去年6月,工業和信息化部網站公佈了《工業互聯網發展行動計劃(2018-2020年)》,預示著我國工業信息安全產業發展進入“快車道”。國內越來越多的安全企業從傳統網絡安全業務切入到工控安全市場,但工控安全和傳統的網絡安全在安全需求、安全防護技術等方面還是有很大差異的,無論是網絡安全廠商還是從業人員,都不能用傳統網絡安全防護思路解決工控安全問題。
今日份的乾貨,就和e小安一起了解二者區別,做好職業技能的儲備。
安全需求
工業控制系統以“可用性”為第一安全需求,而傳統安全以“機密性”為第一安全需求。在信息安全的三個屬性(機密性、完整性、可用性)中,傳統安全的優先順序是機密性、完整性、可用性,而工業控制系統則是可用性、完整性、機密性。這一差異,導致工業控制系統中的信息安全產品,必須從軟硬件設計上達到更高的可靠性,例如硬件要求無風扇設計(風扇平均無故障時間不到3年)。另外,導致傳統信息安全產品的“故障關閉”原則如防火牆故障則斷開內外網的網絡連接,不適用於工業控制系統,工業控制系統的需求是防火牆故障時保證網絡暢通。
防護目標區別
工控安全
■ 在不利條件下維護生產系統功能正常可用
■ 確保信息實時下發傳遞
■ 防範外部、內部的網絡攻擊
■ 保護工控系統免受病毒等惡意代碼的侵襲
■ 避免工控系統遭受有意無意的違規操作
■ 安全事件發生後能迅速定位找出問題根源
傳統安全
■ 在不利條件下保證不出現信息洩露
■ 保護信息資產的完整性
■ 基本不考慮信息傳遞實時性
■ 防範外部、內部的網絡攻擊
■ 保護信息系統免受病毒等惡意代碼的侵襲
■ 安全事件發生後能迅速定位找出問題根源
網絡架構區別
工控安全
■ 網絡複雜,多種網絡混合,包含有線、無線、衛星通信、無線電通信、移動通訊等
■ 通信協議複雜,包含很多專用通訊協議及私有協議
■ 設備複雜,網絡設備、主機設備、防護設備、控制設備、現場設備種類繁多
傳統安全
■ 網絡相對簡單,多為有線、無線
■ 標準TCP/IP通信協議
■ 設備類型相對簡單,網絡設備、主機設備、防護設備為主
數據傳輸區別
工控安全
■ 實時性要求高,不允許延遲
■ 基本無加密認證機制
■ 指令、組態、採集數據為主
■ 流向明確基本無交叉
傳統安全
■ 實時性要求不高,允許延遲
■ 加密認證防護
■ 文件、郵件、即時消息為主
■ 數據交叉傳輸
運行環境區別
工控安全
■ 網絡相對隔離,不聯互聯網
■ 操作系統老舊,很少更新補丁
■ 基本不安裝殺毒軟件
■ 專用軟件為主,類型數量不多
■ 信息交互通過多通過U盤實現
■ 安全漏洞較多,易受攻擊
傳統安全
■ 網絡與互聯網相通
■ 操作系統新,頻繁更新補丁
■ 殺毒軟件是標配
■ 辦公軟件為主,類型數量繁多
■ 信息交互多通過網絡實現
■ 安全漏洞較少,防護措施完善
物理環境區別
工控安全
■ 一般無機房,直接部署在生產環境
■ 無專用散熱裝備
■ 環境條件惡劣,高溫、高溼、粉塵大、振動、酸鹼腐蝕等
■ 基本無監控、登記管理措施
傳統安全
■ 配有專用機房,統一放置設備
■ 配有空調
■ 環境條件優良,溫溼度基本恆定,灰塵小,無振動,無腐蝕性
■ 配有防盜門、視頻監控、出入登記等
防護軟件區別
工控安全
■ 工業級設計,全密封
■ RISC架構,功耗低
■ 自身散熱,寬溫工作
■ 時延100us以下
■ 標配Bypass機制
■ 深度識別工業協議
■ 使用壽命15—20年
傳統安全
■ 基本無三防設計
■ X86架構,功耗高
■ 風扇散熱,溫度範圍有限
■ 時延毫秒級以上
■ Bypass機制非標配
■ 基本不支持工業協議
■ 使用壽命5—8年
防護軟件區別
工控安全
■ 白名單機制
■ 不需要升級庫和補丁
■ 操作系統加固
■ 抵禦已知未知病毒
■ 具備自我保護能力
■ 運行佔用資源少
■ 支持老舊系統
傳統安全
■ 黑名單機制
■ 需頻繁升級庫和補丁
■ 不加固操作系統
■ 防範已知病毒
■ 缺少自我保護
■ 支持新版系統
■ 運行比較耗資源
管理維護區別
工控安全
■ 管理制度不完善甚至缺失
■ 缺乏專業技術人員
■ 設備維護依賴提供商
■ 政策標準文件不完善
傳統安全
■ 管理制度比較完善
■ 配備專業維護技術人員
■ 能夠實現自我維護
■ 標準政策文件完整
工業控制系統大多和生產製造、基礎設施有關,關乎著國家重大基礎設施的運行穩定與否。當下,隨著萬物互聯不斷深入,威脅面不斷加大,以往封閉環境下的漏洞將會被不斷放大利用,總體風險將呈幾何級增加,因此安全防禦不可小覷。梳理工控安全與傳統安全的區別,促進工控安全防護工作的高效開展。
關注e安在線,瞭解更多工業互聯網安全乾貨~
閱讀更多 e安教育 的文章
