【控制系統(tǒng)論文】智能制造工業(yè)控制系統(tǒng)網(wǎng)絡安全防護

上傳人:冷*** 文檔編號:22802884 上傳時間:2021-06-01 格式:DOCX 頁數(shù):7 大小:17.11KB
收藏 版權申訴 舉報 下載
【控制系統(tǒng)論文】智能制造工業(yè)控制系統(tǒng)網(wǎng)絡安全防護_第1頁
第1頁 / 共7頁
【控制系統(tǒng)論文】智能制造工業(yè)控制系統(tǒng)網(wǎng)絡安全防護_第2頁
第2頁 / 共7頁
【控制系統(tǒng)論文】智能制造工業(yè)控制系統(tǒng)網(wǎng)絡安全防護_第3頁
第3頁 / 共7頁

下載文檔到電腦,查找使用更方便

10 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《【控制系統(tǒng)論文】智能制造工業(yè)控制系統(tǒng)網(wǎng)絡安全防護》由會員分享,可在線閱讀,更多相關《【控制系統(tǒng)論文】智能制造工業(yè)控制系統(tǒng)網(wǎng)絡安全防護(7頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、【控制系統(tǒng)論文】智能制造工業(yè)控制系統(tǒng)網(wǎng)絡安全防護 摘要:隨著兩化融合的不斷深入,傳統(tǒng)網(wǎng)絡安全威脅加速向工業(yè)控制系統(tǒng)滲透,智能制造領域工業(yè)控制系統(tǒng)“信息孤島”逐步被打破,信息安全問題日益突出。面對頻發(fā)的工業(yè)控制系統(tǒng)網(wǎng)絡安全事件,亟須研究、制定的適合業(yè)務特點的網(wǎng)絡安全防護措施,確保工業(yè)控制系統(tǒng)安全、穩(wěn)定運行。本文結合智能制造領域工業(yè)控制系統(tǒng)網(wǎng)絡安全現(xiàn)狀,從威脅和脆弱性兩個方面就工業(yè)控制系統(tǒng)面臨的風險進行分析,同時結合智能制造領域工業(yè)控制系統(tǒng)網(wǎng)絡特點和國家相關網(wǎng)絡安全法律法規(guī)要求,提出一種基于縱深防御理念的工業(yè)控制系統(tǒng)安全防護措施,通過用戶生產(chǎn)現(xiàn)場功能性驗證測試,該措施能夠幫助用戶有效識別并

2、解決工業(yè)控制系統(tǒng)中存在的主要安全風險,對同類型工業(yè)控制系統(tǒng)安全防護建設具有借鑒意義。 關鍵詞:智能制造;工業(yè)控制系統(tǒng);網(wǎng)絡安全;縱深防御 近年來,智能制造生產(chǎn)網(wǎng)和企業(yè)網(wǎng)之間數(shù)據(jù)交互越來越頻繁,傳統(tǒng)的人工刻錄、數(shù)據(jù)拷貝的交換方式嚴重制約著智能制造企業(yè)生產(chǎn)效率的提升,生產(chǎn)網(wǎng)與企業(yè)網(wǎng)互聯(lián)互通需求迫切。但是,作為生產(chǎn)網(wǎng)重要組成部分的工業(yè)控制系統(tǒng)(以下簡稱“工控系統(tǒng)”),其安全防護嚴重不足,互聯(lián)互通進一步增大系統(tǒng)暴露面,從而嚴重威脅工控系統(tǒng)安全穩(wěn)定運行。同時,新一代信息技術的出現(xiàn)和大量應用,工控系統(tǒng)日趨數(shù)字化、網(wǎng)絡化、智能化,工控生產(chǎn)網(wǎng)絡邊界日益模糊,網(wǎng)絡安全問題凸顯。

