据调查,目前一些工业控制系统以安装传统防火墙产品来防卫工控安全。但实践证明,工业控制系统部署传统信息安全产品无法解决工控安全问题。
从2010年针对伊朗核工厂的Stuxnet病毒,到2014年席卷欧洲的Havex病毒,针对工业控制系统的网络攻击越演越烈,工业控制系统迫切需要得到安全防护。那么,把传统信息安全产品如防火墙、反病毒软件、IDS/IPS,部署到工业控制系统中是不是就能解决其信息安全问题呢?答案是——不能!
实践证明传统信息安全产品不能解决工业控制系统的安全问题
通过现场调研时发现,一些工业控制系统的网络中,已经有部署传统的防火墙产品,在工作站上也有安装杀毒软件产品。但是,传统的防火墙在保护OPC服务器时,由于不支持OPC协议的动态端口开放,不得不允许OPC客户端和OPC服务器之间大范围内的任意端口号的TCP连接,因此防火墙提供的安全保障被降至最低,从而很容易受到恶意软件和其他安全威胁的攻击。而反病毒软件,通常因得不到及时更新,导致失去了对主流病毒、恶意代码的防护能力。现场调研的另一个发现,是工业控制系统的系统漏洞,不能像IT系统一样,得到及时的漏洞修复,大量漏洞长期存在。
综上所述,传统信息安全产品(如防火墙、反病毒软件)及传统信息安全的管理方法(如漏洞及时修复)并不适用于工业控制系统,不能解决其信息安全问题。
为什么传统信息安全产品/方法不适用于工业控制系统
传统信息安全产品/方法不适用于工业控制系统,是由于工业控制系统相对于IT信息系统的有其独特差异性,而传统信息安全产品是针对IT信息系统的需求开发的。工业控制系统相对于IT信息系统的差异,在信息安全需求方面主要体现有:
工业控制系统以“可用性”为第一安全需求,而IT信息系统以“机密性”为第一安全需求。在信息安全的三个属性(机密性、完整性、可用性)中,IT信息系统的优先顺序是机密性、完整性、可用性,而工业控制系统则是可用性、完整性、机密性。这一差异,导致工业控制系统中的信息安全产品,必须从软硬件设计上达到更高的可靠性,例如硬件要求无风扇设计(风扇平均无故障时间不到3年)。另外,导致传统信息安全产品的“故障关闭”原则如防火墙故障则断开内外网的网络连接,不适用于工业控制系统,工业控制系统的需求是防火墙故障时保证网络畅通。
工业控制系统不能接受频繁的升级更新操作,而IT信息系统通常能够接受频繁的升级更新操作。这对依赖一个黑名单库来提供防护能力的信息安全产品(例如:反病毒软件,IDS/IPS)是一个严峻的挑战。
工业控制系统对报文时延很敏感,而IT信息系统通常强调高吞吐量。在网络报文处理的性能指标(吞吐量、并发连接数、连接速率、时延)中,IT信息系统强调吞吐量、并发连接数、连接速率,对时延要求不太高(通常几百微秒);而工业控制系统对时延要求高,某些应用场景要求时延在几十微秒内,对吞吐量、并发连接数、连接速率往往要求不高。这一差异,导致工业控制系统中的信息安全产品,必须从CPU选型、软硬件架构上做到低时延,这对当前一些基于x86CPU及开源软件架构的信息安全产品是一个严峻挑战。
工业控制系统基于工业控制协议(例如,OPC、Modbus、DNP3、S7),而IT信息系统基于IT通信协议(例如,HTTP、FTP、SMTP、TELNET)。虽然,现在主流工业控制系统已经广泛采用工业以太技术,基于IP/TCP/UDP通信,但是应用层协议是不同的,这就要求信息安全产品必须支持工业控制协议(例如,OPC、Modbus、DNP3、S7),否则就会出现上面提到的为了支持OPCClassic服务而放开大量TCP端口的问题。
工业控制系统的工业现场环境恶劣(如,野外零下几十度的低温、潮湿、高原、盐雾),而IT信息系统通常在恒温、恒湿的机房中。这就要求工业控制系统中的信息安全硬件产品,必须按照工业现场环境的要求专门设计硬件,做到全密闭、无风扇,支持﹣40℃~70℃等。
所以,要想解决工业控制系统的信息安全问题,传统信息安全产品和解决方案并不是一剂对症良药,工业控制系统需要有一套为自己量身打造的信息安全产品,才能有效抵御工业系统面临的各种安全威胁,为客户带来工控安全防护的真正价值。