作者 | Sergio Diaz
“
选择独立的架构并不比选择设计得当的集成系统更安全。集成控制和安全系统可以为制造商提供简化和强大的网络安全措施。
”
越来越多的企业开始接受数字化转型, 他们也逐渐意识到集成对于安全性、 效率和扩展性至关重要。相同的思路也适用于工厂中最关键的系统——基本过程控制系统(BPCS)和安全仪表系统(SIS)。
许多企业认为,通过接口体系结构将控制系统和安全系统隔离会更安全,因为可以避免“将所有鸡蛋都放在同一个篮子里”。但是,“篮子”越多,也就意味着会增加潜在的风险敞口。其实关键问题不是篮子的数量, 而是每个篮子的保护程度。
将安全和控制系统集成,就可以更容易、更安全的保护整个体系结构。集成不会导致分布式控制系统(DCS)和SIS之间隔离的丧失。SIS和 DCS仍然是彼此隔离的,但可以简化安全防护措施。
独立的系统不一定安全
企业选择独立系统来分别实现控制和安 全,最常见的原因是希望提升安全性。从表面上看,这个想法似乎不错。因为系统是分开的,坏人似乎更难利用 BPCS中的漏洞在 SIS中造成问题。然而,独立并不意味着有效的隔离。SIS通常与 DCS相连,为攻击者提供了3 个可能的目标:1)SIS系统,2) DCS系统,3)SIS和 DCS之间的接口,以及与 SIS 的任何其它接口。
除了需要在接口系统中实现隔离之外, SIS系统还需要其它保护措施。良好安全态势的最关键要素是纵深防御,它可以在系统周围创建保护层,以帮助防御外部和内部干扰。在 SIS系统的每个潜在接入点,都需要多层防护。
▎图 1 :接 口 系 统 架 构 需 要 同 时 防 御 D C S 和 S I S , 很 可 能 会 在 工 程 接 口 中 留 下 漏 洞 。图 片 来 源 :艾 默 生
DCS 和 SIS 系统的漏洞修复
为何必须保护接入点?一个重要的因素就是SIS系统上的操作,比如维护旁路,通常是在 DCS上设置的。除非有防止未经授权操作的机制,否则入侵 DCS的攻击者可能会设置旁路,从而破坏安全功能。SIS系统可能认为这些操作是有 效的,并继续进行。接口系统不一定能提 供更多的保护来对付这种威胁。
系统安全性通常取决于其最薄弱的环节。除非得到适当保护(例如使用纵深防御方法),任何与 SIS 的接口都可能是最弱的元素。“独立”系统通 常通过开放协议(例如 Modbus 或 OPC)连 接。这些开放协议的安全性取决于协议在这两个系统上安全性的正确配置,可能会增加产生接入漏洞的可能性。
将 SIS和 DCS系统独立只会增加接口的复杂性,而不会给网络安全带来其它实质性好处。实际上,隔离会增加界面的复杂性, 从而增加网络安全风险,并会限制系统的灵活性和可扩展性,而这对工厂从数字化转型中获得最大收益至关重要。
接口系统可以得到适当的保护 ;但是,独 立系统意味着为每个系统维护独立的纵深防御 体系结构,并且可能需要针对系统之间的工程 接口采取其它措施。每个系统上的某些防御层 (例如防病毒)将完全相同,因此拥有两个独立 的系统,不会比一个系统提供更多的保护,而 且意味着需要更多的安装和维护工作。
