工控网安全：该做和不该做的

随着网络作战以及有组织黑客越来越多地开始针对工控网进行攻击， 工控网的安全问题日益成为很多企业的网络安全的头等大事。 不幸的是， 目前绝大多数的工控网基本处于不设防的状态， 而由于在大多数企业里， 工控网的管理往往不在IT部门的范围之内， 因此， 在工控网安全方面， 存在着很多漏洞和误区。 Cylance的Billy Rios最近在博客中提出了关于工控网安全该做的和不该做的一些原则， IT经理网编译如下：

很多企业并没有意识到ICS（Industrial Control System， 工业控制系统）或多或少存在在它们的网络里。 事实上， ICS无所不在， 差不多每个数据中心， 每个建筑里的环境控制， 门禁系统， 安全系统以及很多自动化系统都是工控系统。 而在很多行业里， 工控系统是企业运营最重要的部分。 由于这些系统的专业性与复杂性， 很多工控系统并不是由企业的IT部门来管理的。 这也使得传统的网络安全管理和风险管理并不涵盖这一部分。 而有些工控系统甚至是由企业外的第三方来通过远程进行管理和维护的， 这往往成为企业信息安全的一个薄弱环节。

在我们与客户的交流中， 有很多人问我应该如何更好地管理工控网的安全风险。 这里， 我总结了一些工控网安全该做的与不该做的原则。

我们首先说说哪些不该做：

不要用传统的漏洞扫描工具去扫描工控网设备：

很多工控网设备很脆弱， 而且并不是为了能够经受频繁扫描而设计的。 有一次我们问一个设备供应商为什么简单的端口扫描就会导致它的设备崩溃。 他回答说：“我们才用的是工控系统的TCP/IP堆栈。”

不要指望传统的漏洞扫描工具能够发现工控网软件的漏洞：

传统的漏洞管理工具会漏掉很多工控网的漏洞， 而更加糟糕的是， 有些工控网的漏洞， 比如说硬编码， 后门密码等， 会被认为是产品功能而不是漏洞。

不要指望能够及时得到漏洞通知

很多企业漏洞管理工具已经非常成熟， 它们会定期地并且及时地通知企业相关的漏洞。 而在工控网领域情况有很大不同， 漏洞的通知以及相关的风险信息通常并不能做到定期和及时。

不要以为外包给第三方就完事大吉了

工控网的运维外包很常见， 比如在一座大厦的自动化系统可能就是外包给第三方的。企业应该意识到， 工控网的运维外包同时也把工控网的安全交给了第三方。 企业应该对第三方充分了解， 了解他们如何访问设备， 企业应该要求他们对企业工控系统的安全采取措施。 如果企业的重要系统是租用场地（如IDC）， 那么企业也需要了解场地的安全管理规章。

不要指望工控网设备商有集中式的补丁管理系统：

给工控网打补丁是个很困难的事。 工控网常常担负着企业最重要的生产流程。  而停掉这些流程往往会产生巨大的成本以及运营风险。 因此， 集中式的自动化的补丁管理系统是不存在的。 几乎所有的工控网补丁都必须手动下载并安装。 而且很多情况下， 只能由供应商认证的技术人员进行安装。

那么， 在工控网安全方面， 哪些是应该做的呢？

辨明系统中的工控设备：

如果你想要开始积极管理工控网的安全风险， 那么辨明网络中的工控网设备非常重要。 理解并且登记在企业网络环境中的工控网系统是工控网安全的基础。

了解访问工控设备的途径：

在了解登记的网络中的工控网设备后， 你需要了解这些设备是如何被访问的。 它们能够从Internet上访问吗？ 它们有没有在防火墙的保护下？  非工控网操作人员有没有可能访问这些设备等等。

 监控对工控设备的访问：

工控网可能承担了企业的一些最重要的运营， 而由于工控网补丁升级的困难以及很多设备自身的安全防护薄弱， 企业应该严格监控对工控网的访问。 在大多数情况下， 对工控网设备的访问应该是一些常规的的流量。

了解哪些用户/工程师能够操作工控网设备：

对工控网的安全防护， 不仅仅是在设备端， 人的因素同样重要， 了解对工控设备的操作人员及工程师是非常重要的一步。 像要求每个操作人员只能操作自己的工位上的工控设备这样简单的管理方式， 在实际中往往都很难做到。 （编者：Stuxnet就是通过纳坦兹铀浓缩工厂的一个工程师的U盘感染进入工控系统的， 详见本站文章“Stuxnet， 奥巴马的失控武器”）