日本在线www-日本在线播放一区-日本在线不卡免费视频一区-日本在线不卡视频-成人影院久久久久久影院-成人影院一区二区三区

ABB
關注中國自動化產業發展的先行者!
CAIAC 2025
2025工業安全大會
OICT公益講堂
當前位置:首頁 >> 資訊 >> 行業資訊

資訊頻道

工業控制系統主機安全防護研究與實踐
隨著電氣化、自動化、信息化技術能力發展,工業自動化技術和信息化技術全面融合,工業控制系統的基礎性、全局性的作用也日益增強,自動化與信息化控制系統PLC、DCS、SCADA等全面普及。在面臨不斷發生的網絡 攻擊事件形勢下,習總書記提出“沒有網絡,就沒有國家安全”、“網絡安全與信息化是一體之雙翼”核心思想,開啟了我國網絡安全理念和安全保障理念的進步,網絡安全發展將面臨前所未有的機遇和挑戰。本文針對控制系統中的終端主機的安全及防護實踐進行概述。
關鍵詞:

摘要:隨著電氣化、自動化、信息化技術能力發展,工業自動化技術和信息化技術全面融合,工業控制系統的基礎性、全局性的作用也日益增強,自動化與信息化控制系統PLC、DCS、SCADA等全面普及。在面臨不斷發生的網絡攻擊事件形勢下,習總書記提出“沒有網絡,就沒有國家安全”、“網絡安全與信息化是一體之雙翼”核心思想,開啟了我國網絡安全理念和安全保障理念的進步,網絡安全發展將面臨前所未有的機遇和挑戰。本文針對控制系統中的終端主機的安全及防護實踐進行概述。

關鍵詞:工控主機安全;電力工控安全

1 引言

伴隨我國經濟的快速發展,工業自動化控制技術進步日新月異,自動化與信息化控制系統PLC、DCS、SCADA等在電力行業的發電側已經全面普及。發電行業隨著工業自動化技術和信息化技術的高速發展而全面融合,工業控制系統的基礎性、全局性在生產經營中的作用也日益增強,為企業帶來管理和提高生產效率的同時,伴隨而來的網絡安全風險亦不容忽視。近年來,國內外發生“Stuxnet”震網病毒入侵伊朗布什爾核電站、“BalckEnergy”惡意攻擊導致烏克蘭伊萬諾-弗蘭科夫斯克地區大面積停電等網絡攻擊安全事件給全世界敲響了網絡安全的警鐘。習近平總書記多次提出網絡安全的重要性:沒有網絡安全,就沒有國家安全;沒有信息化,就沒有現代化。電力行業的安全生產涉及百姓民生,而保障電力安全生產的重要環節正是這基礎設施的工業控制系統,而整個控制系統的最脆弱、最危險、最不可控、最容易受到攻擊和入侵的正是控制系統的工程師站和操作員站等終端主機。

2 工業控制系統

工業控制系統是指由計算機與工業過程控制部件組成的自動控制系統。工業控制系統(ICS)主要包括常見的SCADA系統、DCS和其他較小的自動控制系統,如PLC,是工業生產中使用的所有類型控制系統的總稱。SCADA系統通常作為工業控制的核心系統,實現對現場的設備進行實時監視和控制及設備參數調節、數據采集、數據測量、各類反饋信號報警等。DCS分布式控制系統主要應用在流程生產行業的控制系統,主要實現對各子系統在運行過程中的控制功能。PLC廣泛應用于實現工業設備的具體操作與工藝控制,其作用主要是從遠程站點獲取數據和接受自動化或者操作者命令。例如控制生產設備啟停、監測生產環境、接收傳感器數據。工業過程控制部件對實時數據進行采集、監測,在計算機的調配下,實現設備自動化運行以及對業務流程的管理與監控,其特點主要表現在數據傳送的實時性、數據的事件驅動及數據源主動推送等。隨著計算機技術、通信技術和控制技術的發展,傳統的控制領域正經歷著一場前所未有的變革,開始向網絡化方向發展。控制系統的結構從最初的計算機集中控制系統(CCS),到第二代的分散控制系統(DCS),發展到現在流行的現場總線控制系統(FCS)。伴隨著自動化程度和控制系統的進步發展,工業控制系統的管理、控制及操作端的功能越來越豐富,權限越來越大。集中、遠程管理在帶來高效、便捷性的同時,也帶來主機管理的多個安全風險性,如何管理好工業控制系統的“城門入口”,成為確保工業控制系統安全穩定生產的重要工作。

