【专家博客】升级Windows XP——使用工业防火墙解决漏洞困扰(二)
4月8号前夕,微软公司停止对Windows XP操作系统(OS)提供服务——致使数百万Windows XP用户面临着遭受偶然或蓄意的安全问题的影响。尽管Windows XP停止服务早就有计划,并且发布了合理的预警,但工业网络用户才刚刚开始体会到这一事件的影响。
事实并非是Windows XP不再能工作——而是微软公司将不再提供补丁、安全更新或基础设施支持,这会让工业网络很容易出现生产中断或系统停车。
而让人更加担忧的是,Windows XP是工业用户使用最普遍的操作系统,执行任务关键型工作(如控制、安全和资产管理)的计算机,以及数以千计的的工厂自动化设备大都使用Windows XP系统。
这一变故让那些负责保护关键工业进程和网络的人几乎没有选择的余地。而且系统升级也并不像看起来那么简单——系统升级可能引发一长串的“多米诺”效应。
升级至新的操作系统可能会引发多米诺效应,包括购买新的硬件和设备,安装新的驱动,一系列的系统集成工作、测试、培训,还会损失生产力
什么是“多米诺效应”?
从根本上来说,升级至新的Windows版本是必要的,但这不是一项一蹴而就的工程。
一次升级将会伴随一长串的事情。这意味着操作系统中原先包括的各种应用程序、硬件和软件都要一并迁移。而且升级并不是“一刀切”的解决方案——它需要时间、高额的费用,还伴随着停车和生产力变动所带来的风险。
操作系统升级所引发的“多米诺效应”包括以下许多事项:
• 升级操作系统
• 购买并安装:
Ø 新的电脑硬件和/或自动化设备
Ø 新设备所需的新软件
Ø 新软件的驱动程序
• 确保自动化设备支持新软件和驱动
• 进行系统集成工作(因为网络中的任务关键型应用程序表现各有不同)
• 部署改进后的应用程序
• 对新系统进行大量测试
• 针对新系统的用户培训和支持
现在,想象一下你要对安装Windows XP的每台机器都进行上述操作,你就能体会到 “看似简单的”系统升级也许要好几个人多年的努力才能完成。
仅仅升级一台电脑的Windows XP操作系统至新的操作系统就必须进行其他多项更新,而且在启用之前还需要进行测试和有效性检查
按照自己的时间表进行更新:使用工业防火墙
并非所有人都做好了改变操作方式的准备。对于那些更倾向于继续使用Windows XP系统,希望根据自己的时间表来升级操作系统的人来说,部署工业防火墙是保护使用Windows XP系统的设备的一种快速有效的解决方案。
在网络中部署工业防火墙:
•安装简便,配置快捷
•最大程度地降低了人员工时、培训和支持需求
•不牵涉升级或更换其他系统的操作,专为所有工业环境而设计
•性价比高
•可以根据自己的时间表更新Windows XP系统
采用工业防火墙的方案不会引发“多米诺效应”,能确保网络远离潜在的安全事件,不论是内部事故还是网络攻击。
影响 | 方案1:什么都不做 | 方案2:升级至新的Windows版本 | 方案3:安装工业防火墙 |
停车风险 | 非常大 | 在升级完成之前风险非常大 | 最低 |
耗费工时 | 不需要——直到发生安全事故 | 很长 | 短 |
对生产的影响 | 无影响——直到发生安全事故 | 大 | 小 |
费用 | 无费用——直到发生安全事故 | 高 | 低 |
Windows XP多米诺效应 | 无——直到发生安全事故 | 需要采取措施 | 不需要采取措施 |
系统升级 | |||
电脑硬件升级 | |||
新硬件所需的新软件 | |||
新软件所需的的新驱动程序 | |||
应用系统的集成工作 | |||
更换自动化设备 | |||
广泛测试 | |||
改动需要安装的应用程序 | |||
对新用户的培训和技术支持 | |||
生产能力损失 |
在Windows XP停止服务后保障工业应用安全的不同措施的比较
本文由青岛多芬诺信息安全技术有限公司编译整理,转载请注明出处。
提交
能源领域网络安全框架实施指南(英文版)
【指导手册】有效网络防御的关键控制
【操作指南】SCADA与过程控制网络防火墙配置指南
【指导手册】控制系统安全实践汇编
【操作指南】工业控制系统(ICS)安全指南