四 工控安全解决之道
首先,笔者先说明一下关于安全的三个概念:第一,安全不免费;第二,安全的最高境界是感觉不到安全;第三,安全无侥幸。
安全不免费,这个概念很好理解,世上没有白吃的午餐,企业要想做安全就要做好投入的准备,这个概念谁都同意,但是很多人就未必愿意做。为什么呢?他会说以前我没做安全也一直都运行的很好,为什么还要花钱、花精力去搞这些。做个对比就很好理解,以前国内有些大山内的村子,家家户户根本没有锁的,但是现在随着社会发展,交流增多,谁家还敢不上锁?
从控制网发布的《2014年中国工业控制系统信息安全蓝皮书》数据看,2014年狭义的工控安全市场不足2亿,只占信息安全整体市场的1%!而作为对比,中国2014年PLC、DCS、SCADA等都有接近百亿的市场规模,按IT行业通用标准,安全产品及服务应该占整个信息化投入的8%~10%。即正常来讲,工控安全应该每年有20-30亿投入,才能达到IT界平均的安全水准。并且在工控安全市场刚起步时,产品和解决方案都不完善,各个企业的投入并不平均,考虑“智猪博弈”的原理,那些行业内的大企业需要先期投入更多。
第二个概念,安全的最高境界是感觉不到安全。从投入效益比来说,预防永远比治疗更划算。正所谓善战者无赫赫之功,一个真正好的安全解决方案,是能够把所有隐患消除在萌芽阶段,让使用的人甚至完全感觉不到它在起作用。但是,正如保健品永远不如特效药有名,一个真正好的安全产品也无法给用户那么明显的存在感。总之,我们这个行业,不但需要一批真正懂安全的卖家,也需要一批真正懂安全的买家。
第三个概念,安全无侥幸。既然安全又花钱效果又不明显,是不是我们就可以不去做了呢?事实告诉我们,这种侥幸的心理是千万要不得的。墨菲定律告诉我们,如果事情有变坏的可能,无论它的几率多么小,它一定会发生。以震网病毒为例,为了攻击网络完全隔离、只能使用U盘进行数据交换的伊朗核设施工厂,在它被发现之前,它感染了全球超过45000个网络,6000万台主机作为跳板,互联网时代的网络攻击就是如此恐怖。又比如Havex病毒,其后期对主要SCADA供应商的官网下载软件进行了挂马的水坑攻击,使得很多国家的电网、水坝等设施中招,目前它的最终攻击目标还不明。面临着可自我复制,可通过多种途径传播的网络病毒、木马,企业网络没有一个自身强健的“免疫系统”,是一定要感冒的。所以,网络安全是一定要做的。但是想做新、做好很难,可能需要很多人、很多厂家前仆后继的投入,最后能够活下来的就那么几家。技术和理念不能太超前,又不能不超前,这个窗口是非常小的。有这么一句话“我们只领先别人半步,领先一步的都成了烈士。”
在技术和理念上,我们是怎么做到领先别人半步的呢?作为一家继承了传统IT安全厂家深厚技术积累,并对工控安全有着自己深入研究的企业,威努特公司没有简单照搬传统IT安全思维,而是以工控系统安全的视角,针对工控系统对可靠性、稳定性、业务连续性的严格要求,以及工控系统软件和设备更新不频繁、通信和数据较为特定的特点,提出了建立工控系统安全生产与运行的“可信网络白环境”以及“软件应用白名单”概念,进而构筑工业控制系统的整体网络安全“白环境”。
区别于传统防护“黑名单”的方式,所谓“白”指的是好的、可信的,即只有可信任的设备、软件和数据,才允许在工控网络内部流通;其他恶意的、不明确的或者规定不允许的东西都不允许流通使用。
●只有可信任的设备,才能接入控制网络;
●只有可信任的消息,才能在网络上传输;
●只有可信任的软件,才允许被执行。
其次,要加强工控企业对操作维护人员的网络安全意识的培训,杜绝一些高危操作的发生,如将个人U盘插入控制主机,将个人电脑连入控制网络;让每个员工都对网络安全有明确的认识,同时也有切实可行的操作方式。
另外,要建立健全工厂的整体网络安全操作规章制度,让所有人的行为都有章可循,有章可依,有章可查;把所有可能的隐患都列入制度的管理之中,这样才能保证网络安全问题长治久安。
其实在安全领域,一个普遍的观点是没有100%的安全,再强大的产品、再完善的制度都有漏洞,都会被攻破。我们做安全的目的都不是防住所有的攻击,而是尽可能提高攻击者的成本,使得攻击者攻破安全防御体系付出的代价远远高于其可能获得的利益。威努特构建工控网络“白环境”的解决方案既能最大限度保证工控用户原有系统的可用,又能有效利用IT安全积累的成果,保证最大限度的安全性,能够为用户构建有效抵御工控系统攻击的工控安全防御体系,为客户带来工控安全防护的真正价值。
结语:
中国到底需要什么样的工控安全,这个问题不但是所有的工控安全厂商应该考虑的问题,而且是所有相关从业者都应该回答的问题。笔者在这里抛砖引玉,希望工控安全不仅是大家讨论的焦点,更能早日形成真正的产业化。
上页 1 2