工控網(wǎng)首頁
>

應(yīng)用設(shè)計(jì)

>

【專家博客】Jeff Smith的實(shí)用SCADA安全理念

【專家博客】Jeff Smith的實(shí)用SCADA安全理念

本文作者HeatherMacKenzie,最初發(fā)表于20131217日。由青島多芬諾信息安全技術(shù)有限公司進(jìn)行采編和整理,轉(zhuǎn)載請注明出處。

博客正文:     

      美國輪軸與制造公司(AAM)Jeff Smith工業(yè)以太網(wǎng)網(wǎng)絡(luò)和ICS(工業(yè)控制系統(tǒng))安全領(lǐng)域的權(quán)威。我們很榮幸地邀請他出席2013百通工業(yè)以太網(wǎng)基礎(chǔ)設(shè)施設(shè)計(jì)研討會(huì)并發(fā)表演講。

      在之前的一篇博客中,我概括了AAM公司選擇以太網(wǎng)/IP通信的原因,以及他們怎樣執(zhí)行最佳實(shí)踐,例如規(guī)范化網(wǎng)絡(luò)分區(qū)配置。今天我將介紹JeffICS安全策略。

      Jeff曾經(jīng)公開發(fā)表言論稱沒有人會(huì)在安全上花費(fèi)金錢。然而現(xiàn)在,他發(fā)覺自己看錯(cuò)了問題的角度。人們應(yīng)當(dāng)關(guān)心的是:“我需要花費(fèi)多少金錢才能在面臨如此風(fēng)險(xiǎn)的情況下感到安心?”

      為解決這一問題,Jeff建議先評估一下自身目前的安全性水平,然后確定出提高安全性水平的目標(biāo)。

Jeff Smit表示最終用戶和供應(yīng)商們現(xiàn)在不能再和以前一樣,每次提起ICS安全就如同面對10噸重的大象

確定你的ICS安全優(yōu)先區(qū)域

AAM的實(shí)例中,他們劃分出了以下四個(gè)優(yōu)先區(qū)域:

1. 保護(hù)制造網(wǎng)絡(luò)(以太網(wǎng)/IP協(xié)議)網(wǎng)絡(luò)免受企業(yè)(非信任)網(wǎng)絡(luò)的影響。

2. 保障企業(yè)從內(nèi)部外部提供安全可靠的遠(yuǎn)程支持的能力不受侵害。

3. 控制并跟蹤供應(yīng)商連接入制造控制系統(tǒng)的動(dòng)向——這是最大的挑戰(zhàn)!

4. 采取以下方式保護(hù)制造商網(wǎng)絡(luò)免受來自PC機(jī)的惡意攻擊:

a. 從控制網(wǎng)絡(luò)中移除該PC機(jī),并將其合理安置在企業(yè)網(wǎng)絡(luò)中。

b. 將網(wǎng)絡(luò)邊界的PC機(jī)隔離并安裝具備深度包檢測和VPN能力的防火墻,從而將其與控制網(wǎng)絡(luò)連網(wǎng)。

      Jeff的這一圖解強(qiáng)調(diào)了他對此問題的看法。對AAM來說,這一策略(包括移除能夠使PC機(jī)連入現(xiàn)場總線NIC)能夠阻止雙宿主機(jī)器的干擾。

      在確定好你的優(yōu)先對象后,你就需要執(zhí)行解決方案了。在演講中,Jeff演示了AAM的遠(yuǎn)程連接系統(tǒng),并展示了AAM的標(biāo)準(zhǔn)網(wǎng)絡(luò)圖。

JeffICS安全的深入思考

      在Jeff的演講中我最看好的一點(diǎn)是他強(qiáng)調(diào)出對ICS安全要有恰當(dāng)?shù)恼J(rèn)識。他幽默地引用SNL出版的《與Jack Handey一起深入思考》的說法將此也稱之為“深入思考”,并且他指出這些想法對最終用戶、供應(yīng)商及集成商等組織都適用。以下列示了部分:

  • 大部分企業(yè)都已經(jīng)不需要一個(gè)“10噸安全模型”——那種包含復(fù)雜的縮略術(shù)語和很多安全“物件”的策略了。供應(yīng)商也應(yīng)該停止用這樣的方式談?wù)摪踩?,而且最終用戶也不應(yīng)該就這樣什么都不做。而應(yīng)該評估用戶的需求,并圍繞這些需求進(jìn)行討論。

  • 強(qiáng)化基礎(chǔ)。提高安全的第一步是“修復(fù)”你的控制系統(tǒng)以太網(wǎng)策略,然后再使它更加安全。(對此如果您需要幫助,那么百通公司可以提供適當(dāng)?shù)慕鉀Q方案)

  • 應(yīng)從管理組織的角度出發(fā)解決安全問題。例如,在企業(yè)界,安全防護(hù)已是一項(xiàng)成熟的規(guī)范運(yùn)作。但在以太網(wǎng)為基礎(chǔ)的現(xiàn)場總線界,安全才剛剛引起管理組織的注意。而且ICS安全也還處于起步階段。

  • 因此不要去跟控制工程師們討論關(guān)于以太網(wǎng)的太過寬泛的話題,縮小范圍至跟他們切身相關(guān)的。

  • 要記住很多工程師并沒有以太網(wǎng)為基礎(chǔ)的控制網(wǎng)絡(luò)的工作經(jīng)驗(yàn)。與此同時(shí),企業(yè)的培訓(xùn)經(jīng)費(fèi)也很緊張。這些都導(dǎo)致了員工們只能在工作中學(xué)習(xí),即使工作中技術(shù)變更的進(jìn)程緩慢。因此,請為他們提供幫助。

  • 面對以太網(wǎng)挑戰(zhàn)的工程師們,你對“從傳統(tǒng)的現(xiàn)場總線X向以太網(wǎng)現(xiàn)場總線轉(zhuǎn)變”的工程計(jì)劃是什么樣的?這是你馬上就要面臨的問題……所以,行動(dòng)起來吧!

  • 要記住“控制工程師們可以做控制相關(guān)的事情”,而且應(yīng)該考慮一下把精力投注在提高自己實(shí)施安全防護(hù)解決方案的相關(guān)技能上

  • 不要忽略那些來自內(nèi)部的有意或無意的網(wǎng)絡(luò)攻擊。

  • 同樣要考慮入侵檢測和快速恢復(fù)。要成功阻止每一次攻擊是很困難的,因此你需要制定一個(gè)在遭受攻擊后能迅速恢復(fù)的計(jì)劃。

將這些深入想法付諸實(shí)踐

  • 如果你有足夠的資金,那么用可管理的開關(guān)替換掉那些無法管理的。

  • 增加ICS安全應(yīng)用。他們應(yīng)該:

l  易于配置

l  易于重復(fù)應(yīng)用和部署

l  應(yīng)專門針對具有較長生命周期的控制設(shè)備而設(shè)計(jì)

l  不需要過多的IT知識來輔助使用

l  即使線路在凌晨兩點(diǎn)出現(xiàn)故障也不需要IT人員來幫忙

 (這里有符合以上條件的設(shè)備的信息)

保持它的實(shí)用性

      當(dāng)你聽Jeff講起他的安全理念,似乎都是非常直接和實(shí)用的。在你面對現(xiàn)實(shí)中學(xué)習(xí)新技術(shù)的挑戰(zhàn)時(shí)也要記住這兩點(diǎn),這能讓你更好地完成工作,改變你做事情的方式,也將引領(lǐng)你的企業(yè)向正確的航向前進(jìn)。

      要一直牢記的是安全防護(hù)工作不應(yīng)該太復(fù)雜。如Jeff所言:

    “我們需要做一些事情,今天一小步明天一大步。最后一次性解決這項(xiàng)大問題?!?/span>

投訴建議

提交

查看更多評論
其他資訊

查看更多

能源領(lǐng)域網(wǎng)絡(luò)安全框架實(shí)施指南(英文版)

【指導(dǎo)手冊】有效網(wǎng)絡(luò)防御的關(guān)鍵控制

【操作指南】SCADA與過程控制網(wǎng)絡(luò)防火墻配置指南

【指導(dǎo)手冊】控制系統(tǒng)安全實(shí)踐匯編

【操作指南】工業(yè)控制系統(tǒng)(ICS)安全指南