工業(yè)控制系統(tǒng)安全現(xiàn)狀及防護(hù)策略解析
近年來(lái),隨著兩化深度融合戰(zhàn)略的持續(xù)推進(jìn),以及物聯(lián)網(wǎng)等新興技術(shù)在工業(yè)領(lǐng)域的應(yīng)用,工業(yè)控制系統(tǒng)安全也倍受企業(yè)關(guān)注。工業(yè)控制系統(tǒng)作為能源、制造、軍工等國(guó)家命脈行業(yè)的重要基礎(chǔ)設(shè)施,在信息攻防戰(zhàn)的陰影下面臨著安全風(fēng)險(xiǎn)持續(xù)攀升的運(yùn)行環(huán)境。據(jù)統(tǒng)計(jì),過(guò)去一年,國(guó)家信息安全漏洞共享平臺(tái)收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍,涉及西門子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。安全漏洞的涌現(xiàn),無(wú)疑為工業(yè)控制系統(tǒng)增加了風(fēng)險(xiǎn),進(jìn)而影響正常的生產(chǎn)秩序,甚至?xí)<叭藛T健康和公共財(cái)產(chǎn)安全。
一、工業(yè)控制系統(tǒng)安全現(xiàn)狀及挑戰(zhàn)
兩化融合和物聯(lián)網(wǎng)的發(fā)展使得TCP/IP協(xié)議和OPC協(xié)議等通用協(xié)議越來(lái)越廣泛地應(yīng)用在工業(yè)控制網(wǎng)絡(luò)中,隨之而來(lái)的通信協(xié)議漏洞問(wèn)題也日益突出。例如,OPCClassic協(xié)議(OPCDA,OPCHAD和OPCA&E)基于微軟的D協(xié)議,D協(xié)議是在網(wǎng)絡(luò)安全問(wèn)題被廣泛認(rèn)識(shí)之前設(shè)計(jì)的,極易受到攻擊,并且OPC通訊采用不固定的端口號(hào),導(dǎo)致目前幾乎無(wú)法使用傳統(tǒng)的IT防火墻來(lái)確保其安全性。因此確保使用OPC通訊協(xié)議的工業(yè)控制系統(tǒng)的安全性和可靠性給工程師帶來(lái)了極大的挑戰(zhàn)。
工業(yè)控制系統(tǒng)安全不是“老系統(tǒng)碰上新問(wèn)題”,而是傳統(tǒng)信息安全問(wèn)題在工業(yè)控制領(lǐng)域的延伸。當(dāng)前信息技術(shù)已廣泛應(yīng)用于石油、化工、電力等眾多領(lǐng)域,為傳統(tǒng)工業(yè)控制系統(tǒng)優(yōu)化升級(jí)提供了重要的支撐,同時(shí)也帶來(lái)了網(wǎng)絡(luò)環(huán)境下的信息安全問(wèn)題,蠕蟲、木馬、黑客攻擊等網(wǎng)絡(luò)威脅對(duì)工業(yè)控制系統(tǒng)的沖擊呈現(xiàn)出愈演愈烈的發(fā)展態(tài)勢(shì)。
提到工控安全問(wèn)題,很多人可能會(huì)簡(jiǎn)單地理解為直接用于控制的實(shí)時(shí)操作系統(tǒng)設(shè)備的安全。然而,從整個(gè)架構(gòu)上看,工業(yè)控制系統(tǒng)是由服務(wù)器、終端、前端的實(shí)時(shí)操作系統(tǒng)等共同構(gòu)成的網(wǎng)絡(luò)體系,同樣涉及物理層、網(wǎng)絡(luò)層、主機(jī)層、應(yīng)用層等傳統(tǒng)信息安全問(wèn)題。在整個(gè)工業(yè)控制系統(tǒng)中,大多數(shù)工控軟件都是運(yùn)行在通用操作系統(tǒng)上,例如操作員站一般都是采用Linux或Windows平臺(tái),由于考慮到系統(tǒng)運(yùn)行的穩(wěn)定性,一般系統(tǒng)運(yùn)行后不會(huì)對(duì)Linux或Windows平臺(tái)打補(bǔ)?。涣硗?,大多工業(yè)控制網(wǎng)絡(luò)都屬于專用內(nèi)部網(wǎng)絡(luò),不與互聯(lián)網(wǎng)相連,即使安裝反病毒軟件,也不能及時(shí)地更新病毒數(shù)據(jù)庫(kù),并且殺毒軟件對(duì)未知病毒和惡意代碼也無(wú)能為力。操作系統(tǒng)漏洞無(wú)法避免,加之傳統(tǒng)防御技術(shù)和方式的滯后性,給病毒、惡意代碼的傳染與擴(kuò)散留下了空間。
