业务讲堂
技术研究
最新文章
工控安全评估服务
作者:UGUARDSEC 发表日期:2021/02/19 来源:原创

一、基本概念


工业控制系统广泛应用于工业、电力、能源、交通运输、水利、公用事业和生产企业,被控对象的范围包括生产过程、机械装置、交通工具、实验装置、仪器仪表、家庭生活设施、家用电器等。它通过对工作过程进行自动化监测、指挥、控制和调节,保证工业设施的正常运转,是国家关键基础设施和信息系统的重要组成部分。


工业控制系统在最初发展的几十年里是完全独立的,与企业管理系统是隔离的。随着工业信息化进程的快速推进,信息、网络以及物联网技术在智能电网、智能交通、工业生产系统等工业控制领域得到了广泛的应用,极大地提高了企业的综合效益。为实现系统间的协同和信息分享,工业控制系统也逐渐打破了以往的封闭性:采用标准、通用的通信协议及硬软件系统,甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中。这使得工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁,而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中,一旦安全事故发生,其造成的社会影响和经济损失会更为严重。出于政治、军事、经济、信仰等诸多目的,敌对的国家、势力以及恐怖犯罪分子都可能把工业控制系统作为达成其目的的攻击目标。


工业控制系统分为过程层(设备层)、间隔层、站控层。过程层(设备层)包含由一次设备和智能组件构成的智能设备、合并单元和智能终端。


工控安全评估是采用先进的安全评估工具,以国际及国家层面工控安全要求为依据,对工业控制系统内应用承载平台、应用系统、工控协议及网络环境从管理和技术角度进行全面安全风险管理的过程。


二、服务的必要性


威胁持续升温

工业控制网络/系统面临的威胁是多样化的:一方面,敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等对系统虎视眈眈。国家关键基础设施所依赖的很多重要信息系统并非为当前复杂的网络环境所设计,其技术特征有别于传统IT系统;同时国家也缺乏针对工业系统威胁有针对性的安全事件,针对工业网络威胁的消除手段和工具有限,导致安全工作相对于外部威胁环境相对滞后;另一方面,系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对ICS造成破坏。在现代计算机和网络技术融合进ICS后,传统TCP/IP网络上常见的安全问题已经纷纷出现在ICS之上。例如,用户可以随意安装、运行各类应用软件、访问各类网站信息,这类行为不仅影响工作效率、浪费系统资源,而且还是病毒、木马等恶意代码进入系统的主要原因和途径。


尽管工业控制网络以及SCADA系统相对于传统IT网络更加封闭,但当上述威胁源将以APT(高级持续威胁)的形式出现时,由于其具有强大的渗透能力和隐蔽性,其内部的HMIPLC以及其通信协议(如IEC 61850)的脆弱性也将暴露在其面前,并且最终成为主要受攻击面(attack surface)。


脆弱性亟待解决

工业控制系统建设重视可用性及功能性,建设初期较少考虑信息安全风险。因此,从网络架构设计到后期的系统集成、上线及运维方面都缺少必要的安全防护考虑。导致,操作系统及漏洞长久存在并且无有效的解决方案;安全配置处处存在缺陷,弱口令及默认口令成为最容易也是危害最大的风险点;网络层面缺少必要的漏洞发现、威胁检测及高风险操作行为的审计手段。综上所述,可通过安全评估服务发现存在安全风险并进行必要的风险处置,提高工业控制系统安全水平。


三、服务范围


工业控制系统安全评估主要针对厂站环境,以资产、威胁及脆弱性三个视角开展。包括技术和管理两个层面。管理层面主要包括管理制度的完备性、可行性及落地性进行评估;技术从三层三网的网络架构出发,覆盖应用承载平台、应用系统、网络架构、工控协议及现有安全控制措施等方面。


四、服务内容


工业控制系统安全评估的总体实施过程分为计划准备、现场实施、整理分析、交付收结四个阶段。


工控安全评估服务


五、服务流程


下图描述了对于一个独立工业控制系统安全评估项目的总体流程。需注意,在现场实施阶段,针对技术性的评估,包括威胁分析和脆弱性评估。脆弱性评估包括传统评估方法:漏洞扫描、配置检查、网络架构分析及渗透测试。也包括针对工控协议开展的工控协议测试。虽然采用传统的评估方法,但测试对象不仅仅包括传统操作系统、数据库、常见服务,也包括工控嵌入式操作系统及系统承载的应用。


工控安全评估服务



   天磊卫士通过多年专业网络安全运维服务经验积累,推出了自主研发的一体化安全运维服务平台,配合专业服务人员,对三大风险要素(资产、脆弱性、威胁)进行管理,为客户提供以“等保合规”为基本要求、以“服务可视”为交付效果、以“安全价值”为服务宗旨,以“安全结果”为最终导向的新一代网络安全运维服务。


上一篇:浅谈网络架构分析
下一篇:恶意代码排查服务