當前位置:首頁 » 安全設置 » 工業控制系統網路安全實戰電子版
擴展閱讀
小米裸平板電腦是什麼意思 2024-04-26 01:51:29
做網路優化需要手機驗證碼嗎 2024-04-26 01:32:55
無線網路更改開戶名 2024-04-26 01:16:51

工業控制系統網路安全實戰電子版

發布時間: 2023-02-04 14:06:34

如何構建工業互聯網安全體系

1、設備和控制安全

要求企業加強工業生產、主機、智能終端等設備安全接入和防護,強化控制網路協議、裝置裝備、工業軟體等安全保障,推動設備製造商、自動化集成商與安全企業加強合作,提升設備和控制系統的本質安全。

2、網路設施安全
要求工業企業、基礎電信企業在網路化改造及部署IPv6、應用5G的過程中,落實安全標准要求並開展安全評估,部署安全設施,提升企業內外網的安全防護能力。要求標識解析系統的建設運營單位同步加強安全防護技術能力建設,確保標識解析系統的安全運行。

3、工業互聯網平台和應用程序(APP)安全
要求工業互聯網平台的建設、運營方,在平台上線前進行安全評估,針對邊緣層、IaaS層(雲基礎設施)、平台層(工業PaaS)、應用層(工業SaaS)分層部署安全防護措施。要求建立工業APP應用的安全檢測機制,強化應用過程中用戶信息和數據安全保護。

㈡ 工業互聯網時代的風險管理:工業4.0與網路安全

2009年,惡意軟體曾操控某核濃縮工廠的離心機,導致所有離心機失控。該惡意軟體又稱「震網」,通過快閃記憶體驅動器入侵獨立網路系統,並在各生產網路中自動擴散。通過「震網」事件,我們看到將網路攻擊作為武器破壞聯網實體工廠的可能。這場戰爭顯然是失衡的:企業必須保護眾多的技術,而攻擊者只需找到一個最薄弱的環節。

但非常重要的一點是,企業不僅需要關注外部威脅,還需關注真實存在卻常被忽略的網路風險,而這些風險正是由企業在創新、轉型和現代化過程中越來越多地應用智能互聯技術所引致的。否則,企業制定的戰略商業決策將可能導致該等風險,企業應管控並降低該等新興風險。

工業4.0時代,智能機器之間的互聯性不斷增強,風險因素也隨之增多。工業4.0開啟了一個互聯互通、智能製造、響應式供應網路和定製產品與服務的時代。藉助智能、自動化技術,工業4.0旨在結合數字世界與物理操作,推動智能工廠和先進製造業的發展 。但在意圖提升整個製造與供應鏈流程的數字化能力並推動聯網設備革命性變革過程中,新產生的網路風險讓所有企業都感到措手不及。針對網路風險制定綜合戰略方案對製造業價值鏈至關重要,因為這些方案融合了工業4.0的重要驅動力:運營技術與信息技術。

隨著工業4.0時代的到來,威脅急劇增加,企業應當考慮並解決新產生的風險。簡而言之,在工業4.0時代制定具備安全性、警惕性和韌性的網路風險戰略將面臨不同的挑戰。當供應鏈、工廠、消費者以及企業運營實現聯網,網路威脅帶來的風險將達到前所未有的廣度和深度。

在戰略流程臨近結束時才考慮如何解決網路風險可能為時已晚。開始制定聯網的工業4.0計劃時,就應將網路安全視為與戰略、設計和運營不可分割的一部分。

本文將從現代聯網數字供應網路、智能工廠及聯網設備三大方面研究各自所面臨的網路風險。3在工業4.0時代,我們將探討在整個生產生命周期中(圖1)——從數字供應網路到智能工廠再到聯網物品——運營及信息安全主管可行的對策,以預測並有效應對網路風險,同時主動將網路安全納入企業戰略。

數字化製造企業與工業4.0

工業4.0技術讓數字化製造企業和數字供應網路整合不同來源和出處的數字化信息,推動製造與分銷行為。

信息技術與運營技術整合的標志是向實體-數字-實體的聯網轉變。工業4.0結合了物聯網以及相關的實體和數字技術,包括數據分析、增材製造、機器人技術、高性能計算機、人工智慧、認知技術、先進材料以及增強現實,以完善生產生命周期,實現數字化運營。

工業4.0的概念在物理世界的背景下融合並延伸了物聯網的范疇,一定程度上講,只有製造與供應鏈/供應網路流程會經歷實體-數字和數字-實體的跨越(圖2)。從數字回到實體的跨越——從互聯的數字技術到創造實體物品的過程——這是工業4.0的精髓所在,它支撐著數字化製造企業和數字供應網路。

即使在我們 探索 信息創造價值的方式時,從製造價值鏈的角度去理解價值創造也很重要。在整個製造與分銷價值網路中,通過工業4.0應用程序集成信息和運營技術可能會達到一定的商業成果。

