走出迷茫 工控信息安全七大困惑剖析

       近年来，由于能源需求持续增长、管理模式不断变化以及对信息通讯技术（ICT）的广泛应用，工业控制系统正在经受一场快速而深刻的变革。原本相对简单、相对独立的工控系统正在向自动化、信息化和网络化发展。虽然工业控制系统的网络安全问题已经引起很多国家和权威机构的高度重视，但是对相关企业和从业者来说，仍是一个很新的领域。

       而对于未知领域的探索，总是充满着危险的，而在信息时代最大的危险就是核心数据的安全与否，在信息化程度颇高的工控领域更是如此。那在工控发展或者具体来说是工控信息安全维护的发展过程中到底有哪些值得去注意的，又有哪些会让在发展道路上前进的工控管理人员困惑的呢？下面就让信息安全领域的专家山丽网安结合多年的工控信息安全防护经验来为您剖析一番吧。

       七大困惑造就工控信息安全迷局

       在工控的信息安全防护领域，主要有七大困惑或者说误区。

       1、与外隔离最安全？

       在很多信息化企业中，尤其是有自身管理系统的信息化企业，有一个普遍的观点就是只要我做到信息的内外隔离就能保证安全。

       但实际上，在工控信息安全领域，基础设施领域不仅包括生产和控制系统，还包括市场分析、财务计划等信息管理系统。生产系统与管理系统的互联已经成为ICS的基本架构，与外界完全隔离几乎不可能。另外，维护用的移动设备或移动电脑也会打破系统与外界的隔离，打开网络安全风险之门。

       事实证明，不管多严格的隔离措施也会有隐患发生。2003年Davis-Besse核电站被Slammer蠕虫病毒侵入；2006 年13家Daimler-Chrysler汽车企业因感染Zotob蠕虫病毒被迫停工；2008年有超过千万台的设备，包括所谓隔离了的设备，受到Conficker蠕虫病毒的攻击。即使在太空也不能做到完全隔离：2008年美国宇航局证实其国际太空站笔记本电脑遭到病毒入侵。2010年震惊世界的伊朗震网病毒。

       2、没有人会袭击我们？

       上个世纪，虽然有些零星事件发生，公众对工业控制系统（ICS）网络安全问题并没有足够认识。直到2000年澳大利亚Maroochy Shire排水系统受攻击事件报道之后，人们才意识到ICS系统一旦受袭击有可能造成严重后果。该次事件中，由于数据采集和监控系统（SCADA）受到攻击，导致800,000升污水直接排放到环境中。

       另外，ICS系统并不是坚不可摧。2006年以来，美国计算机应急响应小组对外公布的ICS系统安全漏洞越来越多。2009底其数据库显示的24条SCADA相关漏洞都是已经预警的，而且，主流黑客工具如Metasploit Framework中已经集成有其中一些漏洞的攻击方法。

越来越多的迹象表明，ICS系统已经受到黑客、政治对手、不满的员工或犯罪组织等各类攻击者的目标关注。

       3、单纯防病毒就可以了吗？

       实际上，除了Window平台易受攻击，Unix/Linux都有过病毒或跨平台病毒攻击的经历。Proof-of-concept病毒则是专门针对SCADA和AMI系统的。所以对ICS系统，防病毒软件不可或缺，并且需要定时更新。

       那么，有了防病毒软件是否就高枕无忧了？虽然有效管理的防病毒措施可以抵御大部分已知的恶意软件，但对更隐蔽或鲜为人知的病毒的防御还远远不够。而且，防病毒软件本身也有弱点存在。从最近一次安全会议得知，在对目前使用最多的7个防病毒软件进行防病毒能力挑战时，有6个可以在2分钟内被攻破。

       另外，虽然防火墙也是应用最广泛的安全策略之一，但其发挥效用的前提是必须正确设置了防火墙的安全规则。即使智能型防火墙，也需要自定义安全规则。研究表明，由于设置规则比较复杂，目前80%的防火墙都没有正确配置，都没有真正起到安全防护的作用。

       4、信息安全事件不会影响系统运行？

       事实证明，ICS系统遭受攻击后不仅可能影响运行，还可能导致严重后果。前面提到的澳大利亚Maroochy Shire排水系统受攻击事件就是一例；

       2003年Davis-Besse核电站因Slammer蠕虫病毒入侵导致系统计算机停机6小时以上；

       2007年美国爱达荷国家实验室一台为13.8KV网格测试台供电的柴油发电机因网络攻击而被毁；

       2008年Hatch核电厂一工程师在数据采集服务器上测试软件更新时，在其不知情的情况下，测试值被供应商软件同步设置到生产系统上，结果导致反应堆自动停机事故。

       ……

       另外，攻击者也会想法设法接近ICS设备，如将携有恶意软件的U盘以礼相送；或是向收集到的目标企业工作人员邮寄地址发送电子邮件，一旦邮件内链接被打开，恶意软件就会下载到工作站。攻击者声称，通过这些恶意软件，他们可以全面控制工作站和SCADA系统。

