搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內(nèi)不再提示

      工控系統(tǒng)安全知識大盤點

      pIuy_EAQapp ? 來源:未知 ? 作者:胡薇 ? 2018-09-07 16:53 ? 次閱讀

      ICS(工業(yè)控制系統(tǒng))安全問題越來越引起相關單位的重視,是因為這些年發(fā)生的ICS安全大事件進入了大眾視野。ICS 是含著安全的鑰匙誕生的,它與互聯(lián)網(wǎng)天生隔絕,讓外部網(wǎng)絡的任何攻擊在最后一步戛然而止,但方法總比困難多,ICS 很難得手,不代表絕對不得手,一旦得手,就是大災難,這是傳統(tǒng) ICS 的一個特點,外絕內(nèi)松,以為自己百毒莫侵,高枕無憂,所以對內(nèi)網(wǎng)安全十分忽視。這些年最為著名的 ICS 安全事件非震網(wǎng)莫屬,美國國家隊花費巨資打造精巧的 Stuxnet(震網(wǎng)),對伊朗首座核電廠圍追堵截,以U盤的方式將其帶入工廠并感染 ICS,加速離心機轉(zhuǎn)速而致其損壞,使得濃縮鈾遲遲生產(chǎn)不出來,最終讓伊朗核計劃推遲2年。有人猜測是某個工程師被釣魚攻擊感染了電腦,然后把U盤帶入工廠;也有人猜測是工程師被收買,因為震網(wǎng)病毒的破壞目標不只是離心機,還會針對其他零部件,所以要升級更新,需要有人拿新版本震網(wǎng)U盤久不久插一次 ICS。

      信息技術(IT)和運營技術(OT)/工控系統(tǒng)安全之間的差異,加之工控系統(tǒng)不斷出現(xiàn)的安全問題和工業(yè)物聯(lián)網(wǎng)(IIoT)的激增,進而推動了一輪新的共識。

      NIST,ANSSI,ARC,Garter 集團等都認識到,對于工廠而言,要想維持安全可靠的運營,需要把防止系統(tǒng)誤操作提到首要位置,而同時,IT 網(wǎng)絡的頭等大事則仍然是數(shù)據(jù)保護。

      IT、OT優(yōu)先性差異

      IT 網(wǎng)絡安全一直被定義為一整套保護數(shù)據(jù)機密性、完整性以及可用性的措施。而工控系統(tǒng)網(wǎng)絡安全則逐漸被定義為一套能確保物理工控流程以及流控電腦安全可靠運行的措施。

      NIST 800-82r2 建議:確保工控系統(tǒng)的網(wǎng)絡安全對于安全可靠地運行現(xiàn)代工業(yè)流程非常重要。

      ARC 顧問團指出:工業(yè)流程安全可靠的運行是至關重要的。這也是工業(yè)網(wǎng)絡安全有別于其他 IT 網(wǎng)絡安全項目的原因。

      Gartner 則發(fā)現(xiàn),從安全規(guī)劃和運行角度來看,運營技術環(huán)節(jié)在設計時的首要因素就是安全和可靠性。與信息技術相比,后者更側(cè)重數(shù)據(jù)的機密性、完整性和可用性。這種優(yōu)先性上的差異導致了信息技術(IT)和運營技術(OT)安全計劃的不同。在側(cè)重可靠性和安全性的網(wǎng)絡時,信息技術風險評估方法就不適用,信息技術安全計劃通常也不太適合。

      例如,Garter 2017年發(fā)表的《運營技術和工業(yè)物聯(lián)網(wǎng)的七大網(wǎng)絡安全神話》一文中指出,用 IT 風險評估方法來評估 OT 風險是錯誤的,而企業(yè)也不能一開始就期望一個保護信息的安全架構和設計能解決物理系統(tǒng)的特定需求。

      工控系統(tǒng)安全是不同的

      在設計工控安全計劃時,入侵防御被重視的程度遠高于突發(fā)安全事故的檢測,響應和恢復。而一個預防性的以 OT 為中心的安全方案應包括以下要素:

      周邊安全——重要的工廠通常都具備強大的物理和網(wǎng)絡周邊保護。這些地方都不允許公眾涉足其敏感物理設備。他們也不允許有人從外網(wǎng)測試其系統(tǒng)查找零日漏洞。

      基于功能的設計——保護措施做得好的工業(yè)網(wǎng)站會精心設計自己的安全計劃,以抵御各種攻擊,而不是試圖感知特定攻擊者的動機。

      而 Gartner 在報告中指出,側(cè)重工控系統(tǒng)防御性的原因是——“許多運營技術安全的失敗會對物理環(huán)境產(chǎn)生直接影響,會潛在導致傷亡,環(huán)境破壞或服務的大規(guī)模中斷。雖然 IT 安全出行問題的后果嚴重并對業(yè)務產(chǎn)生威脅,但是 IT 安全的失敗很少危及人生安全或財產(chǎn)損失。”檢測,響應和恢復在工控系統(tǒng)網(wǎng)絡中仍然很重要,但是首要的還是預防——畢竟,人身安全,環(huán)境災難和被破壞的物理設備都是不能從備份中恢復的。

      單向網(wǎng)關技術

      在工控系統(tǒng)網(wǎng)絡防火墻連接方面,有記載的各種專家,標準和指導都推薦在工業(yè)環(huán)境的防火墻中使用單向網(wǎng)關和相關技術。用于工業(yè)網(wǎng)絡安全的 ANSSI 標準允許在 IT 網(wǎng)絡上使用防火墻,但是強烈推薦在 IT/OT 接口使用單向網(wǎng)關,且在連接最敏感工業(yè)網(wǎng)絡的接口是完全禁用防火墻。

