[文章]传统信息安全产品VS工控安全问题
| 类别 | IT系统 | ICS系统 |
| 性能要求 | 非实时
高吞吐量 可接受高时延和网络抖动 |
实时
可接受中等的吞吐量 不可接受高时延和网络抖动 |
| 可用性要求 | 可以重启作为响应
可容忍可用性不足,依赖于系统的操作环境 据统计,平均一条生产线一次非正常中断损失5百万美元 |
不可以重启作为响应
可用性可能要求冗余备份系统 中断需要提前数天/周计划和安排 高可用性要求充分的布署前测试 |
| 风险管理要求 | 数据的保密性和完整性是最重要的
容错是次要的,短时的当机不属于主要风险 主要的风险影响是业务操作的延迟 |
人员安全是最重要的,生产流程次之
容错是及其重要的,短时的当机也是不可接受的 主要风险影响是违反法规,环境破坏,生命、设备和产量的损失 |
| 架构安全焦点 | 主要关注对IT系统、存储和传输的信息的保护,中心服务器更受关注 | 主要关注边界客户端的保护(现场设备和控制器)网络结构性的区别 |
| 对现实世界的影响 | 安全方案针对典型的IT系统设计,对现实世界几乎无影响 | ICS系统的每一步都可能影响现实世界,例如温度、排放等等,安全工具需要在类似的(例如离线)系统上测试,以保证不会影响正常的ICS操作
强调在实际环境中测试过的重要性 |
| 时间敏感的交互 | 紧急交互的时间敏感性不强
可实施尽量严格的访问控制措施 |
人工和紧急的交互时间敏感性强
可实施严格的访问控制,但不能妨碍和干扰人机交互过程 |
| 系统操作 | 系统为典型的操作系统设计
升级简单,自动部署方便 |
多样的、可能私有的无安全设计的操作系统
软件更新必须格外小心,因为特殊的控制算法和定制的软硬件,更新只能由原供应商实施 |
| 资源限制 | 系统有足够的资源支持包括安全在内的第三方应用 | 系统专门为工控设计,可能无额外的存储和计算资源支持附加的安全应用
也可包括ICS网络中网络资源,如IP地址的紧缺 |
| 通信 | 标准的通信协议
主要有线网络和局部的无线能力 典型的IT网络 |
很多私有+标准协议(包括ICS专用的标准协议,如OPC)
一些通信媒介类型包括专用的有线和无线连接(无线电波和卫星通信) 网络复杂,又是需要控制工程师的专业知识 |
| 变更管理 | 在出现优秀的安全策略和流程时可及时作软件更新,流程自动化 | 软件变更必须逐步实施并且充分测试,以保证控制系统的完整性。ICS中断需要提前数天/周计划和安排。ICS可能使用不再被支持的老旧操作系统。
可强调在实际环境中测试和使用过的重要性 |
| 技术支持管理 | 允许多样的支持方式 | 服务支持通知由单一供应商提供 |
| 组件生命周期 | 3-5年 | 15-20年 |
| 组件访问 | 本地组件,易于访问 | 隔离和远程组件,距离遥远 |
一般的工控架构