據(jù)了解,在2010年爆發(fā)的“震網(wǎng)”事件中,病毒導(dǎo)致部分用于鈾濃縮的離心機(jī)無(wú)法運(yùn)行,直擊伊朗核工業(yè)。由此可見,針對(duì)工業(yè)控制系統(tǒng)的攻擊行為,已經(jīng)對(duì)國(guó)家經(jīng)濟(jì)和社會(huì)發(fā)展產(chǎn)生深遠(yuǎn)的影響。事實(shí)上,不僅僅是“震網(wǎng)(Stuxnet)”病毒,近年來(lái)相繼涌現(xiàn)出的著名惡意軟件如“毒區(qū)(Duqu)”、“火焰(Flame)”等等,也將攻擊重心向石油、電力等國(guó)家命脈行業(yè)領(lǐng)域傾斜,工業(yè)控制系統(tǒng)面臨的安全形勢(shì)越來(lái)越嚴(yán)峻。
二、工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析
1、風(fēng)險(xiǎn)分析
工業(yè)控制系統(tǒng)是我國(guó)重要基礎(chǔ)設(shè)施自動(dòng)化生產(chǎn)的基礎(chǔ)組件,安全的重要性可見一斑,然而受到核心技術(shù)限制、系統(tǒng)結(jié)構(gòu)復(fù)雜、缺乏安全與管理標(biāo)準(zhǔn)等諸多因素影響,運(yùn)行在 ICS系統(tǒng)中的數(shù)據(jù)及操作指令隨時(shí)可能遭受來(lái)自敵對(duì)勢(shì)力、商業(yè)間諜、網(wǎng)絡(luò)犯罪團(tuán)伙的破壞。根據(jù)工信部 關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知)要求,我國(guó)工業(yè)控制系統(tǒng)信息安全管理的重點(diǎn)領(lǐng)域包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國(guó)計(jì)民生緊密相關(guān)的領(lǐng)域。這些領(lǐng)域中的工業(yè)控制系統(tǒng)一旦遭到破壞,不僅會(huì)影響產(chǎn)業(yè)經(jīng)濟(jì)的持續(xù)發(fā)展,更會(huì)對(duì)國(guó)家安全造成巨大的損害。
通過(guò)分析可以發(fā)現(xiàn),造成工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)加劇的主要原因有兩方面:
第一,傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時(shí)間要早于互聯(lián)網(wǎng),它需要采用專用的硬件、軟件和通信協(xié)議,設(shè)計(jì)上以武力安全為主,基本沒(méi)有考慮互聯(lián)互通所必須考慮的通信安全問(wèn)題。
第二,互聯(lián)網(wǎng)技術(shù)的出現(xiàn),導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用 TCP/IP技術(shù) ,工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作成為可能,愈加智能的 ICS網(wǎng)絡(luò)中各種應(yīng)用、工控設(shè)備以及辦公用 PC系統(tǒng)逐漸形成一張復(fù)雜的網(wǎng)絡(luò)拓?fù)洹?/p>
僅基于工控協(xié)議識(shí)別與控制的安全解決方案在兩方面因素的合力下,已無(wú)法滿足新形勢(shì)下ICS網(wǎng)絡(luò)運(yùn)維要求,確保應(yīng)用層安全是當(dāng)前 ICS系統(tǒng)穩(wěn)定運(yùn)營(yíng)的基本前提。利用工控設(shè)備漏洞、TCP/IP協(xié)議缺陷、工業(yè)應(yīng)用漏洞,攻擊者可以針對(duì)性地構(gòu)建更加隱蔽的攻擊通道。以 Stuxnet蠕蟲為例 ,其充分利用了伊朗布什爾核電站工控網(wǎng)絡(luò)中工業(yè) PC與控制系統(tǒng)存在的安全漏洞 (LIK文件處理漏洞、打印機(jī)漏洞、RPC漏洞、WinCC漏洞、S7項(xiàng)目文件漏洞以及 Autorun.inf漏洞),為攻擊者入侵提供了七條隱蔽的通道。
