众所周知,遗留设备(Legacy)仍将继续在关键基础设施的持续性和稳定性方面起到重要作用,尤其是在工业控制系统(ICS)中。数字政府中心最近的一次调查研究发现,70%的受访机构依赖遗留基础设施维持运转。

1

德勤会计师事务所和MAPI的另一份报告《先进制造中的网络风险》,强调了保护遗留控制系统的重要性。报告显示,现代工业控制系统比其前辈容易保护得多。对200多家制造企业的调查发现,过去一年里,40%的受访企业都受到了网络事件的影响,大的风险存在于遗留ICS中。

遗留基础设施是什么?为什么遗留基础设施需要受到保护?

与智能电网或智能工厂之类现代智能企业中所用的最新先进设备相反,遗留设备通常颇为老迈,有些甚至已存在了20年、30年,甚至更久时间。这些设备依然能用,有时候因为升级换代所需的巨大资本投入而往往没被替换。某些情况下,因为通信协议的问题,此类系统甚至理解不了IP协议(网际协议),可能使用某些专有通信机制。如此一来,更新工作就更令人绝望了,因为不仅控制系统设备需要更新,整个网络基础设施都要推倒重来。

另一个巨大的挑战是,某些老旧控制系统运行的是过时的操作系统或应用软件,不再受其制造商支持,甚至整个软件开发社区都无视了这些操作系统或应用软件的更新。此类系统漏洞裸奔,对攻击和漏洞利用程序完全开放。更糟的是,它们有时候还不支持安全套接字层(SSL)和/或传输层安全(TLS)协议,通信信道本身毫无身份验证和加密保护。类似的,即便支持SSL或TLS的设备,其版本也大多过时且没打补丁。

甚至即使有软件升级或补丁可用,也解决不了最终的问题,因为有些系统根本就不升级。其间阻碍包括这些系统所处位置的偏远性和难以到达性,还有升级流程的复杂程度。而且,对关键基础设施而言,仅仅是升级过程造成的那一点点停机时间,也是不可接受的。

以上不利条件造成了这些系统面对漏洞利用毫不设防的现状,一旦被入侵,将极其难以检测和缓解。漏洞利用不仅能令这些控制系统无法继续正常操作,还会对整个工业运营造成严重而灾难性的打击。

保护遗留基础设施的3种方法

1.保护终端

终端包括多种控制系统设备,比如远程终端单元(RTU)、可编程逻辑控制器(PLC)、智能电子设备(IED)等等。这些终端只允许操作所需的通信消息可以接入。排除通信信道中所有不必要的流量可以防止终端暴露在漏洞利用或攻击的威胁之下。

工业控制系统领域有个通行的理念:没坏就别修。只要控制系统按预期运行,软件升级或维护就有可能带来让系统不稳定的风险。然而,另一方面,升级系统以防止漏洞或协议异常的需求又总是存在的。这种情况下,协议异常检测防火墙,或者说深度包检测防火墙(因为不仅仅查看数据包头,还查看深藏在数据包里的协议消息内容以应用过滤规则),就是只允许安全有效的协议消息抵达终端设备而减轻修复软件漏洞需求的必备方法了。

2

设备级防火墙保护遗留终端设备不沾染恶意流量和非必要流量示意图

2.保护网络

很多情况下,遗留设备本身所用的网络通信协议就是不安全的。即便确实有某种程度上的安全,也顶多是SSL或SSH的弱化版本,可被轻易突破或利用。保护这些通信信道以防止中间人攻击非常重要,这样才可以避免对控制系统的任何危险影响。信道保护的方法之一,是通过IPSec VPN隧道来加密通信。面向单个或多个控制系统终端的VPN网关,可以确保这些消息被几乎不可破解的强算法加密。

至于不支持IP协议的终端,比如传输Modbus、Profinet或类似协议消息的遗留串行设备,设置将串行数据转换为TCP/IP消息的边界终端服务器,应能在数据传输前保护IP网络安全。很多方法都能达成所需的安全,SSL和IPSec VPN是最主流的。

