广州尧顺信息科技有限公司

 公司热线:13560099278

                 020-28101466

N

公司动态

news

大型制造业公司的供血系统—车间产线安全|科技创新型企业专刊·安全村
来源:Sean SecUN安全村 | 作者:pmodac4c0 | 发布时间: 2022-09-06 | 5972 次浏览 | 分享到:
综上所述,我们在做工控安全或产线机台安全时必须要考虑多方面的因素。现在很多不懂安全的一直都以为我们安全人员虚张声势,哪有这么复杂。~~不止不懂IT的,就是懂IT的也是这种思维方式,这也是中国目前信息安全建设的一大悲哀。曾经听几个网络工程师与系统工程师和我讨论过产线安全,说产线安全不就那么回事吗?漏洞扫描没有发现漏洞、补丁更新到*新状态、装上杀毒软件就可以了,你们想得也太复杂了。听到这里我内心是悲凉的,为什么这些人的思维都是这样的。听到这话我也只能默默地走开。但是在这篇文章我还是表明,产线的安全不是漏洞扫描、也不是打补丁、更不是防病毒。这三者结合起来都不是完整的产线安全闭环。

第四章 产线安全三大误区



产线安全≠漏洞扫描


漏洞扫描是指基于漏洞数据库,通过扫描等手段对指定的远程或者本地计算机系统的安全脆弱性进行检测,发现可利用的漏洞的一种安全检测(渗透攻击)行为。

生产设备由于长期忽视信息安全设计,存在应对攻击数据包能力低下,协议栈不健全等问题,漏洞扫描会直接导致设备崩溃,影响实际生产。

不要说漏洞扫描对产线的影响了,就说漏洞扫描对日常业务系统的影响吧,公司一个刚毕业参加工作的安全工程师,从网上下载了一个Nessus对业务系统进行漏洞扫描,结果把业务系统的中间件硬生生搞挂了,还不承认是Nessus自带的弱口令探测造成的。*后一大群人对服务器进行分析,当拿出扫描探针的组件与IP地址时,这个小伙不说话了,反而还很委屈地说弄了大半天才弄好的漏洞扫描系统,没想到会出现这种情况。这就是败在缺少工作经验上面。安全工作就要保持心有猛虎细嗅蔷薇的心态,还要胸中有沟壑,不动亦如虎的心理素质。


产线安全≠打补丁


给生产设备打补丁是个很困难的事。生产网常常担负着企业*重要的生产流程,而停掉这些流程往往会产生巨大的成本以及运营风险。因此,集中式的自动化的补丁管理系统是不存在的。几乎所有的生产网补丁都必须手动下载并安装。而且很多情况下,只能由供应商认证的技术人员进行安装。大家记住哦,这是甩锅的大好时机。

产线安全≠防病毒
防病毒软件在长年不更新病毒库的生产网内的实际作用非常有限,老旧的病毒库无法抵御新型病毒的攻击;安装防病毒软件只是自欺欺人的一厢情愿罢了。同时还大量占用生产设备的计算机资源,但又不能不管这些设备。


针对这三大误区咋办啊??这也就是我们日常所说的传统安全产品解决不了产线安全的问题。因为二者之间不仅存在着很大差异,还存着很多矛盾。比如:

  1. 可用性和机密的矛盾,生产系统“可用性”**,而IT信息系统以“机密性”**;从而要求安全产品的软硬件重新设计;例如:系统fail-to-open。
  2. 升级和兼容性的矛盾,生产系统不能接受频繁的升级更新操作,依赖黑名单库的信息安全产品(例如:反病毒软件,IDS/IPS)不适用。
  3. 协议解析的矛盾,生产系统基于工业控制协议(例如,OPC、Modbus、DNP3、S7等),传统安全产品仅支持IT通信协议(例如,HTTP、FTP),不支持工业控制协议。
  4. 延时敏感的矛盾,生产系统对报文时延很敏感,而IT信息系统通常强调高吞吐量,工控安全产品,必须从硬件选型、软件架构设计上保证低时延。
  5. 硬件要求的矛盾,生产系统的工业现场环境恶劣(如,野外零下几十度的低温、潮湿),按照工业现场环境的要求专门设计硬件,做到全密闭、无风扇,支持﹣40℃~70℃等。IDC就不一样了,保证恒温、恒湿、达成通信要求就可以了。