SCADA系统软件安全隐患及解决方法

天津快乐十分走势图

SCADA系统软件安全隐患及解决方法

日期:2018-08-26 / 人气: / 来源:未知

工业控制系统存在的安全隐患

谈了防护脆弱的 SCADA系统 软件,接下来就谈一谈工业控制系统本身隐藏的安全隐患。在此之前,我们先了解一下工业控制系统与IT系统在安全架构上有什么不同?

SCADA系统软件

(1)防病毒:IT系统中非常普遍,且易于部署和更新。工控系统中由于都是固化的,部署防病毒软件非常困难。
(2)补丁管理:IT系统中不管是远程还是本地系统都是定期更新。在工控系统中由于都是专用系统,担心影响性能,基本不更新补丁。
(3)技术支持周期:IT系统由于供应商较多,升级方便,技术更新周期都很快,基本在2到3年;工控系统都是专用的供应商,可能就一家或几家,技术更新周期都在10到20年左右。
(4)网络安全测试与审计:IT系统都采用最现代的方法;工控系统很少有安全测试和审计。
(5)事件响应与取证:IT系统易于部署且容易取证;工控系统出现故障除了更新系统很难进行取证。
(6)安全系统开发:IT系统集成在开发过程中;工控系统没有通用的集成开发流程。

也许你会问,为什么工控系统存在这么多风险却没出大量的安全问题?这个问题很好解释。工业控制系统发展这么多年,由于采用的是专业的硬件和协议,而且很少直接与外网或办公网进行连接,懂IT技术又懂工业自动化控制技术的黑客又比较少,虽然工业控制网络的攻击事件时有发生,但却不多。

但随着IT与OT的融合发展,以前封闭式的专用工业网络开始走向开放,在工业控制系统中已经出现了越来越多的标准化硬件和软件,如基于X86架构的商用PC及服务器,应用了多年的现场总线技术正在被工业以太网逐步替代,网络协议由纷繁杂乱的总线协议变为TCP/IP协议。从另外一个方向看,随着ERP、CRM、MES等中上层管理业务系统与下层PLC、DCS等生产控制系统的对接,智能终端和无线技术也在工业控制领域得到了应用。即便企业的物理安全防护做的再好也已经不管用了。

从SCADA系统软件到ICS,安全风险该如何解决?

随着工业控制系统中软硬件及网络技术向通用化和标准化方向发展,工控系统的安全体系正在被击溃,变得前所未有的脆弱。这种现状也引起了国家部门的担忧和重视。

针对工控系统面临的安全风险,工业和信息化部2011年9月发布《关于加强工业控制系统信息安全管理的通知》,明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求。2012年6月28号国务院又发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》。明确要求保障工业控制系统安全,重点对可能危及生命和公共财产安全的工业控制系统加强监管。对关键产品开展安全评测,实行安全风险和漏洞通报制度。

在一系列政策文件的引导下,行业安全厂商也在不断强化自身安全产品对工业控制系统的安全防护能力。近年来,包括匡恩网络、威努特、谷神星、力控华安等国内工控安全厂商都针对工业控制系统面临的安全问题推出了成体系的解决方案,取得了不错的效果。

笔者认为,随着封闭式的工业控制网络开始走向开放,在工业控制系统中已经出现了越来越多的标准化硬件和软件,这是未来工业转型的趋势。SCADA系统软件作为办公网络和工控网络的纽带,构建完善的SCADA系统软件安全防护体系将是降低工控系统安全风险的重要一环。对此,我们建议可从以下几个方面入手强化对SCADA系统软件的安全防护:

1、评估需求,进行SCADA系统软件网络的连接。对SCADA系统软件网络所剩下的连接进行深入的测试和脆弱性分析,来评估这些路径所处的安全状态。使用这些信息和SCADA系统软件和风险管理程序来为SCADA系统软件网络的所有链路生成一个强健的保护策略。由于SCADA系统软件网络的安全取决于它的最薄弱的连接点,所以在每个进入点使用工业级边界隔离系统、工业级入侵检测系统和一些其它的安全策略十分重要。

2、通过取消或是减少一些没有必要的服务来巩固SCADA系统软件网络。建立在商业或是开放源码的基础上的操作系统可以通过很多默认的网络服务遭到攻击。要在最大程度上减少、忽略、取消不用的网络服务或是后台,以减少直接的网络攻击。除非经过风险评估显示,这项服务的好处远远大于其潜在的风险所带来的危害,否则绝对不能允许SCADA系统软件网络使用某项服务或是性能。

3、不要依靠专有的协议来保护系统。一些SCADA系统软件为了支持在现场设备和服务器之间的通讯而使用独立、专有的协议。通常这些SCADA系统软件的安全性只是基于对这些协议的保密性上。然而不幸的是,保密的协议所提供的真正的安全少的可怜。所以不要因为是私有协议,就认为它是安全的。另外,要要求供应商关闭SCADA系统软件上所有的后门或是供应商接口,并要求他们提供可以得到保护的系统。

4、严格控制作为SCADA系统软件网络后门的所有途径。如果SCADA系统软件网络上真的存在后门或是供应商连接时,要严格执行验证以保证安全通讯。调制解调器、通讯和维护用的无线及有线的网络是SCADA系统软件网络和远程站点的最脆弱部分。

5、执行内部监测审计,外部入侵检测,保证每天24小时监控。为了对网络袭击具有有效的响应,要使用一种监测策略,包括由来自互联网或是外部的资源的恶意行为时,对网络管理员提出警示。检测系统是24小时连续工作的,这项功能可以很容易的被设置。另外,事故响应程序必须要恰当,在攻击发生时可以有效的做出动作。为了执行网络的监控功能,要在所有系统上增强日志功能,并且每天审核日志,即时的监测到可疑行为。

6、进行物理上的安全调查并对连接到SCADA系统软件网络上的远程站点进行评估,对他们的安全性作出评价。任何连接到 SCADA系统软件 网络上的部分都是被检查和评估的目标,尤其是无人场站。在每个设备上,都要进行物理上的安全检查。确认并评估所有的信息资源,包括可能被窃听的电话和计算机网络、光缆;可能被利用的无线电和微波线路;可能被访问的计算机终端;无线网络的访问点。消除单纯的点失败。这些点的安全性可以足够阻止未授权访问,不允许只为了方便,在远程或是没有任何保护的站点设置活动访问点。





作者:hzjuxadmin


现在致电 0571-82133796 18967198647 OR 查看更多联系方式 →

Go To Top 回顶部
天津快乐十分 天津快乐十分开奖结果 天津快乐十分 掌上彩票 掌上彩票 天津快乐十分 天津快乐十分 天津快乐十分官网 天津快乐十分 天津快乐十分开奖结果查询