亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        汽車工控系統(tǒng)信息安全管理

        2017-11-22 06:03:02
        網(wǎng)絡(luò)安全和信息化 2017年2期
        關(guān)鍵詞:系統(tǒng)管理

        引言: 關(guān)于工業(yè)控制系統(tǒng)信息安全防護(hù)的指南,從11個(gè)方面對(duì)企業(yè)在工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評(píng)估的信息安全建設(shè)方面提供了操作依據(jù)。本文圍繞其中幾個(gè)方面來探討汽車行業(yè)的工控系統(tǒng)的信息安全建設(shè)。

        在2016年11月份,國家相關(guān)部門發(fā)布了關(guān)于工業(yè)控制系統(tǒng)信息安全防護(hù)的指南,從11個(gè)方面對(duì)企業(yè)在工業(yè)控制系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評(píng)估的信息安全建設(shè)方面提供了操作依據(jù)。

        筆者認(rèn)為該指南是對(duì)2011年所發(fā)布的關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的進(jìn)一步細(xì)化,將原來的6個(gè)要求進(jìn)行了細(xì)分:安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任。下面筆者將圍繞其中的幾個(gè)方面來探討一下汽車行業(yè)的工業(yè)控制系統(tǒng)的信息安全建設(shè)。

        信息安全工作無論是傳統(tǒng)IT領(lǐng)域還是工業(yè)控制領(lǐng)域,領(lǐng)導(dǎo)的重視永遠(yuǎn)是第一位的。即上述11個(gè)方面的落實(shí)責(zé)任:通過建立工控安全管理機(jī)制、成立信息安全協(xié)調(diào)小組等方式,明確工控安全管理責(zé)任人,落實(shí)工控安全責(zé)任制,部署工控安全防護(hù)措施。這是一個(gè)從上而下的工作。在建立工控安全管理機(jī)制之前,首先需要改變領(lǐng)導(dǎo)的觀念,以國家規(guī)范標(biāo)準(zhǔn)、通知、指南等為契機(jī),從滿足合規(guī)性需求出發(fā),結(jié)合汽車生產(chǎn)實(shí)際業(yè)務(wù),分析當(dāng)前業(yè)務(wù)風(fēng)險(xiǎn)為主,向高層領(lǐng)導(dǎo)提供決策依據(jù),引起高層領(lǐng)導(dǎo)足夠的重視。

        在引起領(lǐng)導(dǎo)的重視和支持后,便可以開始搭建工控系統(tǒng)信息安全管理組織架構(gòu)和建立相應(yīng)的制度,務(wù)必明確責(zé)任。責(zé)任的明確便于后續(xù)措施的落地,否則就變成了紙上談兵。汽車行業(yè)不同于其他行業(yè),工控系統(tǒng)一般用在生產(chǎn)車間,比如沖壓車間、車身車間、涂裝車間、總裝車間以及檢測(cè)線等。這些車間的工業(yè)控制系統(tǒng)的建設(shè)和維護(hù)又可能分屬兩個(gè)不同的部門管理,加上公司的信息化管理,對(duì)于工業(yè)系統(tǒng)來說屬于三方共管,如果責(zé)任不明確就會(huì)造成“三個(gè)和尚沒水喝”的現(xiàn)象。

        在責(zé)任明確之后,便可以進(jìn)行現(xiàn)狀調(diào)研和風(fēng)險(xiǎn)分析。工業(yè)控制系統(tǒng)的信息安全問題已經(jīng)打破了人們普遍存在的“病毒很少能對(duì)工業(yè)控制系統(tǒng)造成危害”的意識(shí)。而由于諸多原因,目前工業(yè)控制性的安全防護(hù)措施與意識(shí)還相對(duì)薄弱。

