工控安全经济型解决方案
发布日期:2022-05-27 点击:
工控安全经济型解决方案
前期写了一篇《工控系统会不会成为勒索病毒的“重灾区”》,曾讲到工控系统自身特点不利于传统安全产品使用。使得一谈到工控安全,就想到整改时可能会影响正常生产,想到要投入高昂设备和建设费用。今天给大家推荐一种经济型工控安全解决方案。
首先要分清IT系统网络安全和工控系统安全区别,IT系统网络安全这里不表,重要讲工控系统安全,工控系统安全分为功能安全(Safety)和信息安全(Security)。功能安全是保证工控系统或设备执行正确功能,当失效或故障发生时,设备和系统仍需保持安全条件或进入到安全状态;信息安全是保证信息的可用性、完整性、保密性,防范非授权的窃取、破坏。
工控系统和IT系统区别
分类 |
IT系统 |
工控系统 |
开放性 |
开放、互联 |
相对封闭 |
持续可靠性 |
一般 |
非常高 |
数据机密性 |
高 |
一般 |
设备及软件更新 |
频繁 |
较少更新 |
生命周期 |
5年左右 |
15-20年 |
应用协议 |
具有统一规范 |
五花八门 |
被破坏的后果 |
财产损失、公司名誉等 |
财产损失、人员生命、环境破坏等 |
信息安全需求 |
保密性〉完整性〉可用性 |
可用性〉完整性〉保密性 |
从上表看出工控系统相对封闭、持续可靠性要求非常高,生命周期长,从被破坏的后果来看,工控系统被破坏后人员生命和环境会遭受损失,可用性大于完整性和保密性。
如何做到经济又满足企业需求的工控网络安全系统呢?可以从以下三个方面入手:
01
提高全员网络安全意识
网络安全工作不仅是IT部门的任务,而且全员都有责任,提高全员网络安全意识是第一要务。IT部门应根据防护要求出台相对应的网络安全规章制度和针对性操作,比如关闭软盘、光盘、USB接口、串行口或多余的网口等。向全员普及网络安全知识,如禁用弱口令,禁止使用移动存储传输资料,不要点击来历不明邮件等。
02
强化设备理物环境安全,做好工控区域网络规划
室外控制设备应放置于采用铁板或防火材料制作的箱体中并紧固;箱体或装置应具有透风、散热、防盗、防雨和防火能力等。避免将室外控制设备放置于强电磁干扰、强热源等环境中,如无法避免应及时做好应急处置及检修。做好工控区域网络规划,可以借鉴电力安全“安全分区、网络专用、横向隔离、纵向认证”的十六字方针,中的较为经济“安全分区、横向隔离”八字方针。
安全分区
安全分区:如上图1所示,在整个网络结构按防护级别分出绿色、橙色、红色三块区域,绿色区域防护级别最低,红色区域防护级别最高,需针对性合理规划防护区域,重点防护红色区域。横向隔离:横向同色区域隔离,物理隔离的成本比较高,可以使用虚拟局域网(VLAN)。如一区受到攻击不影响其他被隔离的同色区域,保证运行可靠持性,最低限度减少破坏区域数量。
03
上位机采用白名单工控安全系统锁定运行软件
上位机是指可以直接发出操控命令的计算机,一般是工业级PC。下位机是直接控制设备获取设备状况的计算机,一般是PLC/单片机。上位机将操控指令传递给下位机,下位机将设备运行的数据反馈给上位机。如果上位机安全了,控制设备的下位机也是没有问题的,用白名单技术限制非法程序运行最后一道屏障。
AhnLab EPS 基于白名单工控安全系统
企业如能从以上三种方法入手,能解决大多数工控安全威胁。总之,企业要根据自身状况选择合适的安全建设和整改方案,做到安全性和便捷性平衡,没有最安全的解决方案,只有适合自已的解决方案。