當前位置:工程項目OA系統(tǒng) > 建筑OA系統(tǒng) > 項目管理系統(tǒng)
淺談工業(yè)控制系統(tǒng)網(wǎng)絡安全問題與應對策略
1、工業(yè)控制系統(tǒng)
工業(yè)控制系統(tǒng)(Industrial Control Systems, ICS)是由各種自動化控制組件和實時數(shù)據(jù)采集、監(jiān)測的過程控制組件共同構(gòu)成。其組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED),以及確保各組件通信的接口技術(shù)。 工業(yè)控制系統(tǒng)廣泛應用于工業(yè)、電力、能源、交通運輸、水利、公用事業(yè)和生產(chǎn)企業(yè),被控對象的范圍包括生產(chǎn)過程、機械裝置、交通工具、實驗裝置、儀器儀表、家庭生活設施、家用電器等。它通過對工作過程進行自動化監(jiān)測、指揮、控制和調(diào)節(jié),保證工業(yè)設施的正常運轉(zhuǎn),是國家關(guān)鍵基礎設施和信息系統(tǒng)的重要組成部分。SCADA是廣域網(wǎng)規(guī)模的控制系統(tǒng),RTU作為遠程終端;DCS是局域網(wǎng)規(guī)模的控制系統(tǒng),主要采用PLC作為遠程終端。 當前工業(yè)控制系統(tǒng)的核心自動化部件是計算機或嵌入式芯片,經(jīng)過幾十年的發(fā)展已走過了專用機、通用機和因特網(wǎng)終端等階段。抽象地看,工業(yè)控制系統(tǒng)由三個部分組成:主控站、遠程終端和受控工業(yè)過程。 2、工業(yè)控制系統(tǒng)安全問題 2.1、工業(yè)控制系統(tǒng)網(wǎng)絡化帶來嚴重的安全問題 工業(yè)控制系統(tǒng)在最初發(fā)展的幾十年里是完全獨立的,與企業(yè)管理系統(tǒng)是隔離的。但是隨著各行業(yè)企業(yè)對實現(xiàn)管理與控制的一體化需求的增加,工業(yè)控制系統(tǒng)和企業(yè)管理信息系統(tǒng)逐步實現(xiàn)了網(wǎng)絡化集成,管理信息網(wǎng)絡與生產(chǎn)控制網(wǎng)絡之間實現(xiàn)了數(shù)據(jù)交換,導致工業(yè)控制系統(tǒng)不再是一個獨立運行的系統(tǒng),而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進行互通、互聯(lián)。 另外,工業(yè)控制系統(tǒng)的結(jié)構(gòu)也在向工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展,開放性越來越強?;?TCP/IP協(xié)議以太網(wǎng)通訊技術(shù)在該領域得到廣泛應用。工業(yè)控制系統(tǒng)中大量使用了使用了通用PC服務器、PC終端、通用的操作系統(tǒng)和數(shù)據(jù)庫,這樣很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬以及黑客的攻擊。 2.2、典型案例 1982年的夏天,前蘇聯(lián)西伯利亞一條天然氣輸送管道發(fā)生了大爆炸。“這場爆炸可謂是迄今為止最為壯觀的非核彈爆炸,爆炸引起的熊熊大火甚至可以從太空中觀測到。蘇聯(lián)通往西歐國家的輸氣管線大面積中斷,前蘇聯(lián)的國內(nèi)經(jīng)濟幾乎因此一蹶不振。美國專家評估這次爆炸等級相當于3000噸TNT。”這是由里根時期的白宮官員托馬斯•C•里德所著的個人回憶錄《在深淵:一個內(nèi)幕人的冷戰(zhàn)歷史》解密的內(nèi)容。 當時根據(jù)美國政府的計劃,美國中情局在天然氣管道的操作軟件上做了手腳,對那些關(guān)系到油泵、渦輪和閥門運作的軟件程序進行了特定的編程,特意安置了“定時炸彈”。這些軟件可以正常運作一段時間,但不久就會重新調(diào)整油泵的速度和閥門的設置,產(chǎn)生大大超過油管接頭和焊接承受的壓力,最終破壞整個管道系統(tǒng)。 