        工業(yè)控制系統(tǒng)因?yàn)闅v史上相對(duì)封閉的使用環(huán)境,工業(yè)控制系統(tǒng)在設(shè)計(jì)時(shí)多重視系統(tǒng)的功能實(shí)現(xiàn),對(duì)安全的關(guān)注相對(duì)較少。不像傳統(tǒng)IT信息系統(tǒng)軟件設(shè)計(jì)時(shí)有嚴(yán)格的安全軟件開發(fā)規(guī)范及安全測(cè)試流程,這必然造成工業(yè)控制系統(tǒng)不可避免地會(huì)有較多的安全缺陷。即工業(yè)控制系統(tǒng)面臨的漏洞可能要比傳統(tǒng)的信息系統(tǒng)還要多。漏洞的風(fēng)險(xiǎn)較高。

        “兩化融合”后,工業(yè)信息化、自動(dòng)化領(lǐng)域的條件和要求也發(fā)生了深刻的變化,實(shí)時(shí)的生產(chǎn)控制、數(shù)據(jù)采集、指令發(fā)布、信息通信成為一種普遍需求。原有的物理隔離狀態(tài)已經(jīng)不能適應(yīng)新常態(tài),不光是企業(yè)的辦公網(wǎng)、管理網(wǎng)以及其他業(yè)務(wù)網(wǎng)要實(shí)現(xiàn)工業(yè)控制系統(tǒng)互聯(lián)互通,就連Internet存在的各種安全威脅也成了本來就防御疏松的工控系統(tǒng)所不得不面對(duì)的嚴(yán)峻挑戰(zhàn)。各單位為實(shí)現(xiàn)管控一體化、綜合自動(dòng)化的要求已催生了工控系統(tǒng)從物理隔離向邏輯隔離的保護(hù)模式的重大改變,導(dǎo)致生產(chǎn)控制系統(tǒng)不再是一個(gè)獨(dú)立運(yùn)行的系統(tǒng)。為滿足新的發(fā)展目標(biāo),工業(yè)生產(chǎn)進(jìn)一步向信息化要效益。逐步催生工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展,而網(wǎng)絡(luò)的效能越凸顯,開放性就越來越強(qiáng)。大量的PC服務(wù)器和終端產(chǎn)品、通用的操作系統(tǒng)和數(shù)據(jù)庫也融入工業(yè)控制系統(tǒng),很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。

        而工業(yè)控制系統(tǒng)管理人員安全意識(shí)淡薄,汽車生產(chǎn)車間一般由生技部門、生管部門負(fù)責(zé),管理人員本身對(duì)信息安全就不夠重視,處于維護(hù)方便,設(shè)備維修時(shí)外聯(lián)的非授權(quán)筆記本、有意或無意插接的“帶病”移動(dòng)硬盤等將給工控系統(tǒng)帶來極大的安全隱患,使得病毒與惡意代碼在工控系統(tǒng)中可以肆意橫行。而出于工控軟件和操作系統(tǒng)補(bǔ)丁、殺毒軟件兼容性考慮,對(duì)工控系統(tǒng)未進(jìn)行補(bǔ)丁修復(fù)和殺毒軟件安裝的情況又導(dǎo)致這一風(fēng)險(xiǎn)危害雪上加霜。

        另一方面,由于安全意識(shí)缺乏,許多工業(yè)控制系統(tǒng)未對(duì)各系統(tǒng)組件進(jìn)行運(yùn)行狀態(tài)監(jiān)控,也未對(duì)使用者的日常操作行為加裝監(jiān)控和響應(yīng)技術(shù)手段,致使工業(yè)控制系統(tǒng)中的服務(wù)器、控制終端、網(wǎng)絡(luò)設(shè)備出現(xiàn)故障、使用人員的操作失誤和有意的危險(xiǎn)操作等問題未被及時(shí)發(fā)現(xiàn),導(dǎo)致延遲響應(yīng)或影響正常運(yùn)行。