2、脆弱性分析
工業(yè)控制系統(tǒng)的安全性和重要性直接影響到國(guó)家戰(zhàn)略安全實(shí)施,但為兼顧工業(yè)應(yīng)用的場(chǎng)景和執(zhí)行效率,在追求 ICS系統(tǒng)高可用性和業(yè)務(wù)連續(xù)性的過(guò)程中,用戶往往會(huì)被動(dòng)地降低 ICS系統(tǒng)的安全防御需求。識(shí)別 ICS存在的風(fēng)險(xiǎn)與安全隱患,實(shí)施相應(yīng)的安全保障策略是確保 ICS系統(tǒng)穩(wěn)定運(yùn)行的有效手段。
2.1安全策略與管理流程的脆弱性
追求可用性而犧牲安全,這是很多工業(yè)控制系統(tǒng)存在普遍現(xiàn)象,缺乏完整有效的安全策略與管理流程是當(dāng)前我國(guó)工業(yè)控制系統(tǒng)的最大難題,很多已經(jīng)實(shí)施了安全防御措施的ICS網(wǎng)絡(luò)仍然會(huì)因?yàn)楣芾砘虿僮魃系氖д`,造成ICS系統(tǒng)出現(xiàn)潛在的安全短板。例如,工業(yè)控制系統(tǒng)中的移動(dòng)存儲(chǔ)介質(zhì)的使用和不嚴(yán)格的訪問(wèn)控制策略。
作為信息安全管理的重要組成部分,制定滿足業(yè)務(wù)場(chǎng)景需求的安全策略,并依據(jù)策略制定管理流程,是確保ICS系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)。參照 NERCCIP、ANSI/ISA一99、IEC 62443等國(guó)際標(biāo)準(zhǔn),目前我國(guó)安全策略與管理流程的脆弱性表現(xiàn)為:
(1)缺乏ICS的安全策略;
(2)缺乏ICS的安全培訓(xùn)與意識(shí)培養(yǎng);
(3)缺乏安全架構(gòu)與設(shè)計(jì)
(4)缺乏根據(jù)安全策略制定的正規(guī)、可備案的安全流程;
(5)缺乏ICS安全審計(jì)機(jī)制;
(6)缺乏針對(duì)ICS的業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)地
(7)缺乏針對(duì)ItS配置變更管理。
2.2工控平臺(tái)的脆弱性
隨著TCP/IP等通用協(xié)議與開發(fā)標(biāo)準(zhǔn)引入工業(yè)控制系統(tǒng),開放、透明的工業(yè)控制系統(tǒng)同樣為物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)領(lǐng)域開辟出廣闊的想象空間。理論上,絕對(duì)的物理隔離網(wǎng)絡(luò)正因?yàn)樾枨蠛蜆I(yè)務(wù)模式的改變而不再切實(shí)可行。
目前,多數(shù)ICS網(wǎng)絡(luò)僅通過(guò)部署防火墻來(lái)保證工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的相對(duì)隔離,各個(gè)工業(yè)自動(dòng)化單元之間缺乏可靠的安全通信機(jī)制,例如基于 DC0M 編程規(guī)范的 0PC接口幾乎不可能使用傳統(tǒng)的 IT防火墻來(lái)確保其安全性。數(shù)據(jù)加密效果不佳 ,工業(yè)控制協(xié)議的識(shí)別能力不理想,加之缺乏行業(yè)標(biāo)準(zhǔn)規(guī)范與管理制度,工業(yè)控制系統(tǒng)的安全防御能力十分有限。
旨在保護(hù)電力生產(chǎn)與交通運(yùn)輸控制系統(tǒng)安全的國(guó)際標(biāo)準(zhǔn)NERC CIP明確要求,實(shí)施安全策略確保資產(chǎn)安全是確??刂葡到y(tǒng)穩(wěn)定運(yùn)行的最基本要求。將具有相同功能和安全要求的控制設(shè)備劃分到同一區(qū)域,區(qū)域之間執(zhí)行管道通信,通過(guò)控制區(qū)域間管道中的通信內(nèi)容是目前工業(yè)控制領(lǐng)域普遍被認(rèn)可的安全防御措施。
