當前位置:主頁 > 新聞 > 社會新聞 > 正文

工業控制系統信息庫如何防範安全問題

未知 2019-07-16 10:53

工業4.0是德國人提出的概念,認為制造業未來隻能通過智能化的生産創造價值,而美國則提出工業互聯網,以通用電氣(GE)為代表,注重通過機器互聯、軟件及大數據分析,提升生産效率,創造數字工業的未來。兩化融合,管控一體化等推進,将傳統的工控孤島與辦公網、互聯網進行連接,而工控系統應用傳統總線協議,欠缺對安全性的考慮,導緻安全漏洞、隐患嚴重。工控安全事件頻發。

據權威工業安全事件信息庫RISI統計,截止到2011年10月,全球已發生200餘起針對工業控制系統的攻擊事件。2001年後,通用開發标準與互聯網技術的廣泛使用,使針對工業控制系統(ICS)的病毒、木馬等攻擊行為大幅度增長,結果導緻整體控制系統的故障,甚至惡性安全事故,對人員、設備和環境造成嚴重的後果。比如伊朗核電站的震網病毒事件,給全球工業界控制系統的信息安全問題敲響了警鐘。工控系統信息安全的需求變得更加迫切。

我國工控領域的安全可靠性問題突出,工控系統的複雜化、IT化和通用化加劇了系統的安全隐患,潛在的更大威脅是我國工控産業綜合競争力不強,嵌入式軟件、總線協議、工控軟件等核心技術受制于國外,缺乏自主的通信安全、信息安全、安全可靠性測試等标準。工信部發布《關于加強工業控制系統信息安全管理的通知》,要求加強與國計民生緊密相關的多個重點領域内工業控制系統信息安全管理。事實告訴我們,隻有做到居安思危、未雨綢缪,才能保證工業控制系統健康穩定地運行。

安全産品現狀

工業防火牆、工業安全網關産品大多使用X86架構,在商業安全産品中屬低端産品,吞吐量在100M級别,不能勝任1000M網絡容量,當網絡負載大時工業防火牆成為網絡瓶頸。

工業防火牆相關産品隻在協議級别檢測,不檢測傳輸的數據内容。

網絡設備僅采用口令進行認證,訪問控制不充分,用戶、數據與設備的認證不标準,或不存在。

安全策略與規則用明文傳輸,傳輸時不認證身份,策略下發後也不檢查完整性等。

東土工控安全解決方案

工業控制系統信息庫如何防範安全問題

安全分區

不同工藝段進行獨立分區。确保工段間不會相互影響

基本原則:

獨立性原則: 即保證控制系統獨立性,不同工段進行獨立分區。确保工段間不會存在相互影響。

适應性原則: 區域劃分按照技術及管理體系進行規劃,确保同一類型技術處于相同分區内,方便技術規劃及管理。

可行性原則: 确保可按照區域規劃執行具體的安全策略。

主機安全

主機安全防護策略包括:

建立主機白名單庫: 工控安全衛士掃描本地磁盤所有可執行文件,包括exe/dll/com等,生成數字簽名,根據簽名創建主機應用白名單。

阻止非法程序執行:采用應用白名單防護機制,阻止白名單外的任何程序執行,可有效阻止病毒、木馬、0-day漏洞的感染和被利用。

主機加固: 從操作系統、注冊表、内存空間的完整性及本地安全策略等方面對站控、服務器進行安全加固,防止操作系統被惡意篡改。

移動存儲介質授權:采用安全U盤或其它移動介質,根據需求控制安全移動存儲介質的禁用、隻讀、讀寫權限。

用戶審計:通過安全審計平台對事件産生日志、告警進行全面記錄,包括管理員、應用程序名稱及違反安全策略的行為或誤操作等

通信安全

零丢包技術是滿足工業自動化網絡數據傳輸完整性的關鍵技術。工業測量與控制中的數據傳輸完整性要求工業以太網交換機在環網鍊路中斷、電磁幹擾、高低溫、高濕度、振動等惡劣工業環境條件下,仍然能保證報文不丢包,即保證數據傳輸交換的安全性。東土解決方案支持HSR/PRP (IEC62439-6)以實現網絡穩定可靠零丢包零倒換。

另外,東土産品還支持:

寬範圍的工作溫度 -40℃~+85℃

工業四級電磁兼容性,抗電磁幹擾适應工業現場環境

多種防護等級IP40/IP65/IP67可選,防塵防水

防潮濕、防鹽霧、防黴菌

無風扇散熱方式,自然冷卻

綠色低功耗

長MTBF

通過權威機構測試

在軟件安全特性上,東土産品能夠做到:

建立業務白名單:運用白名單機制,智能學習正常工業通信記錄,建立業務安全通信模型。

工業協議報文深度解析過濾:對OPC/S7-TCP/IECE-104/Modbus TCP等工業主流協議報文深度解析。

安全加密傳輸:通過SFTP、SNMPv3、SSH、HTTPS、IPsec VPN等安全技術,保證數據傳輸過程的保密性。

通訊審計:對工業協議規約異常、數據異常、數值變化加速度等不符合白名單的異常行為進行實時監測、告警。

管理安全

身份驗證:運用802.1X技術配合TACACS+、RADIUS功能, 驗證通過才允許用戶進行訪問;

配置管理:在網絡中部署配置管理平台,用于配置、管理、監測網絡中所有的交換機、防火牆,并接收來自網絡報警信息。

審計及告警:對用戶行為、事件進行記錄,非法、越權操作進行告警。

安全加密傳輸:通過SFTP、SNMPv3、SSH、HTTPS、IPsec VPN等安全技術,保證管理數據傳輸過程的安全保密性。

安全态勢分析平台

智能感知: 在辦公網部署安全管理平台,主動或被動的感知工控設備狀态,掌握全局态勢,實現對整個生産網絡的實時監控,及時發現病毒、非法入侵以及各類威脅并迅速解決,為現場故障的及時排查、分析提供可靠的依據。

數據分析: 通過智能庫以及大數據平台,進行數據分析與挖掘。

智能決策: 生成趨勢分析并提供預警,統計并展示工控安全實時狀态,結合輿情進行分析提供建議決策支持。

标簽