今日頭條
官方微信
官方抖音
資訊頻道 1 工控系統(tǒng)安全管理的不足
• 工業(yè)控制系統(tǒng)安全不僅是一個(gè)技術(shù)問題,更是一個(gè)管理問題,需要完善的工業(yè)控制系統(tǒng)安全政策、標(biāo)準(zhǔn)、制度和安全意識(shí)來支撐;
• 工控系統(tǒng)的安全管理,與IT安全管理有許多不同,易用性是工控系統(tǒng)安全管理考慮的第一要素;
• 相對(duì)信息系統(tǒng)用戶來說,工控系統(tǒng)用戶安全意識(shí)更加薄弱。
2 工控系統(tǒng)面臨的威脅
• 臺(tái)灣ICST在幾個(gè)月時(shí)間,通過檢測(cè)31廠家的67個(gè)產(chǎn)品,挖掘出50個(gè)可以被利用的漏洞;
• 從2007年起,每年的黑客大會(huì)都有關(guān)于工控系統(tǒng)安全的報(bào)告;
• 美國(guó)ICS-CERT報(bào)告,2012年工控安全事件197起,2013上半年工控安全事件206起。排在前三位的行業(yè)分別是:能源、關(guān)鍵制造業(yè)、交通。
3 工控系統(tǒng)安全理念
(1)白名單化
• 工控PC、服務(wù)器的進(jìn)程、服務(wù)的“白名單化”:操作員站、工程師站、HMI、WEB服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器。
• 工控系統(tǒng)訪問控制列表“白名單化”:IT防火墻、工業(yè)交換機(jī)、工業(yè)防火墻等。
• 工控系統(tǒng)資產(chǎn):“白名單化”:能夠?qū)崟r(shí)識(shí)別非法設(shè)備進(jìn)入工控系統(tǒng)。
(2)層次化
• 根據(jù)工控系統(tǒng)功能的不同,對(duì)工控系統(tǒng)進(jìn)行縱向分層、橫向分域,域分等級(jí),目的是進(jìn)行安全隔離防護(hù)。• 針對(duì)工控系統(tǒng)的特點(diǎn),我們提出了“三層架構(gòu),二層防護(hù)”的方案。
(3)邊緣化
• 從工控系統(tǒng)演變過程可以看到,工控系統(tǒng)最初是獨(dú)立的自動(dòng)控制系統(tǒng),但隨著信息化的發(fā)展,以及智能控制的要求,不斷的引入IT技術(shù)、互聯(lián)網(wǎng)技術(shù),從而使工控系統(tǒng)不再獨(dú)立。
• 工控系統(tǒng)安全,需要加強(qiáng)工控系統(tǒng)周邊信息化系統(tǒng)的安全。例如:SCADA、MES、ERP安全。
(4)透明化
• 工控系統(tǒng)安全采取的技術(shù)措施、管理措施,不能夠降低系統(tǒng)使用者的易用性,安全措施對(duì)使用者來說是透明的。
• 工控系統(tǒng)安全解決方案,不能夠降低系統(tǒng)的可用性、盡可能避免系統(tǒng)的延時(shí)(如果有延時(shí),必須在可接受的范圍之內(nèi))。
4 工控系統(tǒng)安全解決方案思路
基于工控系統(tǒng)安全防護(hù)理念,從四個(gè)維度,解決工控系統(tǒng)安全問題。
(1)工控系統(tǒng)安全防護(hù)
• 縱向分層:三層架構(gòu),二層防護(hù)。經(jīng)營(yíng)管理層、生產(chǎn)控制層、過程控制層。
• 橫向分域:不同的車間、不同的生產(chǎn)線進(jìn)行邏輯隔離。
• 分層分域的目的就是進(jìn)行安全隔離防護(hù)。
(2)工控系統(tǒng)安全加固
• 經(jīng)營(yíng)管理層-系統(tǒng)安全加固:對(duì)ERP、MIS等與生產(chǎn)控制層交互的終端、服務(wù)器以及交換設(shè)備進(jìn)行安全加固。
• 生產(chǎn)控制層-系統(tǒng)安全加固:對(duì)SCADA、MES系統(tǒng)中工控計(jì)算機(jī)(IPC)、服務(wù)器進(jìn)行白名單式安全加固,同時(shí)對(duì)工業(yè)交換機(jī)進(jìn)行加固。
• 生產(chǎn)過程層-系統(tǒng)安全加固:對(duì)PLC、RTU等進(jìn)行安全加固。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)