另一種容易忽略的情況是,由于不同行業(yè)的應(yīng)用場(chǎng)景不同,其對(duì)于功能區(qū)域的劃分和安全防御的要求也各不相同,而對(duì)于利用針對(duì)性通信協(xié)議與應(yīng)用層協(xié)議的漏洞來(lái)傳播的惡意攻擊行為更是無(wú)能為力。更為嚴(yán)重的是,工業(yè)控制系統(tǒng)的補(bǔ)丁管理效果始終無(wú)法令人滿意,考慮到 ICS補(bǔ)丁升級(jí)所存在的運(yùn)行平臺(tái)與軟件版本限制,以及系統(tǒng)可用性與連續(xù)性的硬性要求,ICS系統(tǒng)管理員絕不會(huì)輕易安裝非ICS設(shè)備制造商指定的升級(jí)補(bǔ)丁。與此同時(shí),工業(yè)系統(tǒng)補(bǔ)丁動(dòng)輒半年的補(bǔ)丁發(fā)布周期,也讓攻擊者有較多的時(shí)間來(lái)利用已存在的漏洞發(fā)起攻擊。著名的工業(yè)自動(dòng)化與控制設(shè)備提供商西門子就曾因漏洞公布不及時(shí)而飽受質(zhì)疑。
無(wú)論是針對(duì)工業(yè)系統(tǒng)的攻擊事件,還是更隱蔽且持續(xù)威脅的APT攻擊行為,基于黑名單或單一特征比對(duì)的信息安全解決方案都無(wú)法有效防御,更不要說(shuō)利用 0day漏洞的攻擊行為。而 IT領(lǐng)域廣泛采用的主動(dòng)防御技術(shù),因?yàn)槠浯嬖谳^大的誤殺風(fēng)險(xiǎn),并不適用于工業(yè)控制系統(tǒng)的高性能作業(yè)。目前,惟有基于白名單機(jī)制的安全監(jiān)測(cè)技術(shù)是被工業(yè)控制系統(tǒng)用戶普遍任何的解決方案。
2.3網(wǎng)絡(luò)的脆弱性
通用以太網(wǎng)技術(shù)的引入讓ICS變得智能,也讓工業(yè)控制網(wǎng)絡(luò)愈發(fā)透明、開放、互聯(lián),TCP/IP存在的威脅同樣會(huì)在工業(yè)網(wǎng)絡(luò)中重現(xiàn)。此外,工業(yè)控制網(wǎng)絡(luò)的專屬控制協(xié)議更為攻擊者提供了了解工業(yè)控制網(wǎng)絡(luò)內(nèi)部環(huán)境的機(jī)會(huì)。確保工業(yè)網(wǎng)絡(luò)的安全穩(wěn)定運(yùn)營(yíng),必須針對(duì) ICS網(wǎng)絡(luò)環(huán)境進(jìn)行實(shí)時(shí)異常行為的 “發(fā)現(xiàn) 、檢測(cè)、清除、恢復(fù)、審計(jì)”一體化的保障機(jī)制。當(dāng)前 ICS網(wǎng)絡(luò)主要的脆弱性集中體現(xiàn)為:
(1)邊界安全策略缺失;
(2)系統(tǒng)安全防御機(jī)制缺失;
(3)管理制度缺失或不完善;
(4)網(wǎng)絡(luò)配置規(guī)范缺失;
(5)監(jiān)控與應(yīng)急響應(yīng)制度缺失;
(6)網(wǎng)絡(luò)通信保障機(jī)制缺失;
(7)無(wú)線網(wǎng)絡(luò)接入認(rèn)證機(jī)制缺失;
(8)基礎(chǔ)設(shè)施可用性保障機(jī)制缺失。
2.4潛在威脅分析
作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施自動(dòng)化控制的基本組成部分,由于其承載著海量的操作數(shù)據(jù),并可以通過(guò)篡改邏輯控制器控制指令而實(shí)現(xiàn)對(duì)目標(biāo)控制系統(tǒng)的攻擊,針對(duì)工業(yè)控制網(wǎng)絡(luò)的定向攻擊目前正成為敵對(duì)勢(shì)力和網(wǎng)絡(luò)犯罪集團(tuán)實(shí)施滲透攫取利益的重點(diǎn)對(duì)象。稍有不慎就有可能對(duì)涉及國(guó)計(jì)民生的重要基礎(chǔ)設(shè)施造成損害??蓪?dǎo)致 ICS系統(tǒng)遭受破壞的威脅主要有:
(1)控制系統(tǒng)發(fā)生拒絕服務(wù);