不斷演變的供應鏈和網路風險

有關材料進入生產過程和半成品/成品對外分銷的供應鏈對於任何一家製造企業都非常重要。此外,供應鏈還與消費者需求聯系緊密。很多全球性企業根據需求預測確定所需原料的數量、生產線要求以及分銷渠道負荷。由於分析工具也變得更加先進,如今企業已經能夠利用數據和分析工具了解並預測消費者的購買模式。

通過向整個生態圈引入智能互聯的平台和設備,工業4.0技術有望推動傳統線性供應鏈結構的進一步發展,並形成能從價值鏈上獲得有用數據的數字供應網路,最終改進管理,加快原料和商品流通,提高資源利用率,並使供應品更合理地滿足消費者需求。

盡管工業4.0能帶來這些好處,但數字供應網路的互聯性增強將形成網路弱點。為了防止發生重大風險,應從設計到運營的每個階段,合理規劃並詳細說明網路弱點。

在數字化供應網路中共享數據的網路風險

隨著數字供應網路的發展,未來將出現根據購買者對可用供應品的需求,對原材料或商品進行實時動態定價的新型供應網路。5由於只有供應網路各參與方開放數據共享才可能形成一個響應迅速且靈活的網路,且很難在保證部分數據透明度的同時確保其他信息安全,因此形成新型供應網路並非易事。

因此,企業可能會設法避免信息被未授權網路用戶訪問。 此外,他們可能還需對所有支撐性流程實施統一的安全措施,如供應商驗收、信息共享和系統訪問。企業不僅對這些流程擁有專屬權利,它們也可以作為獲取其他內部信息的接入點。這也許會給第三方風險管理帶來更多壓力。在分析互聯數字供應網路的網路風險時,我們發現不斷提升的供應鏈互聯性對數據共享與供應商處理的影響最大(圖3)。

為了應對不斷增長的網路風險,我們將對上述兩大領域和應對戰略逐一展開討論。

數據共享:更多利益相關方將更多渠道獲得數據

企業將需要考慮什麼數據可以共享,如何保護私人所有或含有隱私風險的系統和基礎數據。比 如,數字供應網路中的某些供應商可能在其他領域互為競爭對手,因此不願意公開某些類型的數據,如定價或專利品信息。此外,供應商可能還須遵守某些限制共享信息類型的法律法規。因此,僅公開部分數據就可能讓不良企圖的人趁機獲得其他信息。

企業應當利用合適的技術,如網路分段和中介系統等,收集、保護和提供信息。此外,企業還應在未來生產的設備中應用可信的平台模塊或硬體安全模塊等技術,以提供強大的密碼邏輯支持、硬體授權和認證(即識別設備的未授權更改)。

將這種方法與強大的訪問控制措施結合,關鍵任務操作技術在應用點和端點的數據和流程安全將能得到保障。

在必須公開部分數據或數據非常敏感時,金融服務等其他行業能為信息保護提供範例。目前,企業紛紛開始對靜態和傳輸中的數據應用加密和標記等工具,以確保數據被截獲或系統受損情況下的通信安全。但隨著互聯性的逐步提升,金融服務企業意識到,不能僅從安全的角度解決數據隱私和保密性風險,而應結合數據管治等其他技術。事實上,企業應該對其所處環境實施風險評估,包括企業、數字供應網路、行業控制系統以及聯網產品等,並根據評估結果制定或更新網路風險戰略。總而言之,隨著互聯性的不斷增強,上述所有的方法都能找到應實施更高級預防措施的領域。

供應商處理:更廣闊市場中供應商驗收與付款

由於新夥伴的加入將使供應商體系變得更加復雜,核心供應商群體的擴張將可能擾亂當前的供應商驗收流程。因此,追蹤第三方驗收和風險的管治、風險與合規軟體需要更快、更自主地反應。此外,使用這些應用軟體的信息安全與風險管理團隊還需制定新的方針政策,確保不受虛假供應商、國際制裁的供應商以及不達標產品分銷商的影響。消費者市場有不少類似的經歷,易貝和亞馬遜就曾發生過假冒偽劣商品和虛假店面等事件。

區塊鏈技術已被認為能幫助解決上述擔憂並應對可能發生的付款流程變化。盡管比特幣是建立貨幣 歷史 記錄的經典案例,但其他企業仍在 探索 如何利用這個新工具來決定商品從生產線到各級購買者的流動。7創建團體共享 歷史 賬簿能建立信任和透明度,通過驗證商品真實性保護買方和賣方,追蹤商品物流狀態,並在處理退換貨時用詳細的產品分類替代批量分揀。如不能保證產品真實性,製造商可能會在引進產品前,進行產品測試和鑒定,以確保足夠的安全性。

信任是數據共享與供應商處理之間的關聯因素。企業從事信息或商品交易時,需要不斷更新其風險管理措施,確保真實性和安全性;加強監測能力和網路安全運營,保持警惕性;並在無法實施信任驗證時保護該等流程。

在這個過程中,數字供應網路成員可參考其他行業的網路風險管理方法。某些金融和能源企業所採用的自動交易模型與響應迅速且靈活的數字供應網路就有諸多相似之處。它包含具有競爭力的知識產權和企業賴以生存的重要資源,所有這些與數字供應網路一樣,一旦部署到雲端或與第三方建立聯系就容易遭到攻擊。金融服務行業已經意識到無論在內部或外部演算法都面臨著這樣的風險。因此,為了應對內部風險,包括顯性風險(企業間諜活動、蓄意破壞等)和意外風險(自滿、無知等),軟體編碼和內部威脅程序必須具備更高的安全性和警惕性。

