快捷搜索:  网络  后门  扫描  渗透  CVE  木马  黑客  as

浅析为什么以及互联网隔离的工控体系一定要做收集安全建设

*

笔者在以及工业领域各行业客户做咨询交流的时辰,他们通常会问到一个问题就是:“我们的工控体系已经以及互联网隔离了,本身就是一个孤岛,任何数据以及信息都进不来,为什么还要进行收集安全建设呢?”那么,笔者对客户的这个疑问通过下列几点做出诠释,告知各位与互联网隔离的工控体系并不安全

1、WIFI无线连接打通工业体系以及互联网通道

现在我们的手机都可以上彀,基本每一小我私人的手机收集都是24小时开着,没电的时辰会通过电脑U口或者电源对手机进行充电,而在工业现场存在这么一种情形,就是调度人员或者运维人员会将手机插到现场工控机U口上进行充电,同时边充电还边通过手机上彀,这就直接导致原先是隔离状态的工控体系通过手机以及互联网打通了,互联网的一些病毒也会通过手机传入工业现场的工控主机,进而在全部工控收集中进行传播。以下图所示:

病毒潜入流程图

病毒潜入流程图

美国塔尔萨大学专程进行过针对风电场的渗透排泄测试,渗透排泄测试的第一步就是通过物理安全上的漏洞,将小型WIFI设备接入控制体系中完成攻击风电场的目的。相干的攻击细节笔者不在这里阐述,读者可搜索安全牛发布的文章《黑客入侵风力发电厂全过程》去了解攻击的全部过程。

目前针对该问题有下列解决方案:

对U口通过物理方式或者软件进行管控,禁止外设接入U口;

 部署无线防护设备对无线旗子灯号进行防护;

 对主机采用白名单的方式进行防护。

二、通过遥程珍爱打通工业体系以及互联网通道

一般工业现场出现问题,现场人员又处理不了的情形下,客户一般会采取采取两种措施:

(1)、请工程师来现场处理;

(2)、要是工程师来不了现场,那么就只能通过遥程让工程师处理。

第1种情形我们不在这里讨论,重点是第2种情形,遥程处理现场问题在工业现场经常存在。在与互联网隔离的工业体系中一般通过什么方式遥程运维呢?一般会通过下列方式解决:

通过WIFI热门连接有问题的电脑,在开启遥程控制软件进行遥程操作处理;

 通过能上彀的交换机连接有问题的电脑,开启遥程控制软件进行遥程操作处理。

现场通过私接交换机来完成上彀

现场通过私接交换机来完成上彀

以上方式对于工业控制体系都是很惊险的,起首要出现问题的电脑上彀就已经打通了工业控制体系以及互联网的连接;其次单纯通过遥程控制软件对现场电脑进行操作,没办法对遥程珍爱人员进行身份认证,没法记录操作动作,无线黑客,一旦出现变乱没法追责。

所以我们在现场遇到问题的时辰,优先考虑请工程师来现场处理问题,要是一旦工程师没法及时赶到现场,那么我们只能通过遥程运维的方式解决,这时辰候我们需要在工控体系中部署一台工控运维体系就可以解决遥程运维时的收集安全问题,部署示意图以下:

工控运维体系部署示意图

工控运维体系部署示意图

该体系首要可以完成下列功能:

支持对工业协定(如OPC、Modbus等)的解析,从而可完成工控指令的审计;

部署天真,即插即用,方便针对性的进行设备遥程运维;

能够安全隔离运维设备与被运维设备,防止运维设备异常举动与恶意代码不会扩散到工业控制体系,保障工业控制体系的安全;

对工控组态监控软件进行监控记录,支持包括国内外支流工控体系厂商;

运维人员的身份采集以及身份认证,全程记录运维数据。

3、企业信息化的发铺,ERP体系需要从生产网取数据

随着工业化以及信息化的发铺,各大工业企业、能源企业都在进行相应的信息化建设,各个行业也陆陆续续实现了工业体系的升级以及改造,逐步形成了:数字化矿山、智慧电力、智慧油田、智能建造等进步先辈的生产手艺。而这些进步先辈生产手艺的实现,进而带来的就是收集安全问题,企业信息化架构以下图所示:

体系架构图

体系架构图

信息化的建设将生产网以及治理网之间的链路打通,如许治理网就可以从生产网中读取数据,进行阐发以便高层决策,治理网将决策好的信息通过收集传递给生产网便于执行,提高了总体生产效劳。然则要是治理网感抱病毒以及恶意代码,那么在数据传递过程中颇有可能就被带入生产层。

例如:2017年某大型能源企业因服务器是双网卡设置,分别连接生产网以及治理网,并没有任何防护举措措施,效果导致感染勒索病毒,并波及到生产网,对全部企业造成了一定的经济丧失。以下图:

现场感染勒索病毒的服务器

现场感染勒索病毒的服务器

解决该问题的办法就是在治理网以及生产网之间部署工业防火墙来完成生产以及治理的隔离。部署以下图所示:

工业防火墙部署示意图

工业防火墙部署示意图

4、生产网内部使用U盘进行数据拷贝传输

我们知道U盘是传播病毒的重要介质,而工业现场使用U盘的频率也无比高,经常通过U盘来进行数据拷贝,虽然有些现场通过封条封堵方式将U口进行封堵,然则形同虚设,工作人员在需要U口的时辰,会撕下封条,在用完后重新封上封条。

现场主机大批U盘插拔记录

现场主机大批U盘插拔记录

解决的最佳要领就是通过主机防护软件对电脑接口进行管控,同时在数据传递的时辰使用专用的安全U盘进行数据拷贝以及传递。

5、生产内部治理不善,导致重要数据信息泄露或丢失

目前工控领域信息安全治理制度不完美,缺少重要的信息安全岗位、缺少人员的信息安全意识培训,粘贴暗码以及弱暗码征象普遍,以下图所示:

现场发现粘贴体系暗码

现场发现粘贴体系暗码

缺少定期的漏洞扫描,不把握自身材系的危害,没法描摹体系的安全状态。

以上安全治理方面的缺失都会导致员工安全意识不足,现场重要数据丢失或者被盗走,重要的控制程序落入竞争对手或者黑客手中加以行使等。

解决上述问题,不光通过订定安全治理制度就能够完成的,还需要定期进行危害评估,员工安全意识宣贯,通过国内外爆发的安全事故总结经验教训,不断更新迭代安全制度以及应急预案。团体来说,安全治理的形成是一个长期培育的过程。

6、结论

综上所述,与互联网隔离的工控体系一样需要加强收集安全建设,而收集安全建设并非只是部署几台安全设备,配置一些安全策略所能解决的。需要参照国家颁布的标准以及执法律例,通过安全手艺以及安全治理两种手段,加强人员安全意识培训等多种方式,系统化的周全规划才能更好的保证工业体系的收集安全,维护好我国的症结基础举措措施。

*

您可能还会对下面的文章感兴趣: