2021信息安全工程师学习笔记(二十四)
工控安全需求分析与安全保护工程
1、工控系统安全威胁与需求分析
工业控制系统概念:由各种控制组件、监测组件、数据处理与展示组件共同构成的对工业生产过程进行控制和监控的业务流程管控系统;简称工控系统(ICS);分为离散制造类和过程控制类。控制系统包括:
- SCADA系统。数据采集与监视控制系统。以计算机为基础对远程分布运行的设备进行监控,功能包括数据采集、参数测量和调节。由主终端控制单元(MTU)、通信线路和设备、远程终端单位(RTU)组成;
- 分布式控制系统(DCS):对生产过程进行分布控制、集中管理的系统;一般包括现场控制级、系统控制级和管理级两/三个层次;
- 过程控制系统(PCS):实时采集被控设备状态参数进行调节,以保证被控设备保存某一特定状态的控制系统;
- 可编程逻辑控制器(PLC):主要执行各类运算、顺序控制、定时等指令;
- 主终端设备(MTU):用于生产过程的信息收集和监测;
- 远程终端设备(RTU):用于生产过程的信息采集、自动测量记录和传导;
- 人机界面(HMI):工业控制系统主要采用计算机终端进行人机交互工作;
- 工控通信网络:是各种工业控制设备及组成单元的连接器;
工控系统的安全威胁:
- 自然灾害及环境;
- 内部安全威胁;
- 设备功能安全故障;
- 恶意代码;
- 网络攻击;
工业控制系统安全隐患类型:由传统IT技术及控制技术综合形成的复杂系统;主要安全隐患:
- 工控协议安全;
- 工控系统技术产品安全漏洞;
- 工控系统基础软件安全漏洞;
- 工控系统设备固件漏洞;
- 工控系统算法安全漏洞;
- 工控系统开放接入漏洞;
- 工控系统供应链安全;
工控系统网络信息安全需求顺序:可用性——完整性——保密性;
工控系统的网络信息安全:主要有技术安全要求和管理安全要求;
技术安全:
- 安全物理环境;
- 安全通信网络;
- 安全区域边界;
- 安全计算环境;
- 安全管理中心;
管理安全:
- 安全管理制度;
- 安全管理机构;
- 安全管理人员;
- 安全建设管理;
- 安全运维管理;
2、工控系统安全保护机制与技术
安全隔离类型分为:物理隔离、网络逻辑隔离;
常见的工业控制边界安全防护设备:工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关;
身份认证与访问控制具体内容:
- 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理;
- 以最小特权原则分配账户权限;
- 强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码;
- 加强对身份认证证书信息的保护力度;
远程访问安全要求:
- 严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务;
- 采用数据单向访问控制等策略进行安全加固;
- 采用虚拟专用网络(VPN);
- 对操作过程进行安全审计;
恶意代码防范要求:
- 经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件;
- 建立工业控制系统防病毒和恶意软件入侵管理机制;
- 密切关注重大工控安全漏洞及其补丁发布;
工控数据安全:工业生产数据是工业企业的核心资源。常见的工业数据类型:
- 研发数据:研发设计数据、开放测试数据等;
- 生产数据:控制信息、工况状态、工艺参数、系统日志;
- 运维数据:物流数据、业务统计数据等;
- 外部数据:与其他主体共享的数据等
- 管理数据:系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等;
工控数据安全防护措施:
- 对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理;
- 定期备份关键业务数据;
- 对测试数据进行保护;
网络安全监测与应急响应相关要求:
- 工业控制网络部署安全监测设备;
- 部署具有工业协议深度包检测功能的防护设备;
- 制定工控安全事件应急响应预案;
- 定期进行演练;
- 对关键设备进行冗余配置;
2017年工业和信息化部发布了《工业控制系统信息安全事件应急管理工作指南》
3、工控系统安全综合应用案例分析
电子监控系统的安全策略:安全分区、网络专用、横向隔离、纵向认证
安全分区:安全区域主要分成生产控制大区和管理信息大区;
- 生产控制大区:分为控制区和非控制区;
- 管理信息大区:若干业务安全区;
- 生产控制大区应当选用安全可靠的硬件防火墙;
网络专用:电力监控系统的调度控制网络采用专用网络;
横向隔离:是电力二次安全防护体系的横向防线;在生产控制大区与管理信息大区之间设置电力专用横向单向安全隔离装置,隔离强度应当接近或达到物理隔离;
纵向认证:采用认证、加密、访问控制等技术措施实现数据的远方安全传输以及纵向边界的安全防护。在生产控制大区与广域网的纵向连接处设置电力专用纵向加密认证装置或者加密认证网关及相应设施。安全接入内纵向通信应当采用基于非对称密钥技术的单向认证;
工控安全防护厂商方案:主要包含以下几部分:
- InTrust工控可信计算安全平台;
- Guard工业防火墙;
- 中央管理平台(CMP);
- 安全管理平台(SMP);
2021信息安全工程师学习笔记(二十四)相关推荐
- 信息安全工程师学习笔记《第四章》
第四章 网络安全体系与网络安全模型 本章内容主要包括: 第一,讲述了网络安全体系的基本概念以及相关安全模型,主要包括机密性模型.完整性模型.信息流模型.信息保障模型.能力成熟度模型.纵深防御模型.分层 ...