3 主機安全要求

等保2.0版本的更迭意味著等級保護制度已進入全新的時代,原有的制度已無法滿足當下工控環境安全的要求,政策依據工控環境安全需求而制定,而工控環境的安全亦需將制度切實落地,兩者相互依賴。根據《信息安全技術網絡安全等級保護基本要求》GBT22239-2019和《信息安全技術網絡安全等級保護測評要求》GBT28448-2019等系列等保2.0相關標準對主機安全防護,尤其是工業控制系統中主機的安全防護提出防護要求。本文對從安全風險及可整改性角度進行部分闡述。

從控制設備的主機安全總體層面,應否具有身份鑒別、訪問控制和安全審計等功能,如不具備上述功能,則核查是否由其上位控制或管理設備實現同等功能或通過管理手段控制。

從主機的物理層面應對主機是否關閉或拆除設備的軟盤驅動、光盤驅動、USB接口、串行口或多余網,保留的軟盤驅動、光盤驅動、USB接口、串行口或多余網口等是否通過相關的措施實施嚴格的監控管理。

從主機的身份鑒別層面,應對登錄的用戶進行身份標識和鑒別,身份標識具有唯一性,身份鑒別信息具有復雜度要求并定期更換,應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別,且其中一種鑒別技術至少應使用密碼技術來實現。

從主機的安全策略配置層面,應重命名默認賬戶,刪除、停用默認賬戶和多余的、過期的賬戶,避免共享賬戶的存在。應授予管理用戶所需的最小權限,實現管理用戶的權限分離。應由授權主體配置訪問控制策略,訪問控制策略規定主體對客體的訪問規則。并啟用登錄失敗處理功能,啟用安全控制策略限制非法登錄功能,非法登錄達到一定次數后采取特定動作,如賬戶鎖定等。

從主機的安全審計層面,應啟用安全審計功能,審計覆蓋到每個用戶,對重要的用戶行為和重要安全事件進行審計。通過相關的技術措施實施嚴格的監控管理。

從安全建設采購管理方面層面,工業控制系統重要設備應通過專業機構的安全檢測后方可采購使用。

4 主機安全風險

經過多年的主機安全防護實踐發現,很多高危的風險隱患依然存在,由于近幾年來對網絡安全的重視,新建工業控制系統在建設時,會將網絡安全作為重要的一環進行考慮設計,主機多采用Linux操作系統或國產主機及控制系統,風險隱患相對較低。但存量的工業控制系統風險隱患尤為明顯,尤其是距今10年左右建設的工業控制系統,建設時設計多偏向功能和應用,對主機安全設計較為忽略,多數為工業主機、商用臺式機,多采用Windows7、XP、2008操作系統,由于受控制系統平臺制約無法更換主機的操作系統,同時常見的安全防護軟件在很多存量的工業控制系統中無法進行很好的應用,主要是管理員或廠家無法接受在控制主機端安裝安全防護軟件,或部分老舊主機安裝防護軟件后會嚴重占用系統資源導致影響業務應用,所以存在極大的安全隱患。以電力行業為例,發現存在很多相似的安全風險隱患,如電力監控系統中工程師站、操作員站、歷史站存在不必要的軟盤驅動、光盤驅動、USB接口、串行口、無線、藍牙等未拆除或關閉,必要使用端口沒有采用技術措施確保安全;電力監控系統中工程師及操作員站無密碼或弱口令登錄,缺乏技術手段實現雙因子認證登錄;電力監控系統中工程師及操作員站存在默認賬戶及訪客用戶,未使用合理策略控制安全風險;電力監控系統中工程師站、操作員站,終端I/O設備操作權限缺乏技術管控手段,存在內部惡意人員非授權操作及越權操作的安全威脅;電力監控系統中工程師站或操作員站的系統配置、運行監控、重大操作等行為操作、U口使用、數據交換等操作缺乏行為監管,無法做到行為審計,無法實現過程追溯;電力監控系統中工程師站、操作員站、歷史站、OPCSERVER主機、工作站、一般都采用Windows系統,由于處于電廠內部的隔離網絡,存在補丁升級更新不及時或不能更新、無補丁可更新的狀況,設備或系統存在來自操作系統層面的漏洞;在特定工作中如部分系統調試和維護時,通常需要本地或遠程接入筆記本電腦。而對這些接入的移動終端缺乏有效的安全監管。這些常見隱患給工業控制系統帶來巨大的安全風險。

