我国工控安全事件频发,加强工业控制系统安全管理尤为重要.doc

我国工控安全事件频发,加强工业控制系统安全管理尤为重要.doc

ID:27886724

大小:139.00 KB

页数:7页

时间:2018-12-06

我国工控安全事件频发,加强工业控制系统安全管理尤为重要.doc_第1页
我国工控安全事件频发,加强工业控制系统安全管理尤为重要.doc_第2页
我国工控安全事件频发,加强工业控制系统安全管理尤为重要.doc_第3页
我国工控安全事件频发,加强工业控制系统安全管理尤为重要.doc_第4页
我国工控安全事件频发,加强工业控制系统安全管理尤为重要.doc_第5页
资源描述:

《我国工控安全事件频发,加强工业控制系统安全管理尤为重要.doc》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、我国工控安全事件频发,加强工业控制系统安全管理尤为重要  工业4.0是德国人提出的概念,认为制造业未来只能通过智能化的生产创造价值,而美国则提出工业互联网,以通用电气(GE)为代表,注重通过机器互联、软件及大数据分析,提升生产效率,创造数字工业的未来。两化融合,管控一体化等推进,将传统的工控孤岛与办公网、互联网进行连接,而工控系统应用传统总线协议,欠缺对安全性的考虑,导致安全漏洞、隐患严重。工控安全事件频发。  据权威工业安全事件信息库RISI统计,截止到2011年10月,全球已发生200余起针对工业控制系统

2、的攻击事件。2001年后,通用开发标准与互联网技术的广泛使用,使针对工业控制系统(ICS)的病毒、木马等攻击行为大幅度增长,结果导致整体控制系统的故障,甚至恶性安全事故,对人员、设备和环境造成严重的后果。比如伊朗核电站的震网病毒事件,给全球工业界控制系统的信息安全问题敲响了警钟。工控系统信息安全的需求变得更加迫切。  我国工控领域的安全可靠性问题突出,工控系统的复杂化、IT化和通用化加剧了系统的安全隐患,潜在的更大威胁是我国工控产业综合竞争力不强,嵌入式软件、总线协议、工控软件等核心技术受制于国外,缺乏自主的

3、通信安全、信息安全、安全可靠性测试等标准。工信部发布《关于加强工业控制系统信息安全管理的通知》,要求加强与国计民生紧密相关的多个重点领域内工业控制系统信息安全管理。事实告诉我们,只有做到居安思危、未雨绸缪,才能保证工业控制系统健康稳定地运行。安全产品现状  工业防火墙、工业安全网关产品大多使用X86架构,在商业安全产品中属低端产品,吞吐量在100M级别,不能胜任1000M网络容量,当网络负载大时工业防火墙成为网络瓶颈。  工业防火墙相关产品只在协议级别检测,不检测传输的数据内容。  网络设备仅采用口令进行认证

4、,访问控制不充分,用户、数据与设备的认证不标准,或不存在。  安全策略与规则用明文传输,传输时不认证身份,策略下发后也不检查完整性等。  东土工控安全解决方案  安全分区  不同工艺段进行独立分区。确保工段间不会相互影响  基本原则:  独立性原则:即保证控制系统独立性,不同工段进行独立分区。确保工段间不会存在相互影响。  适应性原则:区域划分按照技术及管理体系进行规划,确保同一类型技术处于相同分区内,方便技术规划及管理。  可行性原则:确保可按照区域规划执行具体的安全策略。主机安全  主机安全防护策略包括:

5、  建立主机白名单库:工控安全卫士扫描本地磁盘所有可执行文件,包括exe/dll/com等,生成数字签名,根据签名创建主机应用白名单。  阻止非法程序执行:采用应用白名单防护机制,阻止白名单外的任何程序执行,可有效阻止病毒、木马、“0-day”漏洞的感染和被利用。  主机加固:从操作系统、注册表、内存空间的完整性及本地安全策略等方面对站控、服务器进行安全加固,防止操作系统被恶意篡改。  移动存储介质授权:采用安全U盘或其它移动介质,根据需求控制安全移动存储介质的“禁用、只读、读写”权限。  用户审计:通过安全

6、审计平台对事件产生日志、告警进行全面记录,包括管理员、应用程序名称及违反安全策略的行为或误操作等通信安全  零丢包技术是满足工业自动化网络数据传输完整性的关键技术。工业测量与控制中的数据传输完整性要求工业以太网交换机在环网链路中断、电磁干扰、高低温、高湿度、振动等恶劣工业环境条件下,仍然能保证报文不丢包,即保证数据传输交换的安全性。东土解决方案支持HSR/PRP(IEC62439-6)以实现网络稳定可靠零丢包零倒换。  另外,东土产品还支持:  宽范围的工作温度-40℃~+85℃  工业四级电磁兼容性,抗电磁

7、干扰适应工业现场环境  多种防护等级IP40/IP65/IP67可选,防尘防水  防潮湿、防盐雾、防霉菌  无风扇散热方式,自然冷却  绿色低功耗  长MTBF  通过权威机构测试  在软件安全特性上,东土产品能够做到:  建立业务白名单:运用“白名单”机制,智能学习正常工业通信记录,建立业务安全通信模型。  工业协议报文深度解析过滤:对OPC/S7-TCP/IECE-104/ModbusTCP等工业主流协议报文深度解析。  安全加密传输:通过SFTP、SNMPv3、SSH、HTTPS、IPsecVPN等安全

8、技术,保证数据传输过程的保密性。  通讯审计:对工业协议规约异常、数据异常、数值变化加速度等不符合白名单的异常行为进行实时监测、告警。管理安全  身份验证:运用802.1X技术配合TACACS+、RADIUS功能,验证通过才允许用户进行访问;  配置管理:在网络中部署配置管理平台,用于配置、管理、监测网络中所有的交换机、防火墙,并接收来自网络报警信息。  审计及告警:对用户行为、事件进行记录,非法、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。