【专家博客】纵深防御是SCADA安全的关键
在我的博客未来工厂将遭遇Stuxnet变种!一文中,我提到过纵深防御这个概念,这是安全领域中一个很重要的基础概念,我打算在接下来的几周用一些专栏来探讨这个话题。
我们首先要明确的是这不是一个网络安全的概念,而是所有安全实践的一个核心概念,起源于中国古代军事家孙武的思想。无数战争失败的原因都在于忽略了“纵深防御”法则。
事实上,普鲁士军人和军事理论家克劳塞维茨在拿破仑时代就表明“如果你依靠躲在坚固的防御工事后面来保护自己,敌人就会在别的地方寻找突破的方法。”因此,让我们通过分析一个不采用“纵深防御”的军事活动例子来研究一下这个思想。
长城的竣工标志着堡垒防御意识的形成
想象一下现在是1918年9月,有史以来最大的战争-第一次世界大战刚刚结束时,法国遭遇了毁灭性的破坏。这次战争造成100多万人丧生、400多万人受伤,法国东部的许多村庄也遭到了破坏。一场激烈的争论开始盛行-“法国如何确保他们在德国部落附近的美丽村庄不会再次遭遇入侵?”
针对该问题,当时有许多不同的想法,其中一个较为盛行的就是沿着法德边界建立一个堡垒防御线。
这样,在1930年到1936年期间,法国政府投入了大约300亿法郎修建了一条400公里长的混凝土堡垒线,也就是文明于世的马其诺防线。
得知自己的国家在大量混凝土防线和枪支的保护下很安全时,每个法国人都觉得很安心。
然后在1940年5月10号,希特勒攻击了法国。
当一支德国诱敌军队到达防线对面时,希特勒的第二支军队穿越比利时、荷兰和没有设防的阿德雷丝森林。
这些军队完全绕过了马其诺防线,一周之内纳粹军队就深入了法国,一个半月后法国投降了。这条防线仅仅只是牵涉到这次战争而已。
到底是哪里出错了呢?显然这条防线完成了原本赋予它的任务,也就是阻止敌人对法国东部边境的直接袭击。
但是法国并没有很好地利用这条防线。按照最初的设计,马奇诺防线只是一个大型多层计划的一部分,这个计划还包含其他的防御和法国军队。
相反,马奇诺防线给法国当局一种安全的错觉。他们把所有的防御战略都建立在这单一解决方案的基础上,从而导致纳粹军队迅速战胜法国。
单一的防御方案只会导致单点故障
很多历史学家都有这样的言论“不是马其诺防线造成法国的失败,而是‘马其诺思维 ’导致了他们的失败。”即相信单一的强大防御就是一个好的安全防御的想法导致了他们的失败。
以单一的整体解决方案为基础的安全设计被称为“堡垒”模型,可能会导致单点故障。按照墨菲法则,最终将绕过单点(像马其诺防线),发生多多少少的故障。一旦发生上述情况,系统就只剩下被攻击了。
同样地,假设所有的恶意通信都从同一个要道通过的工业安全设计思想都是很危险的。依靠单一的防火墙或者数据二极管的做法只是建立基于单点安全故障的安全方案。只有恰当的纵深防御设计(控制设备和系统的个体和整体都被加固)才能为工厂提供可靠的安全性。
在以后的博客中我们将讨论替代马其诺思维的思想。我们将看到一个可靠的安全策略,不论是军事的、物理的还是网络安全,是如何以分层多重的安全解决方案为基础的。这样的话,如果绕过其中一项防御,别的防御措施也会发挥作用。
提交
能源领域网络安全框架实施指南(英文版)
【指导手册】有效网络防御的关键控制
【操作指南】SCADA与过程控制网络防火墙配置指南
【指导手册】控制系统安全实践汇编
【操作指南】工业控制系统(ICS)安全指南