- 2021信息安全工程师学习笔记(四)
第四章 网络安全体系与网络安全模型 1.网络安全体系概述 网络安全体系是网络安全保证系统的最高层概念抽象 网络安全体系特征:整体性.协同性.过程性.全面性.适应性 网络安全体系用途 有利于系统性化解网 ...
- 2021信息安全工程师学习笔记(二)
第二章 网络攻击原理与常用方法 1.网络攻击概述 网络攻击模型: 1.攻击树模型 用AND-OR形式的树结构 优点:采取专家头脑风暴法,并且将这些意见融合到攻击树中去:能进行费效分析或者概率分析:能够 ...
- [傅里叶变换及其应用学习笔记] 二十四. 级联,脉冲响应
我们上节课学习了 在离散有限维空间中,任何线性系统都是通过矩阵间的相乘得到的 在连续无限维空间中,任何线性系统都是通过对核函数的积分得到的 脉冲响应(impulse response) 级联线性系统( ...
- Mr.J-- jQuery学习笔记(二十四)--剖析jQuery源码--extend
定义和用法 jQuery.extend() 函数用于将一个或多个对象的内容合并到目标对象. 注意:1. 如果只为$.extend()指定了一个参数,则意味着参数target被省略.此时,target就 ...
- 2021信息安全工程师学习笔记(十三)
网络安全漏洞防护技术原理与应用 1.网络安全漏洞概述 网络安全漏洞概念:又称为脆弱性,简称漏洞.一般是致使网络信息系统安全策略相冲突的缺陷,称为安全隐患.影响:机密性受损.完整性破坏.可用性降低.抗抵 ...
- 立创eda学习笔记二十四:拼板
这里主要是两部分:自带拼板和手动拼板,软件自带拼板功能,那么手动拼板当然就是自己重新画图拼板了. 一般用自带拼板功能就可以了,把单板画好之后很容易就拼好了,完全不用动任何器件和丝印编号,单板会被理解成 ...
- 软考信息安全工程师学习笔记汇总
软考信息安全工程师学习笔记汇总 https://www.moondream.cn/?p=178 2020年软考信息安全工程师备考学习资料包 1.<信息安全工程师教程>重点标记版 2.& ...
- Windows保护模式学习笔记(十四)—— 阶段测试
Windows保护模式学习笔记(十四)-- 阶段测试 题目一 解题步骤 题目二 解题步骤 题目一 描述:给定一个线性地址,和长度,读取内容 int ReadMemory(OUT BYTE* buffe ...
- QT学习笔记(十四):QLayout的属性介绍
QT学习笔记(十四):QLayout的属性介绍 主要包括QBoxLayout.和QGridLayout以及QFormLayout等的参数类似. 我主要说明一下QGridLayout在QtDesigne ...
最新文章
- origin画密度直方分布图
- 福特数据总监:汽车业的大数据框架如何构建?
- 【NLP实战系列】朴素贝叶斯文本分类实战
- Android-Multidex安装流程解析
- 分布式系统:CAP 理论的前世今生
- html在文本框选中后在表格中选中,excel表格出现文本框的解决方法步骤
- 性能强悍的开源关系数据库PostgreSQL
- 囚徒困境(博弈论的诡计)
- 不想一直做底层码农的请进~
- 紫外线杀菌器:Photoscience紫外线杀菌器在食品饮料中的作用
- 留言系统php课程设计,PHP课程设计网络留言板
- c语言数据流量换算算法,流量累积计算.doc
- qq 登陆界面怎么测试
- 敏捷开发系列学习总结(18)——Scrum Master的情景领导力模型
- 三极管:NPN和PNP
- php 一键登录插件,帝国CMS一键登录插件(带后台管理)
- 独家:为了永不停机的计算服务 - 五月月刊 | 凌云时刻
- 用Canvas为网页添加动态背景
- 商务办公用什么邮箱,注册163.net邮箱怎么样
- Recovery HBOOT SPL RADIO APP2SD 金卡