工业控制综合系统信息安全.docx
《工业控制综合系统信息安全.docx》由会员分享,可在线阅读,更多相关《工业控制综合系统信息安全.docx(9页珍藏版)》请在咨信网上搜索。
1、工业控制系统信息安全一、 工业控制系统安全分析工业控制系统(Industrial Control Systems, ICS),是由多种自动化控制组件和实时数据采集、监测过程控制组件共同组成。其组件包含数据采集和监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),和确保各组件通信接口技术。经典ICS 控制过程通常由控制回路、HMI、远程诊疗和维护工具三部分组件共同完成,控制回路用以控制逻辑运算,HMI 实施信息交互,远程诊疗和维护工具确保ICS能够稳定连续运行。1.1 工业控制系统潜在风险1. 操作系统安全漏洞问题因为考虑到工
2、控软件和操作系统补丁兼容性问题,系统开车后通常不会对Windows平台打补丁,造成系统带着风险运行。2. 杀毒软件安装及升级更新问题用于生产控制系统Windows操作系统基于工控软件和杀毒软件兼容性考虑,通常不安装杀毒软件,给病毒和恶意代码传染和扩散留下了空间。3. 使用U盘、光盘造成病毒传输问题。因为在工控系统中管理终端通常没有技术方法对U盘和光盘使用进行有效管理,造成外设无序使用而引发安全事件时有发生。4. 设备维修时笔记本电脑随便接入问题工业控制系统管理维护,没有抵达一定安全基线笔记本电脑接入工业控制系统,会对工业控制系统安全造成很大威胁。5. 存在工业控制系统被有意或无意控制风险问题假
3、如对工业控制系统操作行为没有监控和响应方法,工业控制系统中异常行为或人为行为会给工业控制系统带来很大风险。6. 工业控制系统控制终端、服务器、网络设备故障没有立即发觉而响应延迟问题对工业控制系统中IT基础设施运行状态进行监控,是工业工控系统稳定运行基础。1.2 “两化融合”给工控系统带来风险工业控制系统最早和企业管理系统是隔离,但多年来为了实现实时数据采集和生产控制,满足“两化融合”需求和管理方便,经过逻辑隔离方法,使工业控制系统和企业管理系统能够直接进行通信,而企业管理系统通常直接连接Internet,在这种情况下,工业控制系统接入范围不仅扩展到了企业网,而且面临着来自Internet威胁。
4、同时,企业为了实现管理和控制一体化,提升企业信息化合综合自动化水平,实现生产和管理高效率、高效益,引入了生产实施系统MES ,对工业控制系统和管理信息系统进行了集成,管理信息网络和生产控制网络之间实现了数据交换。造成生产控制系统不再是一个独立运行系统,而要和管理系统甚至互联网进行互通、互联。1.3 工控系统采取通用软硬件带来风险工业控制系统向工业以太网结构发展,开放性越来越强。基于TCP/IP以太网通讯OPC技术在该领域得到广泛应用。在工业控制系统中,因为工业系统集成和使用便利性,大量使用了工业以太环网和OPC通信协议进行了工业控制系统集成;同时,也大量使用了PC服务器和终端产品,操作系统和数
5、据库也大量使用了通用系统,很轻易遭到来自企业管理网或互联网病毒、木马、黑客攻击。2、MES层和工业控制层之间安全防护经过在MES层和生产控制层布署工业防火墙,能够阻止来自企业信息层病毒传输; 阻挡来自企业信息层非法入侵;管控OPC用户端和服务器通讯,实现以下目标: 区域隔离及通信管控:经过工业防火墙过滤MES层和生产控制层两个区域网络间通信,那么网络故障会被控制在最初发生区域内,而不会影响到其它部分。 实时报警:任何非法访问,经过管理平台产生实时报警信息,从而使故障问题会在原始发生区域被快速发觉和处理。MES层和工业控制层之间安全防护以下图所表示:2.1.3 工控系统安全防护分域安全域是指同一
6、系统内有相同安全保护需求,相互信任,并含有相同安全访问控制和边界控制策略子网或网络,且相同网络安全域共享一样安全策略。在管理层、制造实施层、工业控制层中,进行管理系统安全子域划分,制造实施安全子域划分、工业控制安全子域划分。 安全域合理划分,使用每一个安全域全部要明确边界,便于对安全域进行安全防护。对MES、ICS安全域划分以下图所表示:如上图所表示,为了确保各个生产线安全,对各个生产线进行了安全域划分,同时在安全域之间进行了安全隔离防护。2.1.4 工控系统安全防护分等级依据安全域在信息系统中关键程度和考虑风险威胁、安全需求、安全成本等原因,将其划为不一样安全保护等级并采取对应安全保护技术、
7、管理方法,以保障信息安全。安全域等级划分要做到每个安全域信息资产价值相近,含有相同或相近安全等级、安全环境、安全策略等。安全域所包含应用和资产价值越高,面临威胁越大,那么它安全保护等级也就越高。二、工业控制系统安全防护设计经过以上对工业控制系统安全情况分析,我们能够看到,工控系统采取通用平台,加大了工控系统面临安全风险,而“两化融合”和工控系统本身缺点造成安全风险,关键从两个方面进行安全防护。 经过“三层架构,二层防护”体系架构,对工业企业信息系统进行分层、分域、分等级,从而对工控系统操作行为进行严格、排她性控制,确保对工控系统操作唯一性。 经过工控系统安全管理平台,确保HMI、管理机、控制服
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 工业 控制 综合 系统 信息 安全
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。