信息化觀察網(wǎng)

什么是物理隔離？為什么要物理隔離不同網(wǎng)絡(luò)？

你站哪個陣營？是物理隔離派，還是認(rèn)為真正的物理隔離根本不存在的不隔離派？

物理隔離網(wǎng)絡(luò)是邏輯上和物理上都與其他網(wǎng)絡(luò)隔離開的網(wǎng)絡(luò)，與其他網(wǎng)絡(luò)間的通信無論走物理信道還是邏輯信道都走不通。多年來，政府、軍隊(duì)、金融服務(wù)、核電站及工業(yè)制造等多個不同垂直行業(yè)中的很多網(wǎng)絡(luò)都被稱作所謂的 “物理隔離網(wǎng)絡(luò)”。

在工業(yè)界，這些物理隔離網(wǎng)絡(luò)是支持工廠中工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)，與企業(yè)網(wǎng)絡(luò)間的通信在物理上和邏輯上都是斷開的。

在當(dāng)今網(wǎng)絡(luò)即是控制系統(tǒng)的 “工業(yè) 4.0” 革命中，工業(yè)過程數(shù)據(jù)分析是驅(qū)動優(yōu)化和效率的關(guān)鍵所在，越來越多的現(xiàn)場設(shè)備變身 “智能設(shè)備”（接入網(wǎng)絡(luò)并通過網(wǎng)絡(luò)加以管理）。這種情況下，物理隔離工業(yè)網(wǎng)絡(luò)的觀念在未來還切實(shí)可行嗎？如今真的存在物理隔離的網(wǎng)絡(luò)嗎？

物理隔離真的有效嗎？只是虛假的安全感？

理論上，物理隔離網(wǎng)絡(luò)似乎是個不錯的主意。但實(shí)際情況又是另一番景象。

物理隔離真的能保證與互聯(lián)網(wǎng)或公司業(yè)務(wù)網(wǎng)絡(luò)隔離開來嗎？事實(shí)上，已有多起案例證明物理隔離網(wǎng)絡(luò)是可以被滲透的。最著名的例子就是“震網(wǎng)”，該蠕蟲能夠入侵并破壞鈾濃縮過程，令伊朗納坦茲核設(shè)施的核彈頭制造陷入停滯。

其他不那么可怕的案例也有很多，比如承包商、運(yùn)維團(tuán)隊(duì)或控制工程師會為了自己方便而設(shè)置調(diào)制解調(diào)器和無線網(wǎng)絡(luò)，以便能夠與物理隔離網(wǎng)絡(luò)間互傳數(shù)據(jù)。更何況還有筆記本電腦、平板電腦和智能手機(jī)這種臨時性設(shè)備。也別忘了通過可移動載體（光盤、U盤等）、遠(yuǎn)程訪問和人力網(wǎng)（無需通過網(wǎng)絡(luò)即可轉(zhuǎn)移數(shù)據(jù)的任意方式）轉(zhuǎn)移進(jìn)來的數(shù)據(jù)。這些環(huán)境都是真正物理隔離的嗎？

所有這些案例無不證明：沒什么是真正物理隔離的，或者說，沒辦法永遠(yuǎn)保持 100% 物理隔離。物理隔離有沒有給我們一種虛假的安全感呢？網(wǎng)絡(luò)安全人員聽到過多少次 “哎呀，我們是物理隔離的，沒有必要擔(dān)心網(wǎng)絡(luò)安全” ？如果真是這樣的話，一沒有評估有沒有新數(shù)據(jù)被可移動載體/臨時設(shè)備帶進(jìn)來，二沒有監(jiān)測有沒有通過調(diào)制解調(diào)器或 VPN 設(shè)置的外部網(wǎng)絡(luò)連接，誰能知道自己到底是不是物理隔離的？

最終，總有新數(shù)據(jù)跑進(jìn)這些所謂的 “物理隔離” 環(huán)境中。我們該如何解決這種情況？

問對問題值萬金

你怎么知道有沒有數(shù)據(jù)進(jìn)出你的網(wǎng)絡(luò)？你怎么知道有沒有為便于雇員、承包商或供應(yīng)商使用而設(shè)置了外部連接？