(2)向控制系統(tǒng)注入惡意代碼;
(3)對(duì)可編程控制器進(jìn)行非法操作;
(4)對(duì)無(wú)線 AP進(jìn)行滲透;
(5)工業(yè)控制系統(tǒng)存在漏洞;
(6)錯(cuò)誤的策略配置;
(7)人員及流程控制策略缺失。
三、工業(yè)控制系統(tǒng)安全防范策略
1、白名單機(jī)制
白名單主動(dòng)防御技術(shù)是通過(guò)提前計(jì)劃好的協(xié)議規(guī)則來(lái)限制網(wǎng)絡(luò)數(shù)據(jù)的交換,在控制網(wǎng)到信息網(wǎng)之間進(jìn)行動(dòng)態(tài)行為判斷。通過(guò)對(duì)約定協(xié)議的特征分析和端口限制的方法,從根源上節(jié)制未知惡意軟件的運(yùn)行和傳播。
“白名單”安全機(jī)制是一種安全規(guī)范,不僅應(yīng)用于防火墻軟件的設(shè)置規(guī)則,也是在實(shí)際管理中要遵循的原則,例如在對(duì)設(shè)備和計(jì)算機(jī)進(jìn)行實(shí)際操作時(shí),需要使用指定的筆記本、U盤等,管理人員信任可識(shí)別的身份,未經(jīng)授權(quán)的行為將被拒絕。
2、物理隔離
網(wǎng)絡(luò)物理隔離類技術(shù)誕生較早,最初是用來(lái)解決涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)之間的安全數(shù)據(jù)交換問(wèn)題。后來(lái),網(wǎng)絡(luò)物理隔離由于其高安全性,開始被廣泛應(yīng)用于政府、軍隊(duì)、電力、鐵道、金融等多個(gè)行業(yè)部門,其主要功能支持:文件數(shù)據(jù)交換、HTTP訪問(wèn)、WWW服務(wù)、FTP訪問(wèn)、收發(fā)電子郵件、關(guān)系數(shù)據(jù)庫(kù)同步以及TCP/UDP定制等。
在工業(yè)控制領(lǐng)域,網(wǎng)絡(luò)物理隔離也開始得到應(yīng)用和推廣。通常采用“2+1”的三模塊架構(gòu),內(nèi)置雙主機(jī)系統(tǒng),隔離單元通過(guò)總線技術(shù)建立安全通道以安全地實(shí)現(xiàn)快速數(shù)據(jù)交換。網(wǎng)絡(luò)物理隔離提供的應(yīng)用專門針對(duì)控制網(wǎng)絡(luò)的安全防護(hù)。因此,它只提供控制網(wǎng)絡(luò)常用通信功能,如OPC、Modbus等,而不提供通用互聯(lián)網(wǎng)功能,因此,更適合于控制網(wǎng)絡(luò)與辦公網(wǎng)絡(luò),以及控制網(wǎng)絡(luò)各獨(dú)立子系統(tǒng)之間的隔離。
其主要特點(diǎn)有幾種:
1)獨(dú)立的運(yùn)算單元和存儲(chǔ)單元,各自運(yùn)行獨(dú)立的操作系統(tǒng)和應(yīng)用系統(tǒng);
2)安全隔離區(qū)采用私有加密的數(shù)據(jù)交換技術(shù),數(shù)據(jù)交換不依靠TCP/IP協(xié)議;
3)工業(yè)通信協(xié)議,OPC/Modbus/60870-5-104等;
4)與信息層上傳數(shù)據(jù)時(shí),可實(shí)現(xiàn)斷線緩存、續(xù)傳;
5)實(shí)時(shí)數(shù)據(jù)交換、延遲時(shí)間小于1ms;
6)訪問(wèn)控制、身份認(rèn)證以及安全審計(jì)與日志管理;
3、工業(yè)協(xié)議深度解析
商用防火墻是根據(jù)辦公網(wǎng)絡(luò)安全要求設(shè)計(jì)的一種防火墻,它可以對(duì)辦公網(wǎng)絡(luò)中傳輸使用的大部分通用網(wǎng)絡(luò)協(xié)議(如http、ftp等)進(jìn)行完全包過(guò)濾,能給辦公網(wǎng)絡(luò)提供有效的保護(hù)。但是,對(duì)于工業(yè)網(wǎng)絡(luò)上使用的工業(yè)通信協(xié)議(如Modbus、OPC等應(yīng)用層協(xié)議)的網(wǎng)絡(luò)包,商用防火墻只能做網(wǎng)絡(luò)層和傳輸層的淺層包過(guò)濾,它無(wú)法對(duì)網(wǎng)絡(luò)包中應(yīng)用層數(shù)據(jù)進(jìn)行身材檢查,因此,商用防火墻有一定的局限性,無(wú)法滿足工業(yè)網(wǎng)絡(luò)的要求。因此,自動(dòng)化行業(yè)內(nèi)迫切需要一款專用工業(yè)防火墻,可以針對(duì)工業(yè)通信協(xié)議進(jìn)行有效的過(guò)濾檢查,以保證工業(yè)控制系統(tǒng)的運(yùn)行安全。
