‘壹’ 工业控制系统信息安全风险评估涉及哪些方面,需要掌握哪些知识有相关网站或者书籍推荐最好!谢谢了。
摘要 《工业控制系统的安全风险评估》
‘贰’ 网络信息安全与工控安全有何不同
工业控制系统信息安全与传统的IP信息网络安全的主要区别在于:安全需求不同;安全补丁与升级机制存在的区别;实时性方面的差异;安全保护优先级方面的差异;安全防护技术适应性方面的差异。
总的来说,传统IP信息网络安全已经发展到较为成熟的技术和设计准则(认证、访问控制、信息完整性、特权分离等),这些能够帮助我们阻止和响应针对工业控制系统的攻击。然而,传统意义上讲,计算机信息安全研究关注于信息的保护,研究人员是不会考虑攻击如何影响评估和控制算法以及最终攻击是如何影响物理世界的。
‘叁’ 信息安全和网络安全有什么区别吗
网络安全
网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
信息安全
信息安全,ISO(国际标准化组织)的定义为:为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
网络安全和信息安全的区别是什么?
1、包含和被包含的关系:信息安全包含网络安全,信息安全还包括操作系统安全、数据库安全、硬件设备和设施安全、物理安全、人员安全、软件开发、应用安全等。
2、针对的设备不同:网络安全侧重于研究网络环境下的计算机安全,信息安全侧重于计算机数据和信息的安全。
3、侧重点不同:网络安全更注重在网络层面,比如通过部署防火墙、入侵检测等硬件设备来实现链路层面的安全防护,而信息安全的层面要比网络安全的覆盖面大的多,信息安全是从数据的角度来看安全防护。
通常采用的手段包括:防火墙、入侵检测、审计、渗透测试、风险评估等,安全防护不仅仅是在网络层面,更加关注的应用层面,可以说信息安全更贴近于用户的实际需求及想法。
‘肆’ 工业自动化控制系统安全防护措施有哪些
一、基本的网络信息安全考虑
网络信息安全的观念是关于保护网络基础架构本身;保护用于建立和管理网络功能的网络协议。这些关键概念用于解决方案的所有层次和区域。这些步骤帮助用户保护IACS网络和IACS应用,防止多种方式的攻击。下面内容是信息安全基线的关键区域:
● 基础设备架构-对网络基础架构访问的信息安全管理;
● 交换基础架构-网络访问和第2层设计考虑;
● 路由基础架构-保护网络第3层路由功能,防止攻击或误用; ● 设备的弹性和可存性-保护网络的弹性和可用性;
● 网络遥测-监视和分析网络行为和状态,对问题和攻击做出识别和反应。
这些实践可应用于不同的层、区域和相关的网络架构。
二、IACS 网络设备的保护
这个概念描述了保护关键IACS端点设备本身的实践,特别是控制器和计算机。因为这些设备在IACS中扮演着重要的角色,他们的信息安全是要给予特殊关照。这些概念包括下面内容:
● 物理安全-这个层限制区域、控制屏、IACS设备、电缆、控制室和其他位置的授权人的访问,以及跟踪访问者和伙伴;
● 计算机加固-这包括补丁程序管理和防病毒软件,以及能够删除不使用的应用程序、协议和服务等;
● 应用信息安全-这包含鉴定、授权和审核软件,诸如用于IACS
● 控制器加固-这里指处理变更管理和限制访问。
三、单元/区域 IACS 网络信息安全
应用于单元/区域的关键信息安全观念包括下面的部分:
● 端口信息安全,密码维护,管理访问单元/区域网络基础架构; ● 冗余和不需要服务的禁用;
● 网络系统信息登录,使用简单网络管理协议(SNMP)和网络信息监视;
● 限制广播信息区域,虚拟局域网(VLAN)和网络协议的种类; ● 计算机和控制器的加固。
四、制造 IACS 网络的信息安全
制造区域的设计考虑和实施要在早期阶段讨论,特别要考虑关键的单元/区域。另外,应用这些考虑,用于制造区的关键信息安全考虑包括下面内容:
● 路由架构的最佳实践,覆盖路由协议成员和路由信息保护,以及路由状态变化记录;
