【专家博客】Jeff Smith的实用SCADA安全理念
- 关键词:SCADA安全,百通品牌,多芬诺,工业信息安全解决方案
本文作者HeatherMacKenzie,最初发表于2013年12月17日。由青岛多芬诺信息安全技术有限公司进行采编和整理,转载请注明出处。 博客正文: 美国轮轴与制造公司(AAM)的Jeff Smith是工业以太网网络和ICS(工业控制系统)安全领域的权威。我们很荣幸地邀请他出席2013百通工业以太网基础设施设计研讨会并发表演讲。 在之前的一篇博客中,我概括了AAM公司选择以太网/IP通信的原因,以及他们怎样执行最佳实践,例如规范化网络分区配置。今天我将介绍Jeff的ICS安全策略。 Jeff曾经公开发表言论称没有人会在安全上花费金钱。然而现在,他发觉自己看错了问题的角度。人们应当关心的是:“我需要花费多少金钱才能在面临如此风险的情况下感到安心?” 为解决这一问题,Jeff建议先评估一下自身目前的安全性水平,然后确定出提高安全性水平的目标。 Jeff Smit表示最终用户和供应商们现在不能再和以前一样,每次提起ICS安全就如同面对10吨重的大象 确定你的ICS安全优先区域 在AAM的实例中,他们划分出了以下四个优先区域: 1. 保护制造网络(以太网/IP协议)网络免受企业(非信任)网络的影响。 2. 保障企业从内部外部提供安全可靠的远程支持的能力不受侵害。 3. 控制并跟踪供应商连接入制造控制系统的动向——这是最大的挑战! 4. 采取以下方式保护制造商网络免受来自PC机的恶意攻击: a. 从控制网络中移除该PC机,并将其合理安置在企业网络中。 b. 将网络边界的PC机隔离并安装具备深度包检测和VPN能力的防火墙,从而将其与控制网络连网。 Jeff的这一图解强调了他对此问题的看法。对AAM来说,这一策略(包括移除能够使PC机连入现场总线的NIC)能够阻止双宿主机器的干扰。 在确定好你的优先对象后,你就需要执行解决方案了。在演讲中,Jeff演示了AAM的远程连接系统,并展示了AAM的标准网络图。 Jeff对ICS安全的深入思考 在Jeff的演讲中我最看好的一点是他强调出对ICS安全要有恰当的认识。他幽默地引用SNL出版的《与Jack Handey一起深入思考》的说法将此也称之为“深入思考”,并且他指出这些想法对最终用户、供应商及集成商等组织都适用。以下列示了部分: 大部分企业都已经不需要一个“10吨安全模型”——那种包含复杂的缩略术语和很多安全“物件”的策略了。供应商也应该停止用这样的方式谈论安全,而且最终用户也不应该就这样什么都不做。而应该评估用户的需求,并围绕这些需求进行讨论。 强化基础。提高安全的第一步是“修复”你的控制系统以太网策略,然后再使它更加安全。(对此如果您需要帮助,那么百通公司可以提供适当的解决方案) 应从管理组织的角度出发解决安全问题。例如,在企业界,安全防护已是一项成熟的规范运作。但在以太网为基础的现场总线界,安全才刚刚引起管理组织的注意。而且ICS安全也还处于起步阶段。 因此不要去跟控制工程师们讨论关于以太网的太过宽泛的话题,缩小范围至跟他们切身相关的。 要记住很多工程师并没有以太网为基础的控制网络的工作经验。与此同时,企业的培训经费也很紧张。这些都导致了员工们只能在工作中学习,即使工作中技术变更的进程缓慢。因此,请为他们提供帮助。 面对以太网挑战的工程师们,你对“从传统的现场总线X向以太网现场总线转变”的工程计划是什么样的?这是你马上就要面临的问题……所以,行动起来吧! 要记住“控制工程师们可以做控制相关的事情”,而且应该考虑一下把精力投注在提高自己实施安全防护解决方案的相关技能上 不要忽略那些来自内部的有意或无意的网络攻击。 同样要考虑入侵检测和快速恢复。要成功阻止每一次攻击是很困难的,因此你需要制定一个在遭受攻击后能迅速恢复的计划。 将这些深入想法付诸实践 如果你有足够的资金,那么用可管理的开关替换掉那些无法管理的。 增加ICS安全应用。他们应该: l 易于配置 l 易于重复应用和部署 l 应专门针对具有较长生命周期的控制设备而设计 l 不需要过多的IT知识来辅助使用 l 即使线路在凌晨两点出现故障也不需要IT人员来帮忙 保持它的实用性 当你听Jeff讲起他的安全理念,似乎都是非常直接和实用的。在你面对现实中学习新技术的挑战时也要记住这两点,这能让你更好地完成工作,改变你做事情的方式,也将引领你的企业向正确的航向前进。 要一直牢记的是安全防护工作不应该太复杂。如Jeff所言: “我们需要做一些事情,今天一小步明天一大步。最后一次性解决这项大问题。”