事實上,警惕性對監測非常重要:由於製造商逐漸在數字供應網路以外的生產過程應用工業4.0技術,網路風險只會成倍增長。

智能生產時代的新型網路風險

隨著互聯性的不斷提高,數字供應網路將面臨新的風險,智能製造同樣也無法避免。不僅風險的數量和種類將增加,甚至還可能呈指數增長。不久前,美國國土安全部出版了《物聯網安全戰略原則》與《生命攸關的嵌入式系統安全原則》,強調應關注當下的問題,檢查製造商是否在生產過程中直接或間接地引入與生命攸關的嵌入式系統相關的風險。

「生命攸關的嵌入式系統」廣義上指幾乎所有的聯網設備,無論是車間自動化系統中的設備或是在第三方合約製造商遠程式控制制的設備,都應被視為風險——盡管有些設備幾乎與生產過程無關。

考慮到風險不斷增長,威脅面急劇擴張,工業4.0時代中的製造業必須徹底改變對安全的看法。

聯網生產帶來新型網路挑戰

隨著生產系統的互聯性越來越高,數字供應網路面臨的網路威脅不斷增長擴大。不難想像,不當或任意使用臨時生產線可能造成經濟損失、產品質量低下,甚至危及工人安全。此外,聯網工廠將難以承受倒閉或其他攻擊的後果。有證據表明,製造商仍未准備好應對其聯網智能系統可能引發的網路風險: 2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究發現,三分之一的製造商未對工廠車間使用的工業控制系統做過任何網路風險評估。

可以確定的是,自進入機械化生產時代,風險就一直伴隨著製造商,而且隨著技術的進步,網路風險不斷增強,物理威脅也越來越多。但工業4.0使網路風險實現了迄今為止最大的跨越。各階段的具體情況請參見圖4。

從運營的角度看,在保持高效率和實施資源控制時,工程師可在現代化的工業控制系統環境中部署無人站點。為此,他們使用了一系列聯網系統,如企業資源規劃、製造執行、監控和數據採集系統等。這些聯網系統能夠經常優化流程,使業務更加簡單高效。並且,隨著系統的不斷升級,系統的自動化程度和自主性也將不斷提高(圖5)。

從安全的角度看,鑒於工業控制系統中商業現貨產品的互聯性和使用率不斷提升,大量暴露點將可能遭到威脅。與一般的IT行業關注信息本身不同,工業控制系統安全更多關注工業流程。因此,與傳統網路風險一樣,智能工廠的主要目標是保證物理流程的可用性和完整性,而非信息的保密性。

但值得注意的是,盡管網路攻擊的基本要素未發生改變,但實施攻擊方式變得越來越先進(圖5)。事實上,由於工業4.0時代互聯性越來越高,並逐漸從數字化領域擴展到物理世界,網路攻擊將可能對生產、消費者、製造商以及產品本身產生更廣泛、更深遠的影響(圖6)。

結合信息技術與運營技術:

當數字化遇上實體製造商實施工業4.0 技術時必須考慮數字化流程和將受影響的機器和物品,我們通常稱之為信息技術與運營技術的結合。對於工業或製造流程中包含了信息技術與運營技術的公司,當我們探討推動重點運營和開發工作的因素時,可以確定多種戰略規劃、運營價值以及相應的網路安全措施(圖7)。

首先,製造商常受以下三項戰略規劃的影響:

健康 與安全: 員工和環境安全對任何站點都非常重要。隨著技術的發展,未來智能安全設備將實現升級。

生產與流程的韌性和效率: 任何時候保證連續生產都很重要。在實際工作中,一旦工廠停工就會損失金錢,但考慮到重建和重新開工所花費的時間,恢復關鍵流程可能將導致更大的損失。

檢測並主動解決問題: 企業品牌與聲譽在全球商業市場中扮演著越來越重要的角色。在實際工作中,工廠的故障或生產問題對企業聲譽影響很大,因此,應採取措施改善環境,保護企業的品牌與聲譽。

第二,企業需要在日常的商業活動中秉持不同的運營價值理念:

系統的可操作性、可靠性與完整性: 為了降低擁有權成本,減緩零部件更換速度,站點應當采購支持多個供應商和軟體版本的、可互操作的系統。

效率與成本規避: 站點始終承受著減少運營成本的壓力。未來,企業可能增加現貨設備投入,加強遠程站點診斷和工程建設的靈活性。

監管與合規: 不同的監管機構對工業控制系統環境的安全與網路安全要求不同。未來企業可能需要投入更多,以改變環境,確保流程的可靠性。

工業4.0時代,網路風險已不僅僅存在於供應網路和製造業,同樣也存在於產品本身。 由於產品的互聯程度越來越高——包括產品之間,甚至產品與製造商和供應網路之間,因此企業應該明白一旦售出產品,網路風險就不會終止。

