今日頭條
官方微信
官方抖音
資訊頻道 
北京力控華康科技有限公司總經(jīng)理 魏欽志
北京力控華康科技有限公司成立于2009年,專業(yè)從事工業(yè)網(wǎng)絡(luò)通信和網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)。力控華康成立了專門的工業(yè)網(wǎng)絡(luò)安全實(shí)驗(yàn)室,主要從事SCADA、PLC、DCS的漏洞挖掘。
工業(yè)網(wǎng)絡(luò)的發(fā)展帶來(lái)信息安全挑戰(zhàn)
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)在PCS系統(tǒng)中的深入應(yīng)用,以及MAV理念逐步得到認(rèn)可,自動(dòng)控制系統(tǒng)僅為“信息孤島“的時(shí)代已經(jīng)過(guò)去。大型化、集成化的PCS系統(tǒng)是歷史發(fā)展的必然趨勢(shì)!
以太網(wǎng)、無(wú)線設(shè)備、遠(yuǎn)程配置、Windows和Linux操作系統(tǒng)等技術(shù)在工業(yè)控制系統(tǒng)中的應(yīng)用,使其正在向網(wǎng)絡(luò)化新型控制系統(tǒng)演變,控制系統(tǒng)與控制網(wǎng)絡(luò)開(kāi)放性主要體現(xiàn)在:
第四代DCS整體呈現(xiàn)開(kāi)放性 ;基于PC架構(gòu)的計(jì)算機(jī)應(yīng)用的普及;Windows平臺(tái)的廣泛應(yīng)用;基于IEEE802.3的工業(yè)以太網(wǎng)普及;大量采用TCP(UDP)/IP網(wǎng)絡(luò)協(xié)議;OPC、ModbusTCP等統(tǒng)一接口標(biāo)準(zhǔn)。
從網(wǎng)絡(luò)安全的角度來(lái)看,這一系統(tǒng)“有巨大的挑戰(zhàn),很容易被利用”。
國(guó)家信息安全漏洞共享平臺(tái)(China National VulnerabilityDatabase,簡(jiǎn)稱CNVD)在2011年收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍,涉及西門子、北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。相關(guān)企業(yè)雖然積極配合CNCERT處理了安全漏洞,但這些漏洞可能被黑客或惡意軟件利用。
力控華康的應(yīng)對(duì)策略
那么對(duì)于不同的行業(yè)、不同的網(wǎng)絡(luò)架構(gòu),需要找到不同的有針對(duì)性的解決方案。
對(duì)此,力控華康提出的第一個(gè)原則即基于“白名單”的工控安全機(jī)制。“白名單”機(jī)制要求我們?cè)谛畔鬏數(shù)臅r(shí)候,只能夠通過(guò)你使用到的協(xié)議進(jìn)行傳輸。
第二個(gè)原則是提倡用戶建立網(wǎng)絡(luò)物理隔離 ,建議用戶把辦公網(wǎng)和控制網(wǎng),即信息網(wǎng)和控制網(wǎng)的信息分開(kāi)。力控華康提供可靠的隔離網(wǎng)關(guān)產(chǎn)品,其采用安全的物理隔離“2+1”系統(tǒng)架構(gòu),即獨(dú)立的運(yùn)算單元和存儲(chǔ)單元,各自運(yùn)行獨(dú)立的操作系統(tǒng)和應(yīng)用系統(tǒng),安全隔離區(qū)采用私有加密的數(shù)據(jù)交互技術(shù),數(shù)據(jù)交換不依靠TCP/IP協(xié)議,采用私有的定制操作系統(tǒng)。具有強(qiáng)大的數(shù)據(jù)交換能力和多種工業(yè)通信協(xié)議支持,完整的安全策略部署 ,可靠的冗余方案和故障自診斷技術(shù)。
第三,力控華康提出引入防火墻技術(shù),在引入防火墻技術(shù)的同時(shí)需考慮工業(yè)行業(yè)的特點(diǎn),首先要求對(duì)于工業(yè)協(xié)議進(jìn)行深度的分析,即可配置控制指令、寄存器地址、點(diǎn)名信息等。并且采用工業(yè)化設(shè)計(jì)。
第四,力控華康和一些企業(yè)合作,提供漏掃和入侵檢測(cè)。入侵預(yù)防系統(tǒng)(IPS: Intrusion Prevention System)是電腦網(wǎng)絡(luò)安全設(shè)施,是對(duì)防病毒軟件(Antivirus Programs)和防火墻的補(bǔ)充。 入侵預(yù)防系統(tǒng)是一部能夠監(jiān)視網(wǎng)絡(luò)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)資料傳輸行為的計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)備,能夠即時(shí)的中斷、調(diào)整或隔離一些不正常或是具有傷害性的網(wǎng)絡(luò)資料傳輸行為。
最后,建立工業(yè)網(wǎng)絡(luò)私有云管理平臺(tái)。構(gòu)建滿足工業(yè)控制系統(tǒng)的全廠級(jí)風(fēng)險(xiǎn)識(shí)別模型,除了需要細(xì)化工業(yè)控制系統(tǒng)的風(fēng)險(xiǎn)因素,還需要建立基于工業(yè)控制系統(tǒng)的安全管理域,實(shí)施分等級(jí)的基線建設(shè),兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。包括:
方便地對(duì)整個(gè)系統(tǒng)里所有安全設(shè)備模塊、控制器和工作站,進(jìn)行部署、監(jiān)控和管理;
規(guī)則輔助生成,指導(dǎo)用戶方便快捷地從權(quán)限、授權(quán)管理報(bào)告中,創(chuàng)建防火墻的規(guī)則;
自動(dòng)阻止并報(bào)告任何與系統(tǒng)流量不匹配的規(guī)則;
接收、處理和記錄由安全模塊所上傳的報(bào)警信息;
全網(wǎng)流量收集識(shí)別能力;
基于白名單的終端應(yīng)用控制能力;
實(shí)時(shí)ICS 協(xié)議與內(nèi)容識(shí)別能力;
異常行為的仿真能力;
可視化配置、組態(tài);
安全事件搜索、跟蹤和預(yù)處理能力。
摘自《自動(dòng)化博覽》2013年1期
北京市公安局海淀分局備案號(hào):11010802023656號(hào)