● 网络和信息安全监视;
● 服务器信息安全覆盖端点信息安全;
● FactoryTalk应用信息安全。
五、隔离区和IACS防火墙
DMZ和工厂防火墙是一个保护IACS网络和IACS应用的基本措施。结合防火墙和DMZ的概念是用于IACS网络信息安全的关键的纵深防御的方法。DMZ和工厂防火墙的设计和实施指南的关键特性和功能包括以下方面:
● 部署工厂防火墙管理在企业和制造区之间的信息流。一个工厂防火墙提供了下面的功能:
- 在网络区之间,通过指定的信息安全层建立的通信模式,比如建立隔离区DMZ;
- 在不同区域之间所有通信状态包的检查,如果在上面允许的情况下;
- 从一个区域企图访问另一个区域的资源时,强制执行用户鉴定,比如从企业层企图访问DMZ的服务;
- 侵入保护服务(IPS)检查在区域之间的通信流,设计成能够识别和阻止各种潜在的攻击。
● 不同区域之间的 DMZ中的数据和服务能够安全地共享。
‘伍’ 工业控制系统信息安全与传统领域网络安全有什么区别和联系
《工业控制系统的安全风险评估》 随着工业化和信息化的深度融合和网络技术的不断进步,传统意义上较为封闭并普遍认为安全的工业控制系统,正暴露在网络攻击、病毒、木马等传统网络安全威胁下。作为国家关键基础设施的重要部分,工控系统一旦受到攻击容易造成设备受损、产品质量下降等问题,影响国民经济和社会稳定,甚至危害国家安全。
‘陆’ 如何发现工控设备的网络安全问题
随着工业化与信息化结合的不断紧密,工业控制系统越来越多地采用标准化通信协议和软硬件,并通过互联网来实现远程控制和操作,从而打破了原有系统的封闭性和专有性,造成病毒、木马、信息泄露等网络安全问题向工控领域迅速扩散,直接影响大量工控相关基础设施安全。湖南安数网络有限公司傻蛋联网设备搜索平台整理了近期发现的工控相关数据,就其可能存在的网络安全风险做了一个简单的分析。
能够直接通过公网访问的工控设备
湖南安数网络有限公司傻蛋联网设备搜索平台(简称傻蛋搜索)利用标准化的工控设备相关通信协议,在互联网上找到了很多直接暴露在公网的工业控制设备。这些设备都存在下面几个安全问题:
1、缺乏认证
任何人都可以通过相应协议与这些设备通信,获取想要的数据。
2、缺乏授权
没有基于角色的控制机制,任意用户可以执行任意功能。
3、缺乏加密
地址和密令明文传输,可以很容易地捕获和解析。
安数网络对这些在公网上能访问的设备做了相应的统计:
公网工控设备世界分布(2016-10)
4、能够直接访问的工控设备的WEB相关数据
跟我们日常路由器有基于WEB的配置页面一样,很多工控设备也有其自己的配置/控制页面,而且很多这种页面也是直接暴露在了公网之上。攻击者可以利用这些页面像对付平常的网站一样对它们进行攻击,可能造成相应的安全隐患。
工控设备WEB管理世界分布(2016-10)
怎么提高工控系统的网络安全
尽量避免将工控设备及其WEB页面直接暴露在公网中,如果不能避免,那么注意要加强这些设备认证、授权和加密方面的工作。
‘柒’ 工业控制系统信息安全第几级的威胁最大
工业控制系统信息安全第一级威胁最大。
ccrc信息安全服务级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。共分8个不同的方向,分别是:安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计、工业控制系统安全。可根据自身业务需求来申请对应方向的。
介绍
通常我们考虑将控制系统网络化,主要将网络化与现场总线联系在一起。在控制领域较有影响的现场总线系统有:FF、LonWorks、Profibus、CAN、HART,以及RS485的总线网络等。
现场总线基金会己经制定的统一标准((FF),其慢速总线标准Hl已得到通过成为国际标准,其高速总线标准H2还在制订中。但是由于商业利润、技术垄断等原因,现场总线产品仍然是百花齐放的局面,这对降低系统成本,扩大应用范围产生不利影响。