要能夠回答此類 “你怎么知道” 的問題，就得真正了解你的網(wǎng)絡(luò)，并布置預(yù)防性控制措施以能夠持續(xù)回答下列問題：

●網(wǎng)絡(luò)上有什么設(shè)備？

●這些設(shè)備的通信內(nèi)容是什么？

●這些設(shè)備在與誰通信？

●這些設(shè)備間的正常通信是什么樣子的？

●有沒有設(shè)置外部連接？

正如我們監(jiān)測工業(yè)過程產(chǎn)出的品質(zhì)性狀（如庫存、廢品率、返工率、物理尺寸、設(shè)備綜合有效性、故障率等等），我們也需要監(jiān)測工業(yè)環(huán)境中的異常行為——配置修改、通信模式改變、漏洞利用和新/非預(yù)期網(wǎng)絡(luò)連接等。這么做有助于從影響工業(yè)過程運(yùn)行的特殊因素中恢復(fù)過來，而這些特殊因素包括但不限于錯誤配置、人為失誤、網(wǎng)絡(luò)安全事件、機(jī)器故障等等。

從哪里著手？

如果還沒開啟工業(yè)網(wǎng)絡(luò)安全之旅，可以從工業(yè)網(wǎng)絡(luò)安全漏洞或風(fēng)險評估開始。

網(wǎng)絡(luò)安全漏洞評估通常都會發(fā)現(xiàn)給定的環(huán)境從未完全物理隔離過。評估往往會發(fā)現(xiàn)未經(jīng)批準(zhǔn)的外部連接，可能是被控制工程師出于非威脅或非惡意原因而設(shè)置的。

工程師在進(jìn)行系統(tǒng)維護(hù)或問題處理時為了免于人工將文件或程序拷入控制環(huán)境，就會取巧建立這些未經(jīng)批準(zhǔn)的網(wǎng)絡(luò)連接。大多數(shù)時候，這些連接都只是臨時應(yīng)急用，但事情往往會發(fā)展成連接忘了撤銷，本應(yīng)物理隔離的網(wǎng)絡(luò)對其他通信信道門戶洞開，其上行為可能被用于惡意目的。

還需要做些什么？

專注基本網(wǎng)絡(luò)安全控制。不要好高騖遠(yuǎn)，盡去嘗試先進(jìn)技術(shù)。三個基本的網(wǎng)絡(luò)安全控制就能緩解大多數(shù)內(nèi)部和外部威脅帶來的風(fēng)險：

1. 理解并管理數(shù)據(jù)流，也就是網(wǎng)絡(luò)通信。

維護(hù)好準(zhǔn)確的資產(chǎn)庫存清單（供應(yīng)商、型號、模型、固件版本等等）。

監(jiān)視設(shè)備數(shù)據(jù)流，查看哪些是預(yù)期的，哪些是異常的。

2. 以網(wǎng)絡(luò)分隔實(shí)現(xiàn)預(yù)期的通信模式或數(shù)據(jù)流。

3. 監(jiān)視并管理控制網(wǎng)絡(luò)中所有設(shè)備的配置修改。

數(shù)據(jù)流管理始于創(chuàng)建并維護(hù)包括硬件和軟件在內(nèi)的準(zhǔn)確資產(chǎn)庫存清單。只要構(gòu)建完準(zhǔn)確的資產(chǎn)庫存清單，就可以開始理解并管理進(jìn)出控制網(wǎng)絡(luò)的所有數(shù)據(jù)流（通信模式）了。可以查看并管理的東西包括：

1. 文件傳輸：FTP、SFTP/SCP 等等。

2. 臨時設(shè)備：筆記本電腦、平板電腦、手機(jī)等等。

3. 可移動載體：如 U 盤。

4. 內(nèi)部網(wǎng)絡(luò)連接：部門或區(qū)域內(nèi)網(wǎng)絡(luò)連接，以及部門或區(qū)域間網(wǎng)絡(luò)連接。

