浅析为什么和互联网隔离的工控系统一定要做网络安全建设

笔者在和工业领域各行业客户做咨询交流的时候,他们通常会问到一个问题就是:“我们的工控系统已经和互联网隔离了,本身就是一个孤岛,任何数据和信息都进不来,为什么还要进行网络安全建设呢?”那么,笔者对客户的这个疑问通过以下几点做出解释,告知各位与互联网隔离的工控系统并不安全。

一、WIFI无线连接打通工业系统和互联网通道

现在我们的手机都可以上网,基本每个人的手机网络都是24小时开着,没电的时候会通过电脑U口或者电源对手机进行充电,而在工业现场存在这么一种情况,就是调度人员或者运维人员会将手机插到现场工控机U口上进行充电,同时边充电还边通过手机上网,这就直接导致本来是隔离状态的工控系统通过手机和互联网打通了,互联网的一些病毒也会通过手机传入工业现场的工控主机,进而在整个工控网络中进行传播。如下图所示:

病毒潜入流程图

美国塔尔萨大学专门进行过针对风电场的渗透测试,渗透测试的第一步就是通过物理安全上的漏洞,将小型WIFI设备接入控制系统中实现攻击风电场的目的。相关的攻击细节笔者不在这里阐述,读者可搜索安全牛发布的文章《黑客入侵风力发电厂全过程》去了解攻击的整个过程。

目前针对该问题有以下解决方案:

对U口通过物理方式或者软件进行管控,禁止外设接入U口; 部署无线防护设备对无线信号进行防护; 对主机采用白名单的方式进行防护。

二、通过远程维护打通工业系统和互联网通道

一般工业现场出现问题,现场人员又处理不了的情况下,客户一般会采取采取两种措施:

(1)、请工程师来现场处理; (2)、如果工程师来不了现场,那么就只能通过远程让工程师处理。

第1种情况我们不在这里讨论,重点是第2种情况,远程处理现场问题在工业现场经常存在。在与互联网隔离的工业系统中一般通过什么方式远程运维呢?一般会通过以下方式解决:

通过WIFI热点连接有问题的电脑,在开启远程控制软件进行远程操作处理; 通过能上网的交换机连接有问题的电脑,开启远程控制软件进行远程操作处理。

现场通过私接交换机来实现上网

以上方式对于工业控制系统都是很危险的,首先要出现问题的电脑上网就已经打通了工业控制系统和互联网的连接;其次单纯通过远程控制软件对现场电脑进行操作,没办法对远程维护人员进行身份认证,无法记录操作动作,一旦出现事故无法追责。

所以我们在现场遇到问题的时候,优先考虑请工程师来现场处理问题,如果一旦工程师无法及时赶到现场,那么我们只能通过远程运维的方式解决,这时候我们需要在工控系统中部署一台工控运维系统就可以解决远程运维时的网络安全问题,部署示意图如下:

工控运维系统部署示意图

该系统主要可以实现以下功能:

支持对工业协议(如OPC、Modbus等)的解析,从而可实现工控指令的审计; 部署灵活,即插即用,方便针对性的进行设备远程运维; 能够安全隔离运维设备与被运维设备,防止运维设备异常行为与恶意代码不会扩散到工业控制系统,保证工业控制系统的安全; 对工控组态监控软件进行监控记录,支持包括国内外主流工控系统厂商; 运维人员的身份采集和身份认证,全程记录运维数据。

三、企业信息化的发展,ERP系统需要从生产网取数据

随着工业化和信息化的发展,各大工业企业、能源企业都在进行相应的信息化建设,各个行业也陆陆续续完成了工业系统的升级和改造,逐步形成了:数字化矿山、智慧电力、智慧油田、智能制造等先进的生产技术。而这些先进生产技术的完成,进而带来的就是网络安全问题,企业信息化架构如下图所示:

系统架构图

信息化的建设将生产网和管理网之间的链路打通,这样管理网就可以从生产网中读取数据,进行分析以便高层决策,管理网将决策好的信息通过网络传递给生产网便于执行,提高了整体生产效率。但是如果管理网感染病毒和恶意代码,那么在数据传递过程中很有可能就被带入生产层。

例如:2017年某大型能源企业因服务器是双网卡配置,分别连接生产网和管理网,并没有任何防护设施,结果导致感染勒索病毒,并波及到生产网,对整个企业造成了一定的经济损失。如下图:

现场感染勒索病毒的服务器

解决该问题的办法就是在管理网和生产网之间部署工业防火墙来实现生产和管理的隔离。部署如下图所示:

