工控網(wǎng)首頁
>

應(yīng)用設(shè)計

>

【專家博客】SCADA物理隔離網(wǎng)閘–技術(shù)還是理念?

【專家博客】SCADA物理隔離網(wǎng)閘–技術(shù)還是理念?

       上個月,我收到了一些郵件,看到一些LinkedIn上的文章暗指當(dāng)我提出物理隔離網(wǎng)閘只是一個神話時,我是在攻擊數(shù)據(jù)二極管的理念。可惜,這是對我關(guān)于ICS/SCADA的信息的嚴(yán)重誤解。

       當(dāng)我指出物理隔離網(wǎng)閘不可能時,我并沒有談?wù)摰郊夹g(shù)。使用防火墻還是使用數(shù)據(jù)二極管來過濾、控制信息流并非我談?wù)摰闹攸c(diǎn)。這些都是有價值的技術(shù)(可能不是最后一個)。它們也不是靈丹妙藥,但是當(dāng)被合理明智地用在縱深防御策略里時,它們能做很多事情來保護(hù)控制系統(tǒng)的安全。

Eric Byres指出技術(shù)不是靈丹妙藥,但是被用在縱深防御策略中時,可以提高控制系統(tǒng)的安全性。


       我談?wù)摰氖钦J(rèn)為我們可以將控制系統(tǒng)和外界真正隔離的這種理念。我認(rèn)為任何說“我的控制系統(tǒng)是完全隔離”的人都被嚴(yán)重誤導(dǎo)了。這類人只關(guān)注明顯的網(wǎng)絡(luò)流,而忽略了其它危險性很小的sneakernet流。這就是我說的“神話”的意思,和“保護(hù)控制系統(tǒng)安全的正確的技術(shù)”沒有關(guān)系。

       隔離理念的缺陷(為避免更多的混淆,我不再稱它為物理隔離網(wǎng)閘理念)在于其依賴單一的防御–控制系統(tǒng)的完全電子隔離。使用單一防御,單點(diǎn)故障就會隨之而來。艱難的經(jīng)歷后,我們都知道存在單點(diǎn)故障的設(shè)計是不健全的。結(jié)論就是對控制網(wǎng)絡(luò)進(jìn)行隔離不是一個可行的長期策略。

        對于控制和管理信息流的最好技術(shù),您有哪些評論和建議?您是如何管理不通過網(wǎng)絡(luò)的信息流的,如移動媒體(CD,USB密鑰等等),無線,串口和個人電子設(shè)備。

投訴建議

提交

查看更多評論
其他資訊

查看更多

能源領(lǐng)域網(wǎng)絡(luò)安全框架實(shí)施指南(英文版)

【指導(dǎo)手冊】有效網(wǎng)絡(luò)防御的關(guān)鍵控制

【操作指南】SCADA與過程控制網(wǎng)絡(luò)防火墻配置指南

【指導(dǎo)手冊】控制系統(tǒng)安全實(shí)踐匯編

【操作指南】工業(yè)控制系統(tǒng)(ICS)安全指南