       5、安全防护相信系统供应商就可以了？

       人们能够理解ICS系统核心组件（如数据库、应用软件、服务器等）安全性的重要，但常常会忽视ICS系统外围组件（如传感器、传动器、智能电子设备、可编程逻辑控制器、智能仪表、远程终端设备等）的安全防护。其实这些外围设备很多都内置有与局域网相联的网络接口，采用的也是TCP/IP协议。这些设备运行时可能还有一些调试命令，如telnet和FTP等，未及时屏蔽。这种情况在网络服务器上也很常见。网络服务器一般隐含有一项特殊功能，即允许用户通过定位某个网址重新启动远程终端设备（RTU）。

       用户通常以为供应商会对他们产品的缺陷和安全性了如指掌，实际上供应商对他们产品的认识仅限于产品所能提供的功能方面，而且对出现的安全问题也做不到快速响应。

       6、安全防护可以一次性解决？

       以前，ICS系统功能简单，外部环境稳定，现场维护设备也非智能型，所以，针对某一问题的解决方案可以维持很长一段时间不变。然而，现在的ICS系统功能复杂，外部环境经常变化，现场维护设备也需要定期更新和维护。不仅ICS系统和现场维护设备需要安全防护，其管理和维护工作也需要安全防护，而且是动态管理的安全防护，即一旦有新的威胁或漏洞产生，就要及时采取安全措施。

       近些年，虽然ICS项目建设开始关注系统安全，但是由于工期较长，通常在最后阶段才开始考虑安全防护问题，但此时不仅实施不易，而且成本颇高。因为需求变更越晚或漏洞发现越迟，更改或弥补的费用越高。

       7、单向通信100%安全？

       某些情况下，极重要的ICS系统允许以单向通讯方式与其他安全区域联接。但是，这种联接方式是很不严密的，其安全程度高低取决于单向通信的实现方式。方式一为限制发起方方式，即通信只能由某一方发起，然后双方可以互相通信；方式二为限制负载流方式，即在方式一基础上，对方只能发送控制信号，不能发送数据或应用信息；方式三最严格，仅允许一方发送信息，不允许另一方发送任何信息。方式一采用基本防火墙就能实现，方式二需要进行信息包检测，方式三需要采用特殊设备实现。通常认为，将前两种方式结合起来将是最安全的防护措施。但是，即使它们可以提供很强的安全保护，网络攻击还是有可能发生。因为控制和信号信息允许进入受保护区域，经过设备编译后，恶意代码就有可能得到运行。所以，单向通信并不能提供100%的安全保护。

       抛开系统防护概念 信息化产品数据本源防护才是关键

       虽然不同企业的信息化系统有不同的防护重点，完整的信息安全解决方案也各有不同，但只要企业需要防护的对象还是那些核心数据和信息本身，那么对于信息和数据有本源防护效果的加密产品总是最好的选择。

       数据加密直接作用于数据本身，使得数据在各种情况下都可以得到加密的防护。再者由于加密防护特殊性，使得数据即使泄露了，加密防护依然存在，只要算法不被破译，数据和信息仍然可以称作是安全的。由于这两点保证，使得加密软件成为了现代企业防护信息安全的最主要和最可靠的手段。同时由于未来信息安全防护的多样需求，在加密软件或者说加密技术中，采用走在时代前沿的多模加密技术或是最好的选择。

       多模加密技术采用对称算法和非对称算法相结合的技术，在确保加密质量的同时，其多模的特性能让用户自主地选择加密模式从而更灵活地应对各种防护需求和安全环境。同时作为这项技术使用的典型代表山丽防水墙的多模加密模块还采用了基于系统内核的透明加密技术，从而进一步确保了加密防护的便利性和完整性（加密与格式无关）。

       山丽结语：

       其实工控企业也好，普通的信息化公司也罢，在信息时代，对于数据安全防护的诉求是相同的，差别或许只在信息安全方案的复杂程度而已吧。但不管是何种复杂的环境和防护需求，只要我们针对数据本源有灵活且有效的防护之法，那么安全防护的底线总是能被保障的。