久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

                     
                           北京力控華康科技有限公司總經(jīng)理  魏欽志

   北京力控華康科技有限公司成立于2009年，專業(yè)從事工業(yè)網(wǎng)絡通信和網(wǎng)絡安全產(chǎn)品與服務。力控華康成立了專門的工業(yè)網(wǎng)絡安全實驗室，主要從事SCADA、PLC、DCS的漏洞挖掘。

   工業(yè)網(wǎng)絡的發(fā)展帶來信息安全挑戰(zhàn)

   隨著計算機網(wǎng)絡技術在PCS系統(tǒng)中的深入應用，以及MAV理念逐步得到認可，自動控制系統(tǒng)僅為“信息孤島“的時代已經(jīng)過去。大型化、集成化的PCS系統(tǒng)是歷史發(fā)展的必然趨勢！

   以太網(wǎng)、無線設備、遠程配置、Windows和Linux操作系統(tǒng)等技術在工業(yè)控制系統(tǒng)中的應用，使其正在向網(wǎng)絡化新型控制系統(tǒng)演變，控制系統(tǒng)與控制網(wǎng)絡開放性主要體現(xiàn)在：

   第四代DCS整體呈現(xiàn)開放性 ；基于PC架構的計算機應用的普及；Windows平臺的廣泛應用；基于IEEE802.3的工業(yè)以太網(wǎng)普及；大量采用TCP(UDP)/IP網(wǎng)絡協(xié)議；OPC、ModbusTCP等統(tǒng)一接口標準。

   從網(wǎng)絡安全的角度來看，這一系統(tǒng)“有巨大的挑戰(zhàn)，很容易被利用”。

   國家信息安全漏洞共享平臺（China National VulnerabilityDatabase，簡稱CNVD）在2011年收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞，較2010年大幅增長近10倍，涉及西門子、北京三維力控等國內外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關企業(yè)雖然積極配合CNCERT處理了安全漏洞，但這些漏洞可能被黑客或惡意軟件利用。

   力控華康的應對策略

   那么對于不同的行業(yè)、不同的網(wǎng)絡架構，需要找到不同的有針對性的解決方案。

   對此，力控華康提出的第一個原則即基于“白名單”的工控安全機制。“白名單”機制要求我們在信息傳輸?shù)臅r候，只能夠通過你使用到的協(xié)議進行傳輸。

   第二個原則是提倡用戶建立網(wǎng)絡物理隔離 ，建議用戶把辦公網(wǎng)和控制網(wǎng)，即信息網(wǎng)和控制網(wǎng)的信息分開。力控華康提供可靠的隔離網(wǎng)關產(chǎn)品，其采用安全的物理隔離“2+1”系統(tǒng)架構，即獨立的運算單元和存儲單元，各自運行獨立的操作系統(tǒng)和應用系統(tǒng)，安全隔離區(qū)采用私有加密的數(shù)據(jù)交互技術，數(shù)據(jù)交換不依靠TCP/IP協(xié)議，采用私有的定制操作系統(tǒng)。具有強大的數(shù)據(jù)交換能力和多種工業(yè)通信協(xié)議支持，完整的安全策略部署 ，可靠的冗余方案和故障自診斷技術。

  第三，力控華康提出引入防火墻技術，在引入防火墻技術的同時需考慮工業(yè)行業(yè)的特點，首先要求對于工業(yè)協(xié)議進行深度的分析，即可配置控制指令、寄存器地址、點名信息等。并且采用工業(yè)化設計。

   第四，力控華康和一些企業(yè)合作，提供漏掃和入侵檢測。入侵預防系統(tǒng)(IPS: Intrusion Prevention System)是電腦網(wǎng)絡安全設施，是對防病毒軟件（Antivirus Programs）和防火墻的補充。 入侵預防系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡或網(wǎng)絡設備的網(wǎng)絡資料傳輸行為的計算機網(wǎng)絡安全設備，能夠即時的中斷、調整或隔離一些不正?；蚴蔷哂袀π缘木W(wǎng)絡資料傳輸行為。

   最后，建立工業(yè)網(wǎng)絡私有云管理平臺。構建滿足工業(yè)控制系統(tǒng)的全廠級風險識別模型，除了需要細化工業(yè)控制系統(tǒng)的風險因素，還需要建立基于工業(yè)控制系統(tǒng)的安全管理域，實施分等級的基線建設，兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。包括：

   方便地對整個系統(tǒng)里所有安全設備模塊、控制器和工作站，進行部署、監(jiān)控和管理；

   規(guī)則輔助生成，指導用戶方便快捷地從權限、授權管理報告中，創(chuàng)建防火墻的規(guī)則；

   自動阻止并報告任何與系統(tǒng)流量不匹配的規(guī)則；

   接收、處理和記錄由安全模塊所上傳的報警信息；

   全網(wǎng)流量收集識別能力；

   基于白名單的終端應用控制能力；

   實時ICS 協(xié)議與內容識別能力；

   異常行為的仿真能力；

   可視化配置、組態(tài)；

   安全事件搜索、跟蹤和預處理能力。 

   摘自《自動化博覽》2013年1期