專家觀點：不建議在SCADA系統中部署防火牆

對於那些還未受到網路攻擊的關鍵基礎設施，如電網，或許有人會給出自欺欺人的解釋：這是因為，攻擊將同樣使得黑客受到影響。這完全是一種掩耳盜鈴的說法！

SCADA系統面臨的安全威脅

美國DHS 《2025關鍵基礎設施戰略性風險評估報告》指出：未來十年，信息技術將與關鍵基礎設施領域廣泛結合，因此，在面臨普遍安全問題的同時，網路物理系統的多樣性，還將帶來未知的安全漏洞和攻擊面。

毫無疑問，SCADA系統也不例外。Inductive Automation 軟體工程師Carl Gould說：其實，SCADA系統的實質是基於軟體來進行工業過程的控制、監測和分析。各種現場控制器負責SCADA通信，同時採集實時數據，並顯示在用戶終端圖形界面。

而在此過程中，操作電腦和控制器的網路連接可能會受到黑客攻擊。DHS的戰略性風險評估報告指出，僅2014年發生的網路攻擊事故就達245起，大部分受攻擊的目標為能源行業。

而據ICS-CERT數據表明，這些事故中涉及了範圍廣泛的已知和未知的威脅手段，其中包括大量SCADA和ICS系統的未授權訪問和網路攻擊。由此，你可以想像SCADA面臨的網路威脅有多惡劣。

防火牆的安全局限性

防火牆指是一種由軟體和硬體設備組合而成，在內部網和外部網之間、專用網與公共網之間構造的保護屏障。

目前，包括SCADA在內的大多數網路系統都部署有防火牆設備。而Waterfall Security工控安全研究室副總裁Andrew Ginter卻指出，由防火牆控制的inbound和outbound網路流量，以及其自身的安全防範局限性，將會導致更多脆弱性問題。

Ginter還補充到，所有軟體都存在漏洞，防火牆自身的軟體系統一樣可以被黑。

Ginter曾發表過文章–《13種繞過防火牆的攻擊方法》，其中列舉了13種繞過防火牆，實現網路攻擊的具體方法：

1 網路釣魚攻擊（Phishing）

2 社會工程學攻擊（Socialengineering）

3 域名控制器攻擊（Compromisea domain controller）

4 暴露伺服器攻擊（Attackexposed servers）

5 暴露客戶端攻擊（Attackexposed clients）

6 會話劫持（Session hijacking）

7 惡意VPN連接攻擊（Piggybackon VPN connections）

8 防火牆漏洞（Firewall vulnerabilities）

9 配置錯誤或遺漏（Errorsand omissions）

10 IP地址偽造（Forge an IP address）

11 繞過網路安全邊界（Bypass anetwork security perimeter）

12 物理控制訪問（Physicalaccess）

13 攜帶電子載體的「人力網路」攻擊（Sneakernet）

防火牆 VS USGs

在SCADA或ICS系統中，Ginter提倡使用

單向安全網關

USGs包括一個如下圖所示的數據傳輸模塊和接收模塊：

傳輸模塊和接收模塊之間由一條短的光纖電纜連接，傳輸模塊中內置一個光纖發射器，利用光電池將數據流量發送到接收模塊。重點是，這種光纖數據流量只能從傳輸端向接收端單向流通。

單向安全網關也稱為「數據二極體」，是近年來國外安全公司研發，並在工業網路環境中推廣的一種安全設備。

單向網關解決方案是成對的，TX裝置包含一個激光器，RX裝置包含一個光學接收器。成對的網關可以從業務網路中傳輸信息，但不會將任何病毒、DoS攻擊、人為錯誤或者其他信息回傳到受保護的網路。

目前，SANS、Waterfall Security、citis.ru等國外安全公司都有類似產品。

實時數據傳輸

USGs負責工控網路到企業管理網路之間的實時單向數據傳輸，其連接工控網路系統的資料庫軟體，自動請求查詢信息，並將信息從傳輸模塊發送到企業管理網路端的接收模塊，而這些信息將被儲存在企業管理網路內的備份數據伺服器內。

操控管理者通過對備份數據伺服器的信息查詢和分析，可以全面了解SCADA系統的運行情況，而無需直接連接到SCADA系統。Ginter說道，從物理層面來講，由於不能向SCADA系統發送信息，當然也就不能實現對其蓄意破壞和攻擊的目的。

USGs的選型

為了系統運行的有效性，選用的USGs和備份伺服器必須適應不同的網路和SCADA技術，Ginter同時強調，備份伺服器的數據備份過程必須對外部管理控制用戶透明，而且不會對主伺服器和保護網路造成影響。

另一個需要考慮的因素是，系統管理機構須確定所需的，USGs系統可以備份的哪些工控應用數據，如操作記錄、操作數據、控制系統伺服器或過程式控制制伺服器數據等。

具體可參考Waterfall Security的工業網路解決方案：Securing-Critical-Cyber-Assets-with-Data-Diodes

Ginter總結到，SCADA系統的安全防護應該比IT系統更加深入徹底，只有這樣的高標準嚴要求，才能避免像烏克蘭斷電事故這樣的重大網路攻擊發生。我們希望Ginter的觀點是正確的，畢竟停電事故誰都不敢想像。

**參考來源：

techrepublic

，FB小編clouds編譯，轉載請註明來自

FreeBuf.COM

。