《工控系统的安全风险及应对策略分析》

  • 来源专题:数控机床与工业机器人
  • 编译者: cad
  • 发布时间:2014-09-03
  •  随着工业化与信息化的深度融合,智能化的工业控制系统在电力、交通、石化、市政、制造等涉及国计民生的各行各业越来越重要,来自信息网络的安全威胁将逐步成为工业控制系统(IndustrialControlSystem,简称ICS)所面临的最大安全威胁。国内主管部门及用户也愈发重视ICS的安全问题。2013年国内已做了大量的关于工业控制系统安全的工作,工业控制系统相关的安全标准正在制订过程中,电力、石化、制造、烟草等多个行业,已在国家主管部门的指导下进行安全检查、整改。在此种工控安全生态环境下,控制工程中文版记者与国内安全专家绿盟科技公司的李鸿培博士进行了深入交流,与其探讨了工控系统的安全风险及对策。
      及时发现ICS的脆弱性
      随着我国工业化与信息化深度融合的快速发展,成熟的IT及互联网技术正在不断地被引入到工业控制系统中,这必然因为需要与其它系统进行互联、互通、互操作而打破工业控制系统的相对封闭性。不像传统IT信息系统软件在开发时拥有严格的安全软件开发规范及安全测试流程,工业控制系统开发时仅重视系统功能实现而缺乏相应的安全考虑,现有的工业控制系统中难免会存在不少危及系统安全的漏洞或系统配置问题,而这些系统的脆弱性均有可能被系统外部的入侵攻击者所利用,轻则干扰系统运行、窃取敏感信息,重则有可能造成严重的安全事件。
      李博士介绍:截止到2013年12月,绿盟科技安全漏洞库中共收录到386个与ICS相关的漏洞。国家信息安全漏洞共享平台(CNVD)已累计发布了500多条ICS相关的漏洞。ICS漏洞数总体仍呈增长趋势,2013年漏洞数增长变缓。
      面对脆弱的工业控制系统,安全防护工作迫切需要得到应有的重视。李博士谈到:安全防护是一个系统工程,包括从技术到管理各个方面的工作。其中最重要的就是对工业控制系统自身脆弱性问题的检测与发现,只有及时发现工业控制系统存在的脆弱性问题,才能进一步执行相应的安全加固及防护工作。我们认为,安全行业厂商和工业控制系统厂商应尽早建立合作机制、建立国家或行业级的漏洞信息分享平台与专业的关于工控系统的攻防研究团队,并尽早开发出适合于工业控制系统使用的脆弱性扫描设备。
      适用于工业控制系统的漏洞扫描器和传统的IT系统漏洞扫描器相比,除了可以支持对常见的通用操作系统、数据库、应用服务、网络设备进行漏洞检测以外,还应该支持常见的工业控制系统协议,识别工业控制系统设备资产,检测工业控制系统的漏洞与配置隐患。通过使用工业控制系统扫描器,在工业控制系统设备上线前及维护期间进行脆弱性扫描,可以及时发现工业控制系统存在的脆弱性问题,了解工业控制系统自身的安全状况,以便能够及时地提供针对性的安全加固及安全防护措施。
      重视APT攻击的检测与防护
      近年来,工业控制系统安全威胁有所变化:单打独斗到有组织团体——从攻击个体到攻击群体再到攻击团体;攻击动机不再是技术突破,而是更具功利性——经济、政治与意识形态的驱动更加明显。此外,针对工业控制系统的攻击,不论是在规模宏大的网络战,还是在一般的网络犯罪中,都可以发现高级持久威胁(AdvancedPersistentThreat,简称APT)的影子。自2010年APT出现后,安全业界已陆续报道了数十起APT攻击事件。例如,2010年伊朗核电站遭遇Stuxnet攻击,2011年全球化工行业被Nitro窃取数据,2012年中东能源行业被Shamoon擦写硬盘数据和主引导记录等等。
