序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了1篇的工控系統(tǒng)信息安全檢查技術探索樣本����,期待這些樣本能夠為您提供豐富的參考和啟發(fā)��,請盡情閱讀��。
1工控系統(tǒng)信息安全檢查的背景
隨著世界工業(yè)生產(chǎn)水平的飛速發(fā)展����,我國也成為世界第一制造大國。為保障國家工業(yè)的持續(xù)發(fā)展�,德國在2013年提出“工業(yè)4.0”���,美國也相應的提出“工業(yè)互聯(lián)網(wǎng)”的概念,我國則提出了“中國制造2025”保證工業(yè)上的競爭力�。不管是工業(yè)4.0還是中國制造2025��,其本質(zhì)都是工業(yè)化和信息化的深度融合�,使工業(yè)達到自動化����,數(shù)據(jù)包括工業(yè)數(shù)據(jù)通過高度的信息化發(fā)展�,能夠在生產(chǎn)環(huán)境和管理環(huán)境中自由暢通?��?梢园葱枭a(chǎn)產(chǎn)品卻不用改變生產(chǎn)線的設備����,管理層也可以得到相應數(shù)據(jù)����,對生產(chǎn)的情況和發(fā)展做到胸有成竹�����。但便利的同時新的問題也隨之而來,就是安全性很難在原有基礎上得到保障��,變成了一把雙刃劍�。此外原本就有一些人對工控安全覬覦��,以期得到利益的人有了可乘之機����。基于此���,我國政府也一直在關注著工控系統(tǒng)信息安全,親任網(wǎng)絡安全和信息化領導小組組長��,并做過多次重要指示����。
2工控系統(tǒng)信息安全的威脅來源
安全問題一直是工業(yè)企業(yè)重視的方面,包括防火防盜生產(chǎn)安全����,但隨著信息技術的發(fā)展,工控系統(tǒng)信息安全也是企業(yè)面臨的一個問題����。威脅主要來源于是以下幾個方面:(1)來自國家層面的威脅。當今世界雖然和平與發(fā)展是主流���,但暗流涌動之下,信息打擊是國家之間取得戰(zhàn)爭勝利的一個手段�����。以最為出名的伊朗核試驗震網(wǎng)案例來講����,從技術手段到攻擊方式都不是幾個黑客組織所能完成的體量��,多個0day漏洞��,對工控設備的深層了解�,顯然是國家級別才能達到的水平����。(2)來自黑客利益組織的威脅��。黑客組織發(fā)展到一定階段也會發(fā)生以謀求經(jīng)濟利益為目的的入侵。如2017年5月份爆發(fā)的永恒之藍病毒(WannaCry)���,結(jié)果就是以勒索獲得金錢上的利益����。其中受到感染的也包括了工業(yè)主機這樣的工控設備�,給企業(yè)自身的生產(chǎn)帶來困難�,給企業(yè)的經(jīng)濟帶來損失。所以帶有這種目的的黑客組織也不容忽視����,企業(yè)自身必須做好防護,做好工業(yè)互聯(lián)網(wǎng)的安全工作���。(3)來自技術愛好者的威脅。有些信息技術的愛好者�,對于技術很有追求,但對于攻破工控系統(tǒng)的防御并沒有意識到帶來的危害性��。有時可能還是無心之錯�����,但危害卻不比知道的小�����?���?赡軅€人攻擊到某個網(wǎng)站的后臺,某個SCADA系統(tǒng)的控制界面�,造成企業(yè)無法正常生產(chǎn),一樣會被追究責任��。但作為企業(yè)應該盡量避免這樣的事件發(fā)生。(4)來自本身企業(yè)員工的威脅�。企業(yè)的員工可能會對企業(yè)給予的待遇或者薪金不夠認可,也可能在企業(yè)中沒有歸屬感��,那么一旦他利用信息后門的漏洞���,可能會威脅企業(yè)要求得到經(jīng)濟上的利益。而如果懷有此意向的員工恰好是企業(yè)中有關工業(yè)互聯(lián)網(wǎng)或者生產(chǎn)線上的操作員站的員工�����,那么就有可能產(chǎn)生不好的后果,造成企業(yè)生產(chǎn)上的損失�。
3工控系統(tǒng)信息安全檢查的方式和技術
工業(yè)現(xiàn)場與一般的環(huán)境有所不同��,行業(yè)眾多����,情況復雜,設備種類繁多�����,因此對于工控系統(tǒng)安全檢查的方法就需要根據(jù)實際情況來做具體的安排���。
