ICS的網(wǎng)絡(luò)安全問題繼續(xù)解決，以跟上潮流

ICS(工業(yè)控制系統(tǒng)，Industrial Control Systems)網(wǎng)絡(luò)最近的新聞鬧得很大。因?yàn)槌霈F(xiàn)了一連串的弱點(diǎn)、熱門入侵外泄事件以及其他各種安全上的問題。

ICS網(wǎng)絡(luò)的定義是由各個在機(jī)電組件上控制和提供自動測量資料的元件所組合成的網(wǎng)絡(luò)或網(wǎng)絡(luò)集合。這些機(jī)電組件包括閥門、調(diào)節(jié)器、開關(guān)和其他機(jī)電設(shè)備，你可以在各種產(chǎn)業(yè)里看到它們，像是石化與天然氣、自來水處理、環(huán)境控制、發(fā)電和配電、制造業(yè)、運(yùn)輸業(yè)以及許多其他產(chǎn)業(yè)。

這里并不需要深入探討各個特定產(chǎn)業(yè)，這些ICS應(yīng)用環(huán)境都有一個共同特色，就是它們并不是“傳統(tǒng)”的IT網(wǎng)絡(luò)環(huán)境，也不該被同等對待。而大多數(shù)ICS網(wǎng)絡(luò)也因?yàn)樗鼈兊莫?dú)特性質(zhì)而面對相同的安全問題。這些問題因?yàn)镮CS元件和實(shí)體工業(yè)組件互動而變得更加復(fù)雜。

如果不能妥善地控制或限制這些元件的存取可能會導(dǎo)致災(zāi)難性的事故。許多這些元件所管理的工業(yè)系統(tǒng)被認(rèn)為是“關(guān)鍵基礎(chǔ)設(shè)施(CI，Critical Infrastructure)”，被要求使用比傳統(tǒng)IT環(huán)境更特制化的安全架構(gòu)。

監(jiān)視控制和資料擷取(Supervisory Control and Data AcquisiTIon，SCADA)網(wǎng)絡(luò)可以被定義為網(wǎng)絡(luò)層，提供ICS網(wǎng)絡(luò)和控制監(jiān)視ICS網(wǎng)絡(luò)元件的主機(jī)系統(tǒng)界面。

SCADA / ICS網(wǎng)絡(luò)和其他網(wǎng)絡(luò)不同處只在于網(wǎng)絡(luò)元件、管理平臺和靈敏度。它們所會面對的一切都和其他網(wǎng)絡(luò)上會遇到的威脅完全一樣，但可能會出現(xiàn)更災(zāi)難性的后果。

SCADA / ICS安全最大的問題是，ICS社交(大部分人)多年來都生活在“泡泡”里 – 他們使用專有協(xié)定，特制和專有平臺。專用低速通訊基礎(chǔ)設(shè)施(有些甚至是用撥號網(wǎng)絡(luò))，并完全和其他網(wǎng)絡(luò)分隔開。

現(xiàn)在，SCADA / ICS社交正努力解決使用一般商業(yè)化硬件和軟件(如微軟操作系統(tǒng))以及連接其他外部網(wǎng)絡(luò)(企業(yè)網(wǎng)絡(luò)，最終可能是網(wǎng)際網(wǎng)絡(luò))所帶來的安全問題，還有混亂而失控的弱點(diǎn)披露制度(ICS的弱點(diǎn)也是攻擊的目標(biāo))，跟許多其他一般IT安全產(chǎn)業(yè)已經(jīng)面對多年的問題。

是的，有些ICS網(wǎng)絡(luò)營運(yùn)商已經(jīng)落后于時代潮流了。是的，有些已經(jīng)要被這些狀況給擊倒了。但整體來說，SCADA / ICS社交正加緊地提昇他們的安全狀態(tài)。

每個 ICS網(wǎng)絡(luò)整合時都必須考慮的元件，包括了跟?SCADA和現(xiàn)行組織網(wǎng)絡(luò)整合時的最佳實(shí)踐作法，以及每個建議架構(gòu)元件的說明。它的目標(biāo)并不是成為完整的ICS / SCADA安全指南，而只是以宏觀角度來提出在布署ICS時，能增加安全狀態(tài)的一些基本架構(gòu)元件。