工业控制系统信息安全VIP专享VIP免费

工业控制系统信息安全一、工业控制系统安全分析工业控制系统(IndustrialControlSystems,ICS)，是由各类自动化控制组件和实时数据收集、监测的进程控制组件一路组成。其组件包括数据收集与监控系统(SCADA)、散布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)，和确保各组件通信的接口技术。典型的ICS控制进程通常由控制回路、HMI、远程诊断与保护工具三部份组件一路完成，控制回路用以控制逻辑运算，HMI执行信息交互，远程诊断与保护工具确保ICS能够稳定持续运行。工业控制系统潜在的风险1.的安全漏洞问题由于考虑到工控软件与操作系统补丁兼容性的问题，系统开车后一般不会对Windows平台打补丁，致使系统带着风险运行。2.杀毒软件安装及升级更新问题用于生产控制系统的Windows操作系统基于工控软件与杀毒软件的兼容性的考虑，通常不安装杀毒软件，给病毒与歹意代码传染与扩散留下了空间。3.利用、光盘致使的病毒传播问题。由于在工控系统中的管理终端一般没有技术办法对U盘和光盘利用进行有效的管理，致使外设的无序利用而引发的安全事件时有发生。4.设备维修时笔记本电脑的随意接入问题工业控制系统的管理保护，没有抵达必然安全基线的笔记本电脑接入工业控制系统，会对工业控制系统的安全造成很大的要挟。5.存在工业控制系统被成心或无心控制的风险问题若是对工业控制系统的操作行为没有监控和响应办法，工业控制系统中的异样行为或人为行为会给工业控制系统带来很大的风险。6.工业控制系统控制终端、、网络设备故障没有及时发现而响应延迟的问题对工业控制系统中IT基础设施的运行状态进行监控，是工业工控系统稳定运行的基础。“两化融合”给工控系统带来的风险工业控制系统最先和企业管理系统是隔离的，但最近几年来为了实现实时的数据收集与生产控制，知足“两化融合”的需求和管理的方便，通过逻辑隔离的方式，使工业控制系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet，在这种情况下，工业控制系统接入的范围不仅扩展到了企业网，而且面临着来自Internet的要挟。同时，企业为了实现管理与控制的一体化，提高企业信息化合综合自动化水平，实现生产和管理的高效率、高效益，引入了生产执行系统MES，对工业控制系统和管理信息系统进行了集成，管理信息网络与生产控制网络之间实现了数据互换。致使生产控制系统再也不是一个独立运行的系统，而要与管理系统乃至互联网进行互通、互联。工控系统采用通用软硬件带来的风险工业控制系统向工业以太网结构发展，开放性愈来愈强。基于以太讯的OPC技术在该领域取得普遍应用。在工业控制系统中，由于工业系统集成和利用的便利性，大量利用了工业以太环网和OPC通信协议进行了工业控制系统的集成;同时，也大量的利用了PC服务器和终端产品，操作系统和数据库也大量的利用了通用的系统，很容易受到来自企业管理网或互联网的病毒、木马、黑客的解决。2、MES层与工业控制层之间的安全防护通过在MES层和生产控制层部署工业，可以阻止来自企业信息层的病毒传播;阻挡来自企业信息层的非法入侵;管控OPC客户端与的通信，实现以下目标：➢区域隔离及通信管控：通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信，那么网络故障会被控制在最初发生的区域内，而不会影响到其它部份。➢实时报警：任何非法的访问，通过管理平台产生实时报警信息，从而使故障问题会在原始发生区域被迅速的发现和解决。MES层与工业控制层之间的安全防护如下图所示：工控系统安全防护分域安全域是指同一系统内有相同的安全保护需求，彼此信赖，并具有相同的安全访问控制和边界控制策略的子网或网络，且相同的网络安全域共享一样的安全策略。在管理层、制造执行层、工业控制层中，进行管理系统安全子域的划分，制造执行安全子域的划分、工业控制安全子域的划分。安全域的合理划分，利用每一个安全域都要明确的边界，便于对安全域进行安全防护。对MES、ICS的安全域划分如下图所示：如上图所示，为了保证各个生产线的安全，对各个生产线进行了安全域划分，同时在安全域之间进行了安全隔离防护。工控系统安全防护...