      ICS公开漏洞中,2013年的新增漏洞中高危漏洞则超过一半。APT攻击已成为针对ICS攻击的重要手段。,李博士解释,简单地说,APT指一个具备相应能力和意图的组织,针对特定实体发起的持续和有效的威胁。严格来说,APT能够灵活地组合使用多种新型攻击技术和方法,超越了传统的基于特征签名的安全机制的防御能力,能够长时间针对特定目标进行渗透,并长期潜伏而不被发现,是一种严密组织化的行为,拥有大量的资金支持、优秀的管理能力和大量高端人才。
      通常认为,APT攻击包含情报收集、突破防线、建立据点、隐秘横向渗透和完成任务五个阶段。对此,绿盟科技给出了检测与防护给出的建议:
      (1)全方位抵御水坑攻击。基于水坑+网站挂马方式的突破防线技术愈演愈烈,并出现了单漏洞多水坑的新攻击方法。针对这种趋势,一方面寄希望于网站管理员重视并做好网站漏洞检测和挂马检测;另一方面要求用户(尤其是能接触到工业控制设备的雇员)尽量使用相对较安全的Web浏览器,及时安装安全补丁,最好能够部署成熟的主机入侵防御系统。
      (2)防范社会工程攻击、阻断CC通道。在工业控制系统运行的各个环节和参与者中,人往往是其中最薄弱的环节,故非常有必要通过周期性的安全培训课程努力提高员工的安全意识。另外,也应该加强从技术上阻断攻击者通过社会工程突破防线后建立CC通道的行为,建议部署值得信赖的网络入侵防御系统。
      (3)工业控制系统组件漏洞与后门检测与防护。工业控制系统行业使用的任何工业控制系统组件均应假定为不安全或存在恶意的,上线前必需经过严格的漏洞、后门检测以及配置核查,尽可能避免工业控制系统中存在的各种已知或未知的安全缺陷。其中针对未知安全缺陷(后门或系统未声明功能)的检测相对困难,目前多采用系统代码的静态分析方法或基于系统虚拟执行的动态分析方法相结合的方式。
      (4)异常行为的检测与审计。
      李博士强调:上述列举出的APT突破防线和完成任务阶段采用的各种新技术和方法,以及其他已经出现或者即将出现的新技术和方法,直观上均表现为一种异常行为。建议部署工控审计系统,全面采集工业控制系统相关网络设备的原始流量以及各终端和服务器上的日志;结合基于行为的业务审计模型对采集到的信息进行综合分析,识别发现业务中可能存在的异常流量与异常操作行为,发现APT攻击的一些蛛丝马迹,甚至可能还原整个APT攻击场景。
      工业控制系统安全与传统的信息安全不同,它通常关注更多的是物理安全与功能安全,而且系统的安全运行由相关的生产部门负责,信息部门仅处于从属的地位。随着信息化与工业化技术的深度融合以及潜在网络战威胁的影响,工业控制系统也将从传统的仅关注物理安全、功能安全转向更为关注信息系统安全。李博士认为:确保国计民生相关的工业控制系统安全已被提升到了国家安全战略的高度,再加上工业控制系统跨学科、跨行业应用的特殊性,建立工控系统的安全保障体系必须通过国家、行业监管部门、工业控制系统用户、工业控制系统提供商、信息安全厂商等多方面协同努力。

  • 原文来源:http://www.chinairn.com/news/20140901/150730948.shtml
相关报告
  • 《物联网领跑运营商未来网络保险策略》

    • 来源专题:宽带移动通信
    • 编译者:wangrk
    • 发布时间:2015-10-31