風險觸及實體物品

預計到2020年,全球將部署超過200億台物聯網設備。15其中很多設備可能會被安裝在製造設備和生產線上,而其他的很多設備將有望進入B2B或B2C市場,供消費者購買使用。

2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究結果顯示,近一半的製造商在聯網產品中採用移動應用軟體,四分之三的製造商使用Wi-Fi網路在聯網產品間傳輸數據。16基於上述網路途徑的物聯通常會形成很多漏洞。物聯網設備製造商應思考如何將更強大、更安全的軟體開發方法應用到當前的物聯網開發中,以應對設備常常遇到的重大網路風險。

盡管這很有挑戰性,但事實證明,企業不能期望消費者自己會更新安全設置,採取有效的安全應對措施,更新設備端固件或更改默認設備密碼。

比如,2016年10月,一次由Mirai惡意軟體引發的物聯網分布式拒絕服務攻擊,表明攻擊者可以利用這些弱點成功實施攻擊。在這次攻擊中,病毒通過感染消費者端物聯網設備如聯網的相機和電視,將其變成僵屍網路,並不斷沖擊伺服器直至伺服器崩潰,最終導致美國最受歡迎的幾家網站癱瘓大半天。17研究者發現,受分布式拒絕服務攻擊損害的設備大多使用供應商提供的默認密碼,且未獲得所需的安全補丁或升級程序。18需要注意的是,部分供應商所提供的密碼被硬編碼進了設備固件中,且供應商未告知用戶如何更改密碼。

當前的工業生產設備常缺乏先進的安全技術和基礎設施,一旦外圍保護被突破,便難以檢測和應對此類攻擊。

風險與生產相伴而行

由於生產設施越來越多地與物聯網設備結合,因此,考慮這些設備對製造、生產以及企業網路所帶來的安全風險變得越來越重要。受損物聯網設備所產生的安全影響包括:生產停工、設備或設施受損如災難性的設備故障,以及極端情況下的人員傷亡。此外,潛在的金錢損失並不僅限於生產停工和事故整改,還可能包括罰款、訴訟費用以及品牌受損所導致的收入減少(可能持續數月甚至數年,遠遠超過事件實際持續的時間)。下文列出了目前確保聯網物品安全的一些方法,但隨著物品和相應風險的激增,這些方法可能還不夠。

傳統漏洞管理

漏洞管理程序可通過掃描和補丁修復有效減少漏洞,但通常仍有多個攻擊面。攻擊面可以是一個開放式的TCP/IP或UDP埠或一項無保護的技術,雖然目前未發現漏洞,但攻擊者以後也許能發現新的漏洞。

減少攻擊面

簡單來說,減少攻擊面即指減少或消除攻擊,可以從物聯網設備製造商設計、建造並部署只含基礎服務的固化設備時便開始著手。安全所有權不應只由物聯網設備製造商或用戶單獨所有;而應與二者同樣共享。

更新悖論

生產設施所面臨的另一個挑戰被稱為「更新悖論」。很多工業生產網路很少更新升級,因為對製造商來說,停工升級花費巨大。對於某些連續加工設施來說,關閉和停工都將導致昂貴的生產原材料發生損失。

很多聯網設備可能還將使用十年到二十年,這使得更新悖論愈加嚴重。認為設備無須應用任何軟體補丁就能在整個生命周期安全運轉的想法完全不切實際。20 對於生產和製造設施,在縮短停工時間的同時,使生產資產利用率達到最高至關重要。物聯網設備製造商有責任生產更加安全的固化物聯網設備,這些設備只能存在最小的攻擊表面,並應利用默認的「開放」或不安全的安全配置規劃最安全的設置。

製造設施中聯網設備所面臨的挑戰通常也適用基於物聯網的消費產品。智能系統更新換代很快,而且可能使消費型物品更容易遭受網路威脅。對於一件物品來說,威脅可能微不足道,但如果涉及大量的聯網設備,影響將不可小覷——Mirai病毒攻擊就是一個例子。在應對威脅的過程中,資產管理和技術戰略將比以往任何時候都更重要。

人才缺口

2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究表明,75%的受訪高管認為他們缺少能夠有效實施並維持安全聯網生產生態圈的技能型人才資源。21隨著攻擊的復雜性和先進程度不斷提升,將越來越難找到高技能的網路安全人才,來設計和實施具備安全性、警覺性和韌性的網路安全解決方案。

網路威脅不斷變化,技術復雜性越來越高。搭載零日攻擊的先進惡意軟體能夠自動找到易受攻擊的設備,並在幾乎無人為參與的情況下進行擴散,並可能擊敗已遭受攻擊的信息技術/運營技術安全人員。這一趨勢令人感到不安,物聯網設備製造商需要生產更加安全的固化設備。

多管齊下,保護設備

在工業應用中,承擔一些非常重要和敏感任務——包括控制發電與電力配送,水凈化、化學品生產和提純、製造以及自動裝配生產線——的物聯網設備通常最容易遭受網路攻擊。由於生產設施不斷減少人為干預,因此僅在網關或網路邊界採取保護措施的做法已經沒有用(圖8)。

