用户中心

资讯 > 应用案例

过程控制系统的虚拟补丁

作者:Mike Spear2013.04.26阅读 3794

  今天的工业企业,都会定期为过程控制系统安装补丁来移除安全隐患,而持续不断的更新会带来很多风险。安装软件之后可能会引起软件回归之类的重要问题,同时,如果补丁未被应用,也可能会导致系统受损。
  是否安装补丁取决于安装防御性补丁的风险和不安装防御性补丁而受到入侵的风险两者之间的权衡,而这两者又是根本上相对立的。给关键的系统安装补丁可能会使其“受损”——但是放任补丁不管又可能产生安全漏洞。
  除了安全风险上的权衡,还涉及到更加务实的关于资源利用上的权衡。到底是自动安装补丁还是手动安装补丁,这两种方式所消耗的资源不尽相同,必须根据所需安装补丁的频率从长计议其效用和成本。
  虚拟补丁是一种创新的技术,工业企业可以一边改进安装补丁的过程CONTROL ENGINEERING China版权所有,一边提升系统的安全性。例如漏洞过滤器之类的组件能够确保未安装补丁的系统的安全性,更好地按照生产需求安排安装补丁的过程。
  当下的安全风险
  在生产制造企业的工厂和其他工业设施中,开放式的控制系统体系结构和标准协议对于企业来说可为喜忧参半。一方面,从孤立的专用应用程序向开放式技术的过渡扩展了过程和商业信息的可用性。另一方面,开放式技术将生产制造企业暴露于各种安全隐患之下,随着生产制造资产与企业资源规划系统的整合,这种风险将更加巨大。

漏洞过滤器的作用就像一个虚拟补丁,确保未安装补丁的系统的安全性,更好地按照生产需求安排安装补丁的过程。本文图片来源:霍尼韦尔公司。

  开放式体系结构给企业带来的漏洞越来越多,加上恶意软件攻击的数量也越来越多,使得在全球范围内网络安全问题都是生产制造企业考量的重点之一。意外的或者恶意的攻击会给员工的健康和安全、生产和企业声誉等等带来巨大的风险。
  为了最小化工厂自动化和信息系统的风险,安装具有多个防护层级的深度防御策略是十分重要的。这样的防护层级包括对服务器和工作站进行补强。
  在过程控制网络中安装补丁是一个十分耗时的过程,虽然补丁能够恢复控制系统设备,使其能够抵御恶意软件的攻击,但是它也会在补丁安装的过程中提高失效的风险,安装一个软件补丁通常要求:
  ■ 与过程操作人员协调以确定适当的时间段安装补丁;
  ■ 切实安装补丁;
  ■ 交换主服务器和备用服务器的功能,使补丁能够装在备用服务器上;
  ■ 重启设备激活修改过的软件。
  总的来说CONTROL ENGINEERING China版权所有,上述要求会导致对服务器或者工作站安装一个补丁的平均时间在1个小时到2个小时之间。由于补丁通常是按月发布,而且不同供应商发布补丁的周期也不同,所以就导致这个安装补丁的过程成本高昂。如果等待每个部件的补丁都到位再同时安装,就会导致漏洞已经公布但是系统尚未安装补丁的窘境,所以程序入侵的风险反而会上升——大部分是感染网络蠕虫。
  虚拟补丁技术
  虚拟补丁技术,与传统补丁不同,无需触及应用本身、库文件或者操作系统就能够对系统进行保护。而且,安装虚拟补丁技术比安装实际的软件补丁更加迅速。在漏洞公开的几天之后,虚拟补丁就能够发挥作用,而应用程序开发商可能需要数周或者数月进行软件的修改和测试。
  使用虚拟补丁技术之后,考虑到微软按月发布的安全补丁,负责维护的部门就可以降低DCS的修改频率,同时仍旧实现对网络攻击进行防护。
  此过程的设计原理是在控制网络周围架设一个屏蔽层,检查已知漏洞的活动,对所谓的“零日攻击”实现良好的防护,而这种“零日攻击”在杀毒软件的保护机制中是未作定义的。漏洞过滤器并非以这种模式直接发挥效用,而是能够滤除针对特定漏洞的入侵,而对于其他特征则不敏感。

