一�、基本的網(wǎng)絡(luò)信息安全考慮
網(wǎng)絡(luò)信息安全的觀念是關(guān)于保護(hù)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)本身;保護(hù)用于建立和管理網(wǎng)絡(luò)功能的網(wǎng)絡(luò)協(xié)議����。這些關(guān)鍵概念用于解決方案的所有層次和區(qū)域。這些步驟幫助用戶保護(hù)IACS網(wǎng)絡(luò)和IACS應(yīng)用�,防止多種方式的攻擊。下面內(nèi)容是信息安全基線的關(guān)鍵區(qū)域:
● 基礎(chǔ)設(shè)備架構(gòu)-對(duì)網(wǎng)絡(luò)基礎(chǔ)架構(gòu)訪問的信息安全管理����;
● 交換基礎(chǔ)架構(gòu)-網(wǎng)絡(luò)訪問和第2層設(shè)計(jì)考慮�;
● 路由基礎(chǔ)架構(gòu)-保護(hù)網(wǎng)絡(luò)第3層路由功能�����,防止攻擊或誤用���;
● 設(shè)備的彈性和可存性-保護(hù)網(wǎng)絡(luò)的彈性和可用性���;
● 網(wǎng)絡(luò)遙測(cè)-監(jiān)視和分析網(wǎng)絡(luò)行為和狀態(tài),對(duì)問題和攻擊做出識(shí)別和反應(yīng)�����。
這些實(shí)踐可應(yīng)用于不同的層��、區(qū)域和相關(guān)的網(wǎng)絡(luò)架構(gòu)�����。
二�、IACS 網(wǎng)絡(luò)設(shè)備的保護(hù)
這個(gè)概念描述了保護(hù)關(guān)鍵IACS端點(diǎn)設(shè)備本身的實(shí)踐�,特別是控制器和計(jì)算機(jī)��。因?yàn)檫@些設(shè)備在IACS中扮演著重要的角色�,他們的信息安全是要給予特殊關(guān)照��。這些概念包括下面內(nèi)容:
● 物理安全-這個(gè)層限制區(qū)域����、控制屏、IACS設(shè)備����、電纜、控制室和其他位置的授權(quán)人的訪問����,以及跟蹤訪問者和伙伴;
● 計(jì)算機(jī)加固-這包括補(bǔ)丁程序管理和防病毒軟件�,以及能夠刪除不使用的應(yīng)用程序、協(xié)議和服務(wù)等���;
● 應(yīng)用信息安全-這包含鑒定���、授權(quán)和審核軟件,諸如用于IACS應(yīng)用的FactoryTalk的安���;
● 控制器加固-這里指處理變更管理和限制訪問�。
三、單元/區(qū)域 IACS 網(wǎng)絡(luò)信息安全
應(yīng)用于單元/區(qū)域的關(guān)鍵信息安全觀念包括下面的部分:
● 端口信息安全�����,密碼維護(hù)��,管理訪問單元/區(qū)域網(wǎng)絡(luò)基礎(chǔ)架構(gòu)����;
● 冗余和不需要服務(wù)的禁用;
● 網(wǎng)絡(luò)系統(tǒng)信息登錄����,使用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)和網(wǎng)絡(luò)信息監(jiān)視;
● 限制廣播信息區(qū)域�����,虛擬局域網(wǎng)(VLAN)和網(wǎng)絡(luò)協(xié)議的種類���;
● 計(jì)算機(jī)和控制器的加固�。
四、制造 IACS 網(wǎng)絡(luò)的信息安全
制造區(qū)域的設(shè)計(jì)考慮和實(shí)施要在早期階段討論�,特別要考慮關(guān)鍵的單元/區(qū)域�����。另外����,應(yīng)用這些考慮,用于制造區(qū)的關(guān)鍵信息安全考慮包括下面內(nèi)容:
● 路由架構(gòu)的更佳實(shí)踐�����,覆蓋路由協(xié)議成員和路由信息保護(hù)����,以及路由狀態(tài)變化記錄;
● 網(wǎng)絡(luò)和信息安全監(jiān)視�;
● 服務(wù)器信息安全覆蓋端點(diǎn)信息安全;
● FactoryTalk應(yīng)用信息安全���。
五����、隔離區(qū)和IACS防火墻
DMZ和工廠防火墻是一個(gè)保護(hù)IACS網(wǎng)絡(luò)和IACS應(yīng)用的基本措施����。結(jié)合防火墻和DMZ的概念是用于IACS網(wǎng)絡(luò)信息安全的關(guān)鍵的縱深防御的方法����。DMZ和工廠防火墻的設(shè)計(jì)和實(shí)施指南的關(guān)鍵特性和功能包括以下方面:
● 部署工廠防火墻管理在企業(yè)和制造區(qū)之間的信息流��。一個(gè)工廠防火墻提供了下面的功能:
在網(wǎng)絡(luò)區(qū)之間��,通過指定的信息安全層建立的通信模式�����,比如建立隔離區(qū)DMZ��;
在不同區(qū)域之間所有通信狀態(tài)包的檢查�����,如果在上面允許的情況下�����;
從一個(gè)區(qū)域企圖訪問另一個(gè)區(qū)域的資源時(shí)��,強(qiáng)制執(zhí)行用戶鑒定,比如從企業(yè)層企圖訪問DMZ的服務(wù)��;
侵入保護(hù)服務(wù)(IPS)檢查在區(qū)域之間的通信流��,設(shè)計(jì)成能夠識(shí)別和阻止各種潛在的攻擊�。
● 不同區(qū)域之間的 DMZ中的數(shù)據(jù)和服務(wù)能夠安全地共享���。
......
更多內(nèi)容歡迎交流�����。