聯(lián)系我們 |
|
|
泰安奇正電子科技有限公司 電話:(0538)5075966 /5077966
(8:00-17:30)
銷售熱線:13325299899 全國(guó)售后服務(wù)專線:(0538)5077866 傳真:(0538)5077966 郵編:271000 E-mail:qzdzkj@yeah.net 網(wǎng)址:www.meditation-easy.com 地址:山東省泰安市泰山區(qū)泮河大街東首嘉和物流園6號(hào)樓
|
|
|
|
|
|
解讀物聯(lián)網(wǎng)時(shí)代的SCADA網(wǎng)絡(luò)安全 |
發(fā)表時(shí)間:2017/5/6 9:21:10 來(lái)源:泰安奇正電子科技有限公司 瀏覽次數(shù):1701 次 |
隨著工業(yè)物聯(lián)網(wǎng)(IIoT)得到更多的關(guān)注和應(yīng)用,監(jiān)控與數(shù)據(jù)采集(SCAD)系統(tǒng)的傳統(tǒng)角色正在發(fā)生改變。SCADA系需要適應(yīng)這種變化。 監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)以及包括人機(jī)界面(HMI)、樓宇管理系統(tǒng)(BMS)、制造執(zhí)行系統(tǒng)(MES)和計(jì)算機(jī)維護(hù)管理系統(tǒng)(CMMS)等在內(nèi)的范圍更大的工業(yè)控制系統(tǒng)(ICS)都是專有的技術(shù),通常來(lái)說(shuō)都會(huì)與企業(yè)信息技術(shù)(IT)基礎(chǔ)設(shè)施隔離開來(lái)。這些系統(tǒng) 初并不是為網(wǎng)絡(luò)安全設(shè)計(jì)的。 ICS傳統(tǒng)的控制和安全的角色已經(jīng)擴(kuò)展到包括為工廠和過(guò)程提供信息,或?qū)?lái)自ERP以及其他企業(yè)系統(tǒng)的指令做出響應(yīng)。根據(jù)國(guó)家基礎(chǔ)設(shè)施保護(hù)中心的關(guān)于“確保安全轉(zhuǎn)移至基于IP的SCADA/PLC網(wǎng)絡(luò)”的規(guī)定,這會(huì)讓ICS系統(tǒng)面臨潛在的網(wǎng)絡(luò)威脅。 時(shí)下對(duì)于物聯(lián)網(wǎng)(IoT)以及與之密切相關(guān)的工業(yè)物聯(lián)網(wǎng)(IIoT)或者工業(yè)4.0之間的網(wǎng)絡(luò)連接的關(guān)注,為數(shù)據(jù)聚合戰(zhàn)略和態(tài)勢(shì)感知帶來(lái)了巨大的潛在好處。如果IIoT裝置使用互聯(lián)網(wǎng)協(xié)議(IP),將增加暴露在網(wǎng)絡(luò)威脅下的機(jī)會(huì)。 IIoT的變革打亂了傳統(tǒng)控制室的角色,使其朝用于監(jiān)視和控制功能的可移動(dòng)裝置轉(zhuǎn)化方向變化。例如,正在出現(xiàn)的具有IIoT功能的ICS的情境式HMI組件,為生產(chǎn)和維護(hù)單位提供了產(chǎn)能方面的提升,同時(shí)擴(kuò)展了ICS的應(yīng)用領(lǐng)域。然而,它也擴(kuò)大了網(wǎng)絡(luò)威脅管理的范圍。 NIST的網(wǎng)絡(luò)安全支柱有四個(gè)元素:識(shí)別、保護(hù)、檢測(cè)和應(yīng)對(duì)。 網(wǎng)絡(luò)安全的支柱 現(xiàn)代的ICS平臺(tái)供應(yīng)商將網(wǎng)絡(luò)風(fēng)險(xiǎn)和彈性管理納入到ISO9001質(zhì)量流程中去用于研發(fā)和生產(chǎn)。其目的是讓內(nèi)部和外部上報(bào)的漏洞做到透明管理,并快速采取行動(dòng),盡可能減少給客戶造成的風(fēng)險(xiǎn)。 美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所(NIST)已經(jīng)提供了一個(gè)架構(gòu),對(duì)于系統(tǒng)地識(shí)別一個(gè)機(jī)構(gòu)的重要資產(chǎn)、識(shí)別威脅以及確保重要資產(chǎn)安全方面具有非常重要的價(jià)值。