今日頭條
官方微信
官方抖音
資訊頻道 1 工業控制系統之間的通信
過去,自動化系統是單獨的、封閉的系統,也被稱之為自動化的孤島,隨著對控制實時響應速度的不斷提高,以及企業內部對數據互通等的需要,便增加了很多網絡,使得控制系統中各個設備之間可以進行網絡通信。通信方式的增多也就引發了黑客的攻擊和病毒的入侵。
2 信息安全的實施
沒有任何一種方法可以阻止所有的系統攻擊和病毒入侵,于是,我們需要使用縱深防御的方法增加防護等級。
(1)
在企業網與控制網之間加防火墻
(2)在企業網與控制網之間加帶隔離區防火墻
(3)在企業網與控制網之間加雙防火墻
(4) 按用戶要求定制信息安全方案
3 縱深防御的實施步驟
(1)使用標準企業遠程訪問方案,基于客戶機的形式,使用IP安保(IPsec)加密的虛擬個人網絡(VPN)技術,通過因特網安全地連接企業的邊界。VPN的建立需要對遠程個人進行遠程驗證撥入用戶服務(RADIUS),這通常是由IT部門組織實施和管理。
( 2 ) 使用隔離區(DMZ) / 防火墻中的訪問控制列表(ACL),限制遠程伙伴通過IPsec到工廠現場的訪問。通過隔離區連接到工廠現場,只能使用一種安全瀏覽器(HTTPS)。
(3)訪問一個安全瀏覽器(HTTPS)門戶應用,它運行于隔離區/防火墻上。這要求再次登錄/驗證。
(4)在遠程客戶機和工廠的隔離區防火墻之間,使用一種安全套接字層(SSL)的虛擬個人網絡(VPN)會話,并且限制通過HTTPS使用遠程終端會話(比如,遠程桌面協議)。
(5)利用在防火墻上的侵入保護和檢測系統(IPS/IDS),檢查進出遠程訪問服務器的數據流,防止攻擊和威脅,并適當地給予阻截。這對防止來自遠程設備穿越防火墻和影響遠程訪問服務器的病毒和其他威脅是非常重要的。
(6)允許遠程用戶執行終端會話,訪問駐留在遠程訪問服務器中的自動化和控制應用。需要應用級的登錄/驗證。
(7)執行應用安保功能,對訪問遠程訪問服務器的用戶,限制其應用功能(諸如只讀,非在線功能)。
( 8 ) 把遠程訪問服務器分配到不同的虛擬局域網(VLAN),并且讓所有在遠程訪問服務器到制造區域之間的數據流通過防火墻。對這個數據流使用侵入檢測和保護服務,保護制造區域免受攻擊、蠕蟲和病毒的破壞。
4 信息安全相關責任的劃分
5 結束語
• 工業控制系統的信息安全及應用是工業安全的大事,為此國家和工信部已經發出了相關文件,責令工業企業以及關鍵性基礎設施要對信息安全給予高度重視。
• 希望自動化業界同仁能夠一起努力,確保國民經濟的平穩增長,確保我們的人身健康、企業資產、自然環境能夠可持續、和諧地發展。
北京市公安局海淀分局備案號:11010802023656號