您好!欢迎登录 奈特原动力官网!

新闻资讯
中国到底需要什么样的工控安全
2016-08-16 来源:http://www.naite.com.cn 作者:奈特原动力官网 查看次数:15022次

一 工控安全市场现状

其实工控安全并不是一个新课题,早在2006年8月,中国工业设备网就刊发了一篇文章《工控软件安全性的设计问题探讨》,文章中针对工控软件存在的信息安全问题提出了针对性的解决方案,要求工控软件要在用户身份认证、访问控制、操作审计以及与杀毒软件的兼容性等多方面采取解决措施。

这样一篇文章,当时并没有引起业界很多的关注。然而时隔8年之后,工控安全在2014年忽然间就成为了大众话题,从年头到年尾,各路英雄是你方唱罢我登台,恨不能一夜之间,将工控安全市场炒个底朝天。

在这一年里,市场上突然出现了接近10家专业的工控安全解决方案厂商;

在这一年里,工控安全第一次以独立论坛的方式亮相2014中国互联网安全大会;

在这一年里,工控安全产品发布会此起彼伏,威努特、海天炜业、启明星辰、绿盟以及三零卫士陆续发布新产品;

在这一年里,工控系统信息安全国家标准首次发布;

在这一年里,“工业控制系统信息安全技术国家工程实验室”在电子部六所揭牌成立。

……

物联网、工业4.0以及两化融合等国家政策的引导,让众多厂家都敏锐的感到了工控市场兴起的前兆。总的来说,这一年的确称得上是工控安全元年!

工控安全厂商现状工控安全厂商作为这个市场中最重要、最活跃的推动力量,在工控安全元年的各项重大活动中都扮演着非常重要的角色。

二 工控安全真实情况

在过去一年里,所有关于工控安全的演讲、文章中,出现最多的就是震网病毒和Havex。每逢论坛、展会,无一不讲震网病毒。在2014年7月发现的Havex病毒,也很快被某些厂商大肆加以宣传利用。

实际上,震网病毒和Havex跟中国几乎没有直接关系,震网病毒主要破坏了伊朗的核设施,而Havex病毒的影响也主要在欧洲。中国的工控系统到底面临哪些实实在在的威胁,好像没有人能真正说清楚。

中国有没有工控安全事件,有多少,影响如何?在国内由于这类事件很快被处理,信息传播被控制,公开资料非常有限,在网上几乎搜索不到。笔者作为工控安全的从业者,通过跟众多客户的真实接触,得到了很多一手的资料,在这里与大家分享。

2011年,某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度地中断。

笔者曾出差到江苏某地级市,该市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行控制访问,实时得到各泵站PLC的数据;结果发现大量的PLC联网状态不稳定,出现时断时续的现象。经过现场诊断,发现是PLC的TCP/IP协议栈存在明显缺陷导致,最后靠厂家升级PLC固件解决。

某大型石化公司,控制网内已经部署了大量某外国品牌的工业防火墙,以为可以从此高枕无忧。但实际情况却是控制网内大量工程师站、操作员站感染了大量病毒,导致控制软件运行缓慢,正常操作无法进行。

2014年,某大型冶金厂车间控制系统发现病毒,是因为员工在某一台工作站上私自安装娱乐软件带入在控制网扩散。

从以上笔者获得的部分实际案例来看,中国的工控安全威胁长期以来就已存在,但由于信息的曝光度不高,并没有获得更高层面的足够重视。并且往往一些简单的电脑病毒,就能在企业工控网内肆虐,对生产造成严重影响。

三 工控安全问题根源分析

从上一章节我们可以看出,我国的工业控制网络的确存在着较为明显的网络安全问题,导致这些问题的根源,主要可以概括为以下几个方面:

1)工控系统以可用性为第一位,系统的稳定可靠运行是管理人员关注的重点。设备停车带来的经济损失、甚至人员伤亡事故是所有人不愿意看到的。这就导致了对工控设备的管理维护非常保守谨慎,工作人员只会按照设备厂商的要求做已经验证的、必要的软硬件升级,而防病毒软件、防火墙等网络安全设备的软硬件升级几乎不予考虑。这就给病毒、恶意程序以可乘之机,可以轻松绕过形同虚设的防火墙和病毒库陈旧的杀毒软件,直接攻陷对工控系统至关重要的操作控制主机。笔者一位长期从事石化行业维护的朋友就说他们宁可工作站出了问题重装系统,也不敢升级系统补丁和病毒库。

2)工控系统的生命周期普遍较长,现场存在很多老旧设备。这些老旧设备因为历史的技术所限,或多或少都存在一定的设计缺陷。在新的应用条件下,一些以前不太明显的缺陷会暴露出来。比如上一章节提到的PLC的TCP/IP协议栈缺陷问题,在以前的应用中,PLC的通讯网口很少会直接连接到互联网,所以没有发生这类问题,是用户新的需求导致了问题的暴露。

3)工厂对于信息类设备的管理流程和制度,往往也存在明显漏洞。比如员工个人的笔记本、U盘可以随时接入控制网络,可以随时从工作站拷贝资料到个人电脑等。这些操作无疑会给工控网络带来显而易见的风险——众所周知,Stuxnet震网病毒就是从U盘流入完全隔离的伊朗核设施网络的。</