3種方法保護遺留基礎設施安全

魏可源

數字政府中心最近的一次調查研究發現，70 %的受訪機構依賴遺留基礎設施維持運轉，遺留設備（Legacy）仍將繼續在關鍵基礎設施的持續性和穩定性方面起到重要作用，尤其是在工業控制系統（ICS）中。

德勤會計師事務所和MAPI的另一份報告《先進制造中的網絡風險》，強調了保護遺留控制系統的重要性，報告顯示，現代工業控制系統比其前輩容易保護得多。對200多家制造企業的調查發現，過去一年里，40 %的受訪企業都受到了網絡事件的影響，最大的風險存在于遺留ICS中。

遺留基礎設施是什么？為什么需要受到保護？

與智能電網或智能工廠之類現代智能企業中所用的最新先進設備相反，遺留設備通常頗為老邁，有些甚至已存在了二三十年，甚至更久時間。這些設備依然能用，有時候因為升級換代所需的巨大資本投入而往往沒被替換。某些情況下，因為通信協議的問題，此類系統甚至理解不了IP協議，只能使用某些專有通信機制。如此一來，更新工作就更令人絕望了，因為不僅控制系統設備需要更新，整個網絡基礎設施都要推倒重來。

另一個巨大的挑戰是，某些老舊控制系統運行的是過時的操作系統或應用軟件，不再受其制造商支持，甚至整個軟件開發社區都無視了這些操作系統或應用軟件的更新。此類系統漏洞裸奔，對攻擊和漏洞利用程序完全開放。更糟的是，它們有時候還不支持安全套接字層（SSL）和/或傳輸層安全（TLS）協議，通信信道本身毫無身份驗證和加密保護，即便支持SSL或TLS的設備，其版本也大多過時且沒打補丁。

甚至即使有軟件升級或補丁可用，也解決不了最終的問題，因為有些系統根本就不升級。其間阻礙包括這些系統所處位置的偏遠性和難以到達性，還有升級流程的復雜程度。而且，對關鍵基礎設施而言，僅僅是升級過程造成的那一點點停機時間，也是不可接受的。

以上不利條件造成了這些系統面對漏洞利用毫不設防的現狀，一旦被入侵，將極其難以檢測和緩解。漏洞利用不僅能令這些控制系統無法繼續正常操作，還會對整個工業運營造成嚴重甚至災難性的打擊。

保護遺留基礎設施的3種方法：

1.保護終端

終端包括多種控制系統設備，比如遠程終端單元（RTU）、可編程邏輯控制器（PLC）和智能電子設備（IED）等。這些終端只允許操作所需的通信消息可以接入。排除通信信道中所有不必要的流量可以防止終端暴露在漏洞利用或攻擊的威脅。

工業控制系統領域有個通行的理念：沒壞就別修。只要控制系統按預期運行，軟件升級或維護就有可能帶來讓系統不穩定的風險。然而，另一方面，升級系統以防止漏洞或協議異常的需求又總是存在的。這種情況下，協議異常檢測防火墻，或者說深度包檢測防火墻（因為不僅僅查看數據包頭，還查看深藏在數據包里的協議消息內容以應用過濾規則），就是只允許安全有效的協議到達終端設備從而減輕修復軟件漏洞需求的必備方法了。

2.保護網絡

很多情況下，遺留設備本身所用的網絡通信協議就是不安全的。即便確實有某種程度上的安全，也頂多是SSL或SSH的弱化版本，可被輕易突破或利用。保護這些通信信道以防止中間人攻擊非常重要，這樣才可以避免對控制系統的任何影響。信道保護的方法之一，是通過IPSec VPN隧道來加密通信，面向單個或多個控制系統終端的VPN網關，可以確保這些消息被幾乎不可破解的強算法加密。

至于不支持IP協議的終端，比如傳輸Modbus、Profinet或類似協議消息的遺留串行設備，設置將串行數據轉換為TCP/IP消息的邊界終端服務器，應能在數據傳輸前保護IP網絡安全。很多方法都能達成所需的安全需求，SSL和IPSec VPN是最主流的。

3.監視網絡和終端

即使終端和網絡都已安全，仍需持續監視網絡，查找影響安全穩定狀態的任何改變。網絡和控制系統總在不斷發展變化中，新的威脅和漏洞持續涌現，網絡自身也在不斷膨脹，越來越多的通信設備融入網絡，隨之引入各種安全漏洞。有必要設置一套系統持續跟蹤網絡中所有資產（或者通信設備），近實時地發現可能潛在威脅的新設備，這一資產發現系統應覆蓋IP和非IP通信，比如串行設備。另外，確保符合行業特定標準（如NERC CIP、NIST 800、IEC 62443等）的審計機制，有助于保持控制系統的安全和可用性。