现状:安全设备“无作为”
很多生产型企业在信息化融合的过程中缺少网络安全评估环节,以至于无法准确定位现有生产网络的安全风险点,对于企业而言带来的直接问题就是部署的安全设备无法有效的起到防护作用,甚至有可能对生产业务的连续性起到负面影响。
例如,大多数的企业在控制系统前都架设了防火墙,如下图所示图2,这一位置的防火墙往往由生产部门统一管理,由于一部分自动化工程师对网络安全威胁的意识不足,防火墙的策略配置往往比较简单,或干脆由集成商托管,而集成商无法做到7X24小时监测网络安全风险,只能依靠人员经验为防火墙配置常规策略,这就导致了我们的这种被动防护行为有可能无法起到有效的作用。
图2常见的工业控制系统网络防护方式
还有一些企业选择了应用于传统IT涉密网的网闸产品进行工控网与信息网的隔离,这一类网闸产品可以有效防止外网直接访问控制网络,但必须要注意,“网闸思维”实际上会让我们的工程师放松警惕,入侵者也会随之乘虚而入,而恶意代码往往会通过正常的通信过程进入到你的控制系统网络中,令网闸无从察觉。毕竟不是所有的恶意代码都需要实时连接C&C,对于近期常见的“智能化”的攻击技术来说,网闸产品就有些力不从心了。
