本篇文章4094字,读完约10分钟
摘要:本文从工业控制系统的新闻安全概念、防护目标、技术体系、快速发展趋势等方面进行了系统介绍。
、产业控制系统新闻安全概述
一般来说,工业控制系统的安全可以分为功能安全、物理安全、新闻安全三个方面。
功能安全为了实现设备和工厂的安全功能,受保护的控制设备的安全相关部分必须正确执行其功能,即使发生故障或故障,设备或系统也必须维持安全条件或进入安全状态。
物理安全是减少电击、火灾、辐射、机械危险、化学危险等因素造成的危害。
在iec62443中比较工业控制系统的新闻安全的定义是“保护系统的措施。 可以建立和维护保护系统的措施来保护系统的状态系统资源免受非法访问和非法或偶然的变更、破坏或损失。 根据计算机系统的能力,保证非法人和系统不能制作软件及其数据或访问系统功能,防止对批准人和系统被阻止的工业控制系统的非法或有害入侵 ”。 产业控制系统的新闻安全不仅会导致新闻损失,还可能导致工业流程生产故障的发生,导致人员损失和设备破损,其直接财产损失巨大,还可能引起环境问题和社会问题。
三种安全在定义和内涵上有很大区别。
采用功能安全、安全完整性水平的概念已经将近20年了。 在功能安全标准中,通常必须将一个部件或系统的安全表示为一个数字。 这个数字是为了保障人的健康、生产安全、环境安全而提出的基于这个零件或系统效率低下的保护因子。
物理安全、保护要素主要由一系列安全生产操作规范定义。 政府、公司、领域组织等通常可以通过完善的安全生产操作流程制约工业系统现场操作的标准性,确保事故溯源,确定相关人员的责任,管理和制度要素是保护物理安全的首要方法。
产业控制系统新闻安全的判断方法和功能安全的判断不同。 都保障了人员的健康、生产安全或环境安全,但功能安全采用安全完整性等级是根据随机硬件发生故障的零部件或系统发生故障的可能性计算的,新闻安全系统有更广泛的应用和越来越广泛的 影响新闻安全的因素非常多,不能用简单的数字来表达。 但是,功能安全的全生命周期安全理念也适用于新闻安全,新闻安全的管理和维护也必须不断进行。
二、工业控制系统的新闻安全与ip数据网络新闻安全的区别
1.2种网络新闻安全的优点是
通过前期一点项目研究的经验和相关研究的结论,总结了目前以前认识的工业控制系统的新闻安全和以前传达的ip新闻网络安全的区别,必须处理工业控制系统的新闻安全
1 )安全诉求不同
2 )安全补丁程序和升级过程的区别
3 )实时性的差异
4 )安全优先级的差异
5 )安全防护技术的适应性差异
2 .产业控制系统新闻安全面临的挑战
上述区别都很重要,控制系统相对于其他it系统的第一个区别是控制系统和物理世界的相互作用。
一般来说,以前传来的ip新闻的互联网安全迅速发展到更成熟的技术和设计标准(认证、访问控制、新闻完整性、特权分离等),这些都阻止并应对产业控制系统的攻击 但是,从以前就流传下来的意义上来说,计算机新闻的安全研究关注新闻保护的研究者不考虑攻击如何影响判断和控制算法,最终攻击如何影响物理世界。
现在的各种新闻安全工具可以提供控制系统安全所需的机制,这些个别机制不足以进行深度防护控制。
通过深入理解控制系统和实际物理世界的相互作用过程,研究者将来应该开展的工作可能如下。
1 )更好地理解攻击的结果:迄今为止,没有深入研究攻击者受到非法访问控制互联网设备后的危害。
2 )设计的新攻击检测算法:理解物理过程所需的控制行为,根据过程控制命令和传感器测量,可以识别攻击者是否试图干扰控制或传感器的数据。
3 )设计的新的抗攻击算法和架构:检测到工业控制系统的攻击行为时,可以适时更改控制命令,提高控制系统的灵活性,减少损失。
4 )适合工业scada系统现场设备的设计认证和密码技术:现在成熟的许多复杂强健的密码技术一般不能在工业控制系统的现场设备上执行访问控制功能。 第一个原因是许多复杂的密码机制在紧急情况下有妨碍紧急解决过程迅速响应的风险。 工业自动控制行业专家通常认为默认密码、固定密码、空密码等比较弱的密码机制在紧急情况下容易进行推测、传输等,不会对紧急解决程序本身产生额外的影响。
5 )硬件兼容性高的工业用scada系统安全技术的开发:从以前开始,it数据互联网中就普及了认证、认证、加密、入侵检测、访问控制技术等安全能力高的技术,通常是低价的互联网 这些资源是工业控制系统设备的第一个设计目标是完成特定的现场作业任务通常是低价格的设备。 而且,石油、供水等能源产业系统的控制装置还采用了一些旧的解决方案(例如1978年出厂的英特尔8088解决方案)。 因此,在这种装置中引入主流的新闻安全技术在不显着降低产业现场控制装置的性能的情况下是困难的。
6 )开发与多个操作系统和软件平台兼容的安全技术:以前在it数据互联网上传播了新闻安全技术的机制,包括windows、linux和unix等通用技术 另一方面,在工业scada系统行业,现场工业scada系统装置通常是设备供应商( abb、西门子、哈内威尔等)独立开发的非公开的操作系统(有时称为固件)、专用的软件 因此,在非通用OS和软件平台上开发、引进和升级新闻安全技术是工业scada系统新闻安全未来的重要问题。
