西安同信力创项目管理咨询有限公司

技术频道

Technical Channel

工业控制系统安全- 现状
【技术频道 • 信息安全】    作者:Torch    来源:原创    发布时间:2015/2/10    浏览次数:3008    分享到:
0

  对于制造型企业而言,大部分的工作都是围绕生产制造而进行,以前大量的工作都是由人工来完成,用于管理控制的系统很少;而现在,随着科技的发展,越来越多的企业采用各种工业控制系统来提高效率,增加产能;出于数据交换和分析的目的,这些控制系统又组成了一个网络<Industrial LAN>, 这篇文章将简单分析工业控制系统存在的风险以及一些解决方法。

      首先,工业控制系统对于制造型企业而言,作用毋庸置疑。很多公司可以容忍一到两天没有邮件,没有网络,但是不能容忍生产线停产一到两个小时,因为这将会直接给公司带来损失。
      但是现在对于工业控制系统安全的管理确实非常少,甚至可以说没有。
     下面是一个分析表。


Security Topic Office IT 办公IT Industrial Control Systems
防病毒 绝大部分部署 很少/不可能部署
维保 2-3 年 可到20年
维保供应商 相当多,可选 唯一的,基本不可更换
补丁部署 经常 很少
变更管理 有系统/流程 高度依赖于供应商,相当复杂
安全意识 中等 没有,除了物理安全外
可用性 允许一段时间的宕机 24*7×365
安全测试/审核 没有,出问题的时候才检测
物理安全 安全(IT室) 较少管理


      从上面看来,工业控制系统处于管理很少,风险很高的程度。你可以从下面的实例上看出更多的问题出来。
  • 出了问题,该系统负责人(一般还不是IT,而是工程部或者维修部员工)联系供应商,让供应商远程或者到现场来解决,每次解决的费用都非常惊人,并且花费的时间相当长。
  • 由于缺少安全意识,IT部门也只是简单的将工业IT系统直接连接到公司办公网络内,而不做任何过滤和隔离;
  • 工业IT系统现在的负责人一般不是IT,而是工程部,生产部,即使IT部门意识到风险并且希望来改进时,工程部/生产部都会持反对意见“我们不敢改,所有的都是供应商设好的,如果出问题怎么办?整个生产线可要停下来的啊”
  • 很多工业IT系统就是一台普通PC,负责人都会强调该系统的重要性,但是对所有的使用,包括U盘,光盘甚至网络都没有控制
  • 如果系统需要调试,供应商会通过内置的Modem/或者网络直接连接进来,而没有任何的限制。试想,如果有人知道该Modem号码,将会非常容易连接进来修改里面的配置,或者调出里面的数据,这些数据,绝大部门就是公司的高度机密《里面的配方,以及生产量,原料等数据都是很重要的》;如果有人恶意修改配置,将会直接导致生产线停产…
  • 如果系统需要现场调试,供应商会直接将电脑连接到工业控制系统上,而没有经过IT安全检查;如果供应商笔记本电脑上有病毒的话,那这工业IT系统也将会有。这样的系统还稳定吗?
  • 有些工业控制系统身兼数职,即使生产线的大脑,控制整个生产;也是操作员的娱乐中心,游戏电影一个都不能少;还是操作员的工作中心,Outlook,QQ,MSN就这样用着,任何人发过来的附件想都不想就打开。
  • 很多公司都自己有几台办公电脑很熟悉,但是下面的工业控制系统有几台,是什么操作系统,供应商是谁,安装的软件是什么等等,一无所知,没有完成的设备清单<Inventory List>,出了问题,两眼一抹黑。

  本文出自 “信息安全之路” 博客