5 面臨的難題

針對目前比較主流的工業控制系統工程師站和操作員的設計,多采用Linux操作系統,但是由于早年工業控制系統在建設設計時,全行業對網絡安全、信息安全要求并不高,針對工業控制系統的功能和應用更為重視,所以在規劃設計時對信息安全環節投入不足,主機多采用當時流行的工業主機、商用塔式機、辦公臺式機,操作系統Windows2000、2008、XP、7都較為常見,且很多系統都是破解版、OEM版或是非商業版本。但是由于工業控制系統制約無法輕易更換主機的操作系統,很多早年工業控制系統的工程師站無法從Windows下改變Linux操作系統。

主機安全防護技術經過多年的發展,出現了安全防護、白名單等多種安全防護解決方案,在新建系統中應用廣泛。但針對于存量的工業控制系統,在安全管理大區的非控制大區尚有應用,但在生產的控制大區則相對較少,還存在一些問題,無法大面積廣泛采用,主要是由于工業控制系統特性原因,管理員或廠家認為在工程師站或操作員站的操作系統下安全防護軟件或具有“白名單”功能的防護軟件會對原有系統產生一定影響業務系統的隱患,所以無法接受在控制主機端安裝安全防護軟件,部分較為陳舊主機存在兼容或安裝防護軟件后會嚴重占用系統資源導致主機操作系統變慢的問題,所以存量工業控制系統的主機安全成為工業控制系統中的一大重要難題。

6 實踐技術路線

通過研發發現大量的存量工業控制無法更換安全操作系統和主機管理,或研發廠家無法接受安裝軟件及存在的安全風險隱患。同時根據《信息安全技術網絡安全等級保護基本要求》GBT22239-2019和《信息安全技術網絡安全等級保護測評要求》GBT28448-2019等系列制度中,對主機應否具有身份鑒別、訪問控制和安全審計等功能,如不具備上述功能,則核查是否由其上位控制或管理設備實現同等功能或通過管理手段控制的要求,選擇從工業控制系統的上位控制或管理設備實現同等功能或通過管理手段控制的技術路線來實現工業控制系統主機的安全防護。

通過“一對一”部署純硬件式“鎧甲式外掛”防護裝置的方式,不接入原有工業控制系統網絡及主機系統,對工業控制系統實現人員身份鑒別密碼+智能卡,滿足“雙因子認證”且其中一種鑒別技術至少應使用密碼技術來實現要求,同時替代性解決工業控制系統缺少人員訪問控制、雙因子認證、人員權限管理等要求。并且針對USB口管理、數據安全交換提供了在線監測和殺毒等技術手段管理,滿足對主機用戶操作、人員行為審計要求。在注重采用技術手段解決問題的同時,同樣注重產品安全、可靠性,產品通過了公安部計算機信息系統安全產品質量監督檢驗中心和中國電力科學研究院信息安全實驗室檢驗,確保了自身安全和對原有工業控制系統無影響。

7 實踐解決的問題

此技術路線和實踐,通過理論研究和大量的現場實踐,獲得了用戶廣泛的認可,解決了工業控制系統主機無法更換,無法安裝安全防護軟件,缺少人員身份鑒別、訪問控制、USB口管理、數據安全交換、操作系統及人員操作行為審計等場景下的工業控制系統主機安全防護問題。

網絡安全建設亦是日積月累逐漸完善的過程,工業控制系統在不斷發展,隨之而來安全風險不斷增加,所以工控網絡安全防護工作必將永遠在路上。

作者簡介

謝云龍(1987-),江蘇人,本科,現就職于北京中電瑞鎧科技有限公司,研究方向為網絡安全、工業互聯網、工控安全、信息化建設。

參考文獻:

[1] 公安部, 國家保密局, 國家密碼管理局, 國務院信息化工作辦公室.信息安全等級保護管理辦法[Z]. 2007.

[2] GB/T22239-2019, 信息安全技術網絡安全等級保護基本要求[S].

