大家好,我是“大白菜的小弟”,今天替e小安的班和大家一起八一八我们一直以来傻傻分不清楚的工控信息安全和工控网络安全。
相信这个主题不仅困扰了工控安全圈中的一些认(jiao)真(zhen)的小伙伴们,同样也困扰了大批安全圈中的朋友。搜索信息安全还是网络安全,问问题答问题的人不在少数,更有相关论文发表,网上看了一圈,大家也没争论出个所以然来,谁也没说服谁,着实是个非常“耐撕”的话题。今天,咱们就撕出个新鲜来!
首先,咱们列出待撕细节。
解释等于没说型:豆丁上有好事者提问,有热心者提供分析,“侧重面不一样,简单从字面上说,一个是网络的,一个是信息的,网络不等于信息。”
出具实例分析型:DDoS攻击属于两者,而社会工程学攻击属于信息安全,但不一定是网络安全范畴。
论文显范型:从本质上来讲,网络安全就是网络上的信息安全,广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。—般意义上,网络信息安全是指信息安全和控制安全两部分。
据实分析型:网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大,其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
还有种种解释,我就不一一列举,经过以上几家所言,大家或许也能大概看出,除个别浑水摸鱼之外,人人解释的立意不同,有些概念很清楚,有些实践出真知,那到底按谁的方式来叫呢?是按论文中直接称为网络信息安全,还是按《中华人民共和国国家安全法》中折中的法子称为网络与信息安全?
很多看客都会觉得按概念解释的理解,信息安全应该包含网络安全,但其实按照其概念的解释,狭义的范围不应该是全包含的,所以信息安全和网络安全可能的概念范围如下图所示:
关于这些概念,CISSP的认证考试指南中给出过这样一个概念:网络既可以用作攻击通道,也可以成为攻击目标,也就意味着攻击者把网络用作为资源。攻击者从一个系统向另一个系统发送病毒时,病毒从网络通道中传输,如果攻击者执行DoS,那么网络本身也成为攻击目标。
问题已经趋于明朗了,不管我们叫网络安全还是信息安全,都是因为中了OSI七层模型的“毒”。在研究普通网络栈的不同层的同时,我们可以发现每个层次上特定的攻击类型,但当我们把所有攻击问题汇总时,却没有一个很好的中文词汇来概括所有内容,随即出现了关于名字的争端。
如果叫数据安全,本身更贴近与人机交互的概念,应用层本身的描述也称为数据,但数据向物理层做封装时,不仅分了段,而且还加了各种封装,所以不同层次不一定是针对荷载原始数据的攻击,还有针对封装头尾的攻击。
如果叫网络安全,虽然明确了网络系统的硬件、软件,但其系统中的数据又和我们脑子里的网络层本身安全问题有不同的意义。
所以大家站在不同楼层,说着不同的话,还指望按统一的方式把安全问题一一囊括,确实是有些问题。但如果我们硬要给出个名词去涵盖所有安全问题的话,那咱就加个定语,广义的信息安全可能会比较合适一些,也就需要各位打破OSI的束缚,别把自己固定在某个层次上,做一次网络小白,反正网络上都是信息,也别管什么”数据段包帧字节“,统统都认为是信息,那自然会觉得信息安全顺口一些。如果攻击者的目标是路由器交换机,那这些设备上传递的同样是各种各样的信息。
问题看起来已经渐渐明朗了,但把问题放到工控领域,又出现了新问题。工业领域有其”普渡模型“作为标准,这跟OSI又是不同的概念,又有什么区别?
其实工业领域的模型是按其工业生产环节的不同功能特点去划分的,并非是按协议数据分析分层的,所以两者没啥关系。同时,工业控制系统的通信原理也在使劲拥抱互联网,换句话说我们也能用OSI去分析一些工业控制系统的通信问题了。基于此,如果你想分析工业生产环节的功能及工艺流程,了解相关行业的基础知识,那就按照工业控制系统的五层模型去分析问题,如果你想分析一些工业控制系统信息数据的通信问题,还是同样可以借鉴OSI模型。
工信部大名鼎鼎的451号文中即称为工业控制系统信息安全。
智者多虑,也许信息安全还是网路安全的争辩并非你考虑的问题,但分析清这个问题,梳理清楚逻辑关系,对我们学习工控信息安全想必也是极好的。
OK,今天的干货分享就到这里,希望能帮助大家理清工控信息安全的复杂问题,对工控人说道说道安全,对安全人说道说道工控,喜欢就请转发分享!