3、 1工控系統(tǒng)網(wǎng)絡安全現(xiàn)狀 工控系統(tǒng)是智能制造企業(yè)關鍵基礎設施的“神經(jīng)中樞”,工控系統(tǒng)的安全穩(wěn)定運行是企業(yè)生產(chǎn)業(yè)務正常開展的前提。近年來,隨著工業(yè)互聯(lián)的深入開展,針對工控系統(tǒng)的網(wǎng)絡攻擊呈逐年增加趨勢,潛在攻擊源不乏黑客組織、利益集團甚至是國家層面發(fā)起的網(wǎng)絡戰(zhàn),攻擊手段多樣,病毒、木馬等傳統(tǒng)網(wǎng)絡威脅持續(xù)向工控系統(tǒng)蔓延,勒索攻擊等新型攻擊模式不斷涌現(xiàn),安全事件頻發(fā),嚴重威脅工控系統(tǒng)安全穩(wěn)定運行。通過對行業(yè)內(nèi)工控系統(tǒng)現(xiàn)場調研和問卷訪談,工控系統(tǒng)網(wǎng)絡安全防護方面普遍存在如下四方面問題:一是工控系統(tǒng)關鍵設備以國外品牌為主,核心技術受制于人。我國智能制造生產(chǎn)企業(yè)出于穩(wěn)定性、精確

4、度考慮,其生產(chǎn)過程使用的工控系統(tǒng)組態(tài)軟件、控制器、檢測裝置等核心軟硬件大部分依賴國外產(chǎn)品,核心技術大多掌握在歐美及日本等發(fā)達國家廠商手中,存在“卡脖子”、后門利用等安全隱患。二是生產(chǎn)企業(yè)對工控系統(tǒng)安全問題重視不夠,安全意識薄弱。生產(chǎn)企業(yè)普遍存在重應用、輕安全的情況,對工控系統(tǒng)網(wǎng)絡安全缺乏足夠認識,信息安全管理制度不夠完善,缺少工控系統(tǒng)網(wǎng)絡安全專職人員,存在工控系統(tǒng)信息安全管理缺位、人員職責不明、網(wǎng)絡安全培訓教育不到位等安全問題,一旦發(fā)生網(wǎng)絡安全事件,無法及時采取有效應對措施。三是工控系統(tǒng)缺乏有效安全防護措施,安全防護長效機制難落實。工控系統(tǒng)在設計、研發(fā)、集成階段重點關注系統(tǒng)的可用性,未充分考慮

5、安全問題,系統(tǒng)普遍存在弱口令、通信報文明文傳輸?shù)劝踩[患?,F(xiàn)有存量工控系統(tǒng),出于兼容性考慮,輕易不敢打補丁或安裝防病毒軟件,大部分工控系統(tǒng)處于“裸奔”狀態(tài)。同時,工控系統(tǒng)網(wǎng)絡缺少監(jiān)測手段,無法為安全防護、應急響應、系統(tǒng)恢復等環(huán)節(jié)提供有效輸入,很大程度上制約安全防護能力的提升。四是暴露在互聯(lián)網(wǎng)上的工控設備與日俱增,安全隱患凸顯。全球暴露在互聯(lián)網(wǎng)上的工控系統(tǒng)及設備數(shù)量持續(xù)上升,工業(yè)信息安全風險點不斷增加。國家工信安全中心監(jiān)測發(fā)現(xiàn),2017年以來全球多個國家的IP地址對我國工控設備及系統(tǒng)發(fā)起過網(wǎng)絡探測與攻擊,對我國工業(yè)信息安全造成極大威脅[1]。針對頻發(fā)的工控安全事件,黨中央、國務院高度重視,分別在

6、法律法規(guī)、政策、工作要求等方面積極部署并出臺了一系列安全政策。2016年10月17日工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》,要求工控系統(tǒng)開展信息安全防護工作[2];2017年網(wǎng)信辦發(fā)布了《關鍵信息基礎設施安全保護條例(征求意見稿)》,要求開展關鍵信息基礎設施安全保護工作,工控系統(tǒng)作為生產(chǎn)企業(yè)智能制造的重要組成部分,需從技術手段上加強安全防護;2017年6月1日,《網(wǎng)絡安全法》正式實施,提出我國實行網(wǎng)絡安全等級保護制度,進一步明確網(wǎng)絡安全責任制;2019年全國信息安全標準化技術委員會發(fā)布《信息安全技術網(wǎng)絡安全等級保護基本要求》(GB/T22239-2019)正式實施,提出對工控系統(tǒng)等5個擴展

