工控网络和普通网络在安全防护上不同之处

发表时间: 2021-03-24 12:48:17

作者: 英赛克科技(北京)有限公司

浏览:

       工控网络的价值远远超出普通的网络。如果电力、石油石化、钢铁、煤炭、烟草、轨道交通、先进制造、燃气等各行业所使用的自动化控制网络一旦遭到破坏,后果将不堪设想。举个简单的例子国家信息安全漏洞共享平台 CNVD-2014-01914这个漏洞直接造成了工控设备拒绝服务进入defect模式,那么可能直接影响了某一个电站的发点导致停止供电等等。所以对这些网络保护尤为重要。

       工控系统在部署时具有设备单元多,地域分布广的特点。其实和普通网络相似的是,工控设备同样具有各种各样的漏洞,并且这些漏洞不易修复。试想一种场景,某电力公司因为其中的5台工控设备存在漏洞,需要停止供电数小时进行升级,这样的损失对于工业企业来说损失非常大。


『标准的SCADA网络』应该是这样的


       整个SCADA网络中各处部署这不同类型的服务器,或者业务系统等等,所以就要使用各种手段,简单一点就是使用防火墙把生产系统,业务系统,以及工控系统分离开,
但是有的企业为了节省成本或者不重视安全问题,会把SCADA网络部署成这样子,并且可以称之为『典型SCADA网络』:
       慵懒的网络管理员会把防火墙的策略改为ANY<------>ANY,好一点的还会配置一些策略。


直接把PLC接到互联网上是极其危险的,从工业设备本身来讲也暴露出相当多的问题:
  1. 如在工业协议中,使用非加密的设计,从硬件角度来说也不支持加密手段,在传输过程中使用很多层封装的数据,多数基于TCP/IP进行封装,并没有专有的协议来传输。使用的应用协议也非常古老,像modbus协议从20世纪70年代至今只有很少的变化。
  2. 在工控设备中也经常会开启其他的服务,如:FTP、HTTP、SSH等等,一旦开启这些服务将会面临弱口令、使用服务自身的漏洞都会导致整个设备被攻击。
  3. HMI人机接口:也叫上位机通常都是使用的windows workstation。应用服务器:通常使用的也是win家族的server版本。工程师开发软件:如西门子的WinCC,就是在windows平台上开发的,众所周知当年的Stuxnet震网病毒就是通过控制WinCC来破坏整个伊朗核电站的网络的。
  4. 可编程逻辑控制器(Programmable Logic Controller,PLC)一般使用的是嵌入式操作系统,如VxWorks、Linux(通常是BusyBox)、或者其他的Old crusty RTOS。这些PLC需要在网络中才能够接收到上位机对它下达的控制逻辑,并且PLC设备的内存可以被任意修改其输入和输出单元。

       工控安全与传统安全行业最大的不同,在于工控安全需要主动、不间断的探测联网设备可能存在的漏洞。这么做的原因是因为联网工控设备不同于传统设备,不一定一直活跃于网络中,而是偶尔与网络进行连接。因此要求的安全层级更高。随着云计算、大数据、物联网、区块链等新兴技术的发展,网络安全攻击手段越来越多样化,网络安全事件层出不穷,尤其是针对城市重点网站、云平台、数据中心、联网工控等关键信息基础设施的攻击事件越来越频繁,其中以联网工控遭受攻击造成的经济损失最为严峻。

       2017年,CNVD收录的安全漏洞中,关于联网智能设备的安全漏洞有2440个,同比增长118.4%。这些安全漏洞涉及的类型主要包括设备权限绕过、远程代码执行、弱口令等;涉及的设备类型主要包括家用路由器、网络摄像头、会议系统等;涉及的厂商主要是Google、Cisco、HUAWEI、D-Link等。

据CNCERT/CC监测,2017年全年发现超过245万起(较2016年增长178.4%)境外针对我国联网工业控制系统和设备的恶意嗅探事件,我国境内4772个联网工业控制系统或设备型号、参数等数据信息遭泄露,涉及西门子、摩莎、施耐德等多达25家国内外知名厂商的产品和应用。



工业控制信息系统面临的网络安全威胁主要有:

  • Ø 开发对外接口,带来安全隐患;
  • Ø 系统极少升级,易受病毒攻击感染;
  • Ø 系统缺乏监测手段,无法感知未知设备;
  • Ø 工控设备存在诸多漏洞,RTU/PLC安全隐患突出;
  • Ø 执行服务器操作,缺乏系统审计;
  • Ø 执行关键操作,缺乏日志记录;
  • Ø 网络流量异常,导致设备工作异常。

       常用的工控漏洞互联网深度扫描技术,是对目标区域的工控接入互联网设备进行深度扫描,基于大数据分析算法,识别目标主机开放端口、运行服务、安全漏洞等信息。深度分析联网工控设备的 OS 版本信息、开放端口协议栈指纹信息,对各个开放端口运行的服务进行旗语匹配,持续跟踪各服务的运行状态,可以分析出连网工控设备的地理位置、设备类型、设备参数、设备所属厂商、设备使用的协议等。结合数据挖掘技术进一步识别设备的开发端口、运行服务服务及漏洞信息等。能识别的工控设备厂商有三维力控,施耐德,通用,三菱,西门子等40余种主流工控厂商,能够识别的工控协议有支持opcua,s7,dnp3,modbus等20余种主流工业控制系统通信协议,能够识别的工控设备类型有识别不少于10种的工控产品类别(如PLC、SCADA、DCS、RTU、HMI、远程IO、摄像头),从而实现攻击威胁和风险隐患识别预警,有效提升监察监管机构对工业控制系统信息安全的技术监管能力。


联系方式

地址:北京市昌平区龙域中街1号院龙域中心A座705室

电话:010-81776666

销售邮箱:Sales@insec-tech.com.cn

售后邮箱:Support@insec-tech.com.cn

友情链接

关注我们

图片展示

英赛克微信公众号

copyright © 英赛克科技(北京)有限公司 版权所有 京ICP备15041839号

在线咨询

您好,请点击在线客服进行在线沟通!

联系方式
热线电话
010-81776666
扫一扫二维码
二维码