工业控制平台脆弱性体现在哪些方面
工业控制平台脆弱性体现在以下方面:
管理网络与控制网络之间存在弱分离:ICS用于现场控制时几乎不与管理网络交互,随着信息化和智能化发展以及工业互联的需要,控制网络与管理网络的通道被建立,但是由于缺少有效的防护手段,入侵者也可以很容易地进入控制网络。
活动组件之间缺乏认证:由于传统的现场总线网络总是处于封闭的环境中,所以没有必要对网络上连接的不同元素集成身份验证机制。例如,操作员站、工程师站、服务器、执行控制器、工控数据交换服务器。缺乏身份验证意味着体系架构的漏洞,该漏洞很容易被利用,以进行任何形式的损害。
系统缺陷:系统缺陷、错误配置或对设备平台(包括硬件、操作系统和工业控制系统应用程序)的错误操作引起。这些脆弱性可以通过多种信息安全措施得以减少,如操作系统和应用程序的修补、物理层访问控制以及信息安全软件(如白名单软件)的使用。
工控操作系统在没有发现明显安全问题之前,仍正常使用:因为工业控制系统软件的复杂性和可能给其运行的操作系统环境带来的修改,它的任何变化都必须经过全面的回归测试,但是由于此类回归测试和后续大规模分布式软件升级过程所耽误的时间,将产生一个很长的、引发脆弱性的窗口期。
没有对操作系统的信息安全进行及时的升级打补丁操作:长期未升级打补丁的操作系统可能隐藏新的、未被发现且极易造成破坏的脆弱性,因此需对工业控制系统信息安全升级打补丁操作及维护过程制定规范。
加强工业网络方法有以下这些:
工业主机白名单控制:工业主机由于长期不间断运行,不能及时打补丁,并且受到联网条件的限制,无法实时更新病毒库,因此传统杀毒机制不适用于工业主机。比较有效的方式是采用白名单控制技术,对工业软件相关的进程文件进行扫描识别,为每个可信文件生成唯一的特征码,特征码的集合构成特征库,即白名单。只有白名单内的软件才可以运行,其他进程都被阻止,以防止病毒、木马、违规软件的攻击。
工控协议识别与控制:为了保障数据传输的可靠性与实时性,工业生产网已发展了多套成熟的通信协议,主流的有几十种,大致分为工业总线协议和工业以太网协议两大类,如Modbus、S7、OPC、Profinet、IEC104等。工控协议的识别能力是安全设备工作的基础,也是评价产品能力的重要指标。
工控漏洞利用识别与防护:工控系统漏洞是工控网络安全问题的主要来源。由于工控设备很少升级或者不升级,因此普遍存在可被攻击的漏洞,而由于技术的专业性和封闭性,这些漏洞很容易被作为0day利用。因此工控安全产品对工控漏洞利用行为的识别能力,以及相应的防护能力,是工控安全防护能力建设的核心。
工控网络流量采集与分析:获取网络流量是发现网络攻击的前提,流量采集与分析广泛应用于网络安全方案,是一项比较成熟的技术。对于工控网络,除了基本的流量识别与统计分析外,还需要理解生产过程的操作功能码,根据业务逻辑判断是否发生异常。此外,根据设备间通信的规律建立流量基线模型,对多源数据进行关联分析,能够有效地识别异常行为和网络攻击。
工业网络安全态势感知:态势感知是安全防御的重要手段,对于工控网络,通过安全态势感知平台,可以直观地了解网络中的资产分布、漏洞分布、网络攻击事件,对网络的整体风险水平进行量化评估。态势感知平台需要多种核心能力支持,包括完善的数据获取能力、大数据分析与建模能力、网络攻击溯源分析能力、安全事件闭环处理能力等,是工控网络安全防护的核心产品。