今日頭條
官方微信
官方抖音
資訊頻道基于云的SCADA系統(tǒng)的必須部署適當(dāng)?shù)目蚣芎途W(wǎng)絡(luò)安全措施,以幫助基于云的監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)預(yù)防網(wǎng)絡(luò)攻擊。
基于云的監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng),具有更大的靈活性、可擴展性和確定性。它還能夠大幅減少資本支出,提供可預(yù)測的成本,加快實施,并在增加或更改資產(chǎn)時快速適應(yīng)變化。作為一種更高效的部署模型,基于云的SCADA系統(tǒng)可以降低很多行業(yè)的進(jìn)入壁壘。
使用基于云的SCADA系統(tǒng),無需控制或備份中心。用戶可以利用其首選服務(wù)提供商的云基礎(chǔ)架構(gòu),從資本支出模式轉(zhuǎn)變?yōu)檫\營支出模式。
以往周期為8 至10 個月的SCADA 系統(tǒng)項目,現(xiàn)在可以縮短到幾周。用戶可以從較少的資產(chǎn)開始,并按需增加或移除。此外,軟件版本可以始終保持最新狀態(tài)。在行業(yè)中,收益不斷得到驗證。例如,加拿大一家原油和天然氣勘探和生產(chǎn)公司的項目,利用基于云的SCADA 系統(tǒng),在訂單簽署后一個月成功將300 多口油井運營上線。
工業(yè)控制系統(tǒng)面臨的安全隱患
基于云的SCADA 系統(tǒng)提供了一種可靠、安全的方法。現(xiàn)場資源和專業(yè)知識,可以通過遠(yuǎn)程支持、持續(xù)監(jiān)控和服務(wù)提供商提供的自動更新來補充。在許多方面,通訊的設(shè)計與早期SCADA 系統(tǒng)中考慮的內(nèi)容類似,但現(xiàn)在,更重要的是需要一個強大的網(wǎng)絡(luò)安全設(shè)計。
隨著工業(yè)控制系統(tǒng)(ICS)面臨的威脅越來越多,網(wǎng)絡(luò)安全問題變得至關(guān)重要。工業(yè)控制系統(tǒng)向數(shù)字化的轉(zhuǎn)變,也間接增加了網(wǎng)絡(luò)風(fēng)險。手動操作的設(shè)備有一個好處:它不能被黑客攻擊。由于控制功能自動化水平的提升,潛在攻擊目標(biāo)范圍也在增加。隨著更多的設(shè)備和系統(tǒng)連到工業(yè)物聯(lián)網(wǎng)(IIoT)網(wǎng)絡(luò)上,連接性的增加在帶來諸多好處的同時,但也帶來了網(wǎng)絡(luò)安全方面的擔(dān)憂。
不僅僅是 “攻擊面”或漏洞數(shù)量的增加,網(wǎng)絡(luò)泄露的潛在后果也在增加。監(jiān)管預(yù)期的提高,意味著企業(yè)即使沒有發(fā)生泄露,也有可能造成嚴(yán)重的聲譽損害和成本(有些來自于監(jiān)管處罰)。與此同時,過往經(jīng)驗表明,風(fēng)險與理論相去甚遠(yuǎn):
2012 年,Shamoon 病毒使中東能源公司的數(shù)萬臺計算機癱瘓,4 年后再次出現(xiàn)。
2016 年,“沙蟲”黑客發(fā)動了針對烏克蘭的攻擊,造成了大規(guī)模的停電,影響超過50 萬人。
2017 年,WannaCry 勒索軟件在全球爆發(fā),超過三分之一的英國國家衛(wèi)生服務(wù)信托基金受到影響。不僅僅是醫(yī)院計算機系統(tǒng),還有醫(yī)療設(shè)備,如 MRI 掃描儀和血液檢測設(shè)備。
據(jù)卡巴斯基實驗室,超過半數(shù)的工業(yè)設(shè)施經(jīng)歷了某種形式的網(wǎng)絡(luò)安全事件,四分之三的工廠預(yù)計其工業(yè)控制系統(tǒng)或?qū)艿焦簟?/p>
應(yīng)對網(wǎng)絡(luò)攻擊的上升
