搜索

全面解读“等保2.0”系列(五):工业控制系统安全

关注:3 发表时间:2019-10-07 13:09:01

何为工业控制系统?据了解,工业控制系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),现已广泛应用在工业部门和关键基础设施中。

全面解读“等保2.0”系列(四):工业控制系统安全

  由于工业控制系统往往涉及一个城市或***的重要基础设施,比如电力、燃气、自来水等。一旦“中招”,后果非常严重,影响广泛。以乌克兰为例,2015年12月23日,恶意软件攻击导致乌克兰电网电力中断,导致乌克兰城市伊万诺弗兰科夫斯克约140万人在圣诞节前夕经历数小时的电力瘫痪。

  因此,工业控制系统的安全尤其值得注意。

全面解读“等保2.0”系列(四):工业控制系统安全

全面解读“等保2.0”系列(四):工业控制系统安全

全面解读“等保2.0”系列(四):工业控制系统安全

全面解读“等保2.0”系列(四):工业控制系统安全

  在等保2.0中,涉及工业控制系统安全有较为详细的规定。其中,工控安全大致分为安全物理环境、安全通信网络、安全区域边界和安全计算环境以及安全建设管理。

  首先是安全物理环境。其涉及两点要求:一是室外控制设备应放置于箱体或装置中,箱体或装置还要具备散热、防火和防雨等能力;二是设备远离强电磁干扰、强热源等环境。

  重点是安全通信网络和安全区域边界。在网络上,要求重点提到了工业控制系统与企业其他系统之间划分区域,区域间应采用技术隔离手段。而在工业控制系统内部,又需要根据业务特点划分为不同的安全域。

  注意,这里提到了两个关键点:工控系统与企业其他系统之间要隔离;工控系统内部又需要隔离。并且二级以上,“涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。”

  在安全区域边界,涉及访问控制、拨号使用控制和无线使用控制。访问控制上,规定“应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的 E-Mail、Web、Telnet、Rlogin、FTP 等通用网络服务”。并在边界防护机制失效时,需要及时报警。

  在拨号使用控制方面,第三级中增加“拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、传输加密和访问控制等措施。”在第四等级中,甚至“涉及实时控制和数据传输的工业控制系统禁止使用拨号访问服务”。

  涉及无线使用控制上,则要求对用户(人员、软件进程或设备)进行标识、鉴别、授权和传输加密。要求提到,“应对所有参与无线通信的用户(人员、软件进程或者设备)提供***性标识和鉴别、授权以及执行使用进行限制”。同时,在第三级和第四级中,提到“应对无线通信采取传输加密的安全措施”和“对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备”。

  第四个方面——安全计算环境,提到了“应在经过充分测试评估后,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作”和“应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理”。

  ***是安全建设管理,这个涉及产品采购和使用、外包软件开发。比如,采购工业控制系统的重要设备,需要通过专业机构的安全性检测。


图片展示

首页       |     资讯中心      |     经营范围      |      关于我们      |      联系我们     |     网站地图


公司地址:西安市新城区西五路64号农机大厦

联系电话:029 - 87203401

电子邮箱:yangshuai@xlsheng.com

   

手机微信        

   

关注我们

 

      

                       手机微信                     公众号