为什么物理断网不能解决工控安全问题.docxVIP

为什么物理断网不能保证工控网络安全 从2010年针对伊朗核工厂的Stuxnet病毒，到2014年席卷欧洲的Havex病毒，以及最近发生的韩国核电站格盘病毒，针对工业控制系统（ICS）的网络攻击越演越烈。我们在与客户讨论工控网络安全问题时，一些客户常常会说：我的工控网络与互联网、与办公网是物理断开的，难道还会有网络安全问题吗？ 事实是：物理断网并不能保证工控网络安全。 1、Stuxnet病毒已经证明物理断网不能保证工控网络安全 伊朗的纳坦兹铀浓缩工厂，采用了西门子WinCCSCADA控制离心机的运转，制造浓缩铀，为伊朗的核电站提供“核燃料”。作为伊朗核计划的关键部分，纳坦兹铀浓缩工厂采取了最严格的措施保证工控网络的信息安全，即物理断网。 但是，Stuxnet病毒仍然成功突破物理断网，攻击了WinCCSCADA，最后损坏了1000多台离心机，导致伊朗的核工业发展被延迟了2年。Stuxnet病毒传播途径如下图：  第一步，Stuxnet病毒成功感染了连接互联网的纳坦兹铀浓缩工厂的办公电脑或工作人员的个人电脑 第二步，如果被感染电脑上有插入U盘，Stuxnet病毒进一步感染该U盘； 第三步，被感染U盘被插入控制网络的电脑上，Stuxnet病毒利用快捷方式文件解析漏洞（MS10-046），感染该台电脑； 第四步，这台被感染电脑，通过快捷方式解析漏洞（MS10-046）、RPC远程执行漏洞（MS08-067）、打印机后台程序服务漏洞（MS10-061），实现在控制网络中联网主机之间的传播，最后抵达安装了WinCCSCADA软件的工作站； 第五步，Stuxnet病毒在WinCCSCADA工作站上，利用硬编码SQL认证来注入代码到数据库中，获取目标PLC的访问权限； 第六步，Stuxnet病毒注入可以进行中断处理的代码块到目标PLC，向Profibus注入数据，修改PLC的输出参数。 综上所述，伊朗的纳坦兹铀浓缩工厂的物理断网防护措施，被Stuxnet病毒利用U盘摆渡技术成功突破。 那么，是不是禁止用U盘就安全了呢？答案是否定的。 2、工控网络的安全威胁（计算机病毒、黑客攻击等）进入途径分析 我们全面分析了工控网络可能的安全威胁（计算机病毒、黑客攻击等）进入途径，总结如下： a)与其它网络的连接 例如：与互联网的连接，与企业办公网的连接（间接与互联网相连）。 典型案例：2005年8月，Zotob蠕虫通过互联网进入企业办公网，进而进入生产控制网络，感染导致戴姆勒-克莱斯勒的美国汽车制造厂13台设备下线隔离将近一个小时。物理断网，能够有效阻断这个进入途径。 b)U盘等移动存储介质 Stuxnet病毒正是利用这一途径，进入了物理隔离的纳坦兹铀浓缩工控网络。 c)无线网络 包括WLAN、GPRS、LTE、微波等。无线网络技术的应用，打破了网络的物理边界，将攻击者阻拦在工控网络之外不再可能。典型案例： 2008年，一少年用一个电视遥控器改变轨道扳道器，攻击了波兰Lodz的城铁系统，导致4节车厢出轨，12名乘客受伤。 d)远程维护连接 设备厂商的远程维护连接，使得工控网络与设备厂商支持人员的电脑和网络相连，而设备厂商支持人员的电脑和网络很可能是连接在互联网上的，或者支持人员的电脑已经被病毒感染。 e)便携电脑等移动终端 接入工控网络的移动终端，可能已经被病毒感染，或者移动终端连接互联网。典型案例：2003年12月30日,龙泉、政平、鹅城换流站计算机系统发现病毒,经调查确认是技术人员在系统调试中用笔记本电脑上网所致。 f)心怀不满或被利诱的内部人员 心怀不满或被利诱的内部人员，从工控网络内部直接发起攻击也是一种常见的攻击途径。 所以，要解决工业控制系统的信息安全问题，仅仅物理断网或禁用U盘是不够的，需要全面考虑可能的威胁途径和信息安全风险，参考国际标准IEC62443的要求建立纵深防御体系。 作为一家对工控安全有着自己深入研究的企业，威努特公司没有简单照搬传统IT安全思维，而是以工控系统安全的视角，针对工控系统对可靠性、稳定性、业务连续性的严格要求，以及工控系统软件和设备更新不频繁，通信和数据较为特定的特点，提出了建立工控系统安全生产与运行的“可信网络白环境”以及“软件应用白名单”概念，进而构筑工业控制系统的网络安全“白环境”。区别传统防护“黑名单”的方式，所谓“白”指的好的、可信的，即只有可信任的设备、软件和数据，才允许在工控网络内部流通，其他恶意的、不明确的或者规定不允许的东西都不允许流通使用。 只有可信任的设备，才能接入控制网络； 只有可信任的消息，才能在网络上传输； 只有可信任的软件，才允许被执行。 方案包含数采可信网关、区域可信网关、服务器可信卫士、工作站可信卫士、智能安全监测分析平台等产品，并具有专业的安全研究实验室，提供专业的安全咨询、安全