ICS的網(wǎng)絡(luò)安全問(wèn)題繼續(xù)解決,以跟上潮流
ICS(工業(yè)控制系統(tǒng),Industrial Control Systems)網(wǎng)絡(luò)最近的新聞鬧得很大。因?yàn)槌霈F(xiàn)了一連串的弱點(diǎn)、熱門(mén)入侵外泄事件以及其他各種安全上的問(wèn)題。
ICS網(wǎng)絡(luò)的定義是由各個(gè)在機(jī)電組件上控制和提供自動(dòng)測(cè)量資料的元件所組合成的網(wǎng)絡(luò)或網(wǎng)絡(luò)集合。這些機(jī)電組件包括閥門(mén)、調(diào)節(jié)器、開(kāi)關(guān)和其他機(jī)電設(shè)備,你可以在各種產(chǎn)業(yè)里看到它們,像是石化與天然氣、自來(lái)水處理、環(huán)境控制、發(fā)電和配電、制造業(yè)、運(yùn)輸業(yè)以及許多其他產(chǎn)業(yè)。
這里并不需要深入探討各個(gè)特定產(chǎn)業(yè),這些ICS應(yīng)用環(huán)境都有一個(gè)共同特色,就是它們并不是“傳統(tǒng)”的IT網(wǎng)絡(luò)環(huán)境,也不該被同等對(duì)待。而大多數(shù)ICS網(wǎng)絡(luò)也因?yàn)樗鼈兊莫?dú)特性質(zhì)而面對(duì)相同的安全問(wèn)題。這些問(wèn)題因?yàn)镮CS元件和實(shí)體工業(yè)組件互動(dòng)而變得更加復(fù)雜。
如果不能妥善地控制或限制這些元件的存取可能會(huì)導(dǎo)致災(zāi)難性的事故。許多這些元件所管理的工業(yè)系統(tǒng)被認(rèn)為是“關(guān)鍵基礎(chǔ)設(shè)施(CI,Critical Infrastructure)”,被要求使用比傳統(tǒng)IT環(huán)境更特制化的安全架構(gòu)。
監(jiān)視控制和資料擷取(Supervisory Control and Data AcquisiTIon,SCADA)網(wǎng)絡(luò)可以被定義為網(wǎng)絡(luò)層,提供ICS網(wǎng)絡(luò)和控制監(jiān)視ICS網(wǎng)絡(luò)元件的主機(jī)系統(tǒng)界面。
SCADA / ICS網(wǎng)絡(luò)和其他網(wǎng)絡(luò)不同處只在于網(wǎng)絡(luò)元件、管理平臺(tái)和靈敏度。它們所會(huì)面對(duì)的一切都和其他網(wǎng)絡(luò)上會(huì)遇到的威脅完全一樣,但可能會(huì)出現(xiàn)更災(zāi)難性的后果。
SCADA / ICS安全最大的問(wèn)題是,ICS社交(大部分人)多年來(lái)都生活在“泡泡”里 – 他們使用專有協(xié)定,特制和專有平臺(tái)。專用低速通訊基礎(chǔ)設(shè)施(有些甚至是用撥號(hào)網(wǎng)絡(luò)),并完全和其他網(wǎng)絡(luò)分隔開(kāi)。
現(xiàn)在,SCADA / ICS社交正努力解決使用一般商業(yè)化硬件和軟件(如微軟操作系統(tǒng))以及連接其他外部網(wǎng)絡(luò)(企業(yè)網(wǎng)絡(luò),最終可能是網(wǎng)際網(wǎng)絡(luò))所帶來(lái)的安全問(wèn)題,還有混亂而失控的弱點(diǎn)披露制度(ICS的弱點(diǎn)也是攻擊的目標(biāo)),跟許多其他一般IT安全產(chǎn)業(yè)已經(jīng)面對(duì)多年的問(wèn)題。
是的,有些ICS網(wǎng)絡(luò)營(yíng)運(yùn)商已經(jīng)落后于時(shí)代潮流了。是的,有些已經(jīng)要被這些狀況給擊倒了。但整體來(lái)說(shuō),SCADA / ICS社交正加緊地提昇他們的安全狀態(tài)。
每個(gè) ICS網(wǎng)絡(luò)整合時(shí)都必須考慮的元件,包括了跟?SCADA和現(xiàn)行組織網(wǎng)絡(luò)整合時(shí)的最佳實(shí)踐作法,以及每個(gè)建議架構(gòu)元件的說(shuō)明。它的目標(biāo)并不是成為完整的ICS / SCADA安全指南,而只是以宏觀角度來(lái)提出在布署ICS時(shí),能增加安全狀態(tài)的一些基本架構(gòu)元件。