新推出的增强网络安全的西门子产品
Christoph Lehmann,来自德国的西门子公司,致力于西门子现有的许多产品和服务研究,以提高控制系统的安全性。值得注意的几点如下:
A. 新的通信处理器
首先,西门子打算处理ICS空间的最大漏洞--缺乏安全的通信协议以及起始和重点的认证。他们将通过在S7 PLC上安装新型的通信处理器或者代替诸如WinCC 服务器和客户端的PCS7计算机上的网卡,来达到这个目的。
这种技术的关键在于能否处理那些由人类参与的网络攻击,回放攻击以及信息泄露造成的很大的风险。另外,对于有些用户不愿意替代原有的S7产品,这个S7产品也是存在着问题。我们将拭目以待。
B. 功能块加密
通过上述方法,西门子也将通过引入功能块加密,提高他们的STEP 7和S7的编程环境。这项技术的具体细节没有透露,但西门子解释说,这一功能将消除S7控制器中由于修改代码而造成的非认证应用程序的情况,或通过外部代理修改STEP7项目文件的情况。
C. 新的PCS7自动化防火墙
基于微软威胁管理网关技术,西门子将引入一个新的PCS7自动防火墙,。大多数人懂得一个层次的ICS架构内运行防火墙的价值,然而,根据安全认证结果显示,当今仍有许多机构没有使用防火墙技术。
许多业内人士将这一情况的原因总结如下:
1.终端用户认为,在受保护的商业网络中即便受到攻击,也是微不足道的。
2.终端用户认为,防火墙安装过程和维护过于复杂,安装的不合适反倒不如不安装。
西门子通过采用自动防火墙的办法,提供可以与向前的GUI工具搭配的特殊ICS方案,或许可以解决这些问题。很显然,我们是这种办法的强力支持者,即便它是Tofino的潜在竞争者。
我们担心的是,安全威胁管理网关的使用延续了西门子利用微软网络安全和加速技术,这项技术过去被广泛用于在其安全概念文件。然而,微软并不是从事软件安全的公司,所以不能致力于工业控制市场。我们只有在这种情况下,才应该相信一个产品:这产品应该是不仅仅由一家从事软件安全的公司企业生产,而且这些公司要多少明白点控制系统原理以及它们容易出现的问题。
d.应用程序白名单。
西门子是目前能够将杀毒软件嵌入到它们产品核心中的ICS供应商之一。这类软件致力于认可被允许的,而不是阻拦被拒绝的。这就是所谓的“应用程序白名单”,具有防御和保护一些针对于目标主机的恶意程序。西门子已经和迈克菲公司合作,将使用该公司的应用程序控制软件。
等级:B 这个产品方向不错,但是我们需要更多细节来全面的衡量它。
安全服务新套装
西门子也明白,单靠产品无法提供足够的网络攻击风险保障。这就需要再依照职员,用户等以及商务流程的需要,进行研发加工。为了弥补这种差距,西门子推出了一个新套件为他们的客户的安全服务。
我最感兴趣的服务之一是他们的安全性快速评估(SQA)。这是一个非正式的采访为基础的安全资产,可以在终端用户和西门子培训的外勤人员之间使用,达到检讨当前的业务安全态势。它将被用于识别潜在的机会,以提高组织的控制系统安全的整体态势。
等级:B 这个项目的概念和构思是不错的
网络安全是一个值得需要操作员注意的问题
在本次会议最后90分钟的关于网络安全的讨论中,大部分与会的终端用户首先承认了,他们并不真正理解网络安全。会议最后他们全体一致地认为他们的网络设备有风险,需要改善。这是本次会议一个最重要的成就!
我们的总结和最后的评价
在我们看来,这次会议中,西门子已经汲取了许多在过去12个月中的经验教训,并转换成一个路线图,这将有助于他们的用户在未来建立安全的网络环境。 本次会议前后所提出的关于社会网络的考证指出,西门子只是展示营销的皮毛和简单的“打赢战斗的现状“而已。我们不同意上述说法。西门子选择的方向是正确的,而且表明了他们对用户和商业机构恪守承诺。由于过旧的遗留的设备无法进行一个完整的通用的替换,所以安全性必须立马提升一个台阶。 我们希望西门子走上正确的轨道。
我们将在一年之后,重新审视本文中提到的问题,看看西门子是否做到了他们所承诺的安全水准。
最后评价等级:C+ (B代表努力和有想法,D代表缺少细节和必要的产品政策展示,F代表需要商讨。)
联系客服