<strike id="hst4h"><bdo id="hst4h"><ol id="hst4h"></ol></bdo></strike>
      1. <th id="hst4h"></th>
      2. <em id="hst4h"></em>
        1. SCADA系統軟件安全隱患及解決方法

          日期:2018-08-26 / 人氣: / 來源:未知

          工業控制系統存在的安全隱患

          談了防護脆弱的 SCADA系統 軟件,接下來就談一談工業控制系統本身隱藏的安全隱患。在此之前,我們先了解一下工業控制系統與IT系統在安全架構上有什么不同?

          SCADA系統軟件

          (1)防病毒:IT系統中非常普遍,且易于部署和更新。工控系統中由于都是固化的,部署防病毒軟件非常困難。
          (2)補丁管理:IT系統中不管是遠程還是本地系統都是定期更新。在工控系統中由于都是專用系統,擔心影響性能,基本不更新補丁。
          (3)技術支持周期:IT系統由于供應商較多,升級方便,技術更新周期都很快,基本在2到3年;工控系統都是專用的供應商,可能就一家或幾家,技術更新周期都在10到20年左右。
          (4)網絡安全測試與審計:IT系統都采用最現代的方法;工控系統很少有安全測試和審計。
          (5)事件響應與取證:IT系統易于部署且容易取證;工控系統出現故障除了更新系統很難進行取證。
          (6)安全系統開發:IT系統集成在開發過程中;工控系統沒有通用的集成開發流程。

          也許你會問,為什么工控系統存在這么多風險卻沒出大量的安全問題?這個問題很好解釋。工業控制系統發展這么多年,由于采用的是專業的硬件和協議,而且很少直接與外網或辦公網進行連接,懂IT技術又懂工業自動化控制技術的黑客又比較少,雖然工業控制網絡的攻擊事件時有發生,但卻不多。

          但隨著IT與OT的融合發展,以前封閉式的專用工業網絡開始走向開放,在工業控制系統中已經出現了越來越多的標準化硬件和軟件,如基于X86架構的商用PC及服務器,應用了多年的現場總線技術正在被工業以太網逐步替代,網絡協議由紛繁雜亂的總線協議變為TCP/IP協議。從另外一個方向看,隨著ERP、CRM、MES等中上層管理業務系統與下層PLC、DCS等生產控制系統的對接,智能終端和無線技術也在工業控制領域得到了應用。即便企業的物理安全防護做的再好也已經不管用了。

          從SCADA系統軟件到ICS,安全風險該如何解決?

          隨著工業控制系統中軟硬件及網絡技術向通用化和標準化方向發展,工控系統的安全體系正在被擊潰,變得前所未有的脆弱。這種現狀也引起了國家部門的擔憂和重視。

          針對工控系統面臨的安全風險,工業和信息化部2011年9月發布《關于加強工業控制系統信息安全管理的通知》,明確了工業控制系統信息安全管理的組織領導、技術保障、規章制度等方面的要求。2012年6月28號國務院又發布了《關于大力推進信息化發展和切實保障信息安全的若干意見》。明確要求保障工業控制系統安全,重點對可能危及生命和公共財產安全的工業控制系統加強監管。對關鍵產品開展安全評測,實行安全風險和漏洞通報制度。

          在一系列政策文件的引導下,行業安全廠商也在不斷強化自身安全產品對工業控制系統的安全防護能力。近年來,包括匡恩網絡、威努特、谷神星、力控華安等國內工控安全廠商都針對工業控制系統面臨的安全問題推出了成體系的解決方案,取得了不錯的效果。

          筆者認為,隨著封閉式的工業控制網絡開始走向開放,在工業控制系統中已經出現了越來越多的標準化硬件和軟件,這是未來工業轉型的趨勢。SCADA系統軟件作為辦公網絡和工控網絡的紐帶,構建完善的SCADA系統軟件安全防護體系將是降低工控系統安全風險的重要一環。對此,我們建議可從以下幾個方面入手強化對SCADA系統軟件的安全防護:

          1、評估需求,進行SCADA系統軟件網絡的連接。對SCADA系統軟件網絡所剩下的連接進行深入的測試和脆弱性分析,來評估這些路徑所處的安全狀態。使用這些信息和SCADA系統軟件和風險管理程序來為SCADA系統軟件網絡的所有鏈路生成一個強健的保護策略。由于SCADA系統軟件網絡的安全取決于它的最薄弱的連接點,所以在每個進入點使用工業級邊界隔離系統、工業級入侵檢測系統和一些其它的安全策略十分重要。

          2、通過取消或是減少一些沒有必要的服務來鞏固SCADA系統軟件網絡。建立在商業或是開放源碼的基礎上的操作系統可以通過很多默認的網絡服務遭到攻擊。要在最大程度上減少、忽略、取消不用的網絡服務或是后臺,以減少直接的網絡攻擊。除非經過風險評估顯示,這項服務的好處遠遠大于其潛在的風險所帶來的危害,否則絕對不能允許SCADA系統軟件網絡使用某項服務或是性能。

          3、不要依靠專有的協議來保護系統。一些SCADA系統軟件為了支持在現場設備和服務器之間的通訊而使用獨立、專有的協議。通常這些SCADA系統軟件的安全性只是基于對這些協議的保密性上。然而不幸的是,保密的協議所提供的真正的安全少的可憐。所以不要因為是私有協議,就認為它是安全的。另外,要要求供應商關閉SCADA系統軟件上所有的后門或是供應商接口,并要求他們提供可以得到保護的系統。

          4、嚴格控制作為SCADA系統軟件網絡后門的所有途徑。如果SCADA系統軟件網絡上真的存在后門或是供應商連接時,要嚴格執行驗證以保證安全通訊。調制解調器、通訊和維護用的無線及有線的網絡是SCADA系統軟件網絡和遠程站點的最脆弱部分。

          5、執行內部監測審計,外部入侵檢測,保證每天24小時監控。為了對網絡襲擊具有有效的響應,要使用一種監測策略,包括由來自互聯網或是外部的資源的惡意行為時,對網絡管理員提出警示。檢測系統是24小時連續工作的,這項功能可以很容易的被設置。另外,事故響應程序必須要恰當,在攻擊發生時可以有效的做出動作。為了執行網絡的監控功能,要在所有系統上增強日志功能,并且每天審核日志,即時的監測到可疑行為。

          6、進行物理上的安全調查并對連接到SCADA系統軟件網絡上的遠程站點進行評估,對他們的安全性作出評價。任何連接到 SCADA系統軟件 網絡上的部分都是被檢查和評估的目標,尤其是無人場站。在每個設備上,都要進行物理上的安全檢查。確認并評估所有的信息資源,包括可能被竊聽的電話和計算機網絡、光纜;可能被利用的無線電和微波線路;可能被訪問的計算機終端;無線網絡的訪問點。消除單純的點失敗。這些點的安全性可以足夠阻止未授權訪問,不允許只為了方便,在遠程或是沒有任何保護的站點設置活動訪問點。





          作者:hzjuxadmin


          現在致電 18967198647 OR 查看更多聯系方式 →

          Go To Top 回頂部
          婷婷五月六月综合缴情_欧美A级毛欧美1级a大片式放_被黑人粗黑大肉奉视频_一夲道DVD高清无码