与网络异同点
从网络、主机、物理访问三个方面探讨工业控制系统
需要考虑的特殊情况。表 6.3 基于网络的工业控制系统特殊考虑点
特殊考虑点 描述
内部地址空间用法 在工业控制系统环境中请勿使用仅通过互联网
就可路由到的 IP 地址。 隔离网络 物理隔离并不意味着不受攻击。工程师站经常会连接到工业控制网络和其他网络如业务网
,但这种配置往往会削弱安全防 双宿网络护措施,例如网络隔离可能会受到双宿网络的影响。
数据网络与控制网络的通信路
应该严格限制对工业控制系统的访问,工业控制系统资产和设备也应禁止访问互联网。 径
在网络中部署工业防火墙、IDS 等设备,但过于严格的安全措施有可能对生产环境带来不 网络安全设备
利影响。
联网的工业控制设备 基于 IP 协议的工业控制设备在设计上安全性不强,无法经受传统 IT环境下的测试。
应用程序包含了许多潜在可利用的漏洞,或者可能削弱其他安全策略的设计特性,如某些 联网的工业控制应用程序
程序会请求防火墙开放大范围端口以保证程序数据通过防火墙。
表 6.4 基于主机的工业控制系统特殊考虑点
特殊考虑点 描述
大多数工业控制系统无法像 IT系统经常定期更新补丁,此外补丁程序也需要经过厂商的许 补丁策略
可,以免给工业控制系统及其设备带来负面影响。
主机重启的周期需要按照计划安排进行,由于补丁更新后经常会要求重启,而大多数工业 重启计划
控制系统资产不能像传统 IT资产一样可以频繁重启或者临时重启。
工业控制系统的主机及设备中包含对于安全过程、生产监管报告而言非常关键的数据,确 备份策略
保采用适当的方式对这些数据进行定期备份。
工业控制系统应用程序对于其所在主机中安装的操作系统与补丁包非常敏感,并且安装过 主机部署方式
程必须严格按照厂商建议进行。
系统正常运行时间和可用性对于工业控制系统环境来说非常重要。确保拥有有效的故障转 故障转移程序
移机制和程序是防止被入侵的主要系统遭受拒绝服务式攻击的重要防护手段。
在难以定期更新和升级的工业控制系统中,熟悉所使用的操作系统对于制定风险缓解策略 使用的操作系统 来说非常重要。例如了解环境中使用的操作系统版本中存在的漏洞,尤其是那些已经停止
维护的操作系统,如 Windows XP。
表 6.5 基于物理访问的工业控制系统特殊考虑点
特殊考虑点 描述
对工业控制系统环境运行非常关键的 IT/ 非 IT基础设施应当设置权限。 对操作间的出入口上锁。
对部署设备的机柜上锁。
物理设备部署
设置工业控制系统设备的物理访问权限。
设置工业控制系统 IT计算机的物理访问权限。
使用双因子认证感应卡。
从攻击发生三要素出发
一次成功的攻击三要素包含威胁、利用工具、脆弱性(漏洞)。类比于灭火,只要去掉燃烧中的任 一要素即可灭火,那么只要去掉攻击中的任何一个要素就可以降低遭受攻击的风险。
完全清除现实中的漏洞利用工具是不可能的,但是了解实施哪些措施以及如何部署这些措施最有效, 能够帮助用户抵御风险或者将风险降为最低还是有意义的,了解工具的原理及其利用的依赖点就可以有 针对性的部署抵御措施。
完全清除威胁也是不可能的,除了内部威胁还有大量的外部威胁。面对这样的威胁,简单的清除思 路是行不通的。然而了解这些威胁的运作方式,研究威胁机构的活动目标等信息,则可以帮助用户了解 攻击者会在什么时候采用什么方式发起攻击,从而实现针对风险的最优化防御部署。
阻止对漏洞的利用是在攻击三要素场景中唯一可真正控制的因素了。清除漏洞主要有以下方法。
表 6.6 清除漏洞的方法
方法 具体细节
限制权限配置,利用最小权限和最小路由理念实施。 应用程序或进程白名单或黑名单技术。 工业控制系统网络协议监测。
限制对系统或漏洞的访问 部署连接中央控制区与现场区域的工业控制系统堡垒主机。
在 IT系统与工业控制系统之间部署单向网关。 电子邮件和文件的访问限制。 物理环境的访问限制、接口访问限制。
软件程序修复。
系统补丁更新。
清除漏洞
防病毒软件部署。
不安全配置项修复。
扫一扫
1192
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
