工控网首页
>

新闻中心

>

业界动态

>

为什么传统信息安全产品不能解决工控安全问题

为什么传统信息安全产品不能解决工控安全问题

2015/1/14 15:55:41

从2010年针对伊朗核工厂的Stuxnet病毒,到2014年席卷欧洲的Havex病毒,针对工业控制系统的网络攻击越演越烈,工业控制系统迫切需要得到安全防护。那么,把传统信息安全产品如防火墙、反病毒软件、IDS/IPS,部署到工业控制系统中是不是就能解决其信息安全问题呢?答案是——不能!

实践证明传统信息安全产品不能解决工业控制系统的安全问题

我们在现场调研时发现,一些工业控制系统的网络中,已经有部署传统的防火墙产品,在工作站上也有安装杀毒软件产品。但是,传统的防火墙在保护O P C服务器时,由于不支持OPC协议的动态端口开放,不得不允许O P C客户端和O P C服务器之间大范围内的任意端口号的T C P连接,因此防火墙提供的安全保障被降至最低,从而很容易受到恶意软件和其他安全威胁的攻击。而反病毒软件,通常因得不到及时更新,导致失去了对主流病毒、恶意代码的防护能力。现场调研的另一个发现,是工业控制系统的系统漏洞,不能像IT系统一样,得到及时的漏洞修复,大量漏洞长期存在。

综上所述,传统信息安全产品(如防火墙、反病毒软件)及传统信息安全的管理方法(如漏洞及时修复)并不适用于工业控制系统,不能解决其信息安全问题。

为什么传统信息安全产品/方法不适用于工业控制系统

传统信息安全产品/方法不适用于工业控制系统,是由于工业控制系统相对于IT信息系统的有其独特差异性,而传统信息安全产品是针对IT信息系统的需求开发的。工业控制系统相对于IT信息系统的差异,在信息安全需求方面主要有以下体现:

    1)  工业控制系统以“可用性”为第一安全需求,而IT信息系统以“机密性”为第一安全需求。在信息安全的三个属性(机密性、完整性、可用性)中,IT信息系统的优先顺序是机密性、完整性、可用性,而工业控制系统则是可用性、完整性、机密性。这一差异,导致工业控制系统中的信息安全产品,必须从软硬件设计上达到更高的可靠性,例如硬件要求无风扇设计(风扇平均无故障时间不到3年)。另外,导致传统信息安全产品的“故障关闭”原则如防火墙故障则断开内外网的网络连接,不适用于工业控制系统,工业控制系统的需求是防火墙故障时保证网络畅通。

    2)  工业控制系统不能接受频繁的升级更新操作,而IT信息系统通常能够接受频繁的升级更新操作。这对依赖一个黑名单库来提供防护能力的信息安全产品(例如:反病毒软件,IDS/IPS)是一个严峻的挑战。

    3)  工业控制系统对报文时延很敏感,而IT信息系统通常强调高吞吐量。在网络报文处理的性能指标(吞吐量、并发连接数、连接速率、时延)中,IT信息系统强调吞吐量、并发连接数、连接速率,对时延要求不太高(通常几百微秒);而工业控制系统对时延要求高,某些应用场景要求时延在几十微秒内,对吞吐量、并发连接数、连接速率往往要求不高。这一差异,导致工业控制系统中的信息安全产品,必须从CPU选型、软硬件架构上做到低时延,这对当前一些基于x86 CPU及开源软件架构的信息安全产品是一个严峻挑战。

    4)  工业控制系统基于工业控制协议(例如,OPC、Modbus、DNP3、S7),而IT信息系统基于IT通信协议(例如,HTTP、FTP、SMTP、TELNET)。虽然,现在主流工业控制系统已经广泛采用工业以太技术,基于IP/TCP/UDP通信,但是应用层协议是不同的,这就要求信息安全产品必须支持工业控制协议(例如,OPC、Modbus、DNP3、S7),否则就会出现上面提到的为了支持OPC Classic服务而放开大量TCP端口的问题。

    5)  工业控制系统的工业现场环境恶劣(如,野外零下几十度的低温、潮湿、高原、盐雾),而IT信息系统通常在恒温、恒湿的机房中。这就要求工业控制系统中的信息安全硬件产品,必须按照工业现场环境的要求专门设计硬件,做到全密闭、无风扇,支持﹣40℃~70℃等。

所以,要想解决工业控制系统的信息安全问题,传统信息安全产品和解决方案并不是一剂对症良药,工业控制系统需要有一套为自己量身打造的信息安全产品,才能有效抵御工业系统面临的各种安全威胁,为客户带来工控安全防护的真正价值。

【关于我们】北京威努特技术有限公司是一家专注于工业控制系统网络安全(工控安全)产品与解决方案研究开发的创新型高科技公司,具有完全的自主知识产权。公司致力于为客户提供整体工控安全解决方案与服务,帮助客户识别工控系统安全风险,掌控工控安全现状与趋势,提供工控安全防护与事件响应能力。

公司建立了一支由华为、绿盟、奇虎360等资深安全研究专家及高级产品研发工程师、优秀企业管理人才组成的国际化队伍。可为用户提供工控系统安全咨询、培训、漏洞挖掘、风险评估、安全防护、攻防演示与测试系统等软硬件产品及服务。产品全面适用于电力、石油、石化、水利、化工、制造、军工、冶金、城市轨道交通等工控行业及相关研究机构。

公司总部位于北京,并在上海、杭州、天津、广州等地设有分支机构及研发中心。

更多信息,请访问http://www.winicssec.com/

投诉建议

提交

查看更多评论
其他资讯

查看更多

未来十年, 化工企业应如何提高资源效率及减少运营中的碳足迹?

2023年制造业“开门红”,抢滩大湾区市场锁定DMP工博会

2023钢铁展洽会4月全新起航 将在日照触发更多商机

物联之星五大榜单揭榜!中国物联网Top100企业名单都有谁-IOTE 物联网展

新讯与肇庆移动圆满举办“党建和创”共建活动暨战略合作签约仪式