今日頭條
官方微信
官方抖音
資訊頻道 
北京力控華康科技有限公司總經理 魏欽志
北京力控華康科技有限公司成立于2009年,專業從事工業網絡通信和網絡安全產品與服務。力控華康成立了專門的工業網絡安全實驗室,主要從事SCADA、PLC、DCS的漏洞挖掘。
工業網絡的發展帶來信息安全挑戰
隨著計算機網絡技術在PCS系統中的深入應用,以及MAV理念逐步得到認可,自動控制系統僅為“信息孤島“的時代已經過去。大型化、集成化的PCS系統是歷史發展的必然趨勢!
以太網、無線設備、遠程配置、Windows和Linux操作系統等技術在工業控制系統中的應用,使其正在向網絡化新型控制系統演變,控制系統與控制網絡開放性主要體現在:
第四代DCS整體呈現開放性 ;基于PC架構的計算機應用的普及;Windows平臺的廣泛應用;基于IEEE802.3的工業以太網普及;大量采用TCP(UDP)/IP網絡協議;OPC、ModbusTCP等統一接口標準。
從網絡安全的角度來看,這一系統“有巨大的挑戰,很容易被利用”。
國家信息安全漏洞共享平臺(China National VulnerabilityDatabase,簡稱CNVD)在2011年收錄了100余個對我國影響廣泛的工業控制系統軟件安全漏洞,較2010年大幅增長近10倍,涉及西門子、北京三維力控等國內外知名工業控制系統制造商的產品。相關企業雖然積極配合CNCERT處理了安全漏洞,但這些漏洞可能被黑客或惡意軟件利用。
力控華康的應對策略
那么對于不同的行業、不同的網絡架構,需要找到不同的有針對性的解決方案。
對此,力控華康提出的第一個原則即基于“白名單”的工控安全機制。“白名單”機制要求我們在信息傳輸的時候,只能夠通過你使用到的協議進行傳輸。
第二個原則是提倡用戶建立網絡物理隔離 ,建議用戶把辦公網和控制網,即信息網和控制網的信息分開。力控華康提供可靠的隔離網關產品,其采用安全的物理隔離“2+1”系統架構,即獨立的運算單元和存儲單元,各自運行獨立的操作系統和應用系統,安全隔離區采用私有加密的數據交互技術,數據交換不依靠TCP/IP協議,采用私有的定制操作系統。具有強大的數據交換能力和多種工業通信協議支持,完整的安全策略部署 ,可靠的冗余方案和故障自診斷技術。
第三,力控華康提出引入防火墻技術,在引入防火墻技術的同時需考慮工業行業的特點,首先要求對于工業協議進行深度的分析,即可配置控制指令、寄存器地址、點名信息等。并且采用工業化設計。
第四,力控華康和一些企業合作,提供漏掃和入侵檢測。入侵預防系統(IPS: Intrusion Prevention System)是電腦網絡安全設施,是對防病毒軟件(Antivirus Programs)和防火墻的補充。 入侵預防系統是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備,能夠即時的中斷、調整或隔離一些不正常或是具有傷害性的網絡資料傳輸行為。
最后,建立工業網絡私有云管理平臺。構建滿足工業控制系統的全廠級風險識別模型,除了需要細化工業控制系統的風險因素,還需要建立基于工業控制系統的安全管理域,實施分等級的基線建設,兼顧包括終端與鏈路、威脅與異常、安全與可用性等綜合因素的功能考慮。包括:
方便地對整個系統里所有安全設備模塊、控制器和工作站,進行部署、監控和管理;
規則輔助生成,指導用戶方便快捷地從權限、授權管理報告中,創建防火墻的規則;
自動阻止并報告任何與系統流量不匹配的規則;
接收、處理和記錄由安全模塊所上傳的報警信息;
全網流量收集識別能力;
基于白名單的終端應用控制能力;
實時ICS 協議與內容識別能力;
異常行為的仿真能力;
可視化配置、組態;
安全事件搜索、跟蹤和預處理能力。
摘自《自動化博覽》2013年1期
北京市公安局海淀分局備案號:11010802023656號