從設計流程開始考慮網路安全

製造商也許會覺得越來越有責任部署固化的、接近軍用級別的聯網設備。很多物聯網設備製造商已經表示他們需要採用包含了規劃和設計的安全編碼方法,並在整個硬體和軟體開發生命周期內採用領先的網路安全措施。22這個安全軟體開發生命周期在整個開發過程中添加了安全網關(用於評估安全控制措施是否有效),採用領先的安全措施,並用安全的軟體代碼和軟體庫生產具備一定功能的安全設備。通過利用安全軟體開發生命周期的安全措施,很多物聯網產品安全評估所發現的漏洞能夠在設計過程中得到解決。但如果可能的話,在傳統開發生命周期結束時應用安全修補程序通常會更加費力費錢。

從聯網設備端保護數據

物聯網設備所產生的大量信息對工業4.0製造商非常重要。基於工業4.0的技術如高級分析和機器學習能夠處理和分析這些信息,並根據計算分析結果實時或近乎實時地做出關鍵決策。這些敏感信息並不僅限於感測器與流程信息,還包括製造商的知識產權或者與隱私條例相關的數據。事實上,德勤與美國生產力和創新製造商聯盟(MAPI)的調研發現,近70%的製造商使用聯網產品傳輸個人信息,但近55%的製造商會對傳輸的信息加密。

生產固化設備需要採取可靠的安全措施,在整個數據生命周期間,敏感數據的安全同樣也需要得到保護。因此,物聯網設備製造商需要制定保護方案:不僅要安全地存放所有設備、本地以及雲端存儲的數據,還需要快速識別並報告任何可能危害這些數據安全的情況或活動。

保護雲端數據存儲和動態數據通常需要採用增強式加密、人工智慧和機器學習解決方案,以形成強大的、響應迅速的威脅情報、入侵檢測以及入侵防護解決方案。

隨著越來越多的物聯網設備實現聯網,潛在威脅面以及受損設備所面臨的風險都將增多。現在這些攻擊面可能還不足以形成嚴重的漏洞,但僅數月或數年後就能輕易形成漏洞。因此,設備聯網時必須使用補丁。確保設備安全的責任不應僅由消費者或聯網設備部署方承擔,而應由最適合實施最有效安全措施的設備製造商共同分擔。

應用人工智慧檢測威脅

2016年8月,美國國防高級研究計劃局舉辦了一場網路超級挑戰賽,最終排名靠前的七支隊伍在這場「全機器」的黑客競賽中提交了各自的人工智慧平台。網路超級挑戰賽發起於2013年,旨在找到一種能夠掃描網路、識別軟體漏洞並在無人為干預的情況下應用補丁的、人工智慧網路安全平台或技術。美國國防高級研究計劃局希望藉助人工智慧平台大大縮短人類以實時或接近實時的方式識別漏洞、開發軟體安全補丁所用的時間,從而減少網路攻擊風險。

真正意義上警覺的威脅檢測能力可能需要運用人工智慧的力量進行大海撈針。在物聯網設備產生海量數據的過程中,當前基於特徵的威脅檢測技術可能會因為重新收集數據流和實施狀態封包檢查而被迫達到極限。盡管這些基於特徵的檢測技術能夠應對流量不斷攀升,但其檢測特徵資料庫活動的能力仍舊有限。

在工業4.0時代,結合減少攻擊面、安全軟體開發生命周期、數據保護、安全和固化設備的硬體與固件以及機器學習,並藉助人工智慧實時響應威脅,對以具備安全性、警惕性和韌性的方式開發設備至關重要。如果不能應對安全風險,如「震網」和Mirai惡意程序的漏洞攻擊,也不能生產固化、安全的物聯網設備,則可能導致一種不好的狀況:關鍵基礎設施和製造業將經常遭受嚴重攻擊。

攻擊不可避免時,保持韌性

恰當利用固化程度很高的目標設備的安全性和警惕性,能夠有效震懾絕大部分攻擊者。然而,值得注意的是,雖然企業可以減少網路攻擊風險,但沒有一家企業能夠完全避免網路攻擊。保持韌性的前提是,接受某一天企業將遭受網路攻擊這一事實,而後謹慎行事。

韌性的培養過程包含三個階段:准備、響應、恢復。

准備。企業應當准備好有效應對各方面事故,明確定義角色、職責與行為。審慎的准備如危機模擬、事故演練和戰爭演習,能夠幫助企業了解差異,並在真實事故發生時採取有效的補救措施。

響應。應仔細規劃並對全公司有效告知管理層的響應措施。實施效果不佳的響應方案將擴大事件的影響、延長停產時間、減少收入並損害企業聲譽。這些影響所持續的時間將遠遠長於事故實際持續的時間。

恢復。企業應當認真規劃並實施恢復正常運營和限制企業遭受影響所需的措施。應將從事後分析中汲取到的教訓用於制定之後的事件響應計劃。具備韌性的企業應在迅速恢復運營和安全的同時將事故影響降至最低。在准備應對攻擊,了解遭受攻擊時的應對之策並快速消除攻擊的影響時,企業應全力應對、仔細規劃、充分執行。