隨著攻擊類型的演變,網(wǎng)絡(luò)攻擊的數(shù)量和范圍也在增加。其中最令人擔(dān)憂的事態(tài)發(fā)展是,工業(yè)系統(tǒng)正成為黑客的攻擊目標(biāo)。2017 年12月,黑客入侵了一個關(guān)鍵基礎(chǔ)設(shè)施的安全系統(tǒng),這被稱為工業(yè)網(wǎng)絡(luò)安全的“分水嶺”。但它實際上發(fā)生在中東一家石油公司的安全系統(tǒng)遭到襲擊之后。
在應(yīng)對這些風(fēng)險時,企業(yè)受到許多因素的阻礙。首先是由于勞動力迅速退休而造成的通用技能的短缺,特別是技術(shù)技能的缺乏。Petroplan 公司發(fā)布的《2017 年人才觀察指數(shù)》指出,超過五分之一的石油、天然氣和能源部門表示,他們?nèi)狈线m的人才來應(yīng)對發(fā)展,超過三分之一的人表示,由于需要信息技術(shù)來實現(xiàn)數(shù)字化和大數(shù)據(jù)增長,因此他們需要更多的信息技術(shù)技能。
與此同時,在企業(yè)內(nèi)部,孤立運營依然存在——站點之間、集團內(nèi)部的企業(yè)之間,尤其是信息技術(shù)(IT)員工和運營技術(shù)(OT)員工之間的信息隔離依然存在——盡管在技術(shù)上已經(jīng)融合。
信息孤島會造成很多混亂,比如誰應(yīng)對風(fēng)險負(fù)責(zé)。由于傳統(tǒng)IT 和OT 方法的不同,了解這一點很重要。具體而言,在運行方面可用性具有更高的優(yōu)先級,但是很多情況下安全至關(guān)重要。因此,對IT 和 OT 適用的安全解決方案,彼此之間有很大差異。
由于在網(wǎng)絡(luò)安全方面還沒有形成統(tǒng)一的標(biāo)準(zhǔn),因此在實施網(wǎng)絡(luò)安全戰(zhàn)略方面也就沒有“一刀切”" 的方法。
工業(yè)網(wǎng)絡(luò)安全的挑戰(zhàn)
對于基于云的SCADA 系統(tǒng)來說,網(wǎng)絡(luò)安全存在兩個關(guān)鍵的危險因素。
首先,網(wǎng)絡(luò)安全措施被忽視或沒有得到充分解決。通過衛(wèi)星或無線通信進(jìn)行的不安全連接,為黑客提供了侵入遠(yuǎn)程站點、云和SCADA 系統(tǒng)的機會。例如,每個沒有配置安全設(shè)施的閥門站,都可能是重要的漏洞源。
其次,有些風(fēng)險被過度夸大了,以至于企業(yè)推遲了云的部署。這不僅意味著他們會錯失基于云的SCADA 系統(tǒng)所帶來的效率提升,還將對行業(yè)產(chǎn)生潛在的影響。從長遠(yuǎn)來看,這比已經(jīng)發(fā)生的任何網(wǎng)絡(luò)攻擊的危害都要大。由于缺乏應(yīng)對網(wǎng)絡(luò)風(fēng)險的技能和內(nèi)部資源,改善企業(yè)安全的可能性也不大。
當(dāng)已經(jīng)考慮攻擊媒介時,如何發(fā)生泄露,以及惡意軟件或黑客是如何進(jìn)入的就顯而易見。容易被黑客利用的常見漏洞包括:
與工業(yè)控制系統(tǒng)環(huán)境的連接點不安全,多個設(shè)備和系統(tǒng)供應(yīng)商可以訪問;
外部或業(yè)務(wù)網(wǎng)絡(luò)安全受到損害;
員工或供應(yīng)商的筆記本電腦、手機、智能手表、物聯(lián)網(wǎng)設(shè)備或可移動媒體等,容易成為網(wǎng)絡(luò)釣魚或網(wǎng)絡(luò)攻擊的目標(biāo)。
保護(hù)接入點
SCADA 系統(tǒng)的數(shù)據(jù),本質(zhì)上是良性信息。該系統(tǒng)從可編程邏輯控制器(PLC)或遠(yuǎn)程終端單元(RTU)收集和顯示數(shù)據(jù)。它本質(zhì)上是單向通訊,提供了設(shè)施內(nèi)的狀態(tài)信息。它不是控制功能。在查看基于云的SCADA 系統(tǒng)時,安全性非常重要,但這并不是一個無法克服的挑戰(zhàn)。