3

边界防火墙保护遗留网络不受恶意流量和中间人攻击影响示意图

3.监视网络和终端

即使终端和网络都已安全,仍需持续监视网络,查找影响安全稳定状态的任何改变。网络和控制系统总在不断发展变化中,新的威胁和漏洞持续涌现。网络自身也在不断膨胀,越来越多的通信设备融入网络,随之引入各种安全漏洞。有必要设置一套系统持续跟踪网络中所有资产(或者通信设备),近实时地发现可能是潜在威胁的新设备。这一资产发现系统应覆盖IP和非IP通信,比如串行设备。

至少,确保符合行业特定标准(如NERC CIP、NIST 800、IEC 62443等)的审计机制,有助于保持控制系统的安全和可用性。

相关阅读:

现在是提升数据中心安全的时候了

面对静默错误,超融合只能束手无策?

连年上涨,全球信息安全支出明年或超1240亿美元

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2025-01-03 11:41:56
国内资讯 2025年,三大运营商基础设施建设怎么干?
随着数字化时代的到来,算力产业已成为推动经济社会发展的核心力量。算力作为信息基础设施的重要组成部分,不仅支撑着各行各业的数字化转型,更是国家竞争力和国家安全的重 <详情>
2021-09-18 11:11:10
国内资讯 重庆打造长寿、涪陵、铜梁、奉节等7个区县级能源大数据中心
加强电力工业发、输、配、变、用等生产运营基础设施智能化改造,构建以新一代信息技术为支撑的智能电网 <详情>
2021-02-20 13:27:19
国内资讯 数据中心行业人员短缺带来的影响
数据中心行业已经在为人员短缺而陷入困境。Uptime Institute公司调查的50%受访者发现,目前很难找到空缺职位的求职者,高于2018年的38%。而很多求职者并不符合招聘人员的要 <详情>
2020-12-18 11:43:33
机房建设 Gartner:2021年影响基础设施和运营的六大趋势
无处不在的运营之关键在于开发让员工能够在合适的时间和地点开展合适工作的可编程基础设施,而这是最优基础设施的核心。随着基础设施和运营朝集成和运营发展,超融合基础设 <详情>
2020-12-14 10:20:23
大数据资讯 九木赣州大数据中心项目落户赣州经开区 投资110亿元
12月12日,赣州经开区举行第11批次项目签约仪式,由莆田九木科技有限公司投资110亿元的九木赣州大数据中心项目签约落户,这是今年以来该区签约第2个百亿元以上项目。市领导 <详情>
AI浪潮下 SUSE如何以开源助力企业级AI创新
2025-07-07 13:59:47
AI驱动数据中心变革 施耐德电气发布EcoStruxure™ Energy Operation电力综合运营系统
2025-07-04 15:15:58
液冷、供配电、WUE、IT能效…工信部新规落地,数据中心PUE之外的考题登场
2025-07-04 10:19:42
阿里云西部云计算中心及数据服务基地项目一期主体建设完工,即将投产
2025-07-04 10:17:27
南方万国数据中心REIT宣布定价3元/份,获超百倍认购,7月14日正式发售!
2025-07-03 16:59:52
绿电直连 vs 绿证 数据中心应该怎么选?
2025-07-03 16:36:38
迎接关键转型期:中国第三方算力中心服务商应对之道
2025-07-03 16:31:42
观察|几万块GPU、毫秒级变化……AI算力需求对智算中心供配电冲击有多大?
2025-07-03 16:27:45
马来西亚电费新政:取消阶梯电价,数据中心面临挑战与机遇
2025-07-03 16:25:43
总投资约45亿元 东方国信内蒙古智算中心项目1号楼投产
2025-07-03 16:23:12
2025中国智算产业生态发展大会中交智数谷(宁夏·中卫)专场成功举办
2025-07-03 16:21:11
总投资1.3亿 仙桃小寺垸智算中心项目正式开工
2025-07-03 16:19:13
科智咨询《2025中国智算产业生态图谱》发布
2025-07-03 16:17:42
同比增长超100% 《中国智算中心供配电系统应用市场研究报告(2025)》正式发布
2025-07-03 16:15:37
“算力产业创新实践案例”揭晓 彰显算力多样化创新赋能
2025-07-03 16:06:57