        工業(yè)控制系統(tǒng)安全和傳統(tǒng)的信息安全不同,傳統(tǒng)的信息安全領(lǐng)域,通常認(rèn)為保密性優(yōu)先級(jí)最高,完整性次之,可用性最低;而在考慮工業(yè)控制系統(tǒng)時(shí),則需要首先考慮系統(tǒng)的可用性,其次是完整性,最后才是保密性。

        在初步分析了工業(yè)控制系統(tǒng)的安全風(fēng)險(xiǎn)后,接下來便是建立工業(yè)控制系統(tǒng)信息安全的防護(hù)體系。對(duì)照指南要求,查缺補(bǔ)漏。對(duì)于能即刻改進(jìn)的進(jìn)行立即優(yōu)化,比如物理和環(huán)境安全防護(hù):拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用,通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問控制。對(duì)于筆者單位來說,工業(yè)控制系統(tǒng)信息安全技術(shù)防護(hù)體系比較薄弱,信息安全防護(hù)系統(tǒng)幾乎沒有,在工業(yè)網(wǎng)邊界,防火墻都為傳統(tǒng)的防火墻?;诖?,筆者詳細(xì)調(diào)研了國內(nèi)的工控信息安全防護(hù)體系方案,針對(duì)汽車行業(yè)進(jìn)行了大致的分析,有不對(duì)的地方請(qǐng)批評(píng)指正。

        圖1 工業(yè)控制系統(tǒng)架構(gòu)示意圖

        目前國內(nèi)在工業(yè)控制系統(tǒng)信息安全技術(shù)防護(hù)方面大致分四個(gè)方向:工業(yè)防火墻、工業(yè)網(wǎng)監(jiān)測(cè)告警、工業(yè)網(wǎng)漏洞發(fā)現(xiàn)和工業(yè)網(wǎng)計(jì)算機(jī)(工控機(jī)等)端點(diǎn)防護(hù)。其中在汽車行業(yè)工控系統(tǒng)大多為國外系統(tǒng),比如西門子、杜爾、ABB等,在漏洞發(fā)現(xiàn)和漏洞修復(fù)上對(duì)外依賴性較強(qiáng),而修復(fù)漏洞對(duì)生產(chǎn)線造成的影響也不好估計(jì),若因修復(fù)漏洞導(dǎo)致功能的可用性出現(xiàn)問題帶來的風(fēng)險(xiǎn)更大。而汽車行業(yè)工控系統(tǒng)的離線測(cè)試環(huán)境部署成本又較高,因此對(duì)于工業(yè)網(wǎng)漏洞發(fā)現(xiàn)和修復(fù)方面,從實(shí)施的角度建議放到最后考慮。即主要考慮工業(yè)防火墻、工業(yè)網(wǎng)監(jiān)測(cè)告警和工業(yè)網(wǎng)計(jì)算機(jī)端點(diǎn)防護(hù)上。

        工控系統(tǒng)架構(gòu)大致都分為管理層、生產(chǎn)調(diào)度層和過程控制層,汽車行業(yè)也是如此,如圖1所示。

        在圖中,將生產(chǎn)調(diào)度層和過程控制層劃分為工業(yè)網(wǎng),將管理層劃歸到辦公網(wǎng)。在辦公網(wǎng)之間和工業(yè)網(wǎng)之間部署工業(yè)網(wǎng)防火墻,進(jìn)行邏輯隔離,并進(jìn)行嚴(yán)格的IP端口控制。

        在工業(yè)網(wǎng)內(nèi)部署工業(yè)網(wǎng)監(jiān)測(cè)和告警系統(tǒng),對(duì)四大車間的網(wǎng)絡(luò)匯聚部署監(jiān)控探頭,收集工業(yè)網(wǎng)內(nèi)數(shù)據(jù)到監(jiān)控中心,通過建立現(xiàn)有資產(chǎn)白名單和協(xié)議分析,發(fā)現(xiàn)工業(yè)網(wǎng)內(nèi)出現(xiàn)的可疑IP和設(shè)備,并制定告警規(guī)則,對(duì)大量發(fā)包、違規(guī)外聯(lián)等現(xiàn)象進(jìn)行及時(shí)發(fā)現(xiàn)和處理。

