随着互联网、5G、大数据、云计算等技术的发展,数字世界与物理世界在互联网+时代下深度融合,安全被重新定义。工控系统作为关键基础信息设施的中枢神经系统,越来越多的工控系统被接入工业互联网,面临新的安全威胁和挑战。新形势下,如何建立工业控制系统安全防护体系,已经成为工业互联网企业数字化转型道路上的必修课。
为配合江苏省智改数转发展政策,助力徐州工业企业构建起牢靠的工控安全保障体系,六方云受徐州网络公共安防技术协会邀请,由江苏大区技术经理詹亚星以《新形势下工业控制系统安全防护体系交流》为主题进行技术培训。
六方云技术专家分享到,随着工业数字化进程的不断深入,面临着前所未有的安全风险,国内外勒索事件频发,为此我国发布《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等系列法规,网络安全标准化工作是国家网络安全保障体系建设的重要内容,也是支撑网络安全法、《条例》等法律法规落地实施的重要抓手。网络安全法对关键信息基础设施的建设、运行或者服务以及关键信息基础设施运营者采购网络产品和服务等活动的标准化提出了明确要求。
六方云技术专家认为,关于工控系统安全与传统信息安全区别主要有以下方面:
1、工业主机“带毒运行”,工业主机是信息世界通往物理世界的大门,是网络攻击的首选“落脚点”,工业网络操作员站,系统老、漏洞多、生命周期长、补丁难度大,成为攻击者首选目标。
病毒杀不完,带病运行。硬件配置太低装不上杀毒软件,无法升级杀毒软件病毒库老旧,担心误杀工业软件,干脆不装。
补丁打不上,漏洞百出。担心影响生产不想打,主机不联网无法升级,系统老旧无补丁可打。
资产查不清,暗藏隐患。工业主机家底不清楚,资产配置分布不可视,整体安全隐患不了解
2、传统安全设备无法解决工控安全问题,面临四大挑战。
不支持工控协议,特有的工业协议(OPC、S7、DNP3、modbus等),工控系统特有的安全漏洞,与IT系统应对机制不一样
不适应物理环境,工业现场环境相对比较恶劣(如高低温、粉尘、潮湿、酸碱等),要求专门的硬件设计,做到全密闭、无风扇、支持-40°C-70°C宽温。
不满足高可靠性,平均无故障时间>10年,使用寿命15-20年,从IT“故障关闭”到OT“故障畅通”,处理的原则不同
不匹配运维要求,不允许频繁升级,策略稳妥实施,不允许现网调试、试错,访问控制对延时要求更为敏感。
3、工控系统安全与传统信息安全产品设计思路不同
从产品设计方面,工控安全产品优先考虑生产系统的可用性,例如:为了保障可用性设计的无风扇设备、端口Bypass功能;IT安全产品在设计时优先考虑的是数据的机密性,如:数据不丢失、不泄露。工控安全设备为适应工业现场环境,在设备选材、架构设计上做了充分准备,而传统IT设备无法适应工业现场环境。
从具体功能特性方面,工控安全产品从CPU选型、软件上要保证小流量、低延时的要求,而传统IT产品为例应对大流量,会牺牲一部分时延;传统IT安全产品无法识别工业协议,不能做针对性的防护,存在误杀、漏杀等影响生产系统正常运行的情况。
关于产品升级,工控安全产品以白名单防护为主,减少升级维护工作;传统IT安全产品以黑名单防护为主,需要频繁升级维护;工控环境相对封闭,生命周期长、升级维护难度大、周期长(一般需要8个月左右)、且容易导致兼容性问题,影响生产系统的正常运行。
六方云安全专家为大家系统讲解了如何构建工业企业的工业控制系统安全防护体系,从梳理业务流程、分析关键保护点、梳理主客体及权限,到对系统进行风险评估、分层分域设计、安全机制及策略设计维度进行基于OT/IT融合技术的纵深防护体系。
接下来,六方云将持续加强与各地的紧密联系,推动工业企业建立完善的工业控制系统安全防护体系,在网络安全风险的预防和应对方面发挥更大作用,保障客户业务顺畅运行,为工业互联网安全发展保驾护航。