      單向網(wǎng)關可極大推進工業(yè)物聯(lián)網(wǎng)的部署。單向網(wǎng)關與防火墻不同,它可以直接將工業(yè)網(wǎng)絡連接到IT,互聯(lián)網(wǎng)和云系統(tǒng),但是不用擔心黑客攻擊滲透到受保護的工業(yè)網(wǎng)絡中。

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • IT
        IT
        +關注

        關注

        2

        文章

        835

        瀏覽量

        63313
      • 工控系統(tǒng)

        關注

        1

        文章

        98

        瀏覽量

        14498

      原文標題:關于工控系統(tǒng)安全的幾點新共識

      文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉(zhuǎn)載請注明出處。

      收藏 人收藏

        評論

        相關推薦

        基于本體安全工控系統(tǒng)安全現(xiàn)狀及問題分析

        工控安全與傳統(tǒng)信息安全最大的不同是其基于業(yè)務和工藝,針對應用場景,必須結合工藝業(yè)務要求進行安全保障,簡單以“零和思維”、“木桶理論”思 路或試圖用一個統(tǒng)一的技術思路來解決
        的頭像 發(fā)表于 12-20 10:30 ?2496次閱讀

        快速充電電源電路設計大盤點

        快速充電電源電路設計大盤點
        發(fā)表于 01-16 10:30

        汽車動力系統(tǒng)大盤點:助你設計絕佳方案

        技術、電機控制技術等等?! ∽钚碌碾娐吩O計供你下載,涵蓋動力系統(tǒng)電路設計精華。汽車動力系統(tǒng)大盤點:助你設計絕佳方案,點擊進入吧》》》》
        發(fā)表于 04-21 14:59

        檢查系統(tǒng)安全和儀器保護的重要性

        檢查系統(tǒng)安全和儀器保護的重要性
        發(fā)表于 05-13 06:10

        怎么實現(xiàn)工業(yè)控制系統(tǒng)安全防護的設計?

        工業(yè)控制系統(tǒng)潛在的風險是什么?怎么實現(xiàn)工業(yè)控制系統(tǒng)安全防護的設計?
        發(fā)表于 05-25 06:12

        BMS電池管理系統(tǒng)安全定義

        ?1. 系統(tǒng)安全定義包含電子電氣的功能安全還包含機械等其他防護部分1. 機械安全需求無鋒利銳邊/強度保證(碰撞/沖擊/擠壓/振動/承載等)2. 化學安全需求無有毒有害化學物質(zhì)/材料的可
        發(fā)表于 09-15 08:12

        網(wǎng)絡系統(tǒng)安全

        網(wǎng)絡系統(tǒng)安全操作系統(tǒng)安全入網(wǎng)登錄訪問控制帳號的識別與驗證帳號的默認限制檢查網(wǎng)絡的權限控制目錄與屬性級安全控制網(wǎng)絡服務器安全控制Window
        發(fā)表于 06-16 23:12 ?0次下載

        UNIX系統(tǒng)安全工具

        本書詳細介紹了UNIX系統(tǒng)安全的問題、解決方法和策略。其內(nèi)容包括:帳號安全及相關工具Crack;日志系統(tǒng)的機制和安全性,日志安全工具Swat
        發(fā)表于 08-27 16:20 ?0次下載

        Windows系統(tǒng)安全模式另類應用

        Windows系統(tǒng)安全模式另類應用 相信有一部份的用戶對Windows操作系統(tǒng)安全模式的應用還比較模糊,下面的我們就給大家講講Windows安全
        發(fā)表于 01-27 09:58 ?639次閱讀

        Linux必學的系統(tǒng)安全命令

        雖然Linux和Windows NT/2000系統(tǒng)一樣是一個多用戶的系統(tǒng),但是它們之間有不少重要的差別。對于很多習慣了Windows系統(tǒng)的管理員來講,如何保證Linux操作系統(tǒng)安全、可
        發(fā)表于 11-02 15:09 ?0次下載

        盤點全球工業(yè)控制系統(tǒng)安全攻擊事件

        我國工控領域的安全可靠性問題突出,工控系統(tǒng)的復雜化、IT化和通用化加劇了系統(tǒng)安全隱患,潛在的更
        發(fā)表于 07-11 15:55 ?1.5w次閱讀
        <b class='flag-5'>盤點</b>全球工業(yè)控制<b class='flag-5'>系統(tǒng)安全</b>攻擊事件

        工控系統(tǒng)安全現(xiàn)狀和存在的問題及思想和形式說明

        本文在總結分析工控系統(tǒng)安全現(xiàn)狀和問題基礎上,提出基于本體安全的工業(yè)控制系統(tǒng)安全思想方法和形式描述。
        的頭像 發(fā)表于 12-31 09:14 ?8133次閱讀
        <b class='flag-5'>工控</b><b class='flag-5'>系統(tǒng)</b>的<b class='flag-5'>安全</b>現(xiàn)狀和存在的問題及思想和形式說明

        工控系統(tǒng)安全隱患巨大 工控安全需重視

        由于早期沒考慮互聯(lián),工控系統(tǒng)在設計之初幾乎都沒有考慮安全問題,多數(shù)工控協(xié)議都很脆弱。現(xiàn)在因為管理的需求,很多工控
        發(fā)表于 06-19 11:46 ?1444次閱讀

        嵌入式系統(tǒng)安全實用技巧

        嵌入式系統(tǒng)安全實用技巧
        的頭像 發(fā)表于 12-28 09:51 ?634次閱讀

        基于MCU通用GUI大盤點

        基于MCU通用GUI大盤點
        的頭像 發(fā)表于 10-18 17:07 ?731次閱讀
        基于MCU通用GUI<b class='flag-5'>大盤點</b>