从2010年针对伊朗核工厂的Stuxnet病毒,到2014年席卷欧洲的Havex病毒,针对工业控制系统的网络攻击就越演越烈,工业控制系统迫切需要获得安全性防水。那么,把传统信息安全产品如防火墙、反病毒软件、IDS/IPS,部署到工业控制系统中是不是就能解决问题其信息安全问题呢?答案是无法! 实践证明传统信息安全产品无法解决问题工业控制系统的安全性问题 我们在现场调研时找到,一些工业控制系统的网络中,早已有部署传统的防火墙产品,在工作站上也有加装杀毒软件产品。但是,传统的防火墙在维护OPC服务器时,由于不反对OPC协议的动态端口对外开放,被迫容许OPC客户端和OPC服务器之间大范围内的给定端口号的TCP相连,因此防火墙获取的安全性确保被降到低于,从而很更容易受到恶意软件和其他安全性威胁的反击。
而反病毒软件,一般来说因得到及时改版,造成丧失了对主流病毒、恶意代码的防水能力。现场调研的另一个找到,是工业控制系统的系统漏洞,无法像IT系统一样,获得及时的漏洞修缮,大量漏洞长期存在。 综上所述,传统信息安全产品(如防火墙、反病毒软件)及传统信息安全的管理方法(如漏洞及时修缮)并不限于于工业控制系统,无法解决问题其信息安全问题。
为什么传统信息安全产品/方法呼吸困难用作工业控制系统 传统信息安全产品/方法呼吸困难用作工业控制系统,是由于工业控制系统相对于IT信息系统的有其独有差异性,而传统信息安全产品是针对IT信息系统的市场需求研发的。工业控制系统相对于IT信息系统的差异,在信息安全市场需求方面主要有以下反映: 1)工业控制系统以可用性为第一安全性市场需求,而IT信息系统以机密性为第一安全性市场需求。
在信息安全的三个属性(机密性、完整性、可用性)中,IT信息系统的优先顺序是机密性、完整性、可用性,而工业控制系统则是可用性、完整性、机密性。这一差异,造成工业控制系统中的信息安全产品,必需从软硬件设计上超过更高的可靠性,例如硬件拒绝无风扇设计(风扇平均值无故障时间将近3年)。
另外,造成传统信息安全产品的故障重开原则如防火墙故障则插入内外网的网络连接,呼吸困难用作工业控制系统,工业控制系统的市场需求是防火墙故障时确保网络通畅。
本文来源:博鱼体育-www.dstuye.com
Copyright © 2001-2021 www.dstuye.com. 博鱼体育科技 版权所有 备案号:ICP备19956479号-4