        而對(duì)于工業(yè)網(wǎng)內(nèi)的工程師站、操作員站等計(jì)算機(jī)在實(shí)施工業(yè)網(wǎng)端點(diǎn)防護(hù)系統(tǒng)。工業(yè)網(wǎng)端點(diǎn)防護(hù)系統(tǒng)和傳統(tǒng)的殺毒軟件不同,工業(yè)網(wǎng)端點(diǎn)防護(hù)系統(tǒng)基于白名單或者可信進(jìn)程原理,沒有病毒木馬庫,在實(shí)施中需要學(xué)習(xí)和記錄正常情況下工程師站和操作員站的計(jì)算機(jī)進(jìn)程和其他特征,然后進(jìn)行封存,對(duì)于封存后所有的異常進(jìn)程或者行為進(jìn)行攔截和阻斷。

        最后,工業(yè)控制系統(tǒng)的信息安全中最重要的因素還是人。技術(shù)措施的落地還是靠人的執(zhí)行力去推動(dòng),只要我們從意識(shí)上重視起來,無論是工業(yè)網(wǎng)還是辦公網(wǎng),信息安全管理都能順利執(zhí)行,生產(chǎn)業(yè)務(wù)才能得到安全保障。以上為筆者的一點(diǎn)看法,不足之處請(qǐng)多多指正。

        猜你喜歡
        系統(tǒng)管理
        棗前期管理再好,后期管不好,前功盡棄
        Smartflower POP 一體式光伏系統(tǒng)
        WJ-700無人機(jī)系統(tǒng)
        ZC系列無人機(jī)遙感系統(tǒng)
        基于PowerPC+FPGA顯示系統(tǒng)
        加強(qiáng)土木工程造價(jià)的控制與管理
        如何加強(qiáng)土木工程造價(jià)的控制與管理
        半沸制皂系統(tǒng)(下)
        連通與提升系統(tǒng)的最后一塊拼圖 Audiolab 傲立 M-DAC mini
        “這下管理創(chuàng)新了!等7則
        雜文月刊(2016年1期)2016-02-11 10:35:51
        亚洲美女性生活一级片| 精品无码中文字幕在线| 无码人妻丰满熟妇精品区| 亚洲xx视频| 国内偷拍精品一区二区| 亚洲欧美综合精品成人网站| 无码国产精品一区二区高潮| 亚洲男人的天堂精品一区二区| 日本一区二区三区在线视频观看| 亚洲中文字幕在线一区| 四虎影视永久在线观看| 五月中文字幕| 国产精品国产三级国产专区51区 | 日韩成人高清不卡av| 欧美性白人极品1819hd| 国产激情精品一区二区三区| 久久尤物av天堂日日综合| 日本在线一区二区免费| 美国少妇性xxxx另类| 久久久精品2019免费观看| 国产精品涩涩涩一区二区三区免费 | 亚洲av永久无码天堂网| 久久久久99精品成人片试看| 国产传媒在线视频| 日韩五码一区二区三区地址| av中文字幕潮喷人妻系列| 久久AV老司机精品网站导航| 日本变态网址中国字幕| 视频在线国产一区二区| 人妻少妇久久中文字幕一区二区| 亚洲成a∨人片在线观看无码 | 国产性生大片免费观看性| 亚洲色AV性色在线观看| 五月综合丁香婷婷久久| 国产私人尤物无码不卡| 蜜臀av免费一区二区三区 | 亚洲中文字幕一区二区三区多人| 乱码1乱码2美美哒| 大地资源网更新免费播放视频| 偷拍av一区二区三区| 亚洲av片无码久久五月|