科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全从震网病毒看工业控制系统安全

从震网病毒看工业控制系统安全

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

据权威工业安全事件信息库RISI统计,截止到2011年10 月,全球已发生200 余起针对工业控制系统的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使针对ICS 系统的攻击行为出现大幅度增长,ICS 系统对于信息安全的需求变得更加迫切。

来源:ZDNET安全频道 2012年6月28日

关键字: 震网 工业控制系统

  • 评论
  • 分享微博
  • 分享邮件

在本页阅读全文(共2页)

  安全管理、标准和人才的脆弱性

  缺乏完整有效安全管理、标准和资金投入是当前我国工业控制系统的难题之一。其次,过多的强调网络边界的防护、内部环境的封闭,让内部安全管理变得混乱。另外,既了解工控系统原理和业务操作又懂信息安全的人才少之又少,为混乱的工控安全管理埋下了伏笔。最后,内网审计、监控、准入、认证、终端管理等缺失也是造成工控系统安全威胁的重要原因。如:使用U盘、光盘导致的病毒传播、笔记本电脑的随意接入与拨号、ICS缺少监控和审计等问题。

  为了加强工控网防护,工信部紧急下发了工信部协【2011】451号文《关于加强工业控制系统信息安全管理的通知》,指出我国目前工控系统现状:对工业控制系统信息安全问题重视不够;管理制度不健全;相关标准规范缺失;技术防护措施不到位;安全防护能力和应急处置能力不高等。工信部要求工业、能源、交通、水利以及市政等加强工业控制系统安全管理。

  工控网安全基本安全防护原则

  ICS网络中有代表性的EPA(Ethernet for Plant Automation)网络由企业信息管理层、过程监控层和现场设备层三个层次组成,采用分层化的网络安全管理措施。

  EPA现场设备采用特定的网络安全管理功能,对其接收到的任何报文进行访问权限、访问密码等的检测,使只有合法的报文才能得到处理,其他非法报文将直接予以丢弃,避免了非法报文的干扰。

  在过程监控层,采用EPA网络对不同微网段进行逻辑隔离,以防止非法报文流量干扰EPA网络的正常通信,占用网络带宽资源。

  对于来自于互联网上的远程访问,则采用EPA代理服务器以及各种可用的信息网络安全管理措施,以防止远程非法访问。

  

从震网病毒看工业控制系统安全

  美国《工业控制系统安全指南》也提出了ICS系统如下纵深防护体系架构(如下图),可供我们参考。

  

从震网病毒看工业控制系统安全

  电力二次系统防护方案是工业控制系统安全防护的典型案例

  电力二次系统方案遵循“安全分区、网络专用、横向隔离、纵向认证”的原则,涵盖电力监控系统、电力调度管理信息系统、电力通信及调度数据网络等,该方案为电力信息安全搭建了最为基础的安全框架,但由于电力二次系统基本原则出台较早,基本搭建在网络安全防护的基础上,对系统、业务应用、数据安全以及安全管理方面考虑较少,目前面临着新的安全威胁,需要更全面的解决方案应对。

  总而言之,工控系统安全要做到“进不来、拿不走、看不到、改不了、走不脱”。只有管理体系、技术体系、运维体系三管齐下,有机融合,方能保一方平安。

  

从震网病毒看工业控制系统安全

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章