    • 最新研究显示,物联网的出现以及M2M通信的增强是移动运营商网络保险的最大驱动力。 超过34%的受访者(移动运营商和业内人士)认为物联网/ M2M是主要因素,排名第二的观点则有28%的受访者支持,他们认为高质量网络的需求逐渐增加与抢夺市场同样重要。 这些数字反映了对运营商的要求不断增长,不仅要管理日益复杂的网络,还要尽其所能地提升用户体验以保存竞争优势。 这项研究结果获得了MYCOM OSI的赞助,并由Telecoms.com Intelligence于今天发布在Future of Mobile Networks Outlook 2015报告中,它发现了自动网络化保险的需求在不断增长,但瓶颈在于关键设施的完全算法化转变与人工编程的需要。在自动化案例中,有58%的受访者明确表示他们“不得不相信自动网络保险,因为对于人工控制来说它太过于复杂和庞大了”,然而最高票的答案却认为“对自动化的信任和人工编程之间必须有个度”,表明有75%的人想保持对自己网络的控制。 运营商对NFV的态度也能显示出日益增长的网络复杂性和风险,业内对于最优策略的看法也分成了两派。有25%相信NFV将会在互联网的不同领域发光发热,还有31%的人预测NFV会为互联网管理带来新的方法,迫使运营商尽快另起炉灶。然而,也有显著群体(44%)将NFV当做他们端对端网络保障策略的一部分,相信NFV管理终将服务于他们的OSS系统。 此项全球调查中还包括了其他重要发现: •82%人认为未来网络的保障应该立足于融合、跨域、端对端的视角 •80%的受访运营商一致认为优质服务将是未来网络战略投资中拥有最重要的优先权 •77%则认为未来网络保障应该沿着客户至上的视角。 •52%的运营商打算在网络虚拟化技术的基础之上,优先使用大数据和实时分析来提高用户体验来推动保险创新 “在未来的网络保险中物联网和网络质量成为头号驱动不足为奇,它将被立足于端对端的视角来管理,同时也要注入客户中心的分析法,” MYCOM OSI全球营销负责人Ian Meakin说,“但是此研究还表明,尽管要面对日益增长的复杂性,运营商们不敢放弃对网络保险的控制或者说完全将其完全交付于黑盒自动化与封闭算法。有明确需求表示要通过一个开放的,可编程平台来控制自动化,比如附带ProActor™方案的MYCOM OSI。”
  • 《深度解析涂料损耗原因及应对策略》

    • 来源专题:中国科学院文献情报制造与材料知识资源中心 | 领域情报网
    • 编译者:冯瑞华
    • 发布时间:2020-07-31
    • 《涂料工艺》一书对涂料定义:“涂料是一种材料,这种材料可以用不同的施工工艺涂覆在物件表面,形成粘附牢固、具有一定强度、连续的固态薄膜。这样形成的膜通称涂膜,又称漆膜或涂层。” 涂料所起到的作用主要有四点:保护,装饰,掩饰产品的缺陷和其他特殊作用,提升产品的价值。据统计,我国已成为世界第二大涂料生产国和消费国,进入到世界涂料行业发展的主流。 涂料应用范围广泛,常见的有家装、公路桥梁、汽车、飞机等领域。 涂料常见的施工工艺有刷涂、滚涂、喷涂(无气喷涂、静电喷涂)等。无论哪种施工工艺,都会造成一定程度的损耗,所谓损耗即由于可控和不可控因素共同导致的涂料实际使用量比理论用量大。通俗讲,即涂料的浪费。既然是“浪费”,那就说明,多使用的那部分涂料,并没有发挥作用。 为什么会有“浪费”呢? 涂料的涂布率(单位:m2/L)=体积固体份(%)×10÷干膜厚度(μm) 这是理论用量,实际上是不可能达到的。实际施工时由于很多因素,导致了涂料的浪费,比如桶内涂料残余,喷涂时压力控制不当,喷涂时漆膜厚度控制不当,基面粗糙等均会导致涂料损耗。 涂料的损耗系数是指实际用漆量于理论用漆量之间的比值,即:实际涂布率与理论涂布率之间的比值用来衡量涂料使用过程中的浪费程度,一般这个系数为1.3~2.0。 