該架構(gòu)具有四個(gè)元素:識(shí)別、保護(hù)、檢測(cè)以及應(yīng)對(duì)。 識(shí)別與鑒別 資產(chǎn)和數(shù)據(jù)流的詳細(xì)清單對(duì)于ICS建立正常行為的基準(zhǔn)很重要。工業(yè)網(wǎng)絡(luò)可以很大很復(fù)雜,而工業(yè)協(xié)議又有別于企業(yè)IT網(wǎng)絡(luò)所用的協(xié)議。使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行尋址和監(jiān)控的自動(dòng)化工具提高了詳細(xì)清單的效率和精確性。 控制系統(tǒng)感知的清單和監(jiān)控工具是建立可靠的ICS基準(zhǔn)的重要因素。使用可以為ICS、PLC以及其他控制元素之間通訊建立起基準(zhǔn)模板的技術(shù)來(lái)監(jiān)控ICS是至關(guān)重要的。理想中的這個(gè)系統(tǒng)應(yīng)該可以做到: •使用無(wú)源傳感器從網(wǎng)絡(luò)數(shù)據(jù)流中提取元數(shù)據(jù); •動(dòng)態(tài)地建立組件的視覺(jué)清單以及連接圖; •學(xué)習(xí)ICS并為正常的運(yùn)行提供統(tǒng)計(jì)學(xué)以及行為方面的描述; •推薦預(yù)防性行為; •根據(jù)需要啟動(dòng)應(yīng)急響應(yīng)。 IIoT裝置通常使用無(wú)線技術(shù)進(jìn)行通訊。通用IT網(wǎng)絡(luò)與ICS網(wǎng)絡(luò)之間的區(qū)別是使用靜態(tài)IP。隨著工業(yè)網(wǎng)絡(luò)變化得與更廣泛的互聯(lián)網(wǎng)連在一起,健康監(jiān)控系統(tǒng)會(huì)尋找變化的或者重復(fù)的IP和MAC地址、設(shè)備或電纜移動(dòng)以及未經(jīng)授權(quán)的連接。增加了通過(guò)具有動(dòng)態(tài)IP連接的無(wú)線接入點(diǎn)所連接的移動(dòng)式傳感器,整個(gè)環(huán)境會(huì)變得更加復(fù)雜。 保護(hù)正在消融的邊界 在 近舉行的一次技術(shù)峰會(huì)上,Centrify公司區(qū)域經(jīng)理Mike Ratte討論了當(dāng)今的網(wǎng)絡(luò)安全境況!拔覀冃枰R(shí)別是新的邊界”,他指出,幾乎一半的被攻擊的情況是因?yàn)檎J(rèn)證不嚴(yán)格;黑客將所有級(jí)別的用戶都設(shè)定為目標(biāo),包括享有特權(quán)的用戶;基于邊界的傳統(tǒng)的安全措施已經(jīng)不夠了;應(yīng)當(dāng)將安全的基礎(chǔ)建立在基于情境的政策上。這個(gè)戰(zhàn)略很適合正在消融的ICS邊界,其已經(jīng)享受了開放連接帶來(lái)的好處,因此也將會(huì)受益于企業(yè)安全專業(yè)人士。 據(jù)統(tǒng)計(jì),63%的數(shù)據(jù)外泄涉及安全性弱的、默認(rèn)的或被盜的密碼,在ICS網(wǎng)絡(luò)威脅的排名中認(rèn)證管理排名靠前。通過(guò)被盜的或丟失的移動(dòng)裝置物理訪問(wèn)的可能性增加了對(duì)強(qiáng)有力的認(rèn)證管理的需求。工業(yè)網(wǎng)絡(luò)通過(guò)防火墻、虛擬私人網(wǎng)絡(luò)(VPN)以及交換機(jī)實(shí)現(xiàn)了第一層防護(hù)。 ICS供應(yīng)商必須對(duì)配置文件加密、對(duì)于異常連接嘗試提供監(jiān)控、使用例如HTTPS的安全協(xié)議、并且提供與微軟動(dòng)態(tài)目錄整合在一起的高級(jí)用戶權(quán)限。ICS可以采用強(qiáng)大的識(shí)別管理系統(tǒng)。使用動(dòng)態(tài)目錄作為核心的識(shí)別管理資源庫(kù),一個(gè)ICS用戶可以通過(guò)一個(gè)登陸賬號(hào)使用所有的應(yīng)用。 (中國(guó)儀表網(wǎng)) |
|
|
|
|
|