笔者在和工业领域各行业客户做咨询交流的时间,,�,,�,,�,他们通�;;�;�;;;嵛实揭桓鑫侍饩褪牵骸918博天堂工控系统已经和互联网隔离了,,�,,�,,�,自己就是一个孤岛,,�,,�,,�,任何数据和信息都进不来,,�,,�,,�,为什么还要举行网络清静建设呢�??�?�??�??”那么,,�,,�,,�,笔者对客户的这个疑问通过以下几点做出诠释,,�,,�,,�,见告列位与互联网隔离的工控系统并不清静。�。�。
一、WIFI无线毗连买通工业系统和互联网通道
现在918博天堂手机都可以上网,,�,,�,,�,基本每小我私家的手机网络都是24小时开着,,�,,�,,�,没电的时间会通过电脑U口或者电源敌手机举行充电,,�,,�,,�,而在工业现场保存这么一种情形,,�,,�,,�,就是调理职员或者运维职员会将手机插到现场工控机U口上举行充电,,�,,�,,�,同时边充电还边通过手机上网,,�,,�,,�,这就直接导致原来是隔离状态的工控系统通过手机和互联网买通了,,�,,�,,�,互联网的一些病毒也会通过手机传入工业现场的工控主机,,�,,�,,�,进而在整个工控网络中举行撒播。�。�。如下图所示:
病毒潜入流程图
美国塔尔萨大学专门举行过针对风电场的渗透测试,,�,,�,,�,渗透测试的第一步就是通过物理清静上的误差,,�,,�,,�,将小型WIFI装备接入控制系统中实现攻击风电场的目的。�。�。相关的攻击细节笔者不在这里叙述,,�,,�,,�,读者可搜索清静牛宣布的文章《黑客入侵风力发电厂全历程》去相识攻击的整个历程。�。�。
现在针对该问题有以下解决计划:
对U口通过物理方法或者软件举行管控,,�,,�,,�,榨取外设接入U口�;;�;�;;;
安排无线防护装备对无线信号举行防护�;;�;�;;;
对主机接纳白名单的方法举行防护。�。�。
二、通过远程维护买通工业系统和互联网通道
一样平常工业现场泛起问题,,�,,�,,�,现场职员又处置惩罚不了的情形下,,�,,�,,�,客户一样平常会接纳接纳两种步伐:
(1)、请工程师来现场处置惩罚�;;�;�;;;
(2)、若是工程师来不了现场�。�。�,,�,,�,那么就只能通过远程让工程师处置惩罚。�。�。
第1种情形我们不在这里讨论,,�,,�,,�,重点是第2种情形,,�,,�,,�,远程处置惩罚现场问题在工业现场经常保存。�。�。在与互联网隔离的工业系统中一样平常通过什么方法远程运维呢�??�?�??�??一样平常会通过以下方法解决:
通过WIFI热门毗连有问题的电脑,,�,,�,,�,在开启远程控制软件举行远程操作处置惩罚�;;�;�;;;
通过能上网的交流机毗连有问题的电脑,,�,,�,,�,开启远程控制软件举行远程操作处置惩罚。�。�。
现场通过私接交流机来实现上网
以上方法关于工业控制系统都是很危险的,,�,,�,,�,首先要泛起问题的电脑上网就已经买通了工业控制系统和互联网的毗连�;;�;�;;;其次纯粹通过远程控制软件对现场电脑举行操作,,�,,�,,�,没步伐对远程维护职员举行身份认证,,�,,�,,�,无法纪录操作行动,,�,,�,,�,一旦泛起事故无法追责。�。�。
以是我们在现场遇到问题的时间,,�,,�,,�,优先思量请工程师来现场处置惩罚问题,,�,,�,,�,若是一旦工程师无法实时赶到现场�。�。�,,�,,�,那么我们只能通过远程运维的方法解决,,�,,�,,�,这时间我们需要在工控系统中安排一台工控运维系统就可以解决远程运维时的网络清静问题,,�,,�,,�,安排示意图如下:
工控运维系统安排示意图
该系统主要可以实现以下功效:
支持对工业协议(如OPC、Modbus等)的剖析,,�,,�,,�,从而可实现工控指令的审计�;;�;�;;;
安排无邪,,�,,�,,�,即插即用,,�,,�,,�,利便针对性的举行装备远程运维�;;�;�;;;
能够清静隔离运维装备与被运维装备,,�,,�,,�,避免运维装备异常行为与恶意代码不会扩散到工业控制系统,,�,,�,,�,包管工业控制系统的清静�;;�;�;;;