保護(hù)異地SCADA 系統(tǒng)解決方案需要克服的核心問題是缺乏集中化。企業(yè)不得不嘗試保護(hù)遠(yuǎn)程員工、承包商、客戶以及控制系統(tǒng)和第三方設(shè)備和軟件供應(yīng)商使用的多個接入點(圖 1)(為了進(jìn)行升級、修補、監(jiān)視或支持而獲得遠(yuǎn)程連接權(quán)限)。
這些接入點的數(shù)量以及缺乏有效的中央監(jiān)督和控制容易導(dǎo)致各種問題,包括:
資產(chǎn)和事件的部分?jǐn)?shù)據(jù)可用性;
沒有適當(dāng)?shù)膹娀?/p>
沒有適當(dāng)?shù)谋O(jiān)測,也沒有管理;
沒有圍繞網(wǎng)絡(luò)安全的適當(dāng)規(guī)劃和問責(zé)。
企業(yè)可以相信通過這些接入點建立和管理連接的人員是以安全的方式這樣做的,但這是一種不應(yīng)該做出的假設(shè)。
隨著連接工業(yè)物聯(lián)網(wǎng)設(shè)備數(shù)量的增加,此問題只會變得更突出。此外,越來越需要先進(jìn)的大數(shù)據(jù)分析,以便從生成的海量數(shù)據(jù)中獲得價值,并將其轉(zhuǎn)化為可操作的信息。這些分析功能可布置在設(shè)施內(nèi)或基于云的設(shè)備上,需要安全的數(shù)據(jù)傳輸通道(圖 2)。
集中式網(wǎng)絡(luò)安全
基于云的SCADA 系統(tǒng)的關(guān)鍵是云的安全——通過基于云的安全中心和通信中心來實現(xiàn)安全集中化(圖 3)。
該安全中心,可以對連接進(jìn)行身份驗證,在允許訪問通信服務(wù)器之前確保它們的有效性。同時,通信服務(wù)器使用位于每個工廠或站點的虛擬安全引擎(VSE)進(jìn)行身份驗證。虛擬安全引擎還可以從遠(yuǎn)程站點啟動與通信服務(wù)器的連接,并且可以自動在指定的時間間隔或時間進(jìn)行連接,這樣服務(wù)器就不必一直保持連接。
來自這些工廠或站點的所有通信都通過安全通道,使用443 端口進(jìn)行傳輸層安全性加密,并且可以對所有遠(yuǎn)程連接強制執(zhí)行防火墻規(guī)則。這提供了一種分布式架構(gòu),其中包含了從運營到遠(yuǎn)程站點間的安全通道。
來自工廠或站點的通信,都是通過安全通道進(jìn)行的,而通信服務(wù)器則受到防火墻的保護(hù)。但是,如果需要向下推送修補程序或更新,安全連接也可用于給技術(shù)人員提供遠(yuǎn)程訪問權(quán)限。
這種集中式網(wǎng)絡(luò)安全方法,使運營能夠定義、自動化和監(jiān)控整個SCADA 系統(tǒng)環(huán)境中的安全策略,從而提供更高的可見性、可靠性和合規(guī)性。企業(yè)可以集中定義整個工廠的策略,自信地部署它們,并自動執(zhí)行和監(jiān)視。它確保所有遠(yuǎn)程現(xiàn)場資產(chǎn)都能獲得運營中心的安全保護(hù)。
結(jié)合自上而下的安全管理平臺,此體系結(jié)構(gòu)可提供強大的工業(yè)控制系統(tǒng)安全性,并遵循NIST 網(wǎng)絡(luò)安全框架。此框架定義了行業(yè)標(biāo)準(zhǔn)和最佳實踐,以幫助組織管理網(wǎng)絡(luò)安全風(fēng)險。將集中控制與安全管理平臺相結(jié)合,使企業(yè)能夠在所有站點上滿足這些標(biāo)準(zhǔn),保持一致性(圖 4)。
現(xiàn)有的手動安全過程,如打補丁,不能很好地擴展。基于云的SCADA 系統(tǒng)可以通過自動化來集中實現(xiàn)這些功能,同時為整個企業(yè)的網(wǎng)絡(luò)安全帶來一致性、可見性和控制能力。
基于云的SCADA系統(tǒng)帶來了巨大的優(yōu)勢,但對安全性的擔(dān)憂,可能會導(dǎo)致企業(yè)無法堅持實施到底。有了合適的架構(gòu)和網(wǎng)絡(luò)安全,企業(yè)可以享受部署云所帶來的好處,同時最大限度地降低網(wǎng)絡(luò)攻擊的風(fēng)險。
來源:網(wǎng)絡(luò)整理
北京市公安局海淀分局備案號:11010802023656號