今日頭條
官方微信
官方抖音
資訊頻道 1 工業(yè)控制系統(tǒng)之間的通信
過去,自動化系統(tǒng)是單獨的、封閉的系統(tǒng),也被稱之為自動化的孤島,隨著對控制實時響應(yīng)速度的不斷提高,以及企業(yè)內(nèi)部對數(shù)據(jù)互通等的需要,便增加了很多網(wǎng)絡(luò),使得控制系統(tǒng)中各個設(shè)備之間可以進行網(wǎng)絡(luò)通信。通信方式的增多也就引發(fā)了黑客的攻擊和病毒的入侵。
2 信息安全的實施
沒有任何一種方法可以阻止所有的系統(tǒng)攻擊和病毒入侵,于是,我們需要使用縱深防御的方法增加防護等級。
(1)
在企業(yè)網(wǎng)與控制網(wǎng)之間加防火墻
(2)在企業(yè)網(wǎng)與控制網(wǎng)之間加帶隔離區(qū)防火墻
(3)在企業(yè)網(wǎng)與控制網(wǎng)之間加雙防火墻
(4) 按用戶要求定制信息安全方案
3 縱深防御的實施步驟
(1)使用標(biāo)準(zhǔn)企業(yè)遠(yuǎn)程訪問方案,基于客戶機的形式,使用IP安保(IPsec)加密的虛擬個人網(wǎng)絡(luò)(VPN)技術(shù),通過因特網(wǎng)安全地連接企業(yè)的邊界。VPN的建立需要對遠(yuǎn)程個人進行遠(yuǎn)程驗證撥入用戶服務(wù)(RADIUS),這通常是由IT部門組織實施和管理。
( 2 ) 使用隔離區(qū)(DMZ) / 防火墻中的訪問控制列表(ACL),限制遠(yuǎn)程伙伴通過IPsec到工廠現(xiàn)場的訪問。通過隔離區(qū)連接到工廠現(xiàn)場,只能使用一種安全瀏覽器(HTTPS)。
(3)訪問一個安全瀏覽器(HTTPS)門戶應(yīng)用,它運行于隔離區(qū)/防火墻上。這要求再次登錄/驗證。
(4)在遠(yuǎn)程客戶機和工廠的隔離區(qū)防火墻之間,使用一種安全套接字層(SSL)的虛擬個人網(wǎng)絡(luò)(VPN)會話,并且限制通過HTTPS使用遠(yuǎn)程終端會話(比如,遠(yuǎn)程桌面協(xié)議)。
(5)利用在防火墻上的侵入保護和檢測系統(tǒng)(IPS/IDS),檢查進出遠(yuǎn)程訪問服務(wù)器的數(shù)據(jù)流,防止攻擊和威脅,并適當(dāng)?shù)亟o予阻截。這對防止來自遠(yuǎn)程設(shè)備穿越防火墻和影響遠(yuǎn)程訪問服務(wù)器的病毒和其他威脅是非常重要的。
(6)允許遠(yuǎn)程用戶執(zhí)行終端會話,訪問駐留在遠(yuǎn)程訪問服務(wù)器中的自動化和控制應(yīng)用。需要應(yīng)用級的登錄/驗證。
(7)執(zhí)行應(yīng)用安保功能,對訪問遠(yuǎn)程訪問服務(wù)器的用戶,限制其應(yīng)用功能(諸如只讀,非在線功能)。
( 8 ) 把遠(yuǎn)程訪問服務(wù)器分配到不同的虛擬局域網(wǎng)(VLAN),并且讓所有在遠(yuǎn)程訪問服務(wù)器到制造區(qū)域之間的數(shù)據(jù)流通過防火墻。對這個數(shù)據(jù)流使用侵入檢測和保護服務(wù),保護制造區(qū)域免受攻擊、蠕蟲和病毒的破壞。
4 信息安全相關(guān)責(zé)任的劃分
5 結(jié)束語
• 工業(yè)控制系統(tǒng)的信息安全及應(yīng)用是工業(yè)安全的大事,為此國家和工信部已經(jīng)發(fā)出了相關(guān)文件,責(zé)令工業(yè)企業(yè)以及關(guān)鍵性基礎(chǔ)設(shè)施要對信息安全給予高度重視。
• 希望自動化業(yè)界同仁能夠一起努力,確保國民經(jīng)濟的平穩(wěn)增長,確保我們的人身健康、企業(yè)資產(chǎn)、自然環(huán)境能夠可持續(xù)、和諧地發(fā)展。
北京市公安局海淀分局備案號:11010802023656號