『壹』 工業控制系統信息安全風險評估涉及哪些方面,需要掌握哪些知識有相關網站或者書籍推薦最好!謝謝了。
摘要 《工業控制系統的安全風險評估》
『貳』 網路信息安全與工控安全有何不同
工業控制系統信息安全與傳統的IP信息網路安全的主要區別在於:安全需求不同;安全補丁與升級機制存在的區別;實時性方面的差異;安全保護優先順序方面的差異;安全防護技術適應性方面的差異。
總的來說,傳統IP信息網路安全已經發展到較為成熟的技術和設計准則(認證、訪問控制、信息完整性、特權分離等),這些能夠幫助我們阻止和響應針對工業控制系統的攻擊。然而,傳統意義上講,計算機信息安全研究關注於信息的保護,研究人員是不會考慮攻擊如何影響評估和控制演算法以及最終攻擊是如何影響物理世界的。
『叄』 信息安全和網路安全有什麼區別嗎
網路安全
網路安全(Cyber Security)是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
信息安全
信息安全,ISO(國際標准化組織)的定義為:為數據處理系統建立和採用的技術、管理上的安全保護,為的是保護計算機硬體、軟體、數據不因偶然和惡意的原因而遭到破壞、更改和泄露。
網路安全和信息安全的區別是什麼?
1、包含和被包含的關系:信息安全包含網路安全,信息安全還包括操作系統安全、資料庫安全、硬體設備和設施安全、物理安全、人員安全、軟體開發、應用安全等。
2、針對的設備不同:網路安全側重於研究網路環境下的計算機安全,信息安全側重於計算機數據和信息的安全。
3、側重點不同:網路安全更注重在網路層面,比如通過部署防火牆、入侵檢測等硬體設備來實現鏈路層面的安全防護,而信息安全的層面要比網路安全的覆蓋面大的多,信息安全是從數據的角度來看安全防護。
通常採用的手段包括:防火牆、入侵檢測、審計、滲透測試、風險評估等,安全防護不僅僅是在網路層面,更加關注的應用層面,可以說信息安全更貼近於用戶的實際需求及想法。
『肆』 工業自動化控制系統安全防護措施有哪些
一、基本的網路信息安全考慮
網路信息安全的觀念是關於保護網路基礎架構本身;保護用於建立和管理網路功能的網路協議。這些關鍵概念用於解決方案的所有層次和區域。這些步驟幫助用戶保護IACS網路和IACS應用,防止多種方式的攻擊。下面內容是信息安全基線的關鍵區域:
● 基礎設備架構-對網路基礎架構訪問的信息安全管理;
● 交換基礎架構-網路訪問和第2層設計考慮;
● 路由基礎架構-保護網路第3層路由功能,防止攻擊或誤用; ● 設備的彈性和可存性-保護網路的彈性和可用性;
● 網路遙測-監視和分析網路行為和狀態,對問題和攻擊做出識別和反應。
這些實踐可應用於不同的層、區域和相關的網路架構。
二、IACS 網路設備的保護
這個概念描述了保護關鍵IACS端點設備本身的實踐,特別是控制器和計算機。因為這些設備在IACS中扮演著重要的角色,他們的信息安全是要給予特殊關照。這些概念包括下面內容:
● 物理安全-這個層限制區域、控制屏、IACS設備、電纜、控制室和其他位置的授權人的訪問,以及跟蹤訪問者和夥伴;
● 計算機加固-這包括補丁程序管理和防病毒軟體,以及能夠刪除不使用的應用程序、協議和服務等;
● 應用信息安全-這包含鑒定、授權和審核軟體,諸如用於IACS
● 控制器加固-這里指處理變更管理和限制訪問。
三、單元/區域 IACS 網路信息安全
應用於單元/區域的關鍵信息安全觀念包括下面的部分:
● 埠信息安全,密碼維護,管理訪問單元/區域網路基礎架構; ● 冗餘和不需要服務的禁用;
● 網路系統信息登錄,使用簡單網路管理協議(SNMP)和網路信息監視;
● 限制廣播信息區域,虛擬區域網(VLAN)和網路協議的種類; ● 計算機和控制器的加固。
四、製造 IACS 網路的信息安全
製造區域的設計考慮和實施要在早期階段討論,特別要考慮關鍵的單元/區域。另外,應用這些考慮,用於製造區的關鍵信息安全考慮包括下面內容:
● 路由架構的最佳實踐,覆蓋路由協議成員和路由信息保護,以及路由狀態變化記錄;
● 網路和信息安全監視;
● 伺服器信息安全覆蓋端點信息安全;
● FactoryTalk應用信息安全。
五、隔離區和IACS防火牆
DMZ和工廠防火牆是一個保護IACS網路和IACS應用的基本措施。結合防火牆和DMZ的概念是用於IACS網路信息安全的關鍵的縱深防禦的方法。DMZ和工廠防火牆的設計和實施指南的關鍵特性和功能包括以下方面:
● 部署工廠防火牆管理在企業和製造區之間的信息流。一個工廠防火牆提供了下面的功能:
- 在網路區之間,通過指定的信息安全層建立的通信模式,比如建立隔離區DMZ;
- 在不同區域之間所有通信狀態包的檢查,如果在上面允許的情況下;
- 從一個區域企圖訪問另一個區域的資源時,強制執行用戶鑒定,比如從企業層企圖訪問DMZ的服務;
- 侵入保護服務(IPS)檢查在區域之間的通信流,設計成能夠識別和阻止各種潛在的攻擊。
● 不同區域之間的 DMZ中的數據和服務能夠安全地共享。
『伍』 工業控制系統信息安全與傳統領域網路安全有什麼區別和聯系
《工業控制系統的安全風險評估》 隨著工業化和信息化的深度融合和網路技術的不斷進步,傳統意義上較為封閉並普遍認為安全的工業控制系統,正暴露在網路攻擊、病毒、木馬等傳統網路安全威脅下。作為國家關鍵基礎設施的重要部分,工控系統一旦受到攻擊容易造成設備受損、產品質量下降等問題,影響國民經濟和社會穩定,甚至危害國家安全。
『陸』 如何發現工控設備的網路安全問題
隨著工業化與信息化結合的不斷緊密,工業控制系統越來越多地採用標准化通信協議和軟硬體,並通過互聯網來實現遠程式控制制和操作,從而打破了原有系統的封閉性和專有性,造成病毒、木馬、信息泄露等網路安全問題向工控領域迅速擴散,直接影響大量工控相關基礎設施安全。湖南安數網路有限公司傻蛋聯網設備搜索平台整理了近期發現的工控相關數據,就其可能存在的網路安全風險做了一個簡單的分析。
能夠直接通過公網訪問的工控設備
湖南安數網路有限公司傻蛋聯網設備搜索平台(簡稱傻蛋搜索)利用標准化的工控設備相關通信協議,在互聯網上找到了很多直接暴露在公網的工業控制設備。這些設備都存在下面幾個安全問題:
1、缺乏認證
任何人都可以通過相應協議與這些設備通信,獲取想要的數據。
2、缺乏授權
沒有基於角色的控制機制,任意用戶可以執行任意功能。
3、缺乏加密
地址和密令明文傳輸,可以很容易地捕獲和解析。
安數網路對這些在公網上能訪問的設備做了相應的統計:
公網工控設備世界分布(2016-10)
4、能夠直接訪問的工控設備的WEB相關數據
跟我們日常路由器有基於WEB的配置頁面一樣,很多工控設備也有其自己的配置/控制頁面,而且很多這種頁面也是直接暴露在了公網之上。攻擊者可以利用這些頁面像對付平常的網站一樣對它們進行攻擊,可能造成相應的安全隱患。
工控設備WEB管理世界分布(2016-10)
怎麼提高工控系統的網路安全
盡量避免將工控設備及其WEB頁面直接暴露在公網中,如果不能避免,那麼注意要加強這些設備認證、授權和加密方面的工作。
『柒』 工業控制系統信息安全第幾級的威脅最大
工業控制系統信息安全第一級威脅最大。
ccrc信息安全服務級別分為一級、二級、三級共三個級別,其中一級最高,三級最低。共分8個不同的方向,分別是:安全集成、安全運維、應急處理、風險評估、災難備份與恢復、安全軟體開發、網路安全審計、工業控制系統安全。可根據自身業務需求來申請對應方向的。
介紹
通常我們考慮將控制系統網路化,主要將網路化與現場匯流排聯系在一起。在控制領域較有影響的現場匯流排系統有:FF、LonWorks、Profibus、CAN、HART,以及RS485的匯流排網路等。
現場匯流排基金會己經制定的統一標准((FF),其慢速匯流排標准Hl已得到通過成為國際標准,其高速匯流排標准H2還在制訂中。但是由於商業利潤、技術壟斷等原因,現場匯流排產品仍然是百花齊放的局面,這對降低系統成本,擴大應用范圍產生不利影響。