本文目录导读:
工控系统安全与传统IT信息安全相比,具有显著的特殊性,主要体现在以下几个核心方面:
核心目标不同:可用性(连续性)优先
- 传统IT安全: 优先保障机密性(数据不被泄露)、完整性、可用性(CIA三元组,以机密性为首)。
- 工控系统安全: 优先保障可用性(生产持续运行)。停机停产是最大的安全事件,因为对于电厂、化工厂、一次意外的停机可能导致设备损坏、原料浪费、环境污染甚至安全事故,经济损失远大于数据泄露。
- 影响: 安全修复、补丁更新、系统重启等常规IT操作,在工控环境中可能代价极高,甚至不被允许。
系统生命周期极长且不易更新
- 工控系统中的PLC、DCS、SCADA等设备设计寿命常达10-20年甚至更久,许多系统运行在老旧的操作系统(如Windows XP、Windows 7、甚至专用实时操作系统)上,这些系统早已停止安全更新。
- 影响: 无法像IT系统那样频繁打补丁,安全防护主要依赖外围隔离(如防火墙、白名单机制)而非系统本身加固,任何软硬件升级都需经过严格测试,且可能伴随停产,实施难度极大。
实时性与确定性要求苛刻
- 工控系统对响应时间有极严苛的要求(毫秒级的控制指令、精确的采样周期),安全防护措施(如深度包检测、加密、认证)可能引入延迟,破坏系统的实时性。
- 影响: 许多通用安全产品(如杀毒软件、频繁扫描的入侵检测系统)直接在工控网络中部署会导致网络抖动或控制异常,安全策略必须在不影响实时控制逻辑的前提下设计。
网络架构与协议特殊
- 架构: 传统的“物理隔离”(气隙)已逐渐被打破,但内部网络分区(如企业管理层、过程监控层、现场设备层)逻辑严密,且存在大量专用协议(Modbus、DNP3、PROFINET、OPC、S7等),这些协议设计之初缺乏安全机制(无认证、无加密、无完整性校验)。
- 影响: 攻击者只需发送一个恶意构造的Modbus指令,就能直接控制现场设备(如打开阀门、停止电机),安全产品必须能深度解析这些工控协议,识别异常指令(而非仅仅IP端口)。
安全事件的物理后果
- 传统IT安全漏洞可能导致数据泄露、勒索软件、服务中断。
- 工控系统安全漏洞可能导致:
- 物理破坏: 设备损毁(如发电机超速解体)、管道爆炸、工业机器人失控。
- 人员伤亡: 有毒气体泄漏、高温高压设备失控。
- 环境灾难: 化工原料泄漏、核电站事故。
- 影响: 安全防护不仅要防“数据窃取”,更要防“物理误操作”,安全运维人员需要同时具备IT安全知识、自动化控制知识(甚至工艺流程知识)。
安全运维与人员挑战
- 难以定期扫描: 对运行中的工控网络进行主动扫描(如端口扫描、漏洞扫描)可能干扰系统,导致宕机,通常依赖被动流量分析和资产指纹识别。
- 安全教育脱钩: 操作员(负责控制阀门、开关)往往缺乏安全意识,容易插入U盘、不小心点击钓鱼邮件(如著名的震网病毒通过U盘传播),而IT安全团队又不了解现场工艺流程,难以判断异常操作是“攻击”还是“误操作”。
合规与行业驱动差异
- 传统IT安全受通用法规(如网络安全法、等级保护、GDPR)驱动。
- 工控安全受行业强制性标准强烈驱动,
- 电力行业: 《电力监控系统安全防护规定》(36号令)、等级保护2.0。
- 石化、化工: GB/T 36323-2018、IEC 62443(国际通用工控安全标准)。
- 烟草、水利、轨道交通均有各自细则。
一个形象的比喻
- 传统IT安全: 像个银行金库——首要任务是防贼进入、偷走数据(机密性),即使金库暂时关闭(停机),也可以接受。
- 工控系统安全: 像个正在手术中的病人——首要任务是病人不能死(系统不能停),所有安全措施(比如消毒、给医生消毒、检查手术刀)都必须在不中断手术的前提下进行,且任何失误都可能导致立即的物理伤害(大出血、器官损伤)。
核心特殊性: 工控安全是关乎物理世界安危的在线安全,任何安全措施都必须服务于“保证生产线持续、安全、准确地运行”这一最高目标。
