1. 工控機網路安全,如何解決網路攻擊造成的系統癱瘓,或PLC及現場失控
推薦使用MCK主機加固系統軟體,在安全狀態的工控機上通過一次全系統的簽名,保障當前安全環境從而確保黑客上傳的木馬和病毒程序無法運行,杜絕危害工控機的安全。通過白名單機制限制當前場景下允許執行的進程。防止黑客通過基於硬碟的數據拷貝方式來竊取數據。實現工作場景白名單機制,對核心數據進行加密保護,實現工控機的最後防禦,保障工控機網路安全。
2. 工控安全產品應該注意哪些方面
在工控安全產品中應該注意到的幾點,我大致整理了一下,樓主可以作為參考:
第一點:如何在工業控制網路有限的資源環境下,不影響已有網路的正常工作能力,將提供的安全類產品融入到該環境中。
第二點:在安全需求逐步清晰的情況下,如何提供一套具備工業可信環境自學習,學習成果具備有效性、可行性,以及客戶白名單可自定義、可配置,且能夠通過拖拽等簡易操作,便可實現所需新功能的產品;以滿足後續管理的擴展要求。
第三點:當前國內流程工業的控制系統,由於建設周期跨度較大,各時期採用的技術手段不同,產品類型差別也較大。如何解決長時間跨周期的分布式控制系統的數據採集,是一件極具難度和挑戰的事情。
在工控安全領域,做的比較不錯的,我了解到的是華創網安,在這一方面做的比較優秀和突出,他們對產品的設計比較合理,方案比較全面。
對於上述的幾點,華創網安工控網路安全 監測審計平台可以充分滿足以上需求,產品採用軟硬體結合,通過硬體旁路部署的模式,對工業控制網路進行數據採集,滿足現場復雜的環境。將已採集信息進行統一存儲、統一管理。為滿足實時網路監測提供可靠數據支撐,為用戶提供直觀的、准確的網路信息安全監測,同時滿足信息的威脅審計要求。工業可信環境可以較為全面的對已知的惡意行為進行告警,還可以對各類未知的惡意軟體的感染、運行和擴散進行及時發現。其具有高安全、高性能、低開銷等特點。
3. 工業控制安全包括哪些方面
主要包括八方面:
1、安全技術措施工程建設支出;
2、安全設備、設施的購買、更新和維護支出;
3、安全應急救援器材、設備和現場作業人員安全防護物品支出;
4、安全檢查與評價支出;
5、重大危險源、重大事故隱患的評估、整改、監控支出;
6、安全生產宣傳、教育和培訓及進行應急救援演練支出;
7、勞動防護用品配備支出;
8、其他保障安全生產直接相關的支出。
工業安全
工業化的推進在為人類生活提供豐富物質的同時,也逐漸成為威脅人身安全的「殺手鐧」,生產事故的頻發使得安全生產這一話題越來越受到關注。為確保工廠生產過程的安全,安全儀表系統(SIS)在保障過程工業安全方面已經成為主力軍。
為什麼需要安全?
現在,操作人員和用戶無論是在工作或空閑時間、白天或黑夜都永遠被復雜技術所包圍。因此,用戶應該會發現這些設備並不復雜,操作起來很安全。自動化機械設備的安全性在這方面起到了越來越重要的作用。正確運用標准和指令至關重要。
在每千個動作中,會產生一個影響人身安全的故障。這種情況通常在有壓力的情況下發生,整個流程需要停止來修復設備的故障。當拆卸在操作期間卡殼的部件可以避免復雜的設備重啟流程時,還包括拆除互鎖設備。科學研究表明:一半的致命工業事故都可以歸結於操作人員的行為所造成!
30% 到40% 的事故間接成本都可以避免:致命的工業事故還只是冰山一角。還有很多傷害相對較小的事故。這就是跡近事故分析成為職業安全防護的重要部分的原因。
2有哪些工業安全產品?
工業安全的產品種類較多,主要可以分為以下幾個類別:
安全控制器、安全開關、安全光幕、安全柵、安全繼電器、報警裝置、防爆產品、防雷/浪涌保護器、ESD、安全網路
人機安全的通用標准
機械設備安全的基礎:通用標准包含有機械設備安全設計、策略和操作的必要信息。
EN 1050機器安全 - 風險評估原則
根據機器指令條款,機器製造商必須進行危險評估,以此確定其機器可能遇到的所有危險。然後製造商必須根據風險評估設計和製造機器。
根據機器指令條款,此要求同樣適用於擔當製造商職責的相關人員。例如將設備相互連接起來或對設備進行升級或改裝,都應該進行危險評估。
降低風險的反復過程
EN 1050 包含機器的「風險評估原則」。風險評估是以系統方式對機器相關危險進行檢查的一系列邏輯步驟。
機器的危險變化多樣。因此,不僅需要考慮機械的碾壓和切割危險,而且必須考慮高溫和觸電以及輻射危險。
在風險評估結果出來後,根據EN ISO 12100,接下來採取降低風險措施。因此必須在計劃階段之前及其期間以及機器或設備安裝完成後進行風險降低。
每次重復此評估,就會最大限度降低危險並實現安全措施。
這些方法可以作為綜合分析的一部分。EN 954是針對控制系統安全相關部分的評估,是從EN 1050 標准基礎上發展而來的 。
EN ISO 12100-1安全機器的製造原理
EN ISO 12100 用於為設計人員提供總體看法和實踐准則。其幫助您生產符合安全要求的機器。同時它還提供製訂更多安全標準的方法。在機器指令目錄下EN ISO 12100取代了EN 292。
