ICS(工業控制系統,Industrial Control Systems)網路最近的新聞鬧得很大。因為出現了一連串的弱點、熱門入侵外洩事件以及其他各種安全上的問題。
ICS網路的定義是由各個在機電組件上控制和提供自動測量資料的元件所組合成的網路或網路集合。這些機電組件包括閥門、調節器、開關和其他機電設備,你可以在各種產業裡看到它們,像是石化與天然氣、自來水處理、環境控制、發電和配電、製造業、運輸業以及許多其他產業別。
這裡並不需要深入探討各個特定產業,這些ICS應用環境都有一個共同特色,就是它們並不是「傳統」的IT網路環境,也不該被同等對待。而大多數ICS網路也因為它們的獨特性質而面對相同的安全問題。這些問題因為ICS元件和實體工業組件互動而變得更加複雜。
如果不能妥善地控制或限制這些元件的存取可能會導致災難性的事故。許多這些元件所管理的工業系統被認為是「關鍵基礎設施(CI,Critical Infrastructure)」,被要求使用比傳統IT環境更特製化的安全架構。
監視控制和資料擷取(Supervisory Control and Data Acquisition,SCADA)網路可以被定義為網路層,提供ICS網路和控制監視ICS網路元件的主機系統介面。
SCADA / ICS網路和其他網路不同處只在於網路元件、管理平台和靈敏度。它們所會面對的一切都和其他網路上會遇到的威脅完全一樣,但可能會出現更災難性的後果。
SCADA / ICS安全最大的問題是,ICS社群(大部分人)多年來都生活在「泡泡」裡 – 他們使用專有協定,特製和專有平台。專用低速通訊基礎設施(有些甚至是用撥號網路),並完全和其他網路分隔開(如網際網路)。
現在,SCADA / ICS社群正努力解決使用一般商業化硬體和軟體(如微軟作業系統)以及連接其他外部網路(企業網路,最終可能是網際網路)所帶來的安全問題,還有混亂而失控的弱點披露制度(ICS的弱點也是攻擊的目標),跟許多其他一般IT安全產業已經面對多年的問題。
是的,有些ICS網路營運商已經落後於時代潮流了。是的,有些已經要被這些狀況給擊倒了。但整體來說,SCADA / ICS社群正加緊地提昇他們的安全狀態。
我整理出一份技術說明白皮書 – 「讓工業控制系統邁向更安全的狀態」,簡單扼要地討論這有利於這環境的一些基本安全架構元件。
這報告介紹了我相信在每個 ICS網路整合時都必須考慮的元件。還包括了跟 SCADA和現行組織網路整合時的最佳實踐作法,以及每個建議架構元件的說明。它的目標並不是成為完整的ICS / SCADA安全指南,而只是以宏觀角度來提出在佈署ICS時,能增加安全狀態的一些基本架構元件。
@原文出處:Towards A More Secure Industrial Control Systems Security Posture
TMMS 3.75 Stars in PC World AU
手機防毒不可不知 (蘋果動新聞 有影片)