今日头条
官方微信
官方抖音
资讯频道 1 工控系统安全管理的不足
• 工业控制系统安全不仅是一个技术问题,更是一个管理问题,需要完善的工业控制系统安全政策、标准、制度和安全意识来支撑;
• 工控系统的安全管理,与IT安全管理有许多不同,易用性是工控系统安全管理考虑的第一要素;
• 相对信息系统用户来说,工控系统用户安全意识更加薄弱。
2 工控系统面临的威胁
• 台湾ICST在几个月时间,通过检测31厂家的67个产品,挖掘出50个可以被利用的漏洞;
• 从2007年起,每年的黑客大会都有关于工控系统安全的报告;
• 美国ICS-CERT报告,2012年工控安全事件197起,2013上半年工控安全事件206起。排在前三位的行业分别是:能源、关键制造业、交通。
3 工控系统安全理念
(1)白名单化
• 工控PC、服务器的进程、服务的“白名单化”:操作员站、工程师站、HMI、WEB服务器、数据库服务器。
• 工控系统访问控制列表“白名单化”:IT防火墙、工业交换机、工业防火墙等。
• 工控系统资产:“白名单化”:能够实时识别非法设备进入工控系统。
(2)层次化
• 根据工控系统功能的不同,对工控系统进行纵向分层、横向分域,域分等级,目的是进行安全隔离防护。• 针对工控系统的特点,我们提出了“三层架构,二层防护”的方案。
(3)边缘化
• 从工控系统演变过程可以看到,工控系统最初是独立的自动控制系统,但随着信息化的发展,以及智能控制的要求,不断的引入IT技术、互联网技术,从而使工控系统不再独立。
• 工控系统安全,需要加强工控系统周边信息化系统的安全。例如:SCADA、MES、ERP安全。
(4)透明化
• 工控系统安全采取的技术措施、管理措施,不能够降低系统使用者的易用性,安全措施对使用者来说是透明的。
• 工控系统安全解决方案,不能够降低系统的可用性、尽可能避免系统的延时(如果有延时,必须在可接受的范围之内)。
4 工控系统安全解决方案思路
基于工控系统安全防护理念,从四个维度,解决工控系统安全问题。
(1)工控系统安全防护
• 纵向分层:三层架构,二层防护。经营管理层、生产控制层、过程控制层。
• 横向分域:不同的车间、不同的生产线进行逻辑隔离。
• 分层分域的目的就是进行安全隔离防护。
(2)工控系统安全加固
• 经营管理层-系统安全加固:对ERP、MIS等与生产控制层交互的终端、服务器以及交换设备进行安全加固。
• 生产控制层-系统安全加固:对SCADA、MES系统中工控计算机(IPC)、服务器进行白名单式安全加固,同时对工业交换机进行加固。
• 生产过程层-系统安全加固:对PLC、RTU等进行安全加固。
北京市公安局海淀分局备案号:11010802023656号