EN ISO 12100 標準的內容
機器安全概念注重機器在其使用壽命期間履行既定用途的能力,無論風險是否充分降低。EN ISO 12100 第一部分的目的是規定基本危險,以幫助設計人員認別相關重要危險。這些是機器可能發生的危險。如下的是必須考慮到的危險:
機械危險電氣危險高溫危險噪音產生的危險振動產生的危險輻射產生的危險材料和物質產生的危險在機械設計過程中忽略人體工程原理而產生的危險。
通過風險分析進行風險評估
設計人員一旦發現了其他潛在的機器危險(永久危險和意外危險),那麼必須根據量化系數估計各個危險的風險。那麼他必須決定風險評估結果是否意味著需要降低風險。
機械安全第一步:風險評估
風險評估是機械安全關鍵 其為實現高效且經濟的降低風險措施鋪平了道路。 操作者和維護人員進行的很多活動存在著極高的風險。
通常引起的事故的因素只有幾條。 如果您需要製造、改裝或連接機械,妥善的風險評估是安全地設計機械,或確定必要的防護措施的最重要基礎條件。
4. 如何發現工控設備的網路安全問題
隨著工業化與信息化結合的不斷緊密,工業控制系統越來越多地採用標准化通信協議和軟硬體,並通過互聯網來實現遠程式控制制和操作,從而打破了原有系統的封閉性和專有性,造成病毒、木馬、信息泄露等網路安全問題向工控領域迅速擴散,直接影響大量工控相關基礎設施安全。湖南安數網路有限公司傻蛋聯網設備搜索平台整理了近期發現的工控相關數據,就其可能存在的網路安全風險做了一個簡單的分析。
能夠直接通過公網訪問的工控設備
湖南安數網路有限公司傻蛋聯網設備搜索平台(簡稱傻蛋搜索)利用標准化的工控設備相關通信協議,在互聯網上找到了很多直接暴露在公網的工業控制設備。這些設備都存在下面幾個安全問題:
1、缺乏認證
任何人都可以通過相應協議與這些設備通信,獲取想要的數據。
2、缺乏授權
沒有基於角色的控制機制,任意用戶可以執行任意功能。
3、缺乏加密
地址和密令明文傳輸,可以很容易地捕獲和解析。
安數網路對這些在公網上能訪問的設備做了相應的統計:
公網工控設備世界分布(2016-10)
4、能夠直接訪問的工控設備的WEB相關數據
跟我們日常路由器有基於WEB的配置頁面一樣,很多工控設備也有其自己的配置/控制頁面,而且很多這種頁面也是直接暴露在了公網之上。攻擊者可以利用這些頁面像對付平常的網站一樣對它們進行攻擊,可能造成相應的安全隱患。
工控設備WEB管理世界分布(2016-10)
怎麼提高工控系統的網路安全
盡量避免將工控設備及其WEB頁面直接暴露在公網中,如果不能避免,那麼注意要加強這些設備認證、授權和加密方面的工作。
5. 工控系統安全與「等保」
編輯:小星
多一份網路防護技能
多一份信息安全保障
工控系統的安全問題多不勝數,而且還關系著絕大部分的企業,那麼我們該如何防護呢?
歸根究底其實還是回歸到了網路安全上,而我們要保護好網路安全,首先最應該做的就是做好網路安全等級保護工作。
現在很多企業應該都知道,等保工作現在已經不僅僅是企業自發的想要完成安全防護工作這么簡單,一些比較特殊的行業已經在相關條例中明文規定必須強制執行等保工作。
由此可見,等保工作蓄勢待發。而工業控制系統作為國家的關鍵信息基礎設施,成為等級保護工作中的核心保護對象。工業控制系統等級保護的相關標准為了更加適應國家法律及政策的最新要求,會不斷的進行擴展和完善,而如何評價系統的安全狀況將會成為開展後續工作的基礎。
我們先了解下工業控制系統(ICS),包括下面幾個部分:
從工控系統的組成部分就可以看出,工業控制系統網路架構是依託於網路技術的,利用網路技術將控制計算節點構建為工業生產過程式控制制的計算環境,這已經屬於等級保護信息系統范圍了。
按照國家等保的相關規定標准,確定定級對象:
1、按照安全區域劃分為企業管理、生產監控及現場控制;
2、每個安全區域內可以按照統一的生產業務流程、軟硬體資源相對獨立;
3、管理明確責任
根據以上的三個條件來確定定級信息系統,再按照信息系統的重要程度確定具體的等級。一般工控系統涉及到社會穩定和國家安全的大部分都是3級以上的系統,特別是生產監控系統和現場控制系統,其中包含了大量的4級系統。
從最基本要求來看,我們需要考慮的是各個等級系統都需要具備哪些基線能力呢,總結如下:
工控系統是個定製的運行系統,它的資源配置和運行流程都具有唯一性和排他性,如果只是使用防火牆、漏洞掃描等,不僅達不到要求效果,還容易引發新的安全問題。
工控安全的正確防護姿勢:
1、加強信息系統的整體防護,建設區域隔離、系統控制的三重防護、多級互聯體系結構
2、重點做好操作人員使用的終端防護,守住安全攻擊的大門,做到操作使用安全
3、加強處理流程式控制制,防止內部攻擊,提高計算節點的自我免疫能力,減少封堵
4、加強技術平台支持下的安全管理,基於安全策略,與業務處理、監控及日常管理制度有機結合
5、加強系統層面安全機制,減少應用層面的改動,梳理處理流程,制定控制策略,嵌入系統核心,實現控制。
歡迎關注小星(ID:DBXSