工控网络和普通网络相比有着一些特殊性,主要是工业控制协议、工业数采的使用,工业制造的低延迟要求,工业设备高环境适应性的要求等。因此工控网络的防护需要考虑这些特殊性,比如增加对工业协议的分析访问控制,降低安全设备的延迟等。
进入正题
工控系统在部署时具有设备单元多,地域分布广的特点。其实和普通网络相似的是,工控设备同样具有各种各样的漏洞,并且这些漏洞不易修复。试想一种场景,某电力公司因为其中的 5 台工控设备存在漏洞,需要停止供电数小时进行升级这样的损失对于工业企业来说损失非常大。
[标准的 SCADA 网络]应该是这样的:
" class="BDE_Image" onload="EditorUI.resizeImage(this, 560)" unselectable="on"/>
整个 SCADA 网络中各处部署这不同类型的服务器,或者业务系统等等,所以就要使用各种手段,简单一点就是使用防火墙把生产系统,业务系统,以及工控系统分离开,但是有的企业为了节省成本或者不重视安全问题,会把 SCADA 网络部署成这个鸟样子,并且可以称之为[典型 SCADA 网络]:
那些慵懒的网络管理员会把防火墙的策略改为 ANY<------>ANY,好一点的还会配置一些策略。有的直接把 PLC 接到互联网上! !
从工业设备本身来讲也暴露出相当多的问题,如在工业协议中,使用非加密的设计,从硬件角度来说也不支持加密手段,在传输过程中使用很多层封装的数据,多数基于 TCP/IP 进行封装,并没有专有的协议来传输。使用的应用协议也非常古老,像 modbus 协议从 20 世纪 70 年代至今只有很少的变化。
在工控设备中也经常会开启其他的服务,如: FTP、HTTP、SSH 等等,一旦开启这些服务将会面临弱口令、使用服务自身的漏洞都会导致整个设备被攻击HMI 人机接口:也叫上位机通常都是使用的 windows workstation。应用服务器:通常使用的也是 win 家族的 server 版本。工程师开发软件: 如西门子的 WinCC就是在 windows 平台上开发的,众所周知当年的 Stuxnet 震网病毒就是通过控制WinCC.来破坏整个伊朗核电站的网络的。可编程逻辑控制器(Programmable Logic Controller,PLC)一般使用的是嵌入式操作系统,如 VxWorks、Linux(通常是 BusyBox)、或者其他的 0d crusty RTOS。这些 PLC 需要在网络中才能够接收到上位机对它下达的控制逻辑,并且 PLC 设备的内存可以被任意修改其输入和输出单元。
工控网络面临的问题:
· 大多数基于 windows 的机器都是不安全的
· 供应商必须提供所有补丁
· 系统中的任何改变就,需要一个复杂的商务部流程管理员的心态是只要不坏,就不用去修复
· 许多控制器面临的威胁是人为的疏忽所造成的
综上对于题主所说的“工控网络中有哪些常用的、知名的安全设备?” 这一题来讲,目前国内还没有那些知名的厂商能够生产一种知名的设备。其实纵观全球貌似也没有很好的厂商能够提供一款专门针对工控网络进行防护的设备,更多的是种结合传统的安全设备和安全管理来针对工控网络的解决方案。可能这个话题也是近几年才被重视起来,可能在国内还没有开始引起重视,所以如果说安全设备可能还是有点早。国外倒是有不少的公司能够给出一些相对比较完善的解决方案,但是在 APT 面前,好像也只是增加了一些困难而已,仅仅能够过滤掉一些cracker。
探讨延伸
在上述中有提到工业数采这一名词,江苏深网对于工业数采网关这一产品有所深究并形成自主研发产品,小编就对工业数采这一产品单独做下介绍。
工业数采网关
1、产品概述
工业数采网关是一款用于光伏电站、风电站、变电站现场,集可视化监控、数据采集、图形化分析功能于一体的监控通讯设备。设备采用x64架构、Linux操作系统,支持百万级数据接入、图形化监视、SOE事记录、告警提示、历史数据溯源等。为新能源数据监控、远端采集提供一个高效、经济的解决方案。
2、功能特性
Product features:
· 接入协议: 支持多种协议。
· 转出规约:支持多种协议转出。
· 采集性能:极高的性能,百万数据量采集。
· 图形化监视:支持多种显示方式
· 多国语言: 支持多国语言显示和切换
· 报表展示: 支持SOE、告警事件、发电量等数据的报表导出
感兴趣的小伙伴可点击下列链接,继续深入学习哦!
