今日頭條
官方微信
官方抖音
資訊頻道 
北京力控華康科技有限公司總經理 魏欽志
北京力控華康科技有限公司成立于2009年,專業(yè)從事工業(yè)網絡通信和網絡安全產品與服務。力控華康成立了專門的工業(yè)網絡安全實驗室,主要從事SCADA、PLC、DCS的漏洞挖掘。
工業(yè)網絡的發(fā)展帶來信息安全挑戰(zhàn)
隨著計算機網絡技術在PCS系統(tǒng)中的深入應用,以及MAV理念逐步得到認可,自動控制系統(tǒng)僅為“信息孤島“的時代已經過去。大型化、集成化的PCS系統(tǒng)是歷史發(fā)展的必然趨勢!
以太網、無線設備、遠程配置、Windows和Linux操作系統(tǒng)等技術在工業(yè)控制系統(tǒng)中的應用,使其正在向網絡化新型控制系統(tǒng)演變,控制系統(tǒng)與控制網絡開放性主要體現(xiàn)在:
第四代DCS整體呈現(xiàn)開放性 ;基于PC架構的計算機應用的普及;Windows平臺的廣泛應用;基于IEEE802.3的工業(yè)以太網普及;大量采用TCP(UDP)/IP網絡協(xié)議;OPC、ModbusTCP等統(tǒng)一接口標準。
從網絡安全的角度來看,這一系統(tǒng)“有巨大的挑戰(zhàn),很容易被利用”。
國家信息安全漏洞共享平臺(China National VulnerabilityDatabase,簡稱CNVD)在2011年收錄了100余個對我國影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京三維力控等國內外知名工業(yè)控制系統(tǒng)制造商的產品。相關企業(yè)雖然積極配合CNCERT處理了安全漏洞,但這些漏洞可能被黑客或惡意軟件利用。
力控華康的應對策略
那么對于不同的行業(yè)、不同的網絡架構,需要找到不同的有針對性的解決方案。
對此,力控華康提出的第一個原則即基于“白名單”的工控安全機制。“白名單”機制要求我們在信息傳輸的時候,只能夠通過你使用到的協(xié)議進行傳輸。
第二個原則是提倡用戶建立網絡物理隔離 ,建議用戶把辦公網和控制網,即信息網和控制網的信息分開。力控華康提供可靠的隔離網關產品,其采用安全的物理隔離“2+1”系統(tǒng)架構,即獨立的運算單元和存儲單元,各自運行獨立的操作系統(tǒng)和應用系統(tǒng),安全隔離區(qū)采用私有加密的數據交互技術,數據交換不依靠TCP/IP協(xié)議,采用私有的定制操作系統(tǒng)。具有強大的數據交換能力和多種工業(yè)通信協(xié)議支持,完整的安全策略部署 ,可靠的冗余方案和故障自診斷技術。
第三,力控華康提出引入防火墻技術,在引入防火墻技術的同時需考慮工業(yè)行業(yè)的特點,首先要求對于工業(yè)協(xié)議進行深度的分析,即可配置控制指令、寄存器地址、點名信息等。并且采用工業(yè)化設計。
第四,力控華康和一些企業(yè)合作,提供漏掃和入侵檢測。入侵預防系統(tǒng)(IPS: Intrusion Prevention System)是電腦網絡安全設施,是對防病毒軟件(Antivirus Programs)和防火墻的補充。 入侵預防系統(tǒng)是一部能夠監(jiān)視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。
最后,建立工業(yè)網絡私有云管理平臺。構建滿足工業(yè)控制系統(tǒng)的全廠級風險識別模型,除了需要細化工業(yè)控制系統(tǒng)的風險因素,還需要建立基于工業(yè)控制系統(tǒng)的安全管理域,實施分等級的基線建設,兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。包括:
方便地對整個系統(tǒng)里所有安全設備模塊、控制器和工作站,進行部署、監(jiān)控和管理;
規(guī)則輔助生成,指導用戶方便快捷地從權限、授權管理報告中,創(chuàng)建防火墻的規(guī)則;
自動阻止并報告任何與系統(tǒng)流量不匹配的規(guī)則;
接收、處理和記錄由安全模塊所上傳的報警信息;
全網流量收集識別能力;
基于白名單的終端應用控制能力;
實時ICS 協(xié)議與內容識別能力;
異常行為的仿真能力;
可視化配置、組態(tài);
安全事件搜索、跟蹤和預處理能力。
摘自《自動化博覽》2013年1期
北京市公安局海淀分局備案號:11010802023656號