论文部分内容阅读
摘 要:工业控制系统被广泛应用到诸多国家关键基础设施行业,工业控制系统信息安全事关经济发展、社会稳定和国家安全。本文介绍了工业控制系统信息安全存在的问题,并提出了改进的措施。
关键词:企业;工业控制系统;信息安全工作
1 工业控制系统
所谓工业控制系统是由各种自动化控制组件和对实时数据实施采集与监测的环节控制组件共同构成的确保工业基础设施自动化运行,实现过程控制和监控的业务流程管控系统,其核心组件包括监视控制与数据采集(SCADA)系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)和确保各组件通信的接口技术。
2 工业控制系统信息安全存在的问题
2.1 对工业控制系统的理解还存在不到位的情况
监视控制与数据采集(SCADA)系统是指在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。它以计算机为基础,对远程分布运行设备进行监控调度,其主要功能包括数据采集、参数测量和调节、信号报警等。SCADA 系统一般由设在控制中心的主终端控制单元(M TU)、通信线路和设备、远程终端单元(RTU)等组成。
2.2 工业控制系统与企业网连接较随意
由于实际业务的需要,工控系統可能需要连接企业网。但是工控系统连接企业网不是想当然的想连就连,尤其是连接涉密网,必须严格按照有关要求做好相关准备工作,在条件具备的情况下才能连接企业网。
2.3 对工控系统有关标准和要求的了解不太全面
国家针对工控系统下发过一些通知文件,对工控系统安全工作提出要求。国家也针对工控系统编制了有关标准,包括正在编制很多工控系统的标准。有些单位落实国家有关文件要求和标准还有差距。
3 建设工业控制系统信息安全
3.1 增强工业控制系统信息安全意识
企业的领导尤其是高层领导应该对工控安全保障工作做出战略性的引导和部署,在思想上提高重视,切实把工业控制系统信息安全工作列入重要议事日程,全面贯彻落实规章制度。每个员工都必须自觉的做好工业控制系统信息安全工作。要加强企业内部信息安全知识和技能的教育培训,强化员工的安全意识,掌握相应的安全知识和安全技能,全面提升企业工业控制系统信息安全的保障能力。
3.2 优化工控安全网络环境,建立工控安全防护系统
一方面,在工控网络与企业管理网之间设立工业防火墙,并对工控网络尽心虚拟化配置,将工控网络与外部因特网最大化地隔离起来,仅保证有效的信息系统交互。另一方面,对工控网络关键出入节点进行监听,加强识别工控网络威胁的预防。最终实现从国家到各省市到各企业的“一网一库三平台”建设。
3.3 技术方面
(1)做好防病毒工作。防病毒软件以及应用程序白名单程序能有效阻止病毒的传播,未授权应用程序和服务无法运行。安装可靠的安全软件以及建立相应的安全管理制度,确保工业控制系统的安全。(2)配置和补丁管理。做好工业控制网络、服务器和设备的安全配置,定时备份配置,完善日志审计工作。对重大配置变更,一定要先做好备份并进行严格的事前安全测试。在系统补丁安装前,需对补丁进行严格的安全评估和测试验证。(3)边界安全防护企业。应根据实际情况,在不同网络边界之间部署防火墙、入侵防御、网闸等设备,实现安全访问控制,阻断非法访问行为,工业控制网络原则上严格禁止与互联网连接。(4)身份认证。在主机设备登录、应用服务资源访问等过程中要进行严格的身份认证。对于关键设备、系统和平台的访问采用多种认证方式;合理分类设置账户权限,以最小特权原则分配账户权限;加强密码管理,设置密码复杂性规则,定期更新口令;逐步采用介质、指纹、人脸识别等新技术,加强对身份的认证。(5)远程访问控制。严格控制工业控制系统开通 HTTP、SSH、FTP、Telnet等服务,确需远程访问的,采用数据单向访问控制等策略进行访问,对访问的 IP 地址进行控制,并采用加标锁定策略。确需远程访问的,采用 VPN 等方式接入。充分保存相应的访问日志,并定期进行安全审计。(6)数据安全对数据的存储。进行访问加密,传输过程进行链路加密。根据重要性对数据进行分级管理。定期备份关键数据信息,建立数据安全管理制度。部署 VPN 对数据传输通道进行加密保护。部署数据审计系统。
