【牛人访谈】深水排雷:工控网络安全的五个关键问题
2020-06-12 16:27:39 Author: www.aqniu.com(查看原文) 阅读量:400 收藏

【牛人访谈】深水排雷:工控网络安全的五个关键问题

星期五, 六月 12, 2020

工控网络安全,一直是网络安全行业想积极探索的“深水区”,但这个“深水区”的深度和广度都超出了想象。作为一个工控网络安全管理人员,战战兢兢,如履薄冰,始终怀着敬畏之心在向前摸索,不敢妄言了解,只是将这几年的一些想法和总结拿出来讨论一下,如有不恰,敬请指正。

王云鹏,CCIE8年, CISSP在读,具有12年甲方网络及网络安全管理经验,目前就职于北京油气调控中心,任网络安全主管,从事工控网络安全管理及工控网络架构设计工作,不断探索、寻找工控网络的安全之道。

这得从工控系统的发展和特点说起。一般来说,工控系统主要运行过程是通过采集远端生产设备上的生产运行参数及相关运行指标,进行集中分析处理后,再下发指令至远端生产设备,指挥相应设备进行生产和控制动作。

所以,工控系统的用途是对大量工业生产设备进行集约化管理和自动化操作,其需要采集的数据点位非常多而较为分散,并且前端用于收发控制指令的设备(比如PLC和RTU)并不是具有较高的处理性能和信息处理能力;其使用的网络为独立网络,不与互联网和其他网络直接相连;其使用的通信协议也一般为工业控制协议;其对稳定性和实时性有着非常苛刻的要求;但工控系统所用版本和操作系统、相关设备更新速度都较慢,甚至远远落后于当前主流。同时,由于工控系统完全服务于生产业务,随着生产业务量的动态变化,工控系统变化更是显著变化。

从工控系统的特点就能发现,工控系统最重要的任务就是生产控制数据端到端的可靠通信;但从网络安全防护角度来看,特别是传统的网络安全角度,似乎很难有准确的切入点,更或者说一些传统的网络安全技术与工控系统的要求是存在冲突点的,更何况不同行业不同企业的工控系统都不尽相同,不同工控系统的运行指标和安全要求更是千差万别。

要做好工控系统的安全防护方案,不仅要对工控系统及相关网络有深入了解,更要对其所承载的业务有着足够认识。但从目前现状来说,工控网络安全人员与业务运行、系统运行的衔接性还有待加强,掌握的数据不够准确,对工控系统的网络安全需求定位不够清晰,导致实施的安全防护策略对系统运行产生非正面的影响,或使用的相关网络安全技术针对性不足,没有真正起到防护作用,这些都会影响到生产业务的连续性,让网络安全部门成了“背锅侠”。

这其实不光在工控网络中存在类似情况,但确实是网络安全管理人员的难题。想必现在大多数企业的系统运行管理团队和网络安全管理团队是两个队伍,这两个团队经常协同合作,但对待问题的出发点是截然不同。系统运行管理团队需要立足当前,借鉴过去经验,排除问题和隐患,充分保证系统和业务稳定;而网络安全管理团队也是需要立足当前,发现安全隐患,但不同的是,网络安全管理团队是会着眼未来,评估问题和隐患对系统和业务造成的影响,进而推动问题和隐患整改,目的也是为了充分保证系统和业务稳定。所以当面对工控系统运行和网络安全发生冲突时,不光是系统运行管理团队,甚至于管理层,都会优先保证系统稳定运行,而暂时舍弃掉网络安全,网络安全管理团队确实也无可奈何。

