ICS(工業(yè)控制系統(tǒng),Industrial Control Systems)網(wǎng)絡(luò)最近的新聞鬧得很大。因為出現(xiàn)了一連串的弱點、熱門入侵外泄事件以及其他各種安全上的問題。
ICS網(wǎng)絡(luò)的定義是由各個在機電組件上控制和提供自動測量資料的元件所組合成的網(wǎng)絡(luò)或網(wǎng)絡(luò)集合。這些機電組件包括閥門、調(diào)節(jié)器、開關(guān)和其他機電設(shè)備,你可以在各種產(chǎn)業(yè)里看到它們,像是石化與天然氣、自來水處理、環(huán)境控制、發(fā)電和配電、制造業(yè)、運輸業(yè)以及許多其他產(chǎn)業(yè)。
這里并不需要深入探討各個特定產(chǎn)業(yè),這些ICS應(yīng)用環(huán)境都有一個共同特色,就是它們并不是“傳統(tǒng)”的IT網(wǎng)絡(luò)環(huán)境,也不該被同等對待。而大多數(shù)ICS網(wǎng)絡(luò)也因為它們的獨特性質(zhì)而面對相同的安全問題。這些問題因為ICS元件和實體工業(yè)組件互動而變得更加復(fù)雜。
如果不能妥善地控制或限制這些元件的存取可能會導(dǎo)致災(zāi)難性的事故。許多這些元件所管理的工業(yè)系統(tǒng)被認(rèn)為是“關(guān)鍵基礎(chǔ)設(shè)施(CI,Critical Infrastructure)”,被要求使用比傳統(tǒng)IT環(huán)境更特制化的安全架構(gòu)。
監(jiān)視控制和資料擷取(Supervisory Control and Data Acquisition,SCADA)網(wǎng)絡(luò)可以被定義為網(wǎng)絡(luò)層,提供ICS網(wǎng)絡(luò)和控制監(jiān)視ICS網(wǎng)絡(luò)元件的主機系統(tǒng)界面。
SCADA / ICS網(wǎng)絡(luò)和其他網(wǎng)絡(luò)不同處只在于網(wǎng)絡(luò)元件、管理平臺和靈敏度。它們所會面對的一切都和其他網(wǎng)絡(luò)上會遇到的威脅完全一樣,但可能會出現(xiàn)更災(zāi)難性的后果。
SCADA / ICS安全最大的問題是,ICS社交(大部分人)多年來都生活在“泡泡”里 – 他們使用專有協(xié)定,特制和專有平臺。專用低速通訊基礎(chǔ)設(shè)施(有些甚至是用撥號網(wǎng)絡(luò)),并完全和其他網(wǎng)絡(luò)分隔開。
現(xiàn)在,SCADA / ICS社交正努力解決使用一般商業(yè)化硬件和軟件(如微軟操作系統(tǒng))以及連接其他外部網(wǎng)絡(luò)(企業(yè)網(wǎng)絡(luò),最終可能是網(wǎng)際網(wǎng)絡(luò))所帶來的安全問題,還有混亂而失控的弱點披露制度(ICS的弱點也是攻擊的目標(biāo)),跟許多其他一般IT安全產(chǎn)業(yè)已經(jīng)面對多年的問題。
是的,有些ICS網(wǎng)絡(luò)營運商已經(jīng)落后于時代潮流了。是的,有些已經(jīng)要被這些狀況給擊倒了。但整體來說,SCADA / ICS社交正加緊地提昇他們的安全狀態(tài)。
每個 ICS網(wǎng)絡(luò)整合時都必須考慮的元件,包括了跟 SCADA和現(xiàn)行組織網(wǎng)絡(luò)整合時的最佳實踐作法,以及每個建議架構(gòu)元件的說明。它的目標(biāo)并不是成為完整的ICS / SCADA安全指南,而只是以宏觀角度來提出在布署ICS時,能增加安全狀態(tài)的一些基本架構(gòu)元件。
轉(zhuǎn)載請注明出處。