推動網路公司發展至今日的比特(0和1)讓製造業的整個價值鏈經歷了從供應網路到智能工廠再到聯網物品的巨大轉變。隨著聯網技術應用的不斷普及,網路風險可能增加並發生改變,也有可能在價值鏈的不同階段和每一家企業有不同的表現。每家企業應以最能滿足其需求的方式適應工業生態圈。

企業不能只用一種簡單的解決方法或產品或補丁解決工業4.0所帶來的網路風險和威脅。如今,聯網技術為關鍵商業流程提供支持,但隨著這些流程的關聯性提高,可能會更容易出現漏洞。因此,企業需要重新思考其業務連續性、災難恢復力和響應計劃,以適應愈加復雜和普遍的網路環境。

法規和行業標准常常是被動的,「合規」通常表示最低安全要求。企業面臨著一個特別的挑戰——當前所採用的技術並不能完全保證安全,因為干擾者只需找出一個最薄弱的點便能成功入侵企業系統。這項挑戰可能還會升級:不斷提高的互聯性和收集處理實時分析將引入大量需要保護的聯網設備和數據。

企業需要採用具備安全性、警惕性和韌性的方法,了解風險,消除威脅:

安全性。採取審慎的、基於風險的方法,明確什麼是安全的信息以及如何確保信息安全。貴公司的知識產權是否安全?貴公司的供應鏈或工業控制系統環境是否容易遭到攻擊?

警惕性。持續監控系統、網路、設備、人員和環境,發現可能存在的威脅。需要利用實時威脅情報和人工智慧,了解危險行為,並快速識別引進的大量聯網設備所帶來的威脅。

韌性。隨時都可能發生事故。貴公司將會如何應對?多久能恢復正常運營?貴公司將如何快速消除事故影響?

由於企業越來越重視工業4.0所帶來的商業價值,企業將比以往任何時候更需要提出具備安全性、警惕性和韌性的網路風險解決方案。

報告出品方:德勤中國

獲取本報告pdf版請登錄【遠瞻智庫官網】或點擊鏈接:「鏈接」

㈢ 工業控制信息安全第幾集威脅最大

工業控制系統信息安全第一級威脅最大。

工業控制系統是對諸如圖像、語音信號等大數據量、高速率傳輸的要求,又催生了當前在商業領域風靡的乙太網與控制網路的結合。

這股工業控制系統網路化浪潮又將諸如嵌入式技術、多標准工業控制網路互聯、無線技術等多種當今流行技術融合進來,從而拓展了工業控制領域的發展空間,帶來新的發展機遇。

隨著計算機技術、通信技術和控制技術的發展,傳統的控制領域正經歷著一場前所未有的變革,開始向網路化方向發展。

80年代中後期,隨著工業系統的日益復雜,控制迴路的進一步增多,單一的DDC控制系統已經不能滿足現場的生產控制要求和生產工作的管理要求,同時中小型計算機和微機的性能價格比有了很大提高。於是,由中小型計算機和微機共同作用的分層控制系統得到大量應用。

進入90年代以後,由於計算機網路技術的迅猛發展,使得DCS系統得到進一步發展,提高了系統的可靠性和可維護性,在今天的工業控制領域DCS仍然占據著主導地位,但是DCS不具備開放性,布線復雜,費用較高,不同廠家產品的集成存在很大困難。

㈣ 網路安全等級保護2.0標准體系

等級保護2.0標准主要特點

首先,我們來看看網路安全等級保護2.0的主要標准,如下圖:

說起網路安全等級保護2.0標準的特點,馬力副研究員表示,主要體現在以下三個方面:

一是,對象范圍擴大。新標准將雲計算、移動互聯、物聯網、工業控制系統等列入標准范圍,構成了「安全通用要求+新型應用安全擴展要求」的要求內容。

二是,分類結構統一。新標准「基本要求、設計要求和測評要求」分類框架統一,形成了「安全通信網路」、「安全區域邊界」、「安全計算環境」和「安全管理中心」支持下的三重防護體系架構。

三是,強化可信計算。新標准強化了可信計算技術使用的要求,把可信驗證列入各個級別並逐級提出各個環節的主要可信驗證要求。

「標准從一級到四級全部提出了可信驗證控制項。但在標準的試用期間,對於可信驗證的落地還存在諸多挑戰。所以,我們希望與這次參會的所有硬體廠商、軟體廠商、安全服務商共同努力,把可信驗證、可信計算這方面的產品產業化,來更好地支撐新標准。」 馬力副研究員說到。

等級保護2.0標準的十大變化

隨後,他為大家解讀了等級保護2.0標準的十大變化,具體如下:

1、名稱的變化

從原來的《信息系統安全等級保護基本要求》改為《信息安全等級保護基本要求》,再改為《網安全等級保護基本要求》。

2、對象的變化

原來的對象是信息系統,現在等級保護的對象是網路和信息系統。安全等級保護的對象包括網路基礎設施(廣電網、電信網、專用通信網路等)、雲計算平台/系統、大數據平台/系統、物聯網、工業控制系統、採用移動互聯技術的系統等。