{链接:https://www.zhihu.com/question/23543572/answer/29493126
来源:知乎}
进入正题
工控系统在部署时具有设备单元多,地域分布广的特点。其实和普通网络相似的是,工控设备同样具有各种各样的漏洞,并且这些漏洞不易修复。试想一种场景,某电力公司因为其中的 5 台工控设备存在漏洞,需要停止供电数小时进行升级这样的损失对于工业企业来说损失非常大。
[标准的 SCADA 网络]应该是这样的:
" class="BDE_Image" onload="EditorUI.resizeImage(this, 560)" unselectable="on"/>
整个 SCADA 网络中各处部署这不同类型的服务器,或者业务系统等等,所以就要使用各种手段,简单一点就是使用防火墙把生产系统,业务系统,以及工控系统分离开,但是有的企业为了节省成本或者不重视安全问题,会把 SCADA 网络部署成这个鸟样子,并且可以称之为[典型 SCADA 网络]:
那些慵懒的网络管理员会把防火墙的策略改为 ANY<------>ANY,好一点的还会配置一些策略。有的直接把 PLC 接到互联网上! !
从工业设备本身来讲也暴露出相当多的问题,如在工业协议中,使用非加密的设计,从硬件角度来说也不支持加密手段,在传输过程中使用很多层封装的数据,多数基于 TCP/IP 进行封装,并没有专有的协议来传输。使用的应用协议也非常古老,像 modbus 协议从 20 世纪 70 年代至今只有很少的变化。
在工控设备中也经常会开启其他的服务,如: FTP、HTTP、SSH 等等,一旦开启这些服务将会面临弱口令、使用服务自身的漏洞都会导致整个设备被攻击HMI 人机接口:也叫上位机通常都是使用的 windows workstation。应用服务器:通常使用的也是 win 家族的 server 版本。工程师开发软件: 如西门子的 WinCC就是在 windows 平台上开发的,众所周知当年的 Stuxnet 震网病毒就是通过控制WinCC.来破坏整个伊朗核电站的网络的。可编程逻辑控制器(Programmable Logic Controller,PLC)一般使用的是嵌入式操作系统,如 VxWorks、Linux(通常是 BusyBox)、或者其他的 0d crusty RTOS。这些 PLC 需要在网络中才能够接收到上位机对它下达的控制逻辑,并且 PLC 设备的内存可以被任意修改其输入和输出单元。
工控网络面临的问题:
· 大多数基于 windows 的机器都是不安全的
· 供应商必须提供所有补丁
· 系统中的任何改变就,需要一个复杂的商务部流程管理员的心态是只要不坏,就不用去修复
· 许多控制器面临的威胁是人为的疏忽所造成的
综上对于题主所说的“工控网络中有哪些常用的、知名的安全设备?” 这一题来讲,目前国内还没有那些知名的厂商能够生产一种知名的设备。其实纵观全球貌似也没有很好的厂商能够提供一款专门针对工控网络进行防护的设备,更多的是种结合传统的安全设备和安全管理来针对工控网络的解决方案。可能这个话题也是近几年才被重视起来,可能在国内还没有开始引起重视,所以如果说安全设备可能还是有点早。国外倒是有不少的公司能够给出一些相对比较完善的解决方案,但是在 APT 面前,好像也只是增加了一些困难而已,仅仅能够过滤掉一些cracker。
探讨延伸
在上述中有提到工业数采这一名词,江苏深网对于工业数采网关这一产品有所深究并形成自主研发产品,小编就对工业数采这一产品单独做下介绍。
工业数采网关
1、产品概述
工业数采网关是一款用于光伏电站、风电站、变电站现场,集可视化监控、数据采集、图形化分析功能于一体的监控通讯设备。设备采用x64架构、Linux操作系统,支持百万级数据接入、图形化监视、SOE事记录、告警提示、历史数据溯源等。为新能源数据监控、远端采集提供一个高效、经济的解决方案。
2、功能特性
Product features:
· 接入协议: 支持多种协议。
· 转出规约:支持多种协议转出。
· 采集性能:极高的性能,百万数据量采集。
· 图形化监视:支持多种显示方式
· 多国语言: 支持多国语言显示和切换
· 报表展示: 支持SOE、告警事件、发电量等数据的报表导出
感兴趣的小伙伴可点击下列链接,继续深入学习哦!
{链接:https://www.zhihu.com/question/23543572/answer/29493126
来源:知乎}