3.4 国家建立工控安全贯标体系,规范企业工控行为
通过国家工控安全部门,制定工控安全行业规范,推行工控系统行业标准化,可以让企业工控安全系统得到系统的梳理诊断,并制定出具有企业工控安全系统特色的改进措施和行为规范,从而保证工控系统安全运行。
4 全面信息化管理的发展趋势
在网络技术不断成熟的大背景下,网络安全将是企业实现全面信息化管理的基本保障,优化网络安全,构建更成熟、更可靠的网络安全防护系统意义重大;我国嵌入式技术和视频处理技术日渐成熟,将视频相关的功能使用到企业的管理中将使得信息化管理系统发挥更大的决策支持作用,借助视频监控、视频会议、视频分析等功能,企业可在视频数据中挖掘更重要的核心信息,有助于企业更快的发展。与此同时,随着网络工程的发展和企业信息化的深入,工程项目信息化管理的服务商会逐步涌现出来,通过网络技术、计算机技术与云计算技术结合,信息化管理服务将会变得中心化,被服务提供商以产品的形式出售给市场,面对这样的发展前景,企业需要充分结合市场信息化管理服务与企业内部信息化管理系统的配合,企业只有做好信息的监管和整理,提升自己信息化管理水平,才能迎接未来信息化管理的市场局面,无惧国内和国际同行的挑战。
5 结语
当前,工业控制系统面临的来自内外部的安全隐患和威胁日益增多,工业控制系统信息安全形势十分严峻。各工控系统使用单位必须提高对工控系统重要性的认识,按照国家有关标准和要求,扎实做好工控系统安全防护各项工作,确保工业控制系统安全稳定运行。
参考文献:
[1]陶耀东,李宁,曾广圣.工业控制系统安全综述[J].计算机工程与应用,2016.
[2]谢丰.工业控制系统网络攻击与安全防护思考[J].保密科学与技术,2016.
关键词:企业;工业控制系统;信息安全工作
1 工业控制系统
所谓工业控制系统是由各种自动化控制组件和对实时数据实施采集与监测的环节控制组件共同构成的确保工业基础设施自动化运行,实现过程控制和监控的业务流程管控系统,其核心组件包括监视控制与数据采集(SCADA)系统、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED)和确保各组件通信的接口技术。
2 工业控制系统信息安全存在的问题
2.1 对工业控制系统的理解还存在不到位的情况
监视控制与数据采集(SCADA)系统是指在工业生产控制过程中,对大规模远距离地理分布的资产和设备在广域网环境下进行集中式数据采集与监控管理的控制系统。它以计算机为基础,对远程分布运行设备进行监控调度,其主要功能包括数据采集、参数测量和调节、信号报警等。SCADA 系统一般由设在控制中心的主终端控制单元(M TU)、通信线路和设备、远程终端单元(RTU)等组成。
2.2 工业控制系统与企业网连接较随意
由于实际业务的需要,工控系統可能需要连接企业网。但是工控系统连接企业网不是想当然的想连就连,尤其是连接涉密网,必须严格按照有关要求做好相关准备工作,在条件具备的情况下才能连接企业网。
2.3 对工控系统有关标准和要求的了解不太全面
国家针对工控系统下发过一些通知文件,对工控系统安全工作提出要求。国家也针对工控系统编制了有关标准,包括正在编制很多工控系统的标准。有些单位落实国家有关文件要求和标准还有差距。
3 建设工业控制系统信息安全
3.1 增强工业控制系统信息安全意识
