今日頭條
官方微信
官方抖音
資訊頻道 1 工業(yè)控制系統(tǒng)之間的通信
過去,自動(dòng)化系統(tǒng)是單獨(dú)的、封閉的系統(tǒng),也被稱之為自動(dòng)化的孤島,隨著對(duì)控制實(shí)時(shí)響應(yīng)速度的不斷提高,以及企業(yè)內(nèi)部對(duì)數(shù)據(jù)互通等的需要,便增加了很多網(wǎng)絡(luò),使得控制系統(tǒng)中各個(gè)設(shè)備之間可以進(jìn)行網(wǎng)絡(luò)通信。通信方式的增多也就引發(fā)了黑客的攻擊和病毒的入侵。
2 信息安全的實(shí)施
沒有任何一種方法可以阻止所有的系統(tǒng)攻擊和病毒入侵,于是,我們需要使用縱深防御的方法增加防護(hù)等級(jí)。
(1)
在企業(yè)網(wǎng)與控制網(wǎng)之間加防火墻
(2)在企業(yè)網(wǎng)與控制網(wǎng)之間加帶隔離區(qū)防火墻
(3)在企業(yè)網(wǎng)與控制網(wǎng)之間加雙防火墻
(4) 按用戶要求定制信息安全方案
3 縱深防御的實(shí)施步驟
(1)使用標(biāo)準(zhǔn)企業(yè)遠(yuǎn)程訪問方案,基于客戶機(jī)的形式,使用IP安保(IPsec)加密的虛擬個(gè)人網(wǎng)絡(luò)(VPN)技術(shù),通過因特網(wǎng)安全地連接企業(yè)的邊界。VPN的建立需要對(duì)遠(yuǎn)程個(gè)人進(jìn)行遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)(RADIUS),這通常是由IT部門組織實(shí)施和管理。
( 2 ) 使用隔離區(qū)(DMZ) / 防火墻中的訪問控制列表(ACL),限制遠(yuǎn)程伙伴通過IPsec到工廠現(xiàn)場(chǎng)的訪問。通過隔離區(qū)連接到工廠現(xiàn)場(chǎng),只能使用一種安全瀏覽器(HTTPS)。
(3)訪問一個(gè)安全瀏覽器(HTTPS)門戶應(yīng)用,它運(yùn)行于隔離區(qū)/防火墻上。這要求再次登錄/驗(yàn)證。
(4)在遠(yuǎn)程客戶機(jī)和工廠的隔離區(qū)防火墻之間,使用一種安全套接字層(SSL)的虛擬個(gè)人網(wǎng)絡(luò)(VPN)會(huì)話,并且限制通過HTTPS使用遠(yuǎn)程終端會(huì)話(比如,遠(yuǎn)程桌面協(xié)議)。
(5)利用在防火墻上的侵入保護(hù)和檢測(cè)系統(tǒng)(IPS/IDS),檢查進(jìn)出遠(yuǎn)程訪問服務(wù)器的數(shù)據(jù)流,防止攻擊和威脅,并適當(dāng)?shù)亟o予阻截。這對(duì)防止來自遠(yuǎn)程設(shè)備穿越防火墻和影響遠(yuǎn)程訪問服務(wù)器的病毒和其他威脅是非常重要的。
(6)允許遠(yuǎn)程用戶執(zhí)行終端會(huì)話,訪問駐留在遠(yuǎn)程訪問服務(wù)器中的自動(dòng)化和控制應(yīng)用。需要應(yīng)用級(jí)的登錄/驗(yàn)證。
(7)執(zhí)行應(yīng)用安保功能,對(duì)訪問遠(yuǎn)程訪問服務(wù)器的用戶,限制其應(yīng)用功能(諸如只讀,非在線功能)。
( 8 ) 把遠(yuǎn)程訪問服務(wù)器分配到不同的虛擬局域網(wǎng)(VLAN),并且讓所有在遠(yuǎn)程訪問服務(wù)器到制造區(qū)域之間的數(shù)據(jù)流通過防火墻。對(duì)這個(gè)數(shù)據(jù)流使用侵入檢測(cè)和保護(hù)服務(wù),保護(hù)制造區(qū)域免受攻擊、蠕蟲和病毒的破壞。
4 信息安全相關(guān)責(zé)任的劃分
5 結(jié)束語
• 工業(yè)控制系統(tǒng)的信息安全及應(yīng)用是工業(yè)安全的大事,為此國(guó)家和工信部已經(jīng)發(fā)出了相關(guān)文件,責(zé)令工業(yè)企業(yè)以及關(guān)鍵性基礎(chǔ)設(shè)施要對(duì)信息安全給予高度重視。
• 希望自動(dòng)化業(yè)界同仁能夠一起努力,確保國(guó)民經(jīng)濟(jì)的平穩(wěn)增長(zhǎng),確保我們的人身健康、企業(yè)資產(chǎn)、自然環(huán)境能夠可持續(xù)、和諧地發(fā)展。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)