Ann
2
等保高級測評師
NISP
Ann2
等保高級測評師
NISP
工控網絡邊界脆弱性體現以下方面:
沒有嚴格界定網絡邊界范圍:如果控制系統網絡沒有嚴格界定清晰的網絡邊界,將不能保證在網絡中部署必要的信息安全控制措施,將導致對系統和數據的非法訪問,以及相關的其他問題。
沒有配置防火墻或防火墻配置不當:缺乏正確配置的防火墻將造成不必要的數據流量在網絡間傳輸,如控制和調整網絡的指令。這種情況將導致很多問題,包括使得攻擊行為和病毒可以在網絡間傳輸,導致敏感數據容易遭受其他網絡用戶的監視/竊取,并使得獨立的用戶可以非授權訪問網絡。
在控制系統網絡中傳輸完成非控制任務的信息:控制信息和非控制信息流量有很多不同的要求,如獨占性和可靠性不同。將兩種類型的流量放在同一個網絡上,使得網絡更加難以配置,以致需要設計流量控制機制。例如,非控制信息將可以隨意占用本應該提供給控制指令流量的網絡資源,導致工業控制系統功能異常。
在工業控制系統網絡中缺少行為和日志審計:沒有完整和正確的日志記錄,將不可能追查到安全事故是如何發生的。
在工業控制系統網絡中缺少網絡安全監視:如果沒有對工業控制系統網絡的安全狀態進行常規監視,將不能及時發現安全事故,從而可能導致不必要的損毀或破壞。常規的網絡安全監視也需要識別信息安全控制方面的問題,如配置錯誤和默認配置問題。
加強工業網絡方法有以下這些:
工業主機白名單控制:工業主機由于長期不間斷運行,不能及時打補丁,并且受到聯網條件的限制,無法實時更新病毒庫,因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術,對工業軟件相關的進程文件進行掃描識別,為每個可信文件生成唯一的特征碼,特征碼的集合構成特征庫,即白名單。只有白名單內的軟件才可以運行,其他進程都被阻止,以防止病毒、木馬、違規軟件的攻擊。
工控協議識別與控制:為了保障數據傳輸的可靠性與實時性,工業生產網已發展了多套成熟的通信協議,主流的有幾十種,大致分為工業總線協議和工業以太網協議兩大類,如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎,也是評價產品能力的重要指標。
工控漏洞利用識別與防護:工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級,因此普遍存在可被攻擊的漏洞,而由于技術的專業性和封閉性,這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力,以及相應的防護能力,是工控安全防護能力建設的核心。
工控網絡流量采集與分析:獲取網絡流量是發現網絡攻擊的前提,流量采集與分析廣泛應用于網絡安全方案,是一項比較成熟的技術。對于工控網絡,除了基本的流量識別與統計分析外,還需要理解生產過程的操作功能碼,根據業務邏輯判斷是否發生異常。此外,根據設備間通信的規律建立流量基線模型,對多源數據進行關聯分析,能夠有效地識別異常行為和網絡攻擊。
工業網絡安全態勢感知:態勢感知是安全防御的重要手段,對于工控網絡,通過安全態勢感知平臺,可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件,對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持,包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等,是工控網絡安全防護的核心產品。
推薦文章