涂料使用过程中,合理损耗是必然的,为控制施工过程中损耗在合理的损耗范围内,减少浪费,整理出减少涂料损耗的方法。 造成涂料浪费的原因有以下几方面: 第一,施工人员 涂料行业流传一句话,涂料的最终效果,“七分人工,三分材料”。可见施工人员的重要性。施工人员素质、情绪、个人的操作水平都会对涂料的浪费程度有很大影响。比如,施工人员情绪,哪天不高兴了,拿桶将涂料倒了或者桶内剩余很多,损耗不大都难…… 是不是被“惊艳”到了?说这个事情只是想说明施工人员的职业素养真的很重要,当然,由于施工人员导致的涂料损耗,专业程度也是一个主要影响因素。比如对于基面的处理程度,如果基面粗糙不平,会导致大部分涂料渗入混凝土坑洼处,不仅漆膜厚度不均匀,浪费也很严重。再比如,施工人员对于喷涂设备的速度,压力等,控制不好,会导致漆膜厚度明显高于设计值。 第二,结构复杂程度高 结构复杂程度、大小都会直接影响涂料的损耗。一般情况下,结构相对复杂的构件上的涂装施工,涂料损耗相比与结构简单的构件涂料损耗大。结构尺寸较小时,相对于大型结构的结构的施工而言,其损耗也会较高。   第三,施工工艺 涂料施工工艺一般有刷涂,滚涂,空气喷涂和高压无气喷涂等。喷涂的方式虽然比较快,但涂料的耗损就会远远刷涂和滚涂。其次,采用喷涂方式的时候,喷嘴的不同选用,也会影响涂料的耗损程度。采用较大喷幅的枪嘴能达到较高的喷涂效率,但是会更多的造成涂料使用的浪费。   第四,基面粗糙情况 基面越粗糙, 涂料损耗量越大。为了达到涂料的良好附着和较佳防腐性能,一般钢材涂装前都需要做喷砂处理,对于混凝土基材,如果基面粗糙度较高,需要用环氧腻子找平。对于底漆而言,这方面的损耗必须加以考虑。 而对于多道涂层施工, 每层涂料表面的平滑状况, 以及施工后表面的砂纸清磨效果,会影响涂料损耗但影响较小。   第五,环境因素 施工时周围的环境会极大影响涂料损耗。尤其是大风天气施工,基本上是“北风那个吹,涂料那个飞”,涂料损耗会高。或者高温天气,会导致稀释剂挥发加速,混合后固化速度加剧,导致涂料粘度上升明显,以同样的速度和压力,会导致单位时间内涂料用量增加。 第六,工具设备粘附损耗 包括包装桶残留、涂漆设备上的粘附(如泵内与管路损失,辊子和刷子的残留等)、无气喷涂压泵、配料不当造成的损失。 那么如何降低损耗呢? 前面已经讲过,涂料的正常损耗是合理,但是很多为不合理的浪费。通过以下措施可以有效将涂料的损耗控制在合理范围内。 第一,安排职业素养高和专业能力强的的施工人员。   第二,控制漆膜厚度 随时测量湿膜厚度(根据固体含量预算干膜厚度)并相应调整,让喷涂人员注意喷涂手法,喷出厚度稳定且合适的漆膜厚度。   第三,根据结构选择施工方法 根据结构形状采用不同喷幅和流量的喷嘴,选择合适的涂装方法,如刷涂、滚涂损耗远低于喷涂。 第四,选择合适比例的稀释剂 施工人员经常存在一种误解,认为稀释剂加的越多,越容易控制漆膜厚度,从而减少浪费。但其实不然,稀释剂过多,容易出现涂料流淌,导致漆膜厚度不均。且稀释剂最终是会挥发的,所以稀释剂需要根据温度,厂家推荐,工人技术水平合理添加。 第五,避免过喷及喷出漆膜弊病,如流挂等。   第六,注意施工工艺管理 如对于要求总厚度的,中间漆(便宜)可适当喷厚,面漆底漆(贵)适当薄点;构件摆放高低是否合理影响施工等。 第七,注意施工环境 尽量避免在大风,高温暴晒等天气施工。造成涂料“满天飞”的现象。如果不可避免的话,建议调小喷嘴压力,喷射距离距离基面近一些等。 通过以上措施,可有效避免涂料的浪费。