5. 外部連接：通往/來自業(yè)務(wù)或公司網(wǎng)絡(luò)、供應(yīng)商、銷售商等的連接。

6. 無線網(wǎng)絡(luò)：尤其是為了方便而臨時設(shè)置的那些。

怎樣獲取數(shù)據(jù)流可見性呢？你必須清楚有哪些東西連接到自家網(wǎng)絡(luò)（準(zhǔn)確的資產(chǎn)庫存清單），然后監(jiān)視自家網(wǎng)絡(luò)上出自這些設(shè)備的數(shù)據(jù)流走向。

Tripwire 提供被動式監(jiān)視解決方案——Tripwire Industrial Visibility。該解決方案專為理解工業(yè)協(xié)議和工業(yè)控制網(wǎng)絡(luò)而生，可制作設(shè)備庫存清單（供應(yīng)商、型號、模型、固件版本等等），還可以獲悉設(shè)備正用哪些協(xié)議在網(wǎng)絡(luò)上通信。Tripwire Industrial Visibility 的學(xué)習(xí)模式可建立所有資產(chǎn)和通信的基準(zhǔn)，投入運(yùn)營模式后便能以這些基準(zhǔn)發(fā)出設(shè)備異常警報。

充分了解數(shù)據(jù)流后，下一步就是設(shè)置預(yù)防性控制措施以實(shí)施這些通信模式。這方面可以借助 Tofino Xenon 之類工業(yè)安全設(shè)備，執(zhí)行深度包檢測和工業(yè)協(xié)議健全性檢查，實(shí)現(xiàn)設(shè)備及網(wǎng)絡(luò)間的授權(quán)通信。

IEC 62443 中將區(qū)域定義為擁有相似功能/風(fēng)險模型的資產(chǎn)（即人機(jī)界面 (HMI) 區(qū)域或可編程邏輯控制器 (PLC) 區(qū)域），管道則規(guī)劃不同區(qū)域間設(shè)備的授權(quán)/預(yù)期通信（即僅允許 HMI 區(qū)域和 PLC 區(qū)域間的 Modbus 串行通信協(xié)議，或僅允許變電站區(qū)域與控制中心區(qū)域間的 DNP3 分布式網(wǎng)絡(luò)協(xié)議）。Tofino Xenon 工業(yè)安全設(shè)備就能輔助實(shí)現(xiàn) IEC 62443 中描述的區(qū)域和管道方法。無論你有沒有物理隔離網(wǎng)絡(luò)都值得應(yīng)用該方法，因?yàn)樵摲椒删徑鈵阂饣蚍穷A(yù)期流量在工廠或車間內(nèi)傳播的風(fēng)險。

最后，還須具備管理設(shè)備配置的能力，無論設(shè)備是控制器、HMI、遠(yuǎn)程終端設(shè)備 (RTU)、工程工作站、路由器、交換機(jī)、數(shù)據(jù)庫、防火墻，還是別的什么設(shè)備。

影響工廠產(chǎn)品生產(chǎn)能力的生產(chǎn)停滯發(fā)生時往往會出現(xiàn)什么情況？結(jié)果就是有些東西被改變了——配置設(shè)置、固件版本、新開的端口、新接入網(wǎng)絡(luò)的設(shè)備等等。意識到有東西被改變，再將之復(fù)原，以便工業(yè)過程能轉(zhuǎn)回正常生產(chǎn)運(yùn)營狀態(tài)需要多長時間呢？

管理變動和了解變動是否合法是 Tripwire Enterprise 的強(qiáng)項(xiàng)。Tripwire Industrial Visibility 也可用于管理變動，尤其是圍繞控制器的各種變動，無論是新添了梯形邏輯，還是改了控制器運(yùn)行模式：執(zhí)行、編程、測試等等。別讓這些變動支配了日常運(yùn)營，要通過可見性管理這些變動，讓變動管理策略能夠得以實(shí)施。

無論物理隔離還是不隔離，可見性、預(yù)防性控制措施和持續(xù)監(jiān)視都是關(guān)鍵

無論是否采用物理隔離維持自身工業(yè)環(huán)境的完全控制，監(jiān)視解決方案都是必須的。Tripwire 的解決方案有助于提供可見性、防護(hù)控制和持續(xù)監(jiān)視，便于監(jiān)測和防止威脅安全、生產(chǎn)力和質(zhì)量的網(wǎng)絡(luò)事件。