7、要求實行網(wǎng)絡安全等級保護工作[3]。 2工控系統(tǒng)網(wǎng)絡安全風險分析 工控系統(tǒng)網(wǎng)絡安全風險是指由于工控系統(tǒng)自身存在脆弱性,潛在攻擊者通過適當?shù)墓袈窂綄е鹿た叵到y(tǒng)發(fā)生安全事件的可能性以及由此產(chǎn)生的后果和影響。伴隨兩化融合的實施,智能制造行業(yè)工控系統(tǒng)發(fā)生信息安全事件的可能性增加,一旦生產(chǎn)網(wǎng)絡被攻陷,輕則影響工控系統(tǒng)穩(wěn)定運行,重則會對國家利益、國計民生造成嚴重影響。下面從工控系統(tǒng)面對的威脅和自身脆弱性兩個方面對工控系統(tǒng)網(wǎng)絡安全風險進行分析。 2.1工控系統(tǒng)網(wǎng)絡安全威脅 工控系統(tǒng)的安全威脅來自多個方面,主要包括外部非法目的的攻擊,如恐怖組織

8、、工業(yè)間諜、惡意入侵者等;以及來自工業(yè)控制系統(tǒng)內(nèi)部正常運行管理過程中出現(xiàn)的威脅,如系統(tǒng)復雜性、內(nèi)部人員失誤和事故等。內(nèi)部人員由于對目標系統(tǒng)具有更為深刻的了解和更多的接觸機會,往往能夠不受限制的訪問系統(tǒng)進行有意或無意的惡意操作,使系統(tǒng)及數(shù)據(jù)遭到破壞或泄露[3]。 2.2工控系統(tǒng)脆弱性 (1)設備脆弱性工控系統(tǒng)控制器大部分采用非自主可控的信息技術和產(chǎn)品進行建設和運行,不排除信息技術及產(chǎn)品存在后門可能,存在生產(chǎn)信息泄露風險。另外,大部分控制器未關閉SSH、Telnet等不需要的通信協(xié)議,使得潛在攻擊者能夠利用控制器開放端口達到非法訪問的目的。(2)通信脆弱性工控系統(tǒng)網(wǎng)

9、絡結構在設計之初僅考慮系統(tǒng)可用性,未進行分區(qū)分層設計,存在“一點突破,全網(wǎng)皆失”的風險;另外,工控系統(tǒng)設計之初僅考慮可用性,大部分通信協(xié)議采用明文傳輸,缺少必要的認證、授權、加密等安全機制,存在非法劫持、篡改的風險[4]。(3)終端脆弱性工控系統(tǒng)上位機大多采用windows操作系統(tǒng)且對穩(wěn)定性要求非常高,自運行以來基本未進行過系統(tǒng)更新及補丁升級操作,存在大量系統(tǒng)漏洞,一旦被違規(guī)利用后果不堪設想;加上未對U盤等移動存儲介質管控,很容易發(fā)生通過U盤擺渡數(shù)據(jù)造成工控終端感染病毒并肆意傳播的安全事件。 3工控系統(tǒng)安全防護措施研究 針對工控系統(tǒng)安全防護,沒有通用方案能夠確保

10、工控系統(tǒng)免于所有針對性的網(wǎng)絡攻擊,所以在工控安全防護措施研究上應結合工控系統(tǒng)實際特點有針對性加強安全防護建設,通過采用多層安全控制的縱深防御理念,保證威脅來臨時對目標工控系統(tǒng)產(chǎn)生的影響和后果最小。針對智能制造領域工控系統(tǒng)縱深防御規(guī)劃,建議從安全規(guī)劃、物理環(huán)境、網(wǎng)絡、終端、應用、設備六個方面綜合考慮??v深防御分層模型如圖1所示。(1)安全規(guī)劃建立有針對性的安全規(guī)劃是做好工控安全防護的第一步。在工控安全防護建設過程中應事先定義安全防護策略及規(guī)范并嚴格執(zhí)行,同時根據(jù)系統(tǒng)變更情況及時更新和調整。安全規(guī)劃包含安全組織機構設立、安全防護策略、安全意識宣貫、制定應急處置計劃等內(nèi)容。(2)物理環(huán)境物理防護是工

