传统信息安全产品VS工控安全问题.docVIP

传统信息安全产品VS工控安全问题 关键词：威努特 工控网络安全 信息安全 作者：wnt 摘要：为什么传统信息安全产品不能解决工控安全问题 实践证明传统信息安全产品不能解决工业控制系统的安全问题 我们在现场调研时发现，一些工业控制系统的网络中，已经有部署传统的防火墙产品，在工作站上也有安装杀毒软件产品。但是，传统的防火墙在保护O P C服务器时，由于不支持OPC协议的动态端口开放，不得不允许O P C客户端和O P C服务器之间大范围内的任意端口号的T C P连接，因此防火墙提供的安全保障被降至最低，从而很容易受到恶意软件和其他安全威胁的攻击。而反病毒软件，通常因得不到及时更新，导致失去了对主流病毒、恶意代码的防护能力。现场调研的另一个发现，是工业控制系统的系统漏洞，不能像IT系统一样，得到及时的漏洞修复，大量漏洞长期存在。综上所述，传统信息安全产品（如防火墙、反病毒软件）及传统信息安全的管理方法（如漏洞及时修复）并不适用于工业控制系统，不能解决其信息安全问题。 为什么传统信息安全产品/方法不适用于工业控制系统 传统信息安全产品/方法不适用于工业控制系统，是由于工业控制系统相对于IT信息系统的有其独特差异性，而传统信息安全产品是针对IT信息系统的需求开发的。工业控制系统相对于IT信息系统的差异，在信息安全需求方面主要有以下体现：1) ?工业控制系统以“可用性”为第一安全需求，而IT信息系统以“机密性”为第一安全需求。在信息安全的三个属性（机密性、完整性、可用性）中，IT信息系统的优先顺序是机密性、完整性、可用性，而工业控制系统则是可用性、完整性、机密性。这一差异，导致工业控制系统中的信息安全产品，必须从软硬件设计上达到更高的可靠性，例如硬件要求无风扇设计(风扇平均无故障时间不到3年)。另外，导致传统信息安全产品的“故障关闭”原则如防火墙故障则断开内外网的网络连接，不适用于工业控制系统，工业控制系统的需求是防火墙故障时保证网络畅通。 2) ?工业控制系统不能接受频繁的升级更新操作，而IT信息系统通常能够接受频繁的升级更新操作。这对依赖一个黑名单库来提供防护能力的信息安全产品（例如：反病毒软件，IDS/IPS）是一个严峻的挑战。3) ?工业控制系统对报文时延很敏感，而IT信息系统通常强调高吞吐量。在网络报文处理的性能指标（吞吐量、并发连接数、连接速率、时延）中，IT信息系统强调吞吐量、并发连接数、连接速率，对时延要求不太高（通常几百微秒）；而工业控制系统对时延要求高，某些应用场景要求时延在几十微秒内，对吞吐量、并发连接数、连接速率往往要求不高。这一差异，导致工业控制系统中的信息安全产品，必须从CPU选型、软硬件架构上做到低时延，这对当前一些基于x86 CPU及开源软件架构的信息安全产品是一个严峻挑战。4) ?工业控制系统基于工业控制协议（例如，OPC、Modbus、DNP3、S7），而IT信息系统基于IT通信协议（例如，HTTP、FTP、SMTP、TELNET）。虽然，现在主流工业控制系统已经广泛采用工业以太技术，基于IP/TCP/UDP通信，但是应用层协议是不同的，这就要求信息安全产品必须支持工业控制协议（例如，OPC、Modbus、DNP3、S7），否则就会出现上面提到的为了支持OPC Classic服务而放开大量TCP端口的问题。5) ?工业控制系统的工业现场环境恶劣（如，野外零下几十度的低温、潮湿、高原、盐雾），而IT信息系统通常在恒温、恒湿的机房中。这就要求工业控制系统中的信息安全硬件产品，必须按照工业现场环境的要求专门设计硬件，做到全密闭、无风扇，支持﹣40℃～70℃等。所以，要想解决工业控制系统的信息安全问题，传统信息安全产品和解决方案并不是一剂对症良药，工业控制系统需要有一套为自己量身打造的信息安全产品，才能有效抵御工业系统面临的各种安全威胁，为客户带来工控安全防护的真正价值。