3.1工控系統(tǒng)信息安全檢查的依據(jù)
檢查的依據(jù)是《中國人民共和國網(wǎng)絡安全法》、《工業(yè)控制系統(tǒng)信息安全防護指南》�、《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》,以防護指南為主體�,從十一個方面��,三十個小項來對工業(yè)企業(yè)檢查。
3.2從物理空間劃分
(1)被檢查企業(yè)需要提供一個辦公場所����。可以是企業(yè)的會議室等����,能夠容納檢查人員和企業(yè)配合人員����。(2)現(xiàn)場設備的生產(chǎn)線或加工車間。(3)中控室或者調(diào)度中心����。這部分是檢查的重點,數(shù)據(jù)服務器以及DCS����、SCADA系統(tǒng)的信息安全防護從這里檢查��。(4)機房和車間辦公室��。網(wǎng)絡設備和大多數(shù)服務器都在這里�,對網(wǎng)絡信息的配置和防范都可以在這里體現(xiàn),另外如果有MES系統(tǒng)也應該放置在這里��。
3.3從時間流程劃分
(1)首次會議�����。作為和企業(yè)對接的正式會議���,向企業(yè)宣貫工控安全檢查的意義和方式,同時聽取企業(yè)信息和工控安全的介紹情況�。(2)正式的檢查工作。需要企業(yè)人員的配合����,到車間等進行實地的檢查���。(3)末次會議�����。對檢查的情況與企業(yè)進行溝通和梳理����,并給出整改的初步方案�。
3.4具體的檢查方法和方式
根據(jù)指南和評估工作管理辦法,結(jié)合工業(yè)控制現(xiàn)場的特點��,工控信息安全檢查工作可分為兩大類:1)訪談查閱類�����;2)核查檢測類�����。檢查的方式有四種:1)人員訪談2)文檔查閱3)人工核查4)工具檢測����。從現(xiàn)場檢查的結(jié)構可以分為:現(xiàn)場設備層����,如工業(yè)現(xiàn)場的PLC、DCS����、DTU、RTU等;過程監(jiān)控層,如工業(yè)主機�,數(shù)據(jù)服務器;企業(yè)管理層���,如MES���、ERP、MIS等����。而在這些層次之間的就是聯(lián)接他們的通訊設備,如現(xiàn)場總線profibus-DP�、Modbus和網(wǎng)絡交換機、路由這類的網(wǎng)絡設備����。檢查人員可以分為兩組��,一組在企業(yè)提供的會議室里查閱文檔和訪談����,內(nèi)容都是涉及防護指南里覆蓋的十一個方面。通過這些手段和企業(yè)人員交流�,以便達到從文件性質(zhì)上了解工控安全防護的程度�����。另一組則是現(xiàn)場檢查,發(fā)現(xiàn)具體的問題和核實文檔記錄的真實性?����,F(xiàn)場檢查可以分為工業(yè)主機檢查���、網(wǎng)絡設備檢查��、網(wǎng)絡防護設備檢查����、服務器檢查��、數(shù)據(jù)安全和物理環(huán)境檢查�����、網(wǎng)絡邊界檢查等�����。以工業(yè)主機檢查為例�,為了不給企業(yè)生產(chǎn)帶來損失��,使用的都是操作系統(tǒng)自帶的命令行命令檢查�。此外還可以使用經(jīng)過認證的資產(chǎn)發(fā)現(xiàn)設備或者漏洞掃描設備��,但在生產(chǎn)過程中不建議使用工具這種手段��。
4工控系統(tǒng)信息安全檢查技術的展望
雖然檢查技術已經(jīng)比較成熟�,并且也開展了三年多的時間��,但有些地方仍有改進的地方�。比如在對PLC等現(xiàn)場設備層的檢查技術仍很薄弱,怎么能夠深入到串行總線和設備固件中找到漏洞并加固是工控系統(tǒng)信息安全檢查的發(fā)展方向之一�����。
參考文獻:
[1]工業(yè)和信息化部關于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》的通知.
[2]工業(yè)和信息化部關于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》的通知.
作者:穆偉然 單位:黑龍江省電子技術研究所