11、控系統(tǒng)安全穩(wěn)定運行的第一道防線,生產(chǎn)企業(yè)應通過機房鑰匙、門禁卡、生物指紋等措施限制內(nèi)部員工、第三方人員訪問控制室、重要控制設備、網(wǎng)絡區(qū)域的范圍。(3)網(wǎng)絡同物理安全限制對工控系統(tǒng)的物理區(qū)域和資產(chǎn)的授權訪問一樣,網(wǎng)絡安全限制對工控網(wǎng)絡邏輯區(qū)域的訪問。工控系統(tǒng)網(wǎng)絡安全防護的思路是應用防火墻規(guī)則,設置訪問控制列表以及實施入侵檢測將網(wǎng)絡劃分成不同安全區(qū)域。通過嚴格控制和監(jiān)視穿越安全區(qū)域的流量,及時發(fā)現(xiàn)異常行為并有效處置。(4)終端終端安全防護主要包括補丁更新、惡意代碼防范、移除不再使用的應用程序或服務、通過技術或物理手段限制USB、網(wǎng)口等物理端口的使用,確保終端計算環(huán)境安全可靠。(5)應用應用安全防護

12、的目的在于阻止用戶未授權的應用程序交互,通過應用程序認證、授權和審計三種安全機制實現(xiàn)。其中認證用于校驗應用程序用戶身份,授權基于用戶身份分配適當?shù)臋嘞蓿瑢徲嬋罩居涗浻脩舨僮餍袨?,便于事后追溯。另外,對于工控系統(tǒng)應用程序,需做好上線前檢測、脆弱性檢查及補丁驗證更新工作。(6)設備控制器設備安全涉及與工控系統(tǒng)可用性、完整性和機密性(AIC)三元組[5]有關的安全防護措施,包括補丁更新、設備加固、物理和邏輯訪問控制以及建立覆蓋設備采購、實施、維護、配置和變更管理、設備安全處置等環(huán)節(jié)的全生命周期管理程序。智能制造領域工控系統(tǒng)多以離散型控制系統(tǒng)為主,網(wǎng)絡架構參考普度模型,主要包括生產(chǎn)管理層、過程監(jiān)控層、

13、現(xiàn)場控制層和現(xiàn)場設備層。結合現(xiàn)場實際調研,參照縱深防御、“一個中心、三重防護”思想設計安全防護架構并對安全防護措施進行客戶現(xiàn)場有效性驗證,確保對現(xiàn)有控制系統(tǒng)運行環(huán)境影響最小,網(wǎng)絡安全防護措施如圖2所示。 3.1網(wǎng)絡分區(qū) 針對工控生產(chǎn)網(wǎng)絡,嚴格遵循網(wǎng)絡分層、安全分區(qū)原則,將工控網(wǎng)絡根據(jù)業(yè)務功能劃分不同安全域,區(qū)域邊界部署基于流量白名單的工業(yè)防火墻,通過對安全域間流量深度解析,實現(xiàn)細顆粒度的訪問控制。工業(yè)防火墻基于自學習方式生成通信流量白名單基線,有效阻止白名單外的攻擊、病毒、木馬等入侵行為。同時通過隔離各安全域,抑制域內(nèi)病毒、木馬傳播擴散,將安全影響降低到最小范圍

14、。結合實際客戶現(xiàn)場網(wǎng)絡環(huán)境,工業(yè)防火墻采用冗余配置,通過透明模式串行部署在過程監(jiān)控層和生產(chǎn)管理層之間,有效杜絕因工業(yè)防火墻單點故障、軟件宕機等造成數(shù)據(jù)通信中斷、工控系統(tǒng)不可用等安全事件。 3.2安全監(jiān)測 在各生產(chǎn)線接入交換機側旁路部署工控安全監(jiān)測審計探針,用于過程監(jiān)控層和現(xiàn)場控制層以及生產(chǎn)管理層和過程監(jiān)控層之間網(wǎng)絡通信流量的監(jiān)測和審計。監(jiān)測與審計探針開啟基線自學習功能,通過對工控網(wǎng)絡通信協(xié)議深度解析,建立現(xiàn)場通信流量白名單基線,及時發(fā)現(xiàn)針對工控網(wǎng)絡的異常訪問、誤操作、第三方設備非法接入等違規(guī)行為。探針采用旁路部署模式,被動監(jiān)聽網(wǎng)絡流量,不影響工控系統(tǒng)正常運行。在