[3] GB/T28448-2019, 信息安全技術 網絡安全等級保護測評要求[S].

摘自《工業控制系統信息安全專刊(第六輯)》

熱點新聞

推薦產品

x
  • 在線反饋
1.我有以下需求:



2.詳細的需求:
姓名:
單位:
電話:
郵件:
主站蜘蛛池模板: 国产夜色福利院在线观看免费-国产夜趣福利免费视频-国产野花视频天堂视频免费-国产亚洲综合一区二区在线-日韩精品在线观看免费-日韩精品在线电影 | 国产成人综合在线观看网站-国产成人综合在线-国产成人综合亚洲亚洲欧美-国产成人综合亚洲动漫在线-国产成人综合亚洲-国产成人综合网在线观看 | 婷婷四房综合激情五月在线,国产精品吹潮在线观看中文,久久99精品亚洲热综合,成人久久久久,99精品久久99久久久久,久久福利小视频 国内自拍中文字幕,久久久一本精品99久久精品66,精品400部自拍视频在线播放,国产麻豆精品在线,日韩欧美高清视频,久久久免费精品视频 | 青青青青青青草-青青青青青青-青青青青青国产免费手机看视频-青青青青青国产免费观看-青青青青青草原-青青青青青草 | 91香蕉视频在线播放-91香蕉视频在线看-91香蕉小视频-91香蕉亚洲精品人人影视-91香蕉影院-91香蕉在线视频 | 精品无码免费黄色网站-精品无码免费一区二区三区-精品无码免费在线播放-精品无码免费专区-精品无码免费专区午夜-精品无码欧美黑人又粗又 | 人人狠狠综合久久亚洲,超大乳首授乳一区二区,五月天视频网,久久综合成人网,久草视频免费播放,漂亮的保姆4-bd国语在线观看 | 精品欧美小视频在线观看-精品欧美18videosex欧美-精品免费在线视频-精品免费视在线视频观看-亚洲视频区-亚洲视频欧美在线专区 | 北条麻妃在线观看,国产播放器一区,日本丶国产丶欧美色综合,亚洲一区二区三区高清,九九九国产,亚洲欧美久久精品一区 | 亚洲乱伦熟女在线-亚洲精品国自产在线-亚州女人69内射少妇-亚州巨乳成人片-亚州激情视频-亚瑟在线中文影院 | 手机看片福利永久国产日韩-手机看片369-手机精品在线-手机国产乱子伦精品视频-国产精品嫩草影院在线观看免费-国产精品嫩草影院在线播放 | 精品欧美小视频在线观看-精品欧美18videosex欧美-精品免费在线视频-精品免费视在线视频观看-亚洲视频区-亚洲视频欧美在线专区 | 亚洲色图网站-亚洲色图图片专区-亚洲色图图片区-亚洲色图图片-精品久久久中文字幕一区-精品久久久中文字幕二区 | 亚洲 欧美 日韩 在线,97热久久免费频精品99国产成人,另类激情亚洲,久久99九九精品免费,久久综合精品国产一区二区三区,2020精品极品国产色在线观看 | 日本在线一区二区三区-日本中出视频-日本中文不卡-日本中文视频-日本中文在线-日本中文在线播放 国产欧美日韩精品一区二区三区-国产欧美日韩精品一区二-国产欧美日韩精品高清二区综合区-国产欧美日韩精品第三区-天天舔天天操天天干-天天添天天干 | 国产毛片高清,精品综合,日韩亚洲欧美综合,精品国产一区二区三区免费看,精品久久久久久国产牛牛app,亚洲欧美国产精品第1页 | 第一区免费在线观看-无码国产精品一区二区免费网曝-AV熟妇导航网-日韩欧美一区二区三区在线观看 -欧美乱人伦视频-啪啪视频一区 | 婷婷四房综合激情五月在线,国产精品吹潮在线观看中文,久久99精品亚洲热综合,成人久久久久,99精品久久99久久久久,久久福利小视频 国内自拍中文字幕,久久久一本精品99久久精品66,精品400部自拍视频在线播放,国产麻豆精品在线,日韩欧美高清视频,久久久免费精品视频 | 成人av免费视频在线观看-成人av鲁丝片一区二区免费-成人av精品一区二区三区四区-成人aⅴ综合视频国产-成人aⅴ片-成年网站免费观看精品少妇人妻av一区二区三区 | 国产成人精品一区二区视频免费-国产成人精品一区二区视频-国产成人精品一区二区三在线观看-国产成人精品一区二区三在-国产成人精品一区二区三区小说-国产成人精品一区二区三区无码 | 娇妻在客厅被朋友玩得呻吟漫画-娇小娇小与黑人tubevideos-进去粗粗硬硬紧紧的好爽免费视频-禁欲总裁被C呻吟双腿大张-禁止的爱6浴室吃奶中文字幕-经典乱家庭伦小说 | 91在线视频在线-91在线视频在线观看-91在线丨亚洲-91在线天堂-91在线无码精品秘 入口91-91在线无码精品秘蜜桃 | 99久久这里只精品国产免费,毛片在线播放网站,狠狠色狠色综合曰曰,国产在线成人精品,欧美色视频网,激情五月婷婷综合 | 五月天六月婷婷开心激情,天使的性电影,三级韩国一区久久二区综合,五月婷婷久,九九精品在线视频,66精品综合久久久久久久 | 成人久久久久-成人久久久-成人久久精品一区二区三区-成人久久18免费游戏网站-成人久久18免费网-成人久久18免费软件 | 日操夜操天天操-午夜日日日日日日日日日-亚洲欧洲精品无视频一区二区三区四-国产成人精品无码-婷婷福利综合网-日逼影视 | 国产精品国产三级大全在线观看-国产精品国产三级囯产av中文-国产精品国产三级国av在线观看-国产精品国产三级国v麻豆-国产精品国产三级国产-国产精品国产三级国产aⅴ | kedou.xxx-lutube成人福利在线观看-luxu259在线中文字幕-m3u8久久国产精品影院-meisa hanai-mimiai最新网址 | 欧美在线日韩-欧美在线区-欧美在线看欧美视频免费网站-欧美在线精品一区二区在线观看-www..com黄-vr专区日韩精品中文字幕 | 欧美精品久久久亚洲,欧美国产第一页,亚欧成人一区二区,久久精品一区二区影院,国产成人精品综合久久久,亚洲国产精品一区 | 欧美黄网在线-欧美黄色影院-欧美黄色影视-欧美黄色一级网站-99免费看-99免费精品视频 | 国产精品jlzz视频-国产精品jizz在线观看直播-国产精品jizz在线观看网站-国产精品jizz在线观看软件-日日爽夜夜操-日日爽天天干 | 亚洲最大色网-亚洲最大色图-亚洲最大情网站在线观看-亚洲最大免费视频网-九一自拍-九一制片厂制作果冻传媒网站 | 一个人看的在线www高清视频-一个人看的小说在线阅读-一个人看的手机视频www-一个人看的视频在线观看免费播放动漫-久久99精品久久久久久秒播放器-久久99精品久久久久久秒播 | 伊人第四色-伊人成影院-伊人成人在线视频-伊人成人在线观看-久久精品久久精品-久久精品九九亚洲精品天堂 | 欧美一区二区三区香蕉视-欧美一区二区三区网站-欧美一区二区三区四区在线观看-欧美一区二区三区四区五区六区-欧美一区二区三区四区视频-欧美一区二区三区视视频 欧美性xxxxxx性,国产精彩视频在线观看,亚洲欧美视屏,久艹网,国产日韩欧美中文,亚洲欧美经典 | 香蕉成人啪国产精品视频综合网-香蕉草草久在视频在线播放-香蕉a视频-香蕉69精品视频在线观看-国产视频1区-国产视频1 | 国产一卡2卡3卡四卡精品网站-国产一久久香蕉国产线看观看-国产一进一出视频网站-国产一级在线现免费观看-亚洲高清国产拍精品影院-亚洲高清二区 | 美日韩在线观看-美日韩在线-美女网站色在线观看-美女网站色免费-亚洲综合偷自成人网第页-亚洲综合天堂网 | 久久久久久99精品-久久久久久99-久久久久久91香蕉国产-久久久久久91精品色婷婷-中国一级片免费看-中国一级毛片国产高清 | 日韩美在线-日韩美一区二区三区-日韩美女在线视频-日韩美女视频在线观看-亚洲无线一二三四区手机-亚洲无专砖码直接进入 |