对工控组态监控软件举行监控纪录,,�,,�,,�,支持包括海内外主流工控系统厂商�;;�;�;;;
运维职员的身份收罗和身份认证,,�,,�,,�,全程纪录运维数据。�。�。
三、企业信息化的生长,,�,,�,,�,ERP系统需要从生产网取数据
随着工业化和信息化的生长,,�,,�,,�,各大工业企业、能源企业都在举行响应的信息化建设,,�,,�,,�,各个行业也陆陆续续完成了工业系统的升级和刷新,,�,,�,,�,逐步形成了:数字化矿山、智慧电力、智慧油田、智能制造等先进的生产手艺。�。�。而这些先进生产手艺的完成,,�,,�,,�,进而带来的就是网络清静问题,,�,,�,,�,企业信息化架构如下图所示:
系统架构图
信息化的建设将生产网和治理网之间的链路买通,,�,,�,,�,这样治理网就可以从生产网中读取数据,,�,,�,,�,举行剖析以便高层决议,,�,,�,,�,治理网将决议好的信息通过网络转达给生产网便于执行,,�,,�,,�,提高了整体生产效率。�。�。可是若是治理网熏染病毒和恶意代码,,�,,�,,�,那么在数据转达历程中很有可能就被带入生产层。�。�。
例如:2017年某大型能源企业因效劳器是双网卡设置,,�,,�,,�,划分毗连生产网和治理网,,�,,�,,�,并没有任何防护设施,,�,,�,,�,效果导致熏染勒索病毒,,�,,�,,�,并波及到生产网,,�,,�,,�,对整个企业造成了一定的经济损失。�。�。如下图:
现场熏染勒索病毒的效劳器
解决该问题的步伐就是在治理网和生产网之间安排工业防火墙来实现生产和治理的隔离。�。�。安排如下图所示:
工业防火墙安排示意图
四、生产网内部使用U盘举行数据拷贝传输
我们知道U盘是撒播病毒的主要介质,,�,,�,,�,而工业现场使用U盘的频率也很是高,,�,,�,,�,经常通过U盘来举行数据拷贝,,�,,�,,�,虽然有些现场通过封条封堵方法将U口举行封堵,,�,,�,,�,可是形同虚设,,�,,�,,�,事情职员在需要U口的时间,,�,,�,,�,会撕下封条,,�,,�,,�,在用完后重新封上封条。�。�。
现场主机大宗U盘插拔纪录
解决的最好要领就是通过主机防护软件对电脑接口举行管控,,�,,�,,�,同时在数据转达的时间使用专用的清静U盘举行数据拷贝和转达。�。�。
五、生产内部治理不善,,�,,�,,�,导致主要数据信息泄露或丧失
现在工控领域信息清静治理制度不完善,,�,,�,,�,缺少主要的信息清静岗位、缺少职员的信息清静意识培训,,�,,�,,�,粘贴密码和弱密码征象普遍,,�,,�,,�,如下图所示:
现场发明粘贴系统密码
缺少按期的误差扫描,,�,,�,,�,不掌握自身系统的危害,,�,,�,,�,无法形貌系统的清静状态。�。�。
以上清静治理方面的缺失都会导致员工清静意识缺乏,,�,,�,,�,现场主要数据丧失或者被盗走,,�,,�,,�,主要的控制程序落入竞争敌手或者黑客手中加以使用等。�。�。
解决上述问题,,�,,�,,�,不但通过制订清静治理制度就能够实现的,,�,,�,,�,还需要按期举行危害评估,,�,,�,,�,员工清静意识宣贯,,�,,�,,�,通过海内外爆发的清静事务总结履历教训,,�,,�,,�,一直更新迭代清静制度和应急预案。�。�。总体来说,,�,,�,,�,清静治理的形成是一个恒久作育的历程。�。�。
六、结论
综上所述,,�,,�,,�,与互联网隔离的工控系统同样需要增强网络清静建设,,�,,�,,�,而网络清静建设并非只是安排几台清静装备,,�,,�,,�,设置一些清静战略所能解决的。�。�。需要参照国家公布的标准和执律例则,,�,,�,,�,通过清静手艺和清静治理两种手段,,�,,�,,�,增强职员清静意识培训等多种方法,,�,,�,,�,系统化的周全妄想才华更好的包管工业系统的网络清静,,�,,�,,�,�;;�;�;;;ず梦夜囊∩枋�。�。
(泉源:FreeBuf,,�,,�,,�,本文作者:liujianshuai)
京公网安备11010802024551号