在大多数情况下,工业网络通讯的流量是可以预测的。流量上的变化可能预示着入侵。

  此外,屏蔽层的好处还在于,不仅对网络攻击或者拒绝服务攻击实现了防护,还阻止了恶意软件在网络上繁殖。恶意软件、病毒和网络蠕虫,经常从一个节点繁殖到另一个节点,频繁地使用网络。虚拟补丁技术能够有效地阻止这种繁殖,而且无需对网络实施物理切断,因为物理切断可能会造成更加严重的影响。
  虚拟补丁技术的应用
  虚拟补丁技术能够在两个节点之间对通讯实施过滤作用,使用漏洞过滤器来检测并阻止对应用协议有害的通讯。这些漏洞过滤器的作用就如同一个基于网络的虚拟软件补丁,可以保护下游主机,使其未安装补丁的漏洞不会受到来自网络的攻击。漏洞一旦公布,就可以创建漏洞过滤器,比攻击提前一步发挥作用。而且,这种方法被用来将控制网络与第三层级及以上层级的通讯或者与企业之间的通讯隔离开来。各种过滤器帮助重新发送通讯,确保网络正常工作,同时还能够确保安全性。其他过滤器监控通讯层级,检测可能带来威胁的异常扰动。
  特别重要的一点就是这种技术具有根据应用类型、协议或者IP地址对通讯实时码率整形的功能。协议异常过滤器与威胁抑制引擎同时作用CONTROL ENGINEERING China版权所有,检测超出限值的网络流量。过滤器对攻击发生必备条件进行条件,并确保在正常通讯中这些条件永远不会出现。它们能够检测多种攻击,不会出现误判拒绝或者误判通过的情况。

漏洞过滤器能够将控制网络与第三层级及以上层级的通讯或者与企业之间的通讯隔离开来。

  限值过滤器能够补强漏洞过滤器,前者在对网络实施一定时间的监控后,例如几小时或者几天,就能够为正常通讯建立运行区间,当通讯超过或者低于限值的时候,这些过滤器就会采取特定动作。
  例如Nachi蠕虫能够通过发送大量ICMP流量对路由器或者主机造成过量的负荷,并最终使网络性能下降。虚拟补丁技术能够限制第三级网络向第二级网络发送的通讯量,并且强制CPU工作在正常区间内控制工程网版权所有,防止系统停机。限值过滤器通过限制特定数据流的字节数来实现安全策略,还包括在用户定义的时间窗口内,例如每分钟或者每月,特定主机的连接数量和发送数据包的量。
  放眼未来
  当今的工厂面临着各种各样的威胁,这些威胁仅需要很少的资源就能够实现目的,因此对工厂实施防护使其不受外部攻击是重中之重,需要在时间和精力上的巨大投入。何时以及如何安装补丁是一个关键的决定,不要轻易而为之。
  然而,有了虚拟补丁技术,工业运营就能够更好对零日攻击实现防护,可以极大地降低恶意软件感染的影响。降低对受保护控制网络实施安全补丁更改的频率www.cechina.cn,工厂可靠性得以提升,同时安全性也得以提高。而且,在安全补丁安装的过程中可以实现更多的控制策略,实现更优化的补丁管理过程,最终带来显著的成本节省。
版权声明:版权归控制工程网所有,转载请注明出处!

频道推荐

关于我们

控制工程网 & CONTROL ENGINEERING China 全球工业控制、自动化和仪器仪表领域的先锋媒体

CE全球

联系我们

商务及广告合作
任小姐(北京)                 夏小姐(上海)
电话:010-82053688      电话:18616877918
rendongxue@cechina.cn      xiashuxian@cechina.cn
新闻投稿:王小姐

关注我们的微信

关于我们 | 网站地图 | 联系我们
© 2003-2020    经营许可编号:京ICP证120335号
公安机关备案号:110102002318  服务热线:010-82053688