侵权投诉

搜索
更多>> 热门搜索:
订阅
纠错
加入自媒体

石化工业控制网络安全的分析与防护

2012-05-10 09:59
老猫
关注

常规网络安全技术

  石化企业随着信息系统的不断发展,大量IT技术被引入,同时也包括各种IT网络安全技术。目前以MES为代表的信息系统在实现控制网络接入信息网络时,也基本都考虑了对控制网络的安全防护。但目前对控制网络的防护,大部分采用的是常规网络安全技术,主要包括防火墙、IDS、VPN、防病毒等。这些技术主要面向商用网络应用。

  在企业的信息化系统中,由办公网络、管理网络组成的信息网络与商用网络的运维特点比较相似,因此采用常规网络安全技术是适合的。而控制网络特点则有很大不同。

  控制网络是控制系统DCS各部件协同工作的通信网络。控制系统负责对生产装置的连续不间断地生产控制,因此控制网络同样具有连续不可间断的高可靠性要求。另一方面,控制网络也是操作人员对控制系统实时下发控制指令的重要途径,所以控制网络又具有不可延迟的高实时性要求。

  在商用网络里可以存在病毒,几乎每天都有新的补丁出现,计算机可能会死机、暂停,而这些如果发生在控制网络里几乎是不可想象的。为了保证生产安全,在极端情况下,即便将控制网络与信息网络断开,停止与信息网络交换数据也要保证控制系统的安全。因此,过程生产的连续不可间断的高可靠性要求控制网络具备更高的安全性。

  另外,从数据安全角度来看,商用网络往往对数据的私密性要求很高,要防止信息的泄露,而控制网络强调的是数据的可靠性。另外,商用网络的应用数据类型极其复杂,传输的通信标准多样化,如HTTP、SMTP、FTP、SOAP等;而控制网络的应用数据类型相对单一,以过程数据为主,传输的通信标准以工业通信标准为主,如OPC、Modbus等。

  通过比较商用网络与控制网络的差异可以发现,常规的IT网络安全技术都不是专门针对控制网络需求设计的,用在控制网络上就会存在很多局限性。

  比如防火墙产品,目前基本是以包过滤技术为基础的,它最大的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自己的安全机制。但防火墙无法保证准许放行数据的安全性。从实际应用来看,防火墙较为明显的局限性包括以下几方面:

  1)、防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下的控制,对于应用层内的病毒、蠕虫都没有办法。

  2)、防火墙不能防范全新的威胁,更不能防止可接触的人为或自然的破坏。

  3)、防火墙不能防止由自身安全漏洞引起的威胁。

  4)、防火墙对用户不完全透明,非专业用户难于管理和配置,易造成安全漏洞。

  5)、防火墙很难为用户在防火墙内外提供一致的安全策略,不能防止利用标准网络协议中的缺陷进行的攻击,也不能防止利用服务器系统漏洞所进行的攻击。

  6)、由于防火墙设置在内网与外网通信的信道上,并执行规定的安全策略,所以防火墙在提供安全防护的同时,也变成了网络通信的瓶颈,增加了网络传输延时,如果防火墙出现问题,那么内部网络就会受到严重威胁。

  7)、防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。

  另一方面,防火墙由于其自身机理的原因,还存在很多先天不足,主要包括:

  1)、由于防火墙本身是基于TCP/IP协议体系实现的,所以它无法解决TCP/IP协议体系中存在的漏洞。

  2)、防火墙只是一个策略执行机构,它并不区分所执行政策的对错,更无法判别出一条合法政策是否真是管理员的本意。从这点上看,防火墙一旦被攻击者控制,由它保护的整个网络就无安全可言了。

  3)、防火墙无法从流量上判别哪些是正常的,哪些是异常的,因此容易受到流量攻击。

  4)、防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高,需要对数据包检查的项目(即防火墙的功能)就越多越细,对CPU和内存的消耗也就越大,从而导致防火墙的性能下降,处理速度减慢。

  5)、防火墙准许某项服务,却不能保证该服务的安全性,它需要由应用安全来解决。

  防火墙正是由于这些缺陷与不足,导致目前被攻破的几率已经接近50%。虽然目前最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。

  其它安全技术如IDS、VPN、防病毒产品等与产品与防火墙一样,也都有很强的针对性,只能管辖属于自己管辖的事情,出了这个边界就不再能发挥作用。IDS作为可审查性产品最大的局限性是漏报和误报严重,几乎不是一个可以依赖的安全工具,而是一个参考工具。漏报等于没有报,误报则是报错了,这两个特点几乎破坏了入侵检测的可用性。VPN作为一种加密类技术,不管哪种VPN技术,在设计之初都是为了保证传输安全问题而设计的,而没有动态、实时的检测接入的VPN主机的安全性,同时对其作“准入控制”。这样有可能因为一个VPN主机的不安全,导致其整个网络不安全。防病毒产品也有局限性,主要是对新病毒的处理总是滞后的,这导致每年都会大规模地爆发病毒,特别是新病毒。

 

<上一页  1  2  3  4  下一页>  余下全文
声明: 本文由入驻维科号的作者撰写,观点仅代表作者本人,不代表OFweek立场。如有侵权或其他问题,请联系举报。

发表评论

0条评论,0人参与

请输入评论内容...

请输入评论/评论长度6~500个字

您提交的评论过于频繁,请输入验证码继续

暂无评论

暂无评论

文章纠错
x
*文字标题:
*纠错内容:
联系邮箱:
*验 证 码:

粤公网安备 44030502002758号