工控系统安全的五大误区

随着网络作战以及有组织黑客越来越多地开始针对工控网进行攻击，工控网的安全问题日益成为很多企业的网络安全的头等大事。不幸的是，目前绝大多数的工控网基本处于不设防的状态，而由于在大多数企业中，工控网的管理往往不在IT部门的范围之内，因此，在工控网安全方面，存在着很多漏洞和误区。Cylance的Billy Rios最近在博客中提出了关于工控网安全该做的和不该做的一些原则， IT经理网编译如下：

很多企业并没有意识到ICS（Industrial Control System，工业控制系统）或多或少存在在它们的网络里。事实上， ICS无所不在，差不多每个数据中心，每个建筑里的环境控制，门禁系统，安全系统以及很多自动化系统都是工控系统。而在很多行业里，工控系统是企业运营最重要的部分。由于这些系统的专业性与复杂性，很多工控系统并不是由企业的IT部门来管理的。这也使得传统的网络安全管理和风险管理并不涵盖这一部分。而有些工控系统甚至是由企业外的第三方来通过远程进行管理和维护的，这往往成为企业信息安全的一个薄弱环节。

在我们与客户的交流中，有很多人问我应该如何更好地管理工控网的安全风险。这里，我总结了一些工控网安全该做的与不该做的原则。

我们首先说说工控网安全的五大常见误区：

一、用传统的漏洞扫描工具去扫描工控网设备

很多工控网设备很脆弱，而且并不是为了能够经受频繁扫描而设计的。有一次我们问一个设备供应商为什么简单的端口扫描就会导致它的设备崩溃。他回答说：“我们采用的是工控系统的TCP/IP堆栈。”

二、指望传统的漏洞扫描工具能够发现工控网软件的漏洞

传统的漏洞管理工具会漏掉很多工控网的漏洞，而更加糟糕的是，有些工控网的漏洞，比如说硬编码，后门密码等，会被认为是产品功能而不是漏洞。参考阅读：

三、指望能够及时得到漏洞通知

很多企业漏洞管理工具已经非常成熟，它们会定期地并且及时地通知企业相关的漏洞。而在工控网领域情况有很大不同，漏洞的通知以及相关的风险信息通常并不能做到定期和及时。

四、以为外包给第三方就完事大吉了

工控网的运维外包很常见，比如在一座大厦的自动化系统可能就是外包给第三方的。企业应该意识到，工控网的运维外包同时也把工控网的安全交给了第三方。企业应该对第三方充分了解，了解他们如何访问设备，企业应该要求他们对企业工控系统的安全采取措施。如果企业的重要系统是租用场地（如IDC），那么企业也需要了解场地的安全管理规章。

五、指望工控网设备商有集中式的补丁管理系统

给工控网打补丁是个很困难的事。工控网常常担负着企业最重要的生产流程。而停掉这些流程往往会产生巨大的成本以及运营风险。因此，集中式的自动化的补丁管理系统是不存在的。几乎所有的工控网补丁都必须手动下载并安装。而且很多情况下，只能由供应商认证的技术人员进行安装。

那么，在工控网安全方面，行业企业应该怎么做呢，可以考虑以下四个方面：

一、辨明系统中的工控设备：

如果你想要开始积极管理工控网的安全风险，那么辨明网络中的工控网设备非常重要。理解并且登记在企业网络环境中的工控网系统是工控网安全的基础。

二、了解访问工控设备的途径：

在了解登记的网络中的工控网设备后，你需要了解这些设备是如何被访问的。它们能够从Internet上访问吗？它们有没有在防火墙的保护下？非工控网操作人员有没有可能访问这些设备等等。

三、监控对工控设备的访问：

工控网可能承担了企业的一些最重要的运营，而由于工控网补丁升级的困难以及很多设备自身的安全防护薄弱，企业应该严格监控对工控网的访问。在大多数情况下，对工控网设备的访问应该是一些常规的的流量。

四、了解哪些用户/工程师能够操作工控网设备：

对工控网的安全防护，不仅仅是在设备端，人的因素同样重要，了解对工控设备的操作人员及工程师是非常重要的一步。像要求每个操作人员只能操作自己的工位上的工控设备这样简单的管理方式，在实际中往往都很难做到。（编者：Stuxnet就是通过纳坦兹铀浓缩工厂的一个工程师的U盘感染进入工控系统的，详见本站文章“”）

IT经理网点评：

工业控制系统的安全问题正日益凸显，从本站文章可见一斑。目前我国金融、能源、交通、通信、军工、钢铁、有色、化工、装备制造等重点领域基础网络与重要信息系统及工业控制系统，长期缺乏全面的信息安全防护技术手段与产品配备，关键产品和高端服务仍严重信赖进口。这意味着国外几大工控系统中存在的安全隐患，在我国同样存在，甚至更为严重。在今年2月财政部印发的《中央国有资本经营预算信息安全保障能力建设专项资金管理暂行办法》（征求意见稿）中，首次明确将重点基础行业的工业控制系统安全防护产品开发及产业化项目纳入支持范围。种种迹象表明中国政府对工业控制系统的自主、安全、可控高度重视，本文提到的工控系统安全相关的常见误区，可供相关行业企业和厂商在具体实践中参考。