@CI
2年前 提问
1个回答
传统网络安全防护机制不适合工业网的原因有哪些
房乐
2年前
传统网络安全防护机制不适合工业网的原因有以下这些:
传统杀毒软件不适用于工业主机安全防护:工业主机是工业网络的高危攻击点,在生产优先、专机专用、够用即可等原则下,工业主机普遍存在硬件低配、系统老旧、不打补丁、软件定制等工业领域特有的问题,通用杀毒软件很难适配,实践中发生过多起工业软件被误杀的案例,因而许多工业主机宁愿“带病运行”,也不安装杀毒软件。
传统防火墙不适用于工业网络边界防护:传统的防火墙、网闸等网关设备,在工业环境中面临两大挑战:硬件设计不适应工业现场DIN导轨安装方式(一种工业标准,元件设备可方便地卡在导轨上而无须用螺丝固定;方便维护)和高温、高湿、粉尘以及酸碱环境;不能识别工控协议,只能设置粗粒度的安全策略,甚至采取流量全部放过的策略,安全策略形同虚设。
传统审计系统不适用于工业网络监测预警:由于传统的网络审计设备不能识别工控资产,不了解工控系统漏洞,对于针对工控系统的攻击行为、异常操作都无法识别,无法提供有价值的工业安全审计与异常报警。
IT安全措施在OT领域几乎无效:较多工业企业在OT设置中使用IT安全措施,但没有考虑其对OT的影响。例如,国内某汽车企业的IT安全团队按照IT安全要求主动扫描OT网络,结果导致汽车生产线PLC出现故障,引起停产。
工业控制系统广暴露,安全漏洞难修补:工业控制系统在互联网上的暴露问题是工业互联网安全的一个基本问题。所谓“暴露”,是指我们可以通过互联网直接对某些与工业控制系统相关的工业组件,如工业控制设备、协议、软件、系统等,进行远程访问或查询。