關於工控系統安全的幾點新共識

更多全球網路安全資訊盡在E安全官網www.easyaq.com

題記：ICS（工業控制系統）安全問題越來越引起相關單位的重視，是因為這些年發生的ICS安全大事件進入了大眾視野。ICS 是含著安全的鑰匙誕生的，它與互聯網天生隔絕，讓外部網路的任何攻擊在最後一步戛然而止，但方法總比困難多，ICS 很難得手，不代表絕對不得手，一旦得手，就是大災難，這是傳統 ICS 的一個特點，外絕內松，以為自己百毒莫侵，高枕無憂，所以對內網安全十分忽視。這些年最為著名的 ICS 安全事件非震網莫屬，美國國家隊花費巨資打造精巧的 Stuxnet（震網），對伊朗首座核電廠圍追堵截，以U盤的方式將其帶入工廠並感染 ICS，加速離心機轉速而致其損壞，使得濃縮鈾遲遲生產不出來，最終讓伊朗核計劃推遲2年。有人猜測是某個工程師被釣魚攻擊感染了電腦，然後把U盤帶入工廠；也有人猜測是工程師被收買，因為震網病毒的破壞目標不只是離心機，還會針對其他零部件，所以要升級更新，需要有人拿新版本震網U盤久不久插一次 ICS。

信息技術(IT)和運營技術(OT)/工控系統安全之間的差異，加之工控系統不斷出現的安全問題和工業物聯網(IIoT)的激增，進而推動了一輪新的共識。

NIST，ANSSI，ARC，Garter 集團等都認識到，對於工廠而言，要想維持安全可靠的運營，需要把防止系統誤操作提到首要位置，而同時，IT 網路的頭等大事則仍然是數據保護。

IT 網路安全一直被定義為一整套保護數據機密性、完整性以及可用性的措施。而工控系統網路安全則逐漸被定義為一套能確保物理工控流程以及流控電腦安全可靠運行的措施。

• NIST 800-82r2 建議：確保工控系統的網路安全對於安全可靠地運行現代工業流程非常重要。

• ARC 顧問團指出：工業流程安全可靠的運行是至關重要的。這也是工業網路安全有別於其他 IT 網路安全項目的原因。

Gartner 則發現，從安全規劃和運行角度來看，運營技術環節在設計時的首要因素就是安全和可靠性。與信息技術相比，後者更側重數據的機密性、完整性和可用性。這種優先性上的差異導致了信息技術（IT）和運營技術（OT）安全計劃的不同。在側重可靠性和安全性的網路時，信息技術風險評估方法就不適用，信息技術安全計劃通常也不太適合。

例如，Garter 2017年發表的《運營技術和工業物聯網的七大網路安全神話》一文中指出，用 IT 風險評估方法來評估 OT 風險是錯誤的，而企業也不能一開始就期望一個保護信息的安全架構和設計能解決物理系統的特定需求。

在設計工控安全計劃時，入侵防禦被重視的程度遠高於突發安全事故的檢測，響應和恢復。而一個預防性的以 OT 為中心的安全方案應包括以下要素：

• 周邊安全——重要的工廠通常都具備強大的物理和網路周邊保護。這些地方都不允許公眾涉足其敏感物理設備。他們也不允許有人從外網測試其系統查找零日漏洞。

• 基於功能的設計——保護措施做得好的工業網站會精心設計自己的安全計劃，以抵禦各種攻擊，而不是試圖感知特定攻擊者的動機。

而 Gartner 在報告中指出，側重工控系統防禦性的原因是——「許多運營技術安全的失敗會對物理環境產生直接影響，會潛在導致傷亡，環境破壞或服務的大規模中斷。雖然 IT 安全出行問題的後果嚴重並對業務產生威脅，但是 IT 安全的失敗很少危及人生安全或財產損失。」檢測，響應和恢復在工控系統網路中仍然很重要，但是首要的還是預防——畢竟，人身安全，環境災難和被破壞的物理設備都是不能從備份中恢復的。

在工控系統網路防火牆連接方面，有記載的各種專家，標準和指導都推薦在工業環境的防火牆中使用單向網關和相關技術。用於工業網路安全的 ANSSI 標準允許在 IT 網路上使用防火牆，但是強烈推薦在 IT/OT 介面使用單向網關，且在連接最敏感工業網路的介面是完全禁用防火牆。

單向網關可極大推進工業物聯網的部署。單向網關與防火牆不同，它可以直接將工業網路連接到IT，互聯網和雲系統，但是不用擔心黑客攻擊滲透到受保護的工業網路中。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！