当前位置:首页 > 工业控制 > 工业控制技术文库
[导读] 在机场、酒店大堂、时尚的咖啡厅,可以看到人们很自在地用笔记本电脑享受着上网冲浪的便捷,同时电信运营商们也在积极推广城市热点的接入覆盖访问。但随着无线网络嗅探变得轻而易举,你是否考虑过网络环境是否

在机场、酒店大堂、时尚的咖啡厅,可以看到人们很自在地用笔记本电脑享受着上网冲浪的便捷,同时电信运营商们也在积极推广城市热点的接入覆盖访问。但随着无线网络嗅探变得轻而易举,你是否考虑过网络环境是否安全?

伊朗布舍尔核电站的遭遇为我们敲响警钟,黑客攻击正在从开放的互联网向封闭的工控网蔓延,黑客动机从技术展示到利益获取再到如今的高端性攻击。因此,在关系到国计民生与国家安全的重大项目中,对国外品牌的选择需要更加谨慎,并对中国自主研发的产品有足够的重视。目前,许多国家对引进国外产品带来的国家安全隐患都十分重视。在同类项目中,可以分别采用不同的品牌、不同的技术,把鸡蛋放在不同的篮子里,以分散风险。应该在一定程度上,采取多种品牌、多种技术的策略,权衡项目成本与项目安全,使二者达到最大程度的优化与平衡。

据权威工业安全事件信息库RISI统计,截止到2011年10 月,全球已发生200 余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使针对ICS 系统的攻击行为出现大幅度增长,ICS 系统对于信息安全的需求变得更加迫切。

近年来典型工业控制系统入侵事件:

·2005年,美国水电溢坝事件;

·2007年,攻击者入侵加拿大的一个水利SCADA 控制系统,破坏了用于取水调度的控制计算机;

·2008年,攻击者入侵波兰某城市地铁系统,通过电视遥控器改变轨道扳道器,导致四节车厢脱轨;

·2010年,“网络超级武器”Stuxnet 病毒针对性的入侵ICS 系统,严重威胁到伊朗布什尔核电站核反应堆的安全运营;

·2011年,黑客通过入侵数据采集与监控系统,使美国伊利诺伊州城市供水系统的供水泵遭到破坏。

工业控制系统(ICS)概述

工业控制系统(ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括SCADA、DCS、PLC、RTU、IED以及接口技术等。

对工业控制系统中IT基础设施的运行状态进行监控,是工业工控系统稳定运行的基础,其中核心组件就是数据采集与监视控制系统(SCADA),典型的SCADA系统由以下组件构成:

目前工业控制系统广泛应用于我国电力、水利、污水处理、石油天然气、化工、交通运输、制药以及大型制造等行业中,据不完全统计,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。

一次典型的ICS 控制过程通常由控制回路、HMI、远程诊断与维护工具三部分组件共同完成,控制回路用以控制逻辑运算、HMI执行信息交互、远程诊断与维护工具,确保出现异常操作时进行诊断和恢复。

随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,通过各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散。其风险主要来源于:

ICS风险的主要根源

·漏洞隐蔽性和严重性;采用专用的硬件、软件和通信协议。

·安全重视不够、连接无序、数据保护和应急管理不足;设计上考虑到封闭性、主要以传统安全为主。

·默认配置、连接、组网、采购升级无序;主要基于工业应用的场景和执行效率。

工控平台的脆弱性

·平台本身的安全漏洞问题;

·杀毒软件安装及升级更新问题;

·大量默认配置和默认口令;

·专用平台和通用平台漏洞。

工控网络的脆弱性

TCP/IP等通用协议与开发标准引入工业控制系统,特别是物联网、云计算、移动互联网等新兴技术,使得理论上绝对的物理隔离网络正因为需求和业务模式的改变而不再切实可行。传统的威胁同样会在工业网络中重现。

·边界安全策略缺失;

·系统安全防御机制缺失;

·管理制度缺失或不完善;

·网络配置规范缺失;

·监控与应急响应机制缺失;

·网络通信(无线接入+拨号网络)保障机制缺失;

·基础设施可用性保障机制缺失。

安全管理、标准和人才的脆弱性

缺乏完整有效安全管理、标准和资金投入是当前我国工业控制系统的难题之一。其次,过多的强调网络边界的防护、内部环境的封闭,让内部安全管理变得混乱。另外,既了解工控系统原理和业务操作又懂信息安全的人才少之又少,为混乱的工控安全管理埋下了伏笔。最后,内网审计、监控、准入、认证、终端管理等缺失也是造成工控系统安全威胁的重要原因。如:使用U盘、光盘导致的病毒传播、笔记本电脑的随意接入与拨号、ICS缺少监控和审计等问题。

为了加强工控网防护,工信部紧急下发了工信部协【2011】451号文《关于加强工业控制系统信息安全管理的通知》,指出我国目前工控系统现状:对工业控制系统信息安全问题重视不够;管理制度不健全;相关标准规范缺失;技术防护措施不到位;安全防护能力和应急处置能力不高等。工信部要求工业、能源、交通、水利以及市政等加强工业控制系统安全管理。

工控网安全基本安全防护原则

ICS网络中有代表性的EPA(Ethernet for Plant Automation)网络由企业信息管理层、过程监控层和现场设备层三个层次组成,采用分层化的网络安全管理措施。

EPA现场设备采用特定的网络安全管理功能,对其接收到的任何报文进行访问权限、访问密码等的检测,使只有合法的报文才能得到处理,其他非法报文将直接予以丢弃,避免了非法报文的干扰。

在过程监控层,采用EPA网络对不同微网段进行逻辑隔离,以防止非法报文流量干扰EPA网络的正常通信,占用网络带宽资源。

对于来自于互联网上的远程访问,则采用EPA代理服务器以及各种可用的信息网络安全管理措施,以防止远程非法访问。

美国《工业控制系统安全指南》也提出了ICS系统如下纵深防护体系架构(如下图),可供我们参考。

电力二次系统防护方案是工业控制系统安全防护的典型案例

电力二次系统方案遵循“安全分区、网络专用、横向隔离、纵向认证”的原则,涵盖电力监控系统、电力调度管理信息系统、电力通信及调度数据网络等,该方案为电力信息安全搭建了最为基础的安全框架,但由于电力二次系统基本原则出台较早,基本搭建在网络安全防护的基础上,对系统、业务应用、数据安全以及安全管理方面考虑较少,目前面临着新的安全威胁,需要更全面的解决方案应对。

总而言之,工控系统安全要做到“进不来、拿不走、看不到、改不了、走不脱”。只有管理体系、技术体系、运维体系三管齐下,有机融合,方能保一方平安。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