4、漏洞掃描
通過(guò)對(duì)網(wǎng)絡(luò)的掃描,網(wǎng)絡(luò)管理員能了解網(wǎng)絡(luò)的安全設(shè)置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。網(wǎng)絡(luò)管理員能根據(jù)掃描的結(jié)果更正網(wǎng)絡(luò)安全漏洞和系統(tǒng)中的錯(cuò)誤設(shè)置,在黑客攻擊前進(jìn)行防范。如果說(shuō)防火墻和網(wǎng)絡(luò)監(jiān)視系統(tǒng)是被動(dòng)的防御手段,那么安全掃描就是一種主動(dòng)的防范措施,能有效避免黑客攻擊行為,做到防患于未然。
5、云管理服務(wù)平臺(tái)
構(gòu)建滿足工業(yè)控制系統(tǒng)的全廠級(jí)風(fēng)險(xiǎn)識(shí)別模型,除了需要細(xì)化工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)因素,還需要建立基于工業(yè)控制系統(tǒng)的安全管理域,實(shí)施分等級(jí)的基礎(chǔ)建設(shè),兼顧包括中斷與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。
安全管理私有云服務(wù)平臺(tái)的建立要求包括:
1)方便地對(duì)整個(gè)系統(tǒng)里所有的安全設(shè)備模塊、控制器和工作站,進(jìn)行部署、監(jiān)控和管理;
2)規(guī)則輔助生產(chǎn),指導(dǎo)應(yīng)用方便快捷地從權(quán)限、授權(quán)管理報(bào)告中,創(chuàng)建防火墻的規(guī)則;
3)自動(dòng)阻止并報(bào)告任何與系統(tǒng)流量不匹配的規(guī)則;
4)接收、處理和記錄由安全模塊所上傳的報(bào)警信息;
5)全網(wǎng)流量是區(qū)及識(shí)別能力;
6)基于白名單的終端控制能力;
7)實(shí)時(shí)ICS協(xié)議與內(nèi)容識(shí)別能力;
8)異常行為的仿真能力;
9)可視化配置、組態(tài);
10)安全事件搜索、跟蹤和預(yù)處理能力;
四、總結(jié)
隨著以太網(wǎng)技術(shù)在工業(yè)控制網(wǎng)絡(luò)中的應(yīng)用,以及兩化深入融合的持續(xù)推進(jìn),未來(lái)的工業(yè)控制系統(tǒng)將會(huì)融入更多的新興信息技術(shù)和安全技術(shù)。工業(yè)系統(tǒng)的安全關(guān)系到國(guó)家的安全發(fā)展和穩(wěn)定。為此,政府應(yīng)該不斷加強(qiáng)對(duì)工業(yè)控制領(lǐng)域安全法律法規(guī)的建設(shè),同時(shí)國(guó)內(nèi)的技術(shù)廠商應(yīng)該借助新一輪IT發(fā)展浪潮,提升工控安全技術(shù)的自主研發(fā)創(chuàng)新能力,為企業(yè)的工業(yè)控制應(yīng)用保駕護(hù)航。
提交
新大陸自動(dòng)識(shí)別精彩亮相2024華南國(guó)際工業(yè)博覽會(huì)
派拓網(wǎng)絡(luò)被Forrester評(píng)為XDR領(lǐng)域領(lǐng)導(dǎo)者
智能工控,存儲(chǔ)強(qiáng)基 | 海康威視帶來(lái)精彩主題演講
展會(huì)|Lubeworks路博流體供料系統(tǒng)精彩亮相AMTS展會(huì)
中國(guó)聯(lián)通首個(gè)量子通信產(chǎn)品“量子密信”亮相!