工业控制安全笔记
以下内容参考了:https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-82r2.pdf
1. 工业控制系统概览
工业控制系统是一个通用术语,它包含了多种不同类型的控制系统,比如:SCADA, DCS, PLC等。
1.1 SCADA
SCADA的全称是supervisory control and data acquisition,即数据采集与监视控制系统。它主要用来控制分散在各地的资产,同时集中式的数据采集也和控制一样重要。它通常用于分布式的系统,比如水资源分配和节水收集系统、油气管道、电力传输和分配系统等。
1.2 DCS
DCS的全称是distributed control system,即分布式控制系统。它通常用来控制位于同一地理位置的生产系统,比如石油精炼厂、发电厂和化工厂等。
1.3 PLC
PLC的全称是programmable logic controller,即可编程控制器。它通常用在SCADA和DCS系统中,作为整个层次系统中的控制组件提供本地的过程管理。
2. 工业控制系统安全概览
2.1 ICS漏洞分类
- 策略与流程的漏洞
- 系统漏洞
- 系统架构与设计的漏洞
- 配置与维护的漏洞
- 硬件设施的漏洞
- 软件开发的漏洞
- 通信与网络配置的漏洞
2.2 工控系统的主要安全目标
- 限制对工控网络的逻辑访问和网络活动
- 限制对工控网络和设备的物理访问
- 防止工控组件入侵
- 防止对数据的未授权修改
- 检测安全事件和事故
- 在不利条件下维护系统功能,保证系统可用性
- 系统障害恢复
2.3 工控系统和IT系统的安全对比
工控系统控制着物理世界,而IT系统管理着大量数据。工控系统与传统的IT系统相比有许多不同的特性,包括不同的风险和优先级。某些事关健康和安全的工控系统,一旦出现问题,对于整个国家的经济都会带来负面影响。同时,工控系统对于性能和可靠性有着不同的需求,也会使用一些与传统IT系统不同的操作系统和应用程序。
当考虑一个工控系统的安全时,以下的一些地方需要做特殊考虑:
- 时效性和性能的需求
- 可用性需求
- 风险管理需求
- 物理影响
- 操作系统
- 资源约束
- 通信协议
- 变更管理
- 可管理的支持服务
- 组件的生命周期
- 组件的位置
3. 工业控制系统安全架构
在为ICS的部署设计一个网络架构时,通常建议将ICS网络和公司网络分离开。但从现实来考虑,常常需要二者能够互联起来,这样就有可能带来安全风险,应当通过边界安全设备来保护网络的安全。在设计工控系统架构时,通常需要考虑一下几点:
- 网络分段和隔离
- 边界保护
- 防火墙
- 逻辑上隔离的控制网络
- 网络隔离
- 单向网关
- 单点故障
- 冗余与容错
- 防止中间人攻击
- 认证与授权
- 监控、日志与审计
- 事件侦测、响应与系统恢复
4. 工控安全产品化方向
工控系统的安全风险既可能来自于策略与流程,也可能来自工控系统本身。前者需要从管理上着手,为企业量身定制出符合安全规范的策略和操作流程,这一方面的产品化思路是提供安全咨询、评估和流程改进服务。对于来自于工控系统的安全威胁,产品化的方向则比较多,粗略思考如下:
- 脆弱资产加固。安装于主机上安全软件,提供认证、授权、审计、管控和文件系统保护等功能。
- 防火墙。网络边界保护,访问控制等。
- 入侵检测系统。流量检测,病毒、恶意攻击行为的识别。
- 扫描工具。系统漏洞扫描等。
- 安全审计平台。审计网络行为,提供策略管理等功能。
- 账户管理与运维审计系统。提供认证、授权等功能。
- 安全分析平台。全网安全事件集中分析,应急响应管理,资产风险分析等。
5. 国内主要工控安全公司产品分析
4.1 天地和兴
北京天地和兴科技有限公司成立于2007年,是一家专门从事工业控制系统信息安全防护、检测分析、安全评估与咨询服务的国家级高新技术企业。主要产品有:
- 防护类产品
- 主机安全防护系统
- 工控防火墙
- 安全隔离与信息交换系统
- 检测类产品
- 工控威胁检测系统
- 入侵检测系统
- 工控安全审计平台
- 工控安全检查工具箱
- 管理类产品
- 帐号管理及运维审计系统
- 工控信息安全监管与分析平台