2021年6月28日,綠盟科技格物實驗室受邀參加“Secure Coding Practices for PLCs”的專案,該專案給工業控制系統提供了安全程式設計的指導或參考建議。綠盟科技格物實驗室在加入專案後,努力理解專案背景、專案意義、專案相關材料,並提供了多條建議。後續還將最佳化、補充、改進該專案中的諸多內容,積極聯合各方進行成果應用,推動工業控制領域的安全建設。
從2010年的“震網”事件後,工控安全走進了大眾視野,第一次讓大家認識到遠離我們日常生活的關鍵基礎設施遭受網路攻擊的後果,如果沒有將關鍵基礎設施納入到網路安全防護的體系中,我們的國計民生將會受到嚴重威脅,輕則停水停電,重則發生爆炸擾亂社會正常秩序。因此,我國也在2016年釋出了《工業控制系統資訊保安防護指南》,自此之後也湧現出了一批工控安全相關的產品,用以防護控制關鍵基礎設施的重點工業控制系統。
工控安全防護體系的路線經歷了五個階段,但每個階段的防護路線都是從外部或者內部的視角去審視如何抵禦攻擊的,當我們再次去理解工業控制系統時,發現其實它是一套程式設計人員開發出來的用以完成特定工業過程的裝置或者系統,如果最開始由程式設計人員編寫的程式就存在一些安全風險,即使我們後續加碼各類防護手段,還是會留下一個明顯的脆弱點。那麼怎麼才能避免這部分的風險呢?
凡是可程式設計的語言都有它的安全編碼規範,比如C、C++、java等諸多計算機語言安全編碼規範,其實工業控制系統也是一個可程式設計的系統,他們也應該擁有自己的安全編碼規範或者程式碼風險管理措施,基於此,綠盟科技翻譯了由ISA下屬的網路安全小組發起的社群專案《Top_20_Secure_PLC_Coding_Practices_V1.0》,目的是讓國內相關從業人員也意識到,控制系統的安全編碼實踐也是構建工業控制系統安全防護體系必不可少的一個環節。
完整版內容請點選閱讀原文檢視,也可在綠盟科技官方公眾號後臺回覆“PLC”獲取下載連結
關於PLC Security
多年來,可程式設計邏輯控制器(PLC)的設計是不安全的。經過幾年的定製和借鑑IT領域的最佳實踐,陸續出現了安全協議、加密通訊、網路分割等安全措施。
然而,到目前為止,還沒有人關注過如何使用PLC(或SCADA/DCS)中的特性來實現安全性,或者如何在考慮安全性的情況下進行PLC程式設計。這個專案——受到現有IT安全編碼實踐的啟發——填補了這一空白。