调查数据显示,2017年,有54%的企业至少遭遇一起网络攻击事件、74%的认为所在的工业控制系统极可能遭遇网络攻击、55%的企业承认,合作伙伴或服务提供商拥有访问企业工业控制网络的权限。调查还显示,制造企业平均每年花费的无效网络安全费用高达约338万元。针对当前制造企业面临的安全现状,卡巴实验室关键基础设施保护负责人安德烈苏沃洛夫表示,IT和OT系统日益互连增加了新的安全挑战,企业需要充分了解威胁格局、考虑周全的保护措施以及提高员工的意识,做足准备应对ICS环境中的网络威胁,善于利用满足ICS需求的定制安全解决方案,缓解安全事件才会更加容易。
e-works认为,针对当前制造企业工业控制系统面临的安全挑战,企业首先需要走出技术误区,然后针对性的选择安全解决方案,从不同的层面杜绝可能存在的安全隐患,为工业控制系统的安全构建坚实的防护体系。
第一,构建网络边界防护,实现逻辑隔离。当前,很多人认为只要实现办公网和生产网络的物理隔离就可以杜绝工控控制系统安全风险。但是随着智能工厂的推进,实现办公网络和工厂网络的物理隔离已经变得不太可能。一方面,智能工厂的基础设施不仅包括生产控制系统,还必须包括上层的管理系统,这是工业控制系统的基本架构。其次,随着无线技术和移动终端融入到工业生产,传统的物理隔离也不可避免的被打破。
面对这种情况,企业需要做的是构建网络边界防护,实现办公网络与生产网络的逻辑隔离。主要采取的方式是在企业办公网和工业控制网络之间的关键节点构建工业防火墙,通过工业防火墙内置的工业通讯协议白名单技术进行有选择的协议隔离,然后配合数据包深度检查技术,为网络数据交换进行深层次的检测。
第二,构建工业级和通用级结合的综合安全防护体系。随着IT与OT的融合,工业控制系统中开始广泛的使用商用标准件和通用IT技术,通信网络开始采用以太网和TCP/IP协议。监控站和嵌入式设备、HMI人机交互系统也开始以Windows和Linux为主。这使得黑客只需利用传统的攻击手段就可以对企业的工业控制系统进行攻击。
针对核心的工业控制系统仍然是采用工业级的安全防护体系,构建工业防火墙和工业级协议的数据审计和异常监测,及时检测工业网络中出现的工业攻击、蠕虫病毒及非法入侵、设备异常等情况,并对危及系统网络安全的因素做出智能预警分析,为工业网络信息安全故障的及时排查、分析提供可靠地依据。针对通用型系统逐步采用以密码硬件为核心的可信计算技术,用于实现计算环境和网络环境安全可信,免疫未知恶意代码破坏,应对高级别的恶意攻击。
第三,基于可信计算构建移动存储介质的管控体系。移动存储介质是工业控制系统安全的重要防护部分。由“震网”病毒引发的伊朗核设施离心停机事件就是通过移动介质做摆渡而实现对系统的攻击。利用可信计算机技术构建移动存储介质管控系统,其主要功能包括:主机对移动存储机制的身份认证、准入控制、下载更新等。首先,由可信服务器为主机及移动存储设备颁发准入证书,然后可信服务器将统一产生并发布主机对移动存储介质的准入策略,形成主机能插入的介质列表,最后主机准入控制将基于两个方面的策略实施,一方面移动存储介质的身份位于主机准入策略列表中,另一方面,主机身份必须位于移动存储介质准入策略列表中。此外,移动设备接入和使用行为也将被严格审计和记录。