工业控制系统安全将成2013年关注重点

   日期:2012-12-26     评论:0    
核心提示:目前,国内工业以太网交换机市场中,电力和轨道交通是工业交换机的重点应用领域,占到市场的70%。中国工业以太网交换机市场活跃着大约50家厂商。中国工业以太网交换机市场的外资厂商在15家左右,台资厂商3-4家,本土厂商30家左右。

目前,国内工业以太网交换机市场中,电力和轨道交通是工业交换机的重点应用领域,占到市场的70%。中国工业以太网交换机市场活跃着大约50家厂商。中国工业以太网交换机市场的外资厂商在15家左右,台资厂商3-4家,本土厂商30家左右。本土厂商中以地方品牌居多。在工业以太网交换机的销售中有近70%的工业以太网交换机是通过分销的方式进入到市场的。通常外资企业采用分销的方式销售产品,内资企业采用直销的方式。

国内工业以太网的制约因素很大程度上还是因为没有一个统一的通用标准,产品参差不齐,价格差异大,用户选择困难。同时,工业以太网技术与现场总线技术长期并存。现场总线技术还将长期存在,这限制了工业以太网交换机向更广阔的应用领域发展。

工业以太网交换机在工业级设计一般在设计上满足:工业宽温设计,4级电磁兼容设计,冗余交直流电源输入,另外PCB板一般做“三防”处理。工业现场的环境比普通环境都要恶劣,至少在震动,湿气,温度上都要比普通环境恶劣,普通交换机在设计上没有抵御在工业环境中出现的各种情况的能力,普通交换机不能长时间工作在这种恶劣环境下,经常容易出现故障,更使维护成本上升,一般不建议在工业环境中使用商业交换机,为了能使交换机在这种恶劣环境中使用,故生产出能适应这种环境的交换机,工业级别的交换机的可靠性有电源故障,端口中断,可由继电器输出报警,冗余双直流电源输入,主动式电路保护,过压、欠压自动断路保护。

中国未来工业以太网交换机将伴随着工业自动化进程的不断推进和工业以太网技术应用的不断推广,迎来更大的发展。从技术角度,实时通讯、稳定性、安全性等是工业以太网交换机产品的着眼点。随着无线网络、蓝牙等网络技术的发展,工业以太网交换机将继续前行。从产品角度,多功能化是工业以太网交换机发展的方向。网管型工业以太网交换机比非网管型功能更强大。[pagebreak]
 

1月份,黑客使用"@ntisec" (antisec)实现了对尼亚加拉ICS系统中漏洞信息的在线共享,随后,泄漏发生了。运作Antisec属于黑客攻击法律和政府机构的一系列攻击,这些攻击由黑客、LulzSec、Anonymous和其他黑客集团发起。

安全咨询公司IOActive的安全专家Ruben Santamarta认为,针对ICS的攻击是否可能,这已经不是一个问题,因为它确实发生了。一旦攻击者动机足够强烈,我们将遇到更大的问题。2013年,攻击者会对它更有兴趣,这毫不荒谬。

反病毒厂商Kaspersky实验室首席恶意软件专家Vitaly Kamluk认为,未来,绝对会有更多针对SCADA系统的恶意软件。他表示,Stuxnet对ICS/SCADA带来的攻击为白帽和黑帽研究者带来了全新的领域,这一主题将会是2013年的首要话题。

工控系统安全状况亟待改善

然而,一些安全专家认为,这类恶意软件依然超出了普通攻击者的能力范围。

“创建能够成功攻击ICS系统的恶意软件并非小事,这需要许多战略和计划,” 漏洞和情报管理公司SecuNIa首席安全官Thomas Kristensen表示,显然,能够发出这种攻击的人和组织数量也是有限的。

Peterson表示,大部分部署SCADA和DCS(分布控制系统)的应用程序和硬件并没有考虑安全发展生命周期(Security Development Lifecycle,SDL)。想想上个世纪90年代后期的微软吧,它充满了普通的程序错误,这些错误会导致bug、漏洞的出现。这意味着,可编程序控制器(programmable logic controllers,PLC)和其他领域的设备在设计时就是不安全的。

Digital Bond公司发布了几个漏洞,这些漏洞是在许多PLC(SCADA硬件组件)中都被发现。这是一个名为Project Basecamp研究项目的一部分,其目的是为了显示,许多现存的PLC有多么脆弱和不安全。

Santamarta认为,今天,研究人员发现SCADA软件中的漏洞变得更容易了。

SCADA漏洞信息甚至有一个市场。由安全专家Luigi Auriemma和Donato Ferrante创建的马耳他安全公司ReVuln将软件漏洞信息出售给政府机构和其他私人购买者。ReVuln出售的组合中,40%以上的漏洞是SCADA漏洞。

Donato Ferrante认为,有趋势表明,在SCADA安全领域中的攻击和投入都在增长。实际上,如果SCADA市场中几个大的公司投入很多钱来强化这些基础设施,这就意味着,SCADA/ICS主题正在并继续成为来年的热点。

然而,保护SCADA系统不像常规IT基础设施和计算机系统那样直接。即便针对SCADA的安全补丁已经被安全厂商发布,漏洞系统的拥有者也需要很长时间来部署它们。

Luigi Auriemma表示,针对SCADA系统的自动补丁极少。大多数时候,SCADA管理员需要手动申请适当的补丁。

Kamluk认为,这种情况很糟糕。SCADA系统的主要目标是持续运转,这意味着安装补丁或更新不能重启系统或程序。

另外,由于任何意外行为都可能对系统运行都可能产生重大影响,因此,在部署到真实环境前,SCADA安全补丁需要经过完整的测试。

多数SCADA安全专家希望,像PLC这样的工控设备应该考虑到安全,来重新设计。

Peterson认为,有着基础安全措施和计划的PLC需要在未来1-3年内在多数关键基础设施中部署安全。

[pagebreak]

Santamarta认为,理想状态是,工业设备在设计时就是安全的,但是我们得面对现实,这需要时间。我们不该以IT的视角太过严苛地看待它们。也就是说,每个人都应该认识到该做些事情了,包括工业厂商。Santamarta表示,由于在设计环节未充分考虑到安全,ICS拥有者们应该采取深度防御措施来保护这些系统。Kamluk表示,应将ICS从英特网脱离,将其放到隔离的网络中,严格限制/审计入口。

Kristensen说,关键基础设施的拥有者应该意识到,进入关键基础设施需要单独的网络或至少单独的认证信息。 这应该对ICS也是适用的门话题,安全专家们认为这是一个好的开始,然而,迄今为止,很少有进展。

Peterson表示,“我只是希望,政府能诚实地公开说这些系统的设计是不安全的,在未来1-3年内,运行关键SCADA和DCS的组织应该计划更新或替换掉这些系统。”Kamluk表示,政府法规很有帮助。一些SCADA供应商牺牲安全来保证低成本,而不考虑这种做法的风险以及对人类生活的潜在影响。

2012年早些时候,Kaspersky实验室公布一项OS发展计划,为SCADA 和其他ICS系统提供安全设计环境。Santamarta说,虽然这听上去像是个有意思的项目,但这还得看SCADA团体和工业部门对其作何反应。 Ferrante表示,关于新的OS,并没有足够的细节评估其特点。我们需要等待官方发布。不管怎样,采用新OS的主要问题是它需要能运行现有SCADA 系统,而不是非要重写代码不可。

 
本文导航:
  • (1) 工业控制系统安全将成2013年关注重点1
  
  
  
  
 
更多>同类资讯
0相关评论
 
全年征稿 / 资讯合作
 
 
 
推荐资讯
可能喜欢