2010年,以美國為首的西方國家通過網(wǎng)絡對伊朗核設施發(fā)動了攻擊。國際核能組織觀察到伊朗濃縮鈾工廠在接下來的幾個月內(nèi)就有兩千個離心機報廢。占伊朗濃縮鈾工廠離心機的四分之一。伊朗核發(fā)展因此受到嚴重阻礙。而致使離心機報廢的原因,就是受到了著名的“震網(wǎng)”病毒武器的攻擊。 這種病毒首先由被感染的U盤帶入伊朗,當優(yōu)盤插入計算機的時候,通過Windows系統(tǒng)自動播放而進入計算機。通過盜用的合法電子簽名躲過計算機病毒軟件的安全保護。然后在計算機中尋找西門子公司的一個控制軟件,并經(jīng)過該控制軟件的數(shù)據(jù)庫傳染到局域網(wǎng)內(nèi)其它節(jié)點。 西門子公司的這個控制軟件是用來控制伺服系統(tǒng)的馬達、電路開關(guān)和氣體液體閥門,廣泛應用于各行各業(yè)。該病毒找到西門子控制軟件以后,截獲控制軟件給可編程邏輯控制設備(PLC)的指令,找出并識別應用在離心機上的軟件,然后發(fā)出虛假指令,讓離心機轉(zhuǎn)速不正常造成設備損壞。 2.3、工業(yè)控制系統(tǒng)的脆弱性及面臨的威脅 據(jù)業(yè)界估計,每年未加報道的攻擊事件在數(shù)百例之多。2004年,美國國土安全部發(fā)現(xiàn)1700個設施的SCADA系統(tǒng)存有外部可以攻擊的漏洞。在“震網(wǎng)”病毒之后,各國又發(fā)現(xiàn)德國西門子公司生產(chǎn)的工控系統(tǒng)數(shù)十個新漏洞。國外有機構(gòu)堅稱,我國生產(chǎn)的“組件王”(KINGVIEW)亦存在漏洞。 “震網(wǎng)”病毒之類的威脅,發(fā)展到現(xiàn)在,已經(jīng)遠不止對工業(yè)控制系統(tǒng)構(gòu)成威脅,而是對所有采用計算機、嵌入式芯片的系統(tǒng)構(gòu)成了威脅,包括電網(wǎng)生產(chǎn)調(diào)度、油氣生產(chǎn)運輸、石油化工生產(chǎn)、核設施、航空航天、城市軌道交通、高速列車、水利樞紐、物流、城市上下水、衛(wèi)生醫(yī)療等國家、社會基礎設施。 3、工業(yè)控制系統(tǒng)安全應對策略 工業(yè)控制系統(tǒng)安全問題是不同于以往傳統(tǒng)的IT信息安全問題的新問題,需要采取新的策略應對,主要包括以下幾項: (一)開展信息安全核心技術(shù)產(chǎn)品的安全檢查工作。加強對國外進口技術(shù)和產(chǎn)品,以及新技術(shù)、新產(chǎn)品和新業(yè)務的漏洞分析工作,提升安全隱患的發(fā)現(xiàn)能力,促進漏洞信息共享。建立進口重大信息技術(shù)、產(chǎn)品及服務的安全檢測與審核制度,對進口技術(shù)和產(chǎn)品的安全進行風險評估。 (二)加強工業(yè)控制系統(tǒng)安全技術(shù)研究、開發(fā)與應用,逐步實現(xiàn)核心技術(shù)產(chǎn)品的國產(chǎn)化替代,真正實現(xiàn)“以我為主,自主可控”。 (三)加強關(guān)鍵信息基礎設施安全防護工作。進一步完善等級保護制度和標準,做好工業(yè)控制系統(tǒng)等級保護定級和測評工作,根據(jù)系統(tǒng)等級和面臨風險有針對性加強工業(yè)控制系統(tǒng)的管理和技術(shù)防護。加強風險評估工作,及時發(fā)現(xiàn)風險隱患,完善安全措施。 (四)切實加強對重點領域工業(yè)控制系統(tǒng)的信息安全管理工作,部署縱深防御體系,保證工業(yè)控制系統(tǒng)的物理安全,建立安全策略與流程,適當采取隔離、漏洞檢查、威脅檢測等保護措施。例如,進行網(wǎng)絡分區(qū)與邊界保護,建立安全的單元間通信,系統(tǒng)加固與補丁管理,惡意軟件的檢測與防護,訪問控制與賬號管理,記錄設備訪問日志并進行必要的審計等。確保只有絕對必要的人員才能在物理上接觸到工業(yè)控制設備。 (五)組織工業(yè)企業(yè)與信息安全企業(yè)一起,研制開發(fā)適合工業(yè)控制系統(tǒng)的安全產(chǎn)品,如工業(yè)防火墻、工業(yè)威脅監(jiān)測系統(tǒng)、工業(yè)漏洞檢查工具等。 (六)通過宣傳、培訓,提高人們對工業(yè)控制系統(tǒng)安全的意識。 4、我國工業(yè)控制系統(tǒng)安全產(chǎn)品發(fā)展現(xiàn)狀 我國工業(yè)控制系統(tǒng)信息安全產(chǎn)品的研發(fā)和應用目前還處于起步階段,以北京中科網(wǎng)威信息技術(shù)有限公司為代表的傳統(tǒng)信息安全企業(yè)已經(jīng)研發(fā)出了適合電力等行業(yè)的工業(yè)防火墻等產(chǎn)品,工業(yè)威脅監(jiān)測系統(tǒng)、工業(yè)漏洞檢查工具也在開發(fā)中。 工業(yè)控制系統(tǒng)與傳統(tǒng)IT系統(tǒng)對信息安全的需求考慮存在明顯差異,工業(yè)控制系統(tǒng)最先考慮的是系統(tǒng)可用性,其次是完整性,第三是保密性,傳統(tǒng)IT系統(tǒng)首先是保密性、完整性,最后才是可用性。 另外,工業(yè)控制系統(tǒng)的高實時性、復雜的電磁環(huán)境、特定的供電環(huán)境、惡劣的溫度濕度環(huán)境、專業(yè)的通訊協(xié)議、高可靠性(MTBF)、不同的使用人員等,都對工業(yè)級安全產(chǎn)品提出了有別于傳統(tǒng)IT系統(tǒng)的功能和性能需求。 目前主流的工業(yè)控制系統(tǒng)安全產(chǎn)品主要通過改造硬件平臺,提升數(shù)據(jù)處理的實時性,增加專用協(xié)議識別,完善和改進易用的人機交互管理系統(tǒng)來實現(xiàn),使其滿足工業(yè)級網(wǎng)絡運行環(huán)境、網(wǎng)絡通信高實時性、訪問控制識別工業(yè)控制協(xié)議等要求。- 1建筑電氣設計和安裝中幾個容易忽視的問題
- 2湖北武漢2015年招標師考試報名時間:6月13日-6月24日
- 32015年監(jiān)理工程師考試《監(jiān)理基本理論與相關(guān)法規(guī)》試題5
- 4巖石園與巖石植物
- 52015一級建造師《工程經(jīng)濟》知識點:提高價值的途徑
- 6高起點構(gòu)建智慧城市頂層設計第八屆中國智慧城市建設技術(shù)研討會召開
- 7安全工程師《管理知識》復習資料:安全生產(chǎn)管理的目標
- 82015招標師采購專業(yè)實務知識點:評標委員會構(gòu)成
- 9[重慶]橋梁工程跨鐵路線防護棚施工專項方案
- 10二級建造師復習資料:施工單位安全措施
- 11某市城市綠地綠化施工組織設計42p
- 12混凝土墻體出現(xiàn)裂縫怎么辦
- 13武隆縣2015年二級建造師考試報考條件
- 142015建設工程項目管理:建設工程項目進度計劃的關(guān)鍵工作
- 15有機熱載體鍋爐的技術(shù)要求
- 162015年二級建造師輔導資料:民事法律關(guān)系的變更
- 17化學灌漿在工程中的應用
- 18造價千萬噴泉建成10年就被拆除 被疑是“面子工程”
- 19造價工程師復習資料:保修期限分別是多少
- 20灌溉渠道設計流量計算
- 21陜西省建設科技推廣中心將構(gòu)建數(shù)字化信息平臺
- 22某市CWSBR反應池工藝污水處理廠施工組織設計111p
- 232014年七省交通基建投資總額或超3600億元
- 24觀景平臺、水上碼頭和濱水廣場工程施工組織設計
- 25廠區(qū)工程高支模支撐施工方案34p
- 26良好的基礎與務實的規(guī)劃
- 27某電廠高壓、低壓加熱器安裝施工工藝
- 28陜西省住房資金中心召開2015年住房公積金業(yè)務工作會
- 29大跨度鋼屋架制作及施工工藝
- 30傾斜鋼管柱施工工藝
成都公司:成都市成華區(qū)建設南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