上周我探讨了安全专家和ICS/SCADA供应商如何放弃将物理隔离网闸作为现代控制系统切实可行的安全解决方案的梦想。

       不幸的是，大家依然很容易相信自己的控制系统是隔离的。

       最近，我与一位控制工程师进行了一场非常有启发性的谈话，该工程师认为他们的系统是被物理隔离的。

        工程师：你最近做了一场有趣的演讲，是关于Stuxnet的，但是我们的涡轮机械设备是完全隔离的，所以我们不必担心。

        Eric：你是说从涡轮机械控制网络到企业网络的其它部分之间没有任何电子传输吗？

        工程师：是的，它是完全隔离的。

        Eric：那你怎么打补丁呢？

       工程师：不用——我们不需要，因为整个系统都是隔离的。

        Eric：有意思…控制网络的计算机的操作系统是？

        工程师：Windows NT SP4

        Eric：从来不打补丁或者更新？

       工程师：是的——仍然是起初安装时的状态。

        Eric：控制系统计算机的防病毒签章呢——你们怎样更新签章呢？

        工程师：我们不需要——因为系统是隔离的，我们决定不安装防病毒软件。另外，HMI软件的版本是供应商系统能支持防病毒软件之前的版本，所以我们不清楚是否可以安装防病毒软件。

        Eric：嗯…系统的电子手册呢—你们使用Adobe Reader吗？

        工程师：当然—有问题吗？

        Eric：可能吧—在过去三年里Adobe已经为读者发布了将近30个关键安全补丁。我想你们一个也没安装吧？

        工程师：是的，但是由于系统是隔离的，所以这不是问题。

尽管有物理隔离网闸，被隔离的系统（如这个小房子）通常也需要与其它系统连接来维持运行。
    

        Eric：我不这么确信，但是我们继续。控制涡轮机械的PLC是……

        工程师：西门子S7-300

        Eric：打过补丁吗？尤其是在最近的漏洞声明发布后？

       工程师：什么声明？

        Eric：我猜答案是“没有”。那么操作数据日志呢？你们是怎么把日志信息移到资产管理和维护等系统的呢？

        工程师：我们有一台笔记本电脑—我们每周都把它连到控制网络上来收集日志信息。

        Eric：然后呢？

       工程师：然后我们把它连到企业网络上，把日志信息传送到服务器上。

        Eric：从来不担心笔记本电脑会被蠕虫病毒感染吗？

       工程师的：不担心—我们在笔记本电脑上安装了防病毒软件。

        Eric：我想你遗漏了我的演讲中关于Stuxnet在被检测到之前已经隐藏了一年的那部分内容。

       工程师：哦。

        Eric：我们继续。远程监控呢？

       工程师：我们有调制解调器，但是它们通过电话线通讯的，所以不会有问题。

        Eric：你可能需要重新考虑。Slammer病毒就是通过调制解调器感染了许多控制系统。

       工程师：哦。

单一防御方法的风险

       谈话继续进行，但是，就像你看到的那样，该公司运作着一套非常关键的控制系统，其中有软件、硬件以及操作系统，并且十年来从未安装过任何补丁。如果系统被感染的话，他们也没有检测问题的方法。

       当然他们的一些隔离措施确实起到了一定的作用。但是，一旦工程笔记本电脑感染蠕虫病毒，或者CD上存储了受感染的PDF文件，事情就会变得非常糟糕。

       深入分析，你会发现该公司采取的安全策略的缺陷在于其依赖于单一的防御措施—将涡轮机械控制系统完全的电子隔离。完全忽略了其他的防御措施像防病毒软件、补丁管理、白名单和通信监测等等。无法使用这些防护措施，在于一旦公司部署了这些安全技术，完全隔离的假设就不能成立了。

       就像我在介绍Bastion模型的那篇博客中讨论的那样，单一防御会导致单点故障。只要能维持完全的隔离防御（我指的是“完全”），一切似乎都是安全的。不幸的是，从长远看，单点故障的设计并不健壮。

       这就像从未得过普通感冒也因此没有免疫力的偏远部落一样。生命是好的，直到外界的感染到来。然后缺少免疫力导致了对生命的威胁。

       对于和涡轮机械控制系统一样重要的系统来说，这是一个可以理解但是却有漏洞的策略。

        如果目前你的控制系统只采用了单一的防护措施，如物理隔离网闸，请开始了解相关的风险和可替代方法。