工業(yè)自動(dòng)化控制系統(tǒng)安全防護(hù)措施有哪些?
發(fā)布日期:
2021-12-22

一、基本的網(wǎng)絡(luò)信息安全考慮

網(wǎng)絡(luò)信息安全的觀念是關(guān)于保護(hù)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)本身;保護(hù)用于建立和管理網(wǎng)絡(luò)功能的網(wǎng)絡(luò)協(xié)議。這些關(guān)鍵概念用于解決方案的所有層次和區(qū)域。這些步驟幫助用戶保護(hù)IACS網(wǎng)絡(luò)和IACS應(yīng)用,防止多種方式的攻擊。下面內(nèi)容是信息安全基線的關(guān)鍵區(qū)域:

● 基礎(chǔ)設(shè)備架構(gòu)-對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)訪問的信息安全管理;

● 交換基礎(chǔ)架構(gòu)-網(wǎng)絡(luò)訪問和第2層設(shè)計(jì)考慮;

● 路由基礎(chǔ)架構(gòu)-保護(hù)網(wǎng)絡(luò)第3層路由功能,防止攻擊或誤用;

● 設(shè)備的彈性和可存性-保護(hù)網(wǎng)絡(luò)的彈性和可用性;

● 網(wǎng)絡(luò)遙測(cè)-監(jiān)視和分析網(wǎng)絡(luò)行為和狀態(tài),對(duì)問題和攻擊做出識(shí)別和反應(yīng)。

這些實(shí)踐可應(yīng)用于不同的層、區(qū)域和相關(guān)的網(wǎng)絡(luò)架構(gòu)。

二、IACS 網(wǎng)絡(luò)設(shè)備的保護(hù)

這個(gè)概念描述了保護(hù)關(guān)鍵IACS端點(diǎn)設(shè)備本身的實(shí)踐,特別是控制器和計(jì)算機(jī)。因?yàn)檫@些設(shè)備在IACS中扮演著重要的角色,他們的信息安全是要給予特殊關(guān)照。這些概念包括下面內(nèi)容:

● 物理安全-這個(gè)層限制區(qū)域、控制屏、IACS設(shè)備、電纜、控制室和其他位置的授權(quán)人的訪問,以及跟蹤訪問者和伙伴;

● 計(jì)算機(jī)加固-這包括補(bǔ)丁程序管理和防病毒軟件,以及能夠刪除不使用的應(yīng)用程序、協(xié)議和服務(wù)等;

● 應(yīng)用信息安全-這包含鑒定、授權(quán)和審核軟件,諸如用于IACS應(yīng)用的FactoryTalk的安;

● 控制器加固-這里指處理變更管理和限制訪問。

三、單元/區(qū)域 IACS 網(wǎng)絡(luò)信息安全

應(yīng)用于單元/區(qū)域的關(guān)鍵信息安全觀念包括下面的部分:

● 端口信息安全,密碼維護(hù),管理訪問單元/區(qū)域網(wǎng)絡(luò)基礎(chǔ)架構(gòu);

● 冗余和不需要服務(wù)的禁用;

● 網(wǎng)絡(luò)系統(tǒng)信息登錄,使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)和網(wǎng)絡(luò)信息監(jiān)視;

● 限制廣播信息區(qū)域,虛擬局域網(wǎng)(VLAN)和網(wǎng)絡(luò)協(xié)議的種類;

● 計(jì)算機(jī)和控制器的加固。

四、制造 IACS 網(wǎng)絡(luò)的信息安全

制造區(qū)域的設(shè)計(jì)考慮和實(shí)施要在早期階段討論,特別要考慮關(guān)鍵的單元/區(qū)域。另外,應(yīng)用這些考慮,用于制造區(qū)的關(guān)鍵信息安全考慮包括下面內(nèi)容:

● 路由架構(gòu)的更佳實(shí)踐,覆蓋路由協(xié)議成員和路由信息保護(hù),以及路由狀態(tài)變化記錄;

● 網(wǎng)絡(luò)和信息安全監(jiān)視;

● 服務(wù)器信息安全覆蓋端點(diǎn)信息安全;

● FactoryTalk應(yīng)用信息安全。

五、隔離區(qū)和IACS防火墻

DMZ和工廠防火墻是一個(gè)保護(hù)IACS網(wǎng)絡(luò)和IACS應(yīng)用的基本措施。結(jié)合防火墻和DMZ的概念是用于IACS網(wǎng)絡(luò)信息安全的關(guān)鍵的縱深防御的方法。DMZ和工廠防火墻的設(shè)計(jì)和實(shí)施指南的關(guān)鍵特性和功能包括以下方面:

● 部署工廠防火墻管理在企業(yè)和制造區(qū)之間的信息流。一個(gè)工廠防火墻提供了下面的功能:

在網(wǎng)絡(luò)區(qū)之間,通過指定的信息安全層建立的通信模式,比如建立隔離區(qū)DMZ;

在不同區(qū)域之間所有通信狀態(tài)包的檢查,如果在上面允許的情況下;

從一個(gè)區(qū)域企圖訪問另一個(gè)區(qū)域的資源時(shí),強(qiáng)制執(zhí)行用戶鑒定,比如從企業(yè)層企圖訪問DMZ的服務(wù);

侵入保護(hù)服務(wù)(IPS)檢查在區(qū)域之間的通信流,設(shè)計(jì)成能夠識(shí)別和阻止各種潛在的攻擊。

● 不同區(qū)域之間的 DMZ中的數(shù)據(jù)和服務(wù)能夠安全地共享。

......

更多內(nèi)容歡迎交流。

聲明:部分內(nèi)容來源于網(wǎng)絡(luò),如侵權(quán)請(qǐng)后臺(tái)留言聯(lián)系刪除。