平台热线
工控系统在部署时具有设备单元多,地域分布广的特点。其实和普通网络相似的是,工控设备同样具有各种各样的漏洞,并且这些漏洞不易修复。试想一种场景,某电力公司因为其中的5台工控设备存在漏洞,需要停止供电数小时进行升级,这样的损失对于工业企业来说损失非常大。况且各厂长看重的更多是money & lady 而不是 security,花钱雇几个网管,没事斗斗地主,盯着屏幕玩玩手机什么的
『标准的SCADA网络』应该是这样的
script><img src="https://pic3.zhimg.com/74743270b08ef4d679adba7db5672f22_b.jpg" data-rawwidth="792" data-rawheight="685" class="origin_image zh-lightbox-thumb" width="792" data-original="https://pic3.zhimg.com/74743270b08ef4d679adba7db5672f22_r.jpg"> script>
整个SCADA网络中各处部署这不同类型的服务器,或者业务系统等等,所以就要使用各种手段,简单一点就是使用防火墙把生产系统,业务系统,以及工控系统分离开,
但是有的企业为了节省成本或者不重视安全问题,会把SCADA网络部署成这个鸟样子,并且可以称之为『典型SCADA网络』:
script><img src="https://pic4.zhimg.com/fe4b6cea70198d5aff71847cde6e7823_b.jpg" data-rawwidth="801" data-rawheight="686" class="origin_image zh-lightbox-thumb" width="801" data-original="https://pic4.zhimg.com/fe4b6cea70198d5aff71847cde6e7823_r.jpg">那些慵懒的网络管理员会把防火墙的策略改为 ANY&lt;------&gt;ANY,好一点的还会配置一些策略。 script>
那些慵懒的网络管理员会把防火墙的策略改为 ANY<------>ANY,好一点的还会配置一些策略。
个人觉得最严重的莫过于这些了。。
script><img src="https://pic3.zhimg.com/b3b825ba334f382b549a218f4321c8b6_b.jpg" data-rawwidth="970" data-rawheight="562" class="origin_image zh-lightbox-thumb" width="970" data-original="https://pic3.zhimg.com/b3b825ba334f382b549a218f4321c8b6_r.jpg"> script>
直接把PLC接到互联网上你老板造不造!!分分钟发送个数据包就挂掉有木有!!虽然不知道你拿它用来做什么,但是这样做,你觉得对吗?
从工业设备本身来讲也暴露出相当多的问题
工控网络面临的问题:
综上对于题主所说的『工控网络中有哪些常用的、知名的安全设备?』这一题来讲,目前国内还没有那些知名的厂商能够生产一种知名的设备。其实纵观全球貌似也没有很好的厂商能够提供一款专门针对工控网络进行防护的设备,更多的是一种结合传统的安全设备和安全管理来针对工控网络的解决方案。可能这个话题也是近几年才被重视起来,可能在国内还没有开始引起重视,所以如果说安全设备可能还是有点早。国外倒是有不少的公司能够给出一些相对比较完善的解决方案,但是在APT面前,好像也只是增加了一些困难而已,仅仅能够过滤掉一些cracker。
『标准的SCADA网络』应该是这样的
整个SCADA网络中各处部署这不同类型的服务器,或者业务系统等等,所以就要使用各种手段,简单一点就是使用防火墙把生产系统,业务系统,以及工控系统分离开,
但是有的企业为了节省成本或者不重视安全问题,会把SCADA网络部署成这个鸟样子,并且可以称之为『典型SCADA网络』:
那些慵懒的网络管理员会把防火墙的策略改为 ANY<------>ANY,好一点的还会配置一些策略。个人觉得最严重的莫过于这些了。。
直接把PLC接到互联网上你老板造不造!!分分钟发送个数据包就挂掉有木有!!虽然不知道你拿它用来做什么,但是这样做,你觉得对吗?
从工业设备本身来讲也暴露出相当多的问题
- 如在工业协议中,使用非加密的设计,从硬件角度来说也不支持加密手段,在传输过程中使用很多层封装的数据,多数基于TCP/IP进行封装,并没有专有的协议来传输。使用的应用协议也非常古老,像modbus协议从20世纪70年代至今只有很少的变化。
- 在工控设备中也经常会开启其他的服务,如:FTP、HTTP、SSH等等,一旦开启这些服务将会面临弱口令、使用服务自身的漏洞都会导致整个设备被攻击。
- HMI人机接口:也叫上位机通常都是使用的windows workstation。应用服务器:通常使用的也是win家族的server版本。工程师开发软件:如西门子的WinCC,就是在windows平台上开发的,众所周知当年的Stuxnet震网病毒就是通过控制WinCC来破坏整个伊朗核电站的网络的。
- 可编程逻辑控制器(Programmable Logic Controller,PLC)一般使用的是嵌入式操作系统,如VxWorks、Linux(通常是BusyBox)、或者其他的Old crusty RTOS。这些PLC需要在网络中才能够接收到上位机对它下达的控制逻辑,并且PLC设备的内存可以被任意修改其输入和输出单元。
工控网络面临的问题:
- 大多数基于Windows的机器都是不安全的
- 供应商必须提供所有补丁
- 系统中的任何改变就,需要一个复杂的商务部流程
- 管理员的心态是只要不坏,就不用去修复
- 许多控制器面临的威胁是人为的疏忽所造成的
综上对于题主所说的『工控网络中有哪些常用的、知名的安全设备?』这一题来讲,目前国内还没有那些知名的厂商能够生产一种知名的设备。其实纵观全球貌似也没有很好的厂商能够提供一款专门针对工控网络进行防护的设备,更多的是一种结合传统的安全设备和安全管理来针对工控网络的解决方案。可能这个话题也是近几年才被重视起来,可能在国内还没有开始引起重视,所以如果说安全设备可能还是有点早。国外倒是有不少的公司能够给出一些相对比较完善的解决方案,但是在APT面前,好像也只是增加了一些困难而已,仅仅能够过滤掉一些cracker。
无风扇嵌入式工控机
多网口无风扇嵌入式工控机
无风扇多串口嵌入式工控机
