工业控制系统需额外预防措施

2012-11-05 16:51

　　OFweek工控网11月1日讯：虽然目前一些计算机安全进程已远远达到工业和应用方面的标准，但是工业控制系统需要额外的预防措施。

　　如果“钉子”是计算机安全系统，那么“锤子”通常是保证商业信息技术安全的措施。尽管工业控制系统是保证信息技术安全的一剂良药，但是成功地确保控制系统的安全需要更多步骤。

　　最近的多芬诺安全技术强调了工业控制系统的独特方面，将他们的安全措施从大多数信息技术系统中分离出来。这些因素包括：在工厂地面布置控制系统，而不是室内气候环境控制的数据中心；他们隐秘地布置在或非常接近危险环境；事实上，工厂地面上设备的平均寿命是数十年而不是几年。

　　因为每个系统在性能、可靠性、操作系统和应用程序、风险管理目标、安全架构、安全目标上有所不同，多芬诺发布了主要为解决IT和ICS（工业控制系统）差异的安全解决方案的。

　　这两个安全系统的安全目标具有本质上的区别。例如，IT安全系统的最大目标是关注隐私，例如：保护数据；而ICS安全系统的最大目标是安全性，例如：保护过程。新闻报道的图像着重强调了IT和ICS系统优先关注的排名次序不同。

　　为了利于阐明ICS安全需求的差异，在研讨会上对ICS安全问题的三个主要类别进行了概述。这些问题是：

　　软目标。根据百通公司的观点，控制网络充满了所谓的“软”目标——通过网络界面，设备容易受到破坏。许多工厂的电脑在没有任何安全更新的情况下运行数周或数月，有些人甚至没有安装任何杀毒工具。此外，这些网络的许多控制器设计于不关注网络安全的时代；因此，许多设备被畸形的网络通信或甚至本身通信量的高容量所破坏。

　　多条路径。许多控制网络有多条路径，导致网络安全威胁可以进入工厂。这些路径通常绕过工厂现有的安全措施，有些甚至不出现在网络图上。例如，手提电脑输入和输出设备，或者闪存盘从一个电脑移动到另一个电脑。这样很容易把恶意软件带到工厂，而且恶意软件会从一个系统迅速传播到另一个系统。

　　平面网络。许多ICS网络施行的仍然为大型网络，“平面”网络没有隔离无关的子系统。这就意味着如果工厂的某部分出现问题，它可以非常迅速蔓延到其他不相关的子系统，甚至扩散到偏远的工厂网站。（Emily译）