其实,作为一个工控网络安全管理人员,我也一直在思考:形成这种情况是因为工控系统的特点决定业务优先;但从另外一个角度看,目的都是为了充分保证系统和业务稳定,工控系统运行和网络安全为什么会发生冲突呢?处理好这个问题就能很好的把握业务与安全的平衡。从根源上说,工控系统在建设之初并没有过多考虑网络安全的需求,后期安全的介入,特别是防护策略的部署和网络安全设备的融入,会在工控系统中产生影响是不可避免的。如果在工控系统建设的时候就实现“同步规划、同步发展、同步实施”的“三同步”原则,问题可能会极大消除,但对于已经运行的工控系统,网络安全管理团队要首先做的是“以保业务为核心目标,以寻找判断处置系统被攻击后可造成最大破坏力的风险点为重心向边缘延伸,以破坏路径分析和动态风险评估为手段”统筹兼顾,以点带面,逐步摸索所辖工控系统的安全需求,最后达到系统运行和安全防护协调配合,互为补充的和谐状态。

工控网络安全管理人员要站在攻击者的角度思考问题。

笔者认为工控系统的数据虽然很重要,但对于攻击者来说,不管是掌握数据,还是侵入系统,其所有行为的最终目的只有一个–破坏生产,那么他们的目标只能是现场生产设备,从伊朗离心机中毒事件、乌克兰核电厂事件和委内瑞拉大规模停电事件中可以看到,攻击者就是要破坏生产设备,而且这种破坏是不可逆的,破坏越彻底造成的影响就越大。所以从这个角度向外延伸,网络安全管理团队要思考攻击者会通过何种方式进行系统,又会通过何种方式掌握控制现场生产设备,这样就能有效的梳理出攻击者破坏路径,评估该路径下存在的风险点,从而制定合理高效有针对性的防护措施。

毕竟系统不一样,看问题的角度不同,每个工控网络安全管理人员的做法也不尽相同。在这里,我分享下我的方法。

笔者是从网络运行这个角度为切入点,开始逐步深入开展对所在工控系统进行观察了解的。因为工控网络作为工控业务数据的承载体,肯定符合业务的承载要求,并且网络安全设备首先是要融合进入网络中的,所以通过深入了解和网络运行中所面临的问题,大部分的业务要求和所面临的风险也呼之欲出;也可以通过网络结构和通信质量的安全性、可靠性优化,将网络安全的理念和标准融入,形成安全域,分割风险域,再进行风险隐患的逐一消减。

在此过程中要保证网络安全的灵活性。部分安全风险由于系统和历史的原因,没有办法进行完全消除。网络安全管理团队要结合系统运行团队进行有效的管理和技术等措施消减,同时及时跟管理层进行反馈,做到必要的风险接受;对处于非重点防护区域但与重点区域有交互的核心系统和设备,则要根据其属性和运行特点适当提升其部分安全防护能力,防止网络安全问题蔓延。

笔者认为首先工控网络安全管理工作的价值是合理合规部署网络安全措施,感知工控系统的网络安全隐患,降低风险,为生产业务稳定运行保驾护航。

那么安全管理人员要在工作中做到“扩展格局、耐心观察、大胆设想、灵活求证”这十六个字。工控网络安全管理是站在一定高度,自上而下来看待问题的,所以工控网络安全管理人员要有大视野,要从业务和行业的发展角度,找到真正的网络安全需求和发展方向,要洞悉出现的网络安全问题的本质,要抓住网络安全问题的重点来解决。

工控网络是有其运行规律和细节要求的,这要求安全管理人员要耐心,要深入到运行维护中去,找到规律,发现细节,最终找到契合点和风险点;正如没有一个企业的工控网络是完全一样的,针对工控网络暴露出来的风险隐患也并不是全能够依靠经验能处理好的,如何有效解决需要安全管理人员要敢想,结合管理措施和技术手段,做出大胆设想,进而开展多种形式的验证,从模拟验证到并行验证在逐步过渡到现网验证,灵活小心贯穿始终。

相关阅读

【牛人访谈】工业控制系统威胁建模的探索与实践


文章来源: https://www.aqniu.com/homenews/67983.html
如有侵权请联系:admin#unsafe.sh