工业防火墙部署示意图

四、生产网内部使用U盘进行数据拷贝传输

我们知道U盘是传播病毒的重要介质,而工业现场使用U盘的频率也非常高,经常通过U盘来进行数据拷贝,虽然有些现场通过封条封堵方式将U口进行封堵,但是形同虚设,工作人员在需要U口的时候,会撕下封条,在用完后重新封上封条。

现场主机大量U盘插拔记录

解决的最好方法就是通过主机防护软件对电脑接口进行管控,同时在数据传递的时候使用专用的安全U盘进行数据拷贝和传递。

五、生产内部管理不善,导致重要数据信息泄露或丢失

目前工控领域信息安全管理制度不完善,缺少重要的信息安全岗位、缺少人员的信息安全意识培训,粘贴密码和弱密码现象普遍,如下图所示:

现场发现粘贴系统密码

缺少定期的漏洞扫描,不掌握自身系统的风险,无法描述系统的安全状态。

以上安全管理方面的缺失都会导致员工安全意识不足,现场重要数据丢失或者被盗走,重要的控制程序落入竞争对手或者黑客手中加以利用等。

解决上述问题,不光通过制定安全管理制度就能够实现的,还需要定期进行风险评估,员工安全意识宣贯,通过国内外爆发的安全事件总结经验教训,不断更新迭代安全制度和应急预案。总体来说,安全管理的形成是一个长期培养的过程。

六、结论

综上所述,与互联网隔离的工控系统同样需要加强网络安全建设,而网络安全建设并非只是部署几台安全设备,设置一些安全策略所能解决的。需要参照国家颁布的标准和法律法规,通过安全技术和安全管理两种手段,加强人员安全意识培训等多种方式,体系化的全面规划才能更好的保障工业系统的网络安全,保护好我国的关键基础设施。

*本文作者:liujianshuai,本文属FreeBuf 原创奖励计划,未经许可禁止转载。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-08-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏量子位

十个优衣库仓库理货员,只有一个能留下,机器已经上岗了

在优衣库,机器人代替人类工作已经成为了现实。最近,优衣库和物流公司大福(Daifuku)合作,用一套自动化系统改造了仓库,改造后的仓库能让优衣库减少90%的仓库...

12820
来自专栏FreeBuf

安全防护场景与安全报警的:“点、线、面”

在最近业内同行的交流过程中,发现企业内部除了业务不同,都有类似的安全防护场景,使用的防护系统也趋于统一化,商业产品可能来源于同一厂商,开源产品使用的是相同的技术...

11830
来自专栏钱塘大数据

一图秒懂中国数据库的40年江湖

“数据库”起源于上世经50年代的美国,于80年代正式传入国内。当时的数据库技术大多应用在国防和军工领域,随着时代和技术的变迁才逐渐应用在各行各业,深深影响着中国...

29160

网络分段如何网络系统帮助企业家应对勒索软件风险

几个月前,我们的孩子所在的南卡罗来纳州最大的学区之一的,网络系统受到了携带病毒的勒索软件的攻击,这个“ 勒索软件”是一种恶意软件,攻击者通过加密获取访问权限的数...

8900
来自专栏安恒信息

网络犯罪工具攻克汇丰银行的反木马技术

来自某地下技术论坛的犯罪分子们已经开发出一种新技术,能够避开Trusteer反木马机制的层层堵截,从而令全球各大金融机构——包括汇丰银行与Paypal——的储户...

28350
来自专栏SDNLAB

美国和英国联合警报,俄罗斯正在针对互联网路由器进行网络攻击

16130
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(九)

2016年中国网络空间安全年报 6. 数据泄露专题分析 2016年数据泄露愈演愈烈,全球相继曝光了大量的数据泄露事件,数据泄露事件频率呈现爆发式增长,而曝光...

35180
来自专栏企鹅号快讯

黑客展示如何攻击飞机和汽车

1997年,知名黑客杰夫·莫斯创立了黑帽子大会,历经17年的发展,黑帽大会已经成为信息安全领域的风向标,每年黑帽大会讨论的安全议题大都成为了未来的趋势和方向。 ...

228100
来自专栏FreeBuf

IBM X-Force发现新型银行木马IcedID

近日,IBM X-Force研究团队在一项针对最近一系列攻击美国金融机构的案例中发现了一款新型银行木马,并将其命名为“IcedID”,该银行木马目前似乎还正处于...

23750
来自专栏FreeBuf

2016年移动安全趋势及威胁预测

2015年已经过去,这一年间发生了很多令我们很震惊的事件,透过这些大事件和漏洞,我们可以预测一下2016年移动安全趋势和可能存在的安全威胁。 1. 恐怖威胁 ...

22750

扫码关注云+社区

领取腾讯云代金券