的漏洞,直到攻陷系统为止。这类攻击往往有明确的目标、巨大的资金支持。由于其很强的计划性、组织性与隐蔽性,且攻击持续时间很长,很难被发现和进行防御。加之工控安全系统在信息安全防御方面的设计先天不足,APT攻击便成为威胁工控系统安全的头号杀手。
那么,工控系统安全该如何保障?目前,我国在工控系统安全方面已发布了相关指导文件,如工业和信息化部发布的《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)、国务院发布的《关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)等,均对重点领域工业控制系统信息安全的管理提出了意见,要求建立国家信息安全保障体系,并且明确提出要“保障工业控制系统安全”。
孟庆森认为,国家已从政策层面表达了对工控系统安全的高度重视,但在对工控系统安全防御的实施过程中,仍旧存在一定的困难:“目前国内工控系统所采用的产品种类、品牌繁多,且多以海外厂商产品为主,国内信息安全厂商很难与众多厂商及产品进行一一合作;其次,因为工控系统的特殊性,其一直处于运转生产的状态中,安全厂商无法对其进行试验测试,这也使得安全厂商与用户层面的合作难以实施。”
此外,不同行业、厂商之间的工控协议之间也存在较大区别,各类通信协议甚至多达五六十种,这也为安全厂商在对工控系统安全保护产品的研发造成了困扰。对于这一点,孟庆森建议:对工控系统安全产品及解决方案的研发,好从面向行业的角度入手。
那么,面对如上问题,究竟该如何落实对工控系统安全的防御和保护?孟庆森表示:工控系统安全的保障还需要有大安全的视角,从多个维度进行纵深防御,如:从整个系统体系考虑、安全管理人员的培训、以及安全制度层面的保障等。
在采访中,孟庆森也给出了具体的相关建议:对工控系统进行分层、分域、分等级划分,通过使用网闸设备、VPN接入设备等手段对工控系统进行隔离访问与接入控制;对工控系统及设备进行脆弱性评估,及时更新系统,或更新防护设备的虚拟补丁;通过面向工控系统的监控平台,与其他安全设备一起对工控系统设施进行保护;此外,还要定期进行安全培训、系统评估,及时发现安全威胁隐患等。
全部评论