企业的领导尤其是高层领导应该对工控安全保障工作做出战略性的引导和部署,在思想上提高重视,切实把工业控制系统信息安全工作列入重要议事日程,全面贯彻落实规章制度。每个员工都必须自觉的做好工业控制系统信息安全工作。要加强企业内部信息安全知识和技能的教育培训,强化员工的安全意识,掌握相应的安全知识和安全技能,全面提升企业工业控制系统信息安全的保障能力。
3.2 优化工控安全网络环境,建立工控安全防护系统
一方面,在工控网络与企业管理网之间设立工业防火墙,并对工控网络尽心虚拟化配置,将工控网络与外部因特网最大化地隔离起来,仅保证有效的信息系统交互。另一方面,对工控网络关键出入节点进行监听,加强识别工控网络威胁的预防。最终实现从国家到各省市到各企业的“一网一库三平台”建设。
3.3 技术方面
(1)做好防病毒工作。防病毒软件以及应用程序白名单程序能有效阻止病毒的传播,未授权应用程序和服务无法运行。安装可靠的安全软件以及建立相应的安全管理制度,确保工业控制系统的安全。(2)配置和补丁管理。做好工业控制网络、服务器和设备的安全配置,定时备份配置,完善日志审计工作。对重大配置变更,一定要先做好备份并进行严格的事前安全测试。在系统补丁安装前,需对补丁进行严格的安全评估和测试验证。(3)边界安全防护企业。应根据实际情况,在不同网络边界之间部署防火墙、入侵防御、网闸等设备,实现安全访问控制,阻断非法访问行为,工业控制网络原则上严格禁止与互联网连接。(4)身份认证。在主机设备登录、应用服务资源访问等过程中要进行严格的身份认证。对于关键设备、系统和平台的访问采用多种认证方式;合理分类设置账户权限,以最小特权原则分配账户权限;加强密码管理,设置密码复杂性规则,定期更新口令;逐步采用介质、指纹、人脸识别等新技术,加强对身份的认证。(5)远程访问控制。严格控制工业控制系统开通 HTTP、SSH、FTP、Telnet等服务,确需远程访问的,采用数据单向访问控制等策略进行访问,对访问的 IP 地址进行控制,并采用加标锁定策略。确需远程访问的,采用 VPN 等方式接入。充分保存相应的访问日志,并定期进行安全审计。(6)数据安全对数据的存储。进行访问加密,传输过程进行链路加密。根据重要性对数据进行分级管理。定期备份关键数据信息,建立数据安全管理制度。部署 VPN 对数据传输通道进行加密保护。部署数据审计系统。
3.4 国家建立工控安全贯标体系,规范企业工控行为
通过国家工控安全部门,制定工控安全行业规范,推行工控系统行业标准化,可以让企业工控安全系统得到系统的梳理诊断,并制定出具有企业工控安全系统特色的改进措施和行为规范,从而保证工控系统安全运行。
4 全面信息化管理的发展趋势
在网络技术不断成熟的大背景下,网络安全将是企业实现全面信息化管理的基本保障,优化网络安全,构建更成熟、更可靠的网络安全防护系统意义重大;我国嵌入式技术和视频处理技术日渐成熟,将视频相关的功能使用到企业的管理中将使得信息化管理系统发挥更大的决策支持作用,借助视频监控、视频会议、视频分析等功能,企业可在视频数据中挖掘更重要的核心信息,有助于企业更快的发展。与此同时,随着网络工程的发展和企业信息化的深入,工程项目信息化管理的服务商会逐步涌现出来,通过网络技术、计算机技术与云计算技术结合,信息化管理服务将会变得中心化,被服务提供商以产品的形式出售给市场,面对这样的发展前景,企业需要充分结合市场信息化管理服务与企业内部信息化管理系统的配合,企业只有做好信息的监管和整理,提升自己信息化管理水平,才能迎接未来信息化管理的市场局面,无惧国内和国际同行的挑战。
5 结语
当前,工业控制系统面临的来自内外部的安全隐患和威胁日益增多,工业控制系统信息安全形势十分严峻。各工控系统使用单位必须提高对工控系统重要性的认识,按照国家有关标准和要求,扎实做好工控系统安全防护各项工作,确保工业控制系统安全稳定运行。
参考文献:
[1]陶耀东,李宁,曾广圣.工业控制系统安全综述[J].计算机工程与应用,2016.
[2]谢丰.工业控制系统网络攻击与安全防护思考[J].保密科学与技术,2016.