-
-
wuyuxi_876 | 当前状态:在线
总积分:244 2024年可用积分:0
注册时间: 2011-01-05
最后登录时间: 2019-06-28
-
工业网络安全形势分析摘录
wuyuxi_876 发表于 2011/1/25 13:38:10 1568 查看 0 回复 [上一主题] [下一主题]
手机阅读
工业网络安全新警示
过去十年间,世界范围内的过程控制系统(DCS/PLC/PCS等)及SCADA系统广泛采用信息技术,Windows,Ethernet,现场总线技术,OPC等技术的应用使工业设备接口越来越开放,企业信息化让控制系统及SCADA系统等不再与外界隔离。但是,越来越多的案例表明,来自商业网络、因特网、移动U盘、维修人员笔记本接入以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散,直接影响了工业稳定生产及人身安全。
·2010年10月,肆虐伊朗国内的“超级工厂病毒”Stuxnet病毒已经造成伊朗布什尔核电站推迟发电,并对伊朗国内工业造成大面积影响。
·2006年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。
·2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感染病毒,虽然已安装了IT防火墙,病毒就在几秒钟之内从一个车间感染到另一个车间,从而最终导致停工。
·2003年1月,Slammer蠕虫病毒入侵大量工厂网络,直到防火墙将其截获,人们依然认为系统是安全的。
以上事件给我们带来工业控制系统网络安全新警示:
◆控制系统网络是可以被攻击的:
◆控制系统网络需要进行病毒及黑客入侵防护;
◆需要实施一个纵深防御策略来保证控制系统的稳定运行。
要保证工业网络的安全运行必须达到的两个目标
·即使在工业网络单点出现问题,也能保证装置或工厂的安全稳定运行对于现代计算机网络,我们认为最可怕的是病毒的急速扩散,它会瞬间令整个网络瘫痪,该防护目标在于当工业网络的某个局部存在病毒感染或者其它不安全因素时,不会向其它设备或网络扩散,从而保证装置或工厂的安全稳定运行。
·能够及时准确的确认故障点,并排除问题怎样能够及时发现网络中存在的感染及其它问题,准确找到故障的发生点,是维护控制网络安全的前提。
ANSI/ISA-99区域防护概念解析
目前国内针对工业网络的防护标准尚未成形,公安部会同有关部门也在制定计算机信息系统安全等级的划分标准和安全等级保护的具体办法,在国际上,美国在2007年颁布的ChemicalFacilityAnti-TerrorismStandards(CFATS)标准(该标准由美国国土安全部颁布)以及2008年颁布的USChemicalAnti-TerrorismAct(美国化学反恐怖主义法)针对化工设备安全做了强制要求,目前,石油,水处理以及制造业都还没有必须按照以上立法规定作业,但是为了避免重大的风险,基本都遵守ANSI/ISA-99Standards的要求进行规划。国际行业标准ANSI/ISA-99指出以下工业网络的安全要点:
想要满足这一安全要求,Tofino是一种经济高效的方式。Tofino能够用来隔离信息系统网络与过程系统网络,隔离不同供应商的控制系统,并隔离关键系统与非关键系统,保护控制系统底层边缘设备(例如控制器等)。