3、安全要求的變化

由「安全要求」改為「安全通用要求和安全擴展要求」。

安全通用要求是不管等級保護對象形態如何必須滿足的要求,針對雲計算、移動互聯、物聯網和工業控制系統提出了特殊要求,成為安全擴展要求。

4、章節結構的變化

第三級安全要求的目錄與之前版本明顯不同,以前包含技術要求、管理要求。現在的目錄包含:安全通用要求、雲計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求、工業控制系統安全擴展要求。

對此,馬力副研究員指出:「別小看只是目錄架構的變化,這導致整個新標準的使用不同。1.0標准規定技術要求和管理要求全部實現。現在需要根據場景選擇性的使用通用要求+某一個擴展要求。」

5、分類結構的變化

在技術部分,由物理安全、網路安全、主機安全、應用安全、數據安全,變更為安全物理環境、安全通信網路、安全區域邊界、安全計算環境、安全管理中心;在管理部分,結構上沒有太大的變化,從安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理,調整為安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。

6、增加了雲計算安全擴展要求

雲計算安全擴展要求章節針對雲計算的特點提出特殊保護要求。對雲計算環境主要增加的內容包括:基礎設施的位置、虛擬化安全保護、鏡像和快照保護、雲服務商選擇和雲計算環境管理等方面。

7、增加了移動互聯網安全擴展要求

移動互聯安全擴展要求章節針對移動互聯的特點提出特殊保護要求。對移動互聯環境主要增加的內容包括:無線接入點的物理位置、移動終端管控、移動應用管控、移動應用軟體采購和移動應用軟體開發等方面。

8、增加了物聯網安全擴展要求

物聯網安全擴展要求章節針對物聯網的特點提出特殊保護要求。對物聯網環境主要增加的內容包括:感知節點的物理防護、感知節點設備安全、感知網關節點設備安全、感知節點的管理和數據融合處理等方面。

9、增加了工業控制系統安全擴展要求

工業控制系統安全擴展要求章節針對工業控制系統的特點提出特殊保護需求。對工業控制系統主要增加的內容包括:室外控制設備防護、工業控制系統網路架構安全、撥號使用控制、無線使用控制和控制設備安全等方面。

10、增加了應用場景的說明

增加附錄C描述等級保護安全框架和關鍵技術,增加附錄D描述雲計算應用場景,附錄E描述移動互聯應用場景,附錄F描述物聯網應用場景,附錄G描述工業控制系統應用場景,附錄H描述大數據應用場景(安全擴展要求)。

等級保護2.0標準的主要框架和內容

為了讓大家更為直觀的了解等級保護2.0標準的主要框架和內容,我重點通過PPT來闡述。

首先來看看新標准結構:

2008版基本要求文檔結構如下:

新基本要求文檔結構如下:

安全通用要求中的安全物理部分變化不大,見下面:

網路試用版到***版被拆分了三個部分:安全通信網路、安全區域邊界、安全管理中心。安全管理中心在強調集中管控的時候,再次強調了系統管理,審計管理,安全管理,構成新的標准內容。具體如下:

演講***,馬力副研究員對幾個擴展要求進行了總結展示。他強調,GB/T22239-2019《信息安全技術 網路安全等級保護基本要求》將替代原來的GB/T2239-2008《信息安全技術 信息系統安全等級保護基本要求》,並呼籲大家認真學習新版等保要求。

㈤ 工業控制系統信息安全第幾級的威脅最大

工業控制系統信息安全第一級威脅最大。

ccrc信息安全服務級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。共分8個不同的方向,分別是:安全集成、安全運維、應急處理、風險評估、災難備份與恢復、安全軟體開發、網路安全審計、工業控制系統安全。可根據自身業務需求來申請對應方向的。

介紹

通常我們考慮將控制系統網路化,主要將網路化與現場匯流排聯系在一起。在控制領域較有影響的現場匯流排系統有:FF、LonWorks、Profibus、CAN、HART,以及RS485的匯流排網路等。

現場匯流排基金會己經制定的統一標准((FF),其慢速匯流排標准Hl已得到通過成為國際標准,其高速匯流排標准H2還在制訂中。但是由於商業利潤、技術壟斷等原因,現場匯流排產品仍然是百花齊放的局面,這對降低系統成本,擴大應用范圍產生不利影響。

