當前位置：首頁 >互聯(lián)網?IT > 安全 > 網絡威脅 > 正文

物聯(lián)網時代的SCADA網絡安全威脅

來源：CEC ：Ed Nugent 2017-05-08 09:08:55

時下對于物聯(lián)網(IoT)以及與之密切相關的工業(yè)物聯(lián)網(IIoT)或者工業(yè)4.0之間的網絡連接的關注，為數據聚合戰(zhàn)略和態(tài)勢感知帶來了巨大的潛在好處。如果IIoT裝置使用互聯(lián)網協(xié)議(IP)，將增加暴露在網絡威脅下的機會。

隨著工業(yè)物聯(lián)網(IIoT)得到更多的關注和應用，監(jiān)控與數據采集(SCAD)系統(tǒng)的傳統(tǒng)角色正在發(fā)生改變。SCADA系需要適應這種變化。

監(jiān)控和數據采集(SCADA)系統(tǒng)以及包括人機界面(HMI)、樓宇管理系統(tǒng)(BMS)、制造執(zhí)行系統(tǒng)(MES)和計算機維護管理系統(tǒng)(CMMS)等在內的范圍更大的工業(yè)控制系統(tǒng)(ICS)都是專有的技術，通常來說都會與企業(yè)信息技術(IT)基礎設施隔離開來。這些系統(tǒng)最初并不是為網絡安全設計的。

ICS傳統(tǒng)的控制和安全的角色已經擴展到包括為工廠和過程提供信息，或對來自ERP以及其他企業(yè)系統(tǒng)的指令做出響應。根據國家基礎設施保護中心的關于“確保安全轉移至基于IP的SCADA/PLC網絡”的規(guī)定，這會讓ICS系統(tǒng)面臨潛在的網絡威脅。

IIoT的變革打亂了傳統(tǒng)控制室的角色，使其朝用于監(jiān)視和控制功能的可移動裝置轉化方向變化。例如，正在出現的具有IIoT功能的ICS的情境式HMI組件，為生產和維護單位提供了產能方面的提升，同時擴展了ICS的應用領域。然而，它也擴大了網絡威脅管理的范圍。

<a href=http://www.90chu.com/index.php?m=content&c=index&a=infolist&typeid=1&siteid=1&type=keyword&serachType=2&key=%E7%89%A9%E8%81%94%E7%BD%91 style='color:#57A306' target='_blank'>物聯(lián)網</a>時代的SCADA網絡<a href=http://www.90chu.com/index.php?m=content&c=index&a=infolist&typeid=1&siteid=1&type=keyword&serachType=2&key=%E5%AE%89%E5%85%A8 style='color:#57A306' target='_blank'>安全</a>威脅

NIST的網絡安全支柱有四個元素：識別、保護、檢測和應對。

網絡安全的支柱

現代的ICS平臺供應商將網絡風險和彈性管理納入到ISO9001質量流程中去用于研發(fā)和生產。其目的是讓內部和外部上報的漏洞做到透明管理，并快速采取行動，盡可能減少給客戶造成的風險。

美國國家標準技術研究所(NIST)已經提供了一個架構，對于系統(tǒng)地識別一個機構的重要資產、識別威脅以及確保重要資產安全方面具有非常重要的價值。該架構具有四個元素：識別、保護、檢測以及應對。

識別與鑒別

資產和數據流的詳細清單對于ICS建立正常行為的基準很重要。工業(yè)網絡可以很大很復雜，而工業(yè)協(xié)議又有別于企業(yè)IT網絡所用的協(xié)議。使用簡單網絡管理協(xié)議(SNMP)對網絡設備進行尋址和監(jiān)控的自動化工具提高了詳細清單的效率和精確性。

控制系統(tǒng)感知的清單和監(jiān)控工具是建立可靠的ICS基準的重要因素。使用可以為ICS、PLC以及其他控制元素之間通訊建立起基準模板的技術來監(jiān)控ICS是至關重要的。理想中的這個系統(tǒng)應該可以做到：

·使用無源傳感器從網絡數據流中提取元數據;

·動態(tài)地建立組件的視覺清單以及連接圖;

·學習ICS并為正常的運行提供統(tǒng)計學以及行為方面的描述;

·推薦預防性行為;

·根據需要啟動應急響應。

IIoT裝置通常使用無線技術進行通訊。通用IT網絡與ICS網絡之間的區(qū)別是使用靜態(tài)IP。隨著工業(yè)網絡變化得與更廣泛的互聯(lián)網連在一起，健康監(jiān)控系統(tǒng)會尋找變化的或者重復的IP和MAC地址、設備或電纜移動以及未經授權的連接。增加了通過具有動態(tài)IP連接的無線接入點所連接的移動式傳感器，整個環(huán)境會變得更加復雜。

保護正在消融的邊界

在最近舉行的一次技術峰會上，Centrify公司區(qū)域經理Mike Ratte討論了當今的網絡安全境況。“我們需要識別是新的邊界”，他指出，幾乎一半的被攻擊的情況是因為認證不嚴格;黑客將所有級別的用戶都設定為目標，包括享有特權的用戶;基于邊界的傳統(tǒng)的安全措施已經不夠了;應當將安全的基礎建立在基于情境的政策上。這個戰(zhàn)略很適合正在消融的ICS邊界，其已經享受了開放連接帶來的好處，因此也將會受益于企業(yè)安全專業(yè)人士。

據統(tǒng)計，63%的數據外泄涉及安全性弱的、默認的或被盜的密碼，在ICS網絡威脅的排名中認證管理排名靠前。通過被盜的或丟失的移動裝置物理訪問的可能性增加了對強有力的認證管理的需求。工業(yè)網絡通過防火墻、虛擬私人網絡(VPN)以及交換機實現了第一層防護。

ICS供應商必須對配置文件加密、對于異常連接嘗試提供監(jiān)控、使用例如HTTPS的安全協(xié)議、并且提供與微軟動態(tài)目錄整合在一起的高級用戶權限。ICS可以采用強大的識別管理系統(tǒng)。使用動態(tài)目錄作為核心的識別管理資源庫，一個ICS用戶可以通過一個登陸賬號使用所有的應用。

編輯：祁陽陽

關鍵字：網絡安全物聯(lián)網 SCAD