三、工业控制系统新闻安全防护技术体系
产业控制系统的新闻安全内涵、诉求和目标特点决定了需要特殊的新闻安全技术、措施,产业生产过程中的ied、plc、rtu、控制器、通信解决机、scada系统和各种实际、各种可编程 所有自动控制系统新闻安全的基础技术是访问控制和顾客认证,在此基础上迅速发展了通过探测、信道加密、分组审计和认证等手段保护通信数据消息安全的技术。 为了实现以功能安全为前提的产业控制系统新闻安全,需要构建产业控制系统新闻安全事前、事件中和事后全面管理、整体安全的防护技术体系。
一)事前防御技术
事前防御技术是工业控制新闻安全防护技术体系中的重要部分现在有很多成熟的基础技术可以利用。
访问控制/工业控制专用防火墙
身份证明
身份设备
基于生物学特征的鉴定技术
安全调制解调器
加密技术
公钥基础架构( pki )
虚拟局域网( vpn )
2 )事件中应对技术
入侵检测( ids )技术对识别内部错误操作和外部攻击者想要获得内部访问权的攻击行为非常有效。 检测和识别内部或外部客户破坏互联网的意图。 ids有两种常见的格式:数字签名检测系统和不规则检测系统。 入侵者经常通过攻击数字签名来获得进入系统的权限,或者破坏互联网的完整性。 数字签名检测系统通过对照现在的攻击特征和已知的攻击特征数据库,根据选择的灵敏度,最终明确对照结果。 然后,根据对照结果明确攻击行为的发生,阻断攻击行为,同时系统管理者通报当前系统受到攻击。 不规则的检测技术对执行中的系统动作和正常的系统动作的不同,明确入侵动作的发生,警告系统管理者。 例如,ids可以检测到半夜系统不正常的活动性、大量访问有外部互联网的i/o端口等。 发生异常活动时,ids可以阻止攻击,警告系统管理员。
这两个ids系统都有优点和缺点,但同样的问题是如何设定检测灵敏度。 高灵敏度会引起错误的入侵警报,ids对各自的入侵警报进行相应的系统动作。 因此,过度的错误入侵警报不仅会破坏正常系统的必要功能,也会给系统带来巨大的负担。 在低灵敏度下,ids无法检测到某些入侵行为的发生。 因为这个ids忽略了一点入侵行为,入侵者正常入侵系统,导致意想不到的损失。
3 )事后取证技术
审计日志机制是记录合法和非法顾客认证新闻和其他特征新闻的文档,是产业控制系统新闻安全的第一事后取证技术之一。 因此,为了比较对各系统的访问及其相关操作需要被记录。 在诊断和审计是否发生了网络电子入侵时,审计日记是必不可少的评价标准之一。 另外,系统行为记录也是产业scada系统新闻安全的一般技术。
以上讨论是产业控制系统新闻安全中一点常用的常规技术,在产业控制系统新闻安全的实施过程中,首先在以下方面有特别重要的技术。
四、工业控制系统新闻安全的快速发展趋势
在“二化”深度融合的快速发展背景下,工业控制系统的新闻安全问题也出现了。 世界上继“震网”病毒事件之后相继发生的几起重大工业网络安全事件,把工业网络安全推向了新的高度。 如何防止微杜,防止工业控制系统安全事态的再次发生,要点在能源公司构建安全的工业控制系统,引起了政府和公司的关注。
“震网”病毒事件对世界重要基础设施的核心要害系统的安全问题敲响了警钟。 分析产业用控制系统受到的脆弱性和攻击,产业用控制系统的脆弱性攻击包括:简单控制器受到的攻击增大、利用互联网协议的攻击、专业攻击者的攻击、利用病毒的攻击、产业用控制系统 现在美国和欧盟从国家战术层面开展各方面的员工,积极研究工业控制系统新闻安全的应对策略。 我国也在政策层面和研究层面积极开展事业,但我国工业控制系统新闻安全事业起步晚,总体技术研究还处于起步阶段,管理制度不健全,相关标准规范不完善,技术防护措施不完善,安全防范 因此,整合各方面的特征资源,促进工业控制系统新闻安全产业的形成是未来工业控制系统网络新闻安全快速发展的基本趋势。
另一方面工业控制系统新闻安全技术的迅速发展随着工业自动化系统的迅速发展而进化。 当前自动化系统迅速发展的趋势是数字化、智能化、互联网化、人机交互的人性。 在以前传来的逻辑控制和数字控制中应用越来越多的it技术。 产业控制系统的新闻安全技术将来也会利用以前流传下来的it技术,更加智能化和互联网化,成为控制系统不可或缺的一部分吧。 与以前传递给ip网络的新闻安全产品的研究开发途径类似,工业控制系统的新闻安全产品在新闻安全和工业生产控制之间找到符合点,形成工业控制系统特色鲜明的安全输入、安全控制、安全输出类产品体系 值得注意的是,随着工业控制系统新闻安全认识和相关技术的深化,与工业控制系统的功能安全、现场应用环境密切相关,会产生特色工业控制系统的安全防护工具、设备和系统。 (饶志宏)
标题:“工业控制系统新闻安全防护”
地址:http://www.pyldsnkxy.com/pyxw/18767.html