工業(yè)控制系統(tǒng)信息安全防護(hù)技術(shù)體系

責(zé)任編輯:editor006

2014-12-30 17:21:07

摘自:中自網(wǎng)

為實(shí)現(xiàn)功能安全前提下的工業(yè)控制系統(tǒng)信息安全,需要構(gòu)筑工業(yè)控制系統(tǒng)信息安全事前、事中和事后的全面管理、整體安全的防護(hù)技術(shù)體系。事前防御技術(shù)是工業(yè)控制信息安全防護(hù)技術(shù)體系中較為重要的部分,目前有很多成熟的基礎(chǔ)技術(shù)可以利用:

工業(yè)控制系統(tǒng)信息安全內(nèi)涵、需求和目標(biāo)特性,決定了需要一些特殊的信息安全技術(shù)、措施,在工業(yè)生產(chǎn)過程中的IED、PLC、RTU、控制器、通信處理機(jī)、SCADA系統(tǒng)和各種實(shí)際的、各種類型的可編程數(shù)字化設(shè)備中使用或配置,達(dá)到保障工業(yè)控制系統(tǒng)生產(chǎn)、控制與管理的安全功能目標(biāo)。所有自動(dòng)控制系統(tǒng)信息安全的基礎(chǔ)技術(shù)是訪問控制和用戶身份認(rèn)證,在此基礎(chǔ)上發(fā)展了一些通過探針、信道加密、數(shù)據(jù)包核查和認(rèn)證等手段保護(hù)通信數(shù)據(jù)報(bào)文安全的技術(shù)。為實(shí)現(xiàn)功能安全前提下的工業(yè)控制系統(tǒng)信息安全,需要構(gòu)筑工業(yè)控制系統(tǒng)信息安全事前、事中和事后的全面管理、整體安全的防護(hù)技術(shù)體系。

1) 事前防御技術(shù)

事前防御技術(shù)是工業(yè)控制信息安全防護(hù)技術(shù)體系中較為重要的部分,目前有很多成熟的基礎(chǔ)技術(shù)可以利用:

訪問控制/工業(yè)控制專用防火墻

身份認(rèn)證

ID設(shè)備

基于生物特征的鑒別技術(shù)

安全的調(diào)制解調(diào)器

加密技術(shù)

公共密鑰基礎(chǔ)設(shè)施(PKI)

虛擬局域網(wǎng)(VPN)

2)事中響應(yīng)技術(shù)

入侵檢測(cè)(IDS)技術(shù)對(duì)于識(shí)別內(nèi)部的錯(cuò)誤操作和外部攻擊者嘗試獲得內(nèi)部訪問權(quán)限的攻擊行為是非常有效的。它能夠檢測(cè)和識(shí)別出內(nèi)部或外部用戶破壞網(wǎng)絡(luò)的意圖。IDS有兩種常見的形式:數(shù)字簽名檢測(cè)系統(tǒng)和不規(guī)則檢測(cè)系統(tǒng)。入侵者常常通過攻擊數(shù)字簽名,從而獲得進(jìn)入系統(tǒng)的權(quán)限或破壞網(wǎng)絡(luò)的完整性。數(shù)字簽名檢測(cè)系統(tǒng)通過將現(xiàn)在的攻擊特性與已知攻擊特性數(shù)據(jù)庫(kù)進(jìn)行比對(duì),根據(jù)選擇的靈敏程度,最終確定比對(duì)結(jié)果。然后,根據(jù)比對(duì)結(jié)果,確定攻擊行為的發(fā)生,從而阻斷攻擊行為并且通報(bào)系統(tǒng)管理員當(dāng)前系統(tǒng)正在遭受到攻擊。不規(guī)則檢測(cè)技術(shù)通過對(duì)比正在運(yùn)行的系統(tǒng)行為和正常系統(tǒng)行為之間的差異,確定入侵行為的發(fā)生且向系統(tǒng)管理員報(bào)警。例如,IDS能夠檢測(cè)在午夜時(shí)分系統(tǒng)不正常的活躍性或者外部網(wǎng)絡(luò)大量訪問某I/O端口等。當(dāng)不正常的活動(dòng)發(fā)生時(shí),IDS能夠阻斷攻擊并且提醒系統(tǒng)管理員。

以上兩種IDS系統(tǒng)都有其優(yōu)點(diǎn)和缺點(diǎn),但是,它們都有一個(gè)相同的問題—如何設(shè)置檢測(cè)靈敏度。高靈敏度會(huì)造成錯(cuò)誤的入侵報(bào)警, IDS會(huì)對(duì)每個(gè)入侵警報(bào)作相應(yīng)的系統(tǒng)動(dòng)作,因此,過多的錯(cuò)誤入侵警報(bào),不僅會(huì)破壞正常系統(tǒng)的某些必須的功能,而且還會(huì)對(duì)系統(tǒng)造成大量額外的負(fù)擔(dān)。而低靈敏度會(huì)使IDS不能檢測(cè)到某些入侵行為的發(fā)生,因此IDS會(huì)對(duì)一些入侵行為視而不見,從而使入侵者成功進(jìn)入系統(tǒng),造成不可預(yù)期的損失。

3)事后取證技術(shù)

審計(jì)日志機(jī)制是對(duì)合法的和非合法的用戶的認(rèn)證信息和其他特征信息進(jìn)行記錄的文件,是工業(yè)控制系統(tǒng)信息安全主要的事后取證技術(shù)之一。因此,針對(duì)每個(gè)對(duì)系統(tǒng)的訪問及其相關(guān)操作均需要被記錄在案。當(dāng)診斷和審核網(wǎng)絡(luò)電子入侵是否發(fā)生時(shí),審計(jì)日記是必不可少的判斷標(biāo)準(zhǔn)之一。此外,系統(tǒng)行為記錄也是工業(yè)SCADA系統(tǒng)信息安全的常用技術(shù)。

上述討論的是在工業(yè)控制系統(tǒng)信息安全中一些常用的、常規(guī)性技術(shù),而在工業(yè)控制系統(tǒng)信息安全實(shí)施過程中,主要有以下一些特別的關(guān)鍵技術(shù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)