㈥ 工業自動化控制系統安全防護措施有哪些

一、基本的網路信息安全考慮
網路信息安全的觀念是關於保護網路基礎架構本身;保護用於建立和管理網路功能的網路協議。這些關鍵概念用於解決方案的所有層次和區域。這些步驟幫助用戶保護IACS網路和IACS應用,防止多種方式的攻擊。下面內容是信息安全基線的關鍵區域:
● 基礎設備架構-對網路基礎架構訪問的信息安全管理;
● 交換基礎架構-網路訪問和第2層設計考慮;
● 路由基礎架構-保護網路第3層路由功能,防止攻擊或誤用; ● 設備的彈性和可存性-保護網路的彈性和可用性;
● 網路遙測-監視和分析網路行為和狀態,對問題和攻擊做出識別和反應。
這些實踐可應用於不同的層、區域和相關的網路架構。
二、IACS 網路設備的保護
這個概念描述了保護關鍵IACS端點設備本身的實踐,特別是控制器和計算機。因為這些設備在IACS中扮演著重要的角色,他們的信息安全是要給予特殊關照。這些概念包括下面內容:
● 物理安全-這個層限制區域、控制屏、IACS設備、電纜、控制室和其他位置的授權人的訪問,以及跟蹤訪問者和夥伴;
● 計算機加固-這包括補丁程序管理和防病毒軟體,以及能夠刪除不使用的應用程序、協議和服務等;
● 應用信息安全-這包含鑒定、授權和審核軟體,諸如用於IACS
● 控制器加固-這里指處理變更管理和限制訪問。
三、單元/區域 IACS 網路信息安全
應用於單元/區域的關鍵信息安全觀念包括下面的部分:
● 埠信息安全,密碼維護,管理訪問單元/區域網路基礎架構; ● 冗餘和不需要服務的禁用;
● 網路系統信息登錄,使用簡單網路管理協議(SNMP)和網路信息監視;
● 限制廣播信息區域,虛擬區域網(VLAN)和網路協議的種類; ● 計算機和控制器的加固。
四、製造 IACS 網路的信息安全
製造區域的設計考慮和實施要在早期階段討論,特別要考慮關鍵的單元/區域。另外,應用這些考慮,用於製造區的關鍵信息安全考慮包括下面內容:
● 路由架構的最佳實踐,覆蓋路由協議成員和路由信息保護,以及路由狀態變化記錄;
● 網路和信息安全監視;
● 伺服器信息安全覆蓋端點信息安全;
● FactoryTalk應用信息安全。
五、隔離區和IACS防火牆
DMZ和工廠防火牆是一個保護IACS網路和IACS應用的基本措施。結合防火牆和DMZ的概念是用於IACS網路信息安全的關鍵的縱深防禦的方法。DMZ和工廠防火牆的設計和實施指南的關鍵特性和功能包括以下方面:
● 部署工廠防火牆管理在企業和製造區之間的信息流。一個工廠防火牆提供了下面的功能:
- 在網路區之間,通過指定的信息安全層建立的通信模式,比如建立隔離區DMZ;
- 在不同區域之間所有通信狀態包的檢查,如果在上面允許的情況下;
- 從一個區域企圖訪問另一個區域的資源時,強制執行用戶鑒定,比如從企業層企圖訪問DMZ的服務;
- 侵入保護服務(IPS)檢查在區域之間的通信流,設計成能夠識別和阻止各種潛在的攻擊。
● 不同區域之間的 DMZ中的數據和服務能夠安全地共享。

㈦ 工業控制系統安全有哪些測評設備及系統

力控華康是國內最早從事工業控制系統信息安全技術研發的廠商之一,是中國領先的工業控制系統信息安全產品及服務提供商。
力控華康主要產品及服務:
pSafetyLink系列工業網路安全防護網關:實現控制網與管理網之間有效的邊界隔離,在確保控制網與管理網之間數據有效通信的前提下,有效地保護控制網免受病毒及黑客的攻擊。
ISG系列工業防火牆:通過白名單機制,實現工業協議的有效過濾和控制網的深度防禦,提高控制網抵禦網路風暴、DDOS攻擊及其他惡意攻擊的能力。
pFieldComm系列通信轉換協議:實現不同工業控制系統數據通信協議向標准通信協議的轉換。對於主流的組態軟體或實時資料庫,如:ForceControl 、InTouch 、IP21、iFix 、PI 、PHD、INSQL等上位機軟體,網關支持此類軟體的數據斷線緩存,以解決由於網路斷開或信息阻塞,造成的數據丟失和歷史數據不完整問題。
ICG系列工業安全通信網關:實現不同工業控制系統數據通信協議向標准通信協議的轉換,同時具備工業防火牆功能。能夠有效對SCADA、DCS、PCS、PLC、RTU等工業控制系統進行信息安全防護。
工業控制系統信息安全評估:根據用戶的具體系統配置,利用力控華康的專用分析工具,提出用戶控制系統信息安全的脆弱性評估報告,並有針對性地給出提高系統信息安全級別的整體方案。
工業控制系統信息安全實驗室建設:根據用戶的行業特點,為用戶搭建工業控制系統信息安全實驗室,並搭建真實的攻防環境,為用戶提供場景搭建、人才培訓等服務平台。
力控華康的主要用戶:大慶石化、大慶煉化、烏魯木齊石化、榆林化工、延長石油靖邊能源化工、中海油海上平台、中海油惠州煉化、勝利油田、昆侖燃氣、新奧燃氣、中國化工集團、潞安集團、鞍鋼集團、昆明鋼鐵、承德鋼鐵、德龍鋼鐵、宣化鋼鐵、青島鋼鐵、日照鋼鐵、寧夏能源化工...

閱讀全文

與工業控制系統網路安全實戰電子版相關的內容

本站內容整理源於互聯網,如有問題請聯系解決。
Copyright design: www.mobile2day.com since 2022