15、安全管理中心部署工控安全監(jiān)測審計系統(tǒng),實時收集監(jiān)測審計探針異常告警及安全審計日志,洞察工控網(wǎng)絡異常通信行為。工控安全監(jiān)測審計系統(tǒng)通過全流量的實時解析,自動繪制網(wǎng)絡通信關系拓撲,可視化展現(xiàn)工控系統(tǒng)網(wǎng)絡資產(chǎn)及通信行為,為工控系統(tǒng)安全事件事后審計、追溯分析提供有效數(shù)據(jù)支撐。 3.3終端防護 在工控網(wǎng)絡安全管理中心部署一套工控主機防護系統(tǒng)和防病毒服務器,在各工控操作終端部署客戶端,實現(xiàn)工控網(wǎng)絡終端安全加固。工控終端運行軟件環(huán)境相對穩(wěn)定,通過部署基于進程白名單理念的終端安全防護系統(tǒng)阻止惡意代碼執(zhí)行,杜絕類似“震網(wǎng)”病毒、“永恒之藍”等安全事件發(fā)生。通過安全策略的統(tǒng)一配置,

16、有效消除工控系統(tǒng)終端帶著漏洞運行、補丁更新不及時、USB外設端口隨意使用等安全隱患。針對生產(chǎn)現(xiàn)場重要控制器設備,在控制器前側串聯(lián)部署安全防護終端裝置,基于業(yè)務通信需要,配置最小訪問控制授權,阻斷針對PLC控制器的非法程序上傳、下載、未授權訪問等行為。 3.4集中管理 在安全管理中心部署一套工控運維堡壘機系統(tǒng),針對工控系統(tǒng)安全運維提供全過程的安全審計,基于事前運維資源和運維用戶授權規(guī)劃、事中運維過程實時在線監(jiān)控、事后運維記錄安全審計確保工控系統(tǒng)自運維或委托第三方運維過程的安全、可控。在安全管理中心部署一套工控安全管理平臺,用于安全設備的統(tǒng)一管理。通過部署工控安全管

17、理平臺,實現(xiàn)工控網(wǎng)絡安全設備統(tǒng)一策略管理及分發(fā);同時針對工控網(wǎng)絡資產(chǎn)日志、異常告警等信息,傳統(tǒng)的逐點關注、人工排查的方式一方面不利于安全問題的及時發(fā)現(xiàn),另一方面分散的日志或告警信息的關聯(lián)、分析對工控系統(tǒng)運維人員提出了更高的要求,需要從技術層面解決網(wǎng)絡安全事件的識別、分析及追溯,本方案工控安全管理平臺基于大數(shù)據(jù)處理技術及關聯(lián)分析、行為分析引擎,實現(xiàn)告警信息的關聯(lián)分析,實時感知廠級工控系統(tǒng)網(wǎng)絡安全態(tài)勢。 4結語 隨著新一代信息技術(IT)與運營技術(OT)的加速融合,工控系統(tǒng)愈加開放互聯(lián),信息安全問題凸顯,網(wǎng)絡安全防護建設刻不容緩。為有效應對工控系統(tǒng)面臨的各種安全威

18、脅,智能制造領域生產(chǎn)企業(yè)須提高網(wǎng)絡安全認識,從資產(chǎn)識別、監(jiān)測感知、威脅防護、處置恢復等視角構建安全防護措施,持續(xù)提升工控系統(tǒng)安全防護能力。 參考文獻: [1]劉冬,程曦,楊帥鋒,孫軍.加強我國工業(yè)信息安全的思考[J].信息安全與通信保密,2019(8). [2]王惠蒞,姚相振,任澤君.關鍵信息基礎設施安全防護體系研究[J].保密科學技術,2019(7). [3]孫凱,李琳.《信息安全技術工業(yè)控制系統(tǒng)安全管理基本要求》標準解讀[J].保密科學技術,2019,000(003). [4]屈婉瑩,魏為民,朱蘇榕.工業(yè)控制系統(tǒng)通信協(xié)議安全研究[C].2015年全國智能電網(wǎng)用戶端能源管理學術年會論文集,2015. [5]彭勇,江常青,謝豐,等.工業(yè)控制系統(tǒng)信息安全研究進展[J].清華大學學報,2012,052(010). [6]王正才,許道云,王曉峰.基于自動機并操作的多目標AC-BM算法[J].計算機科學,2013(6).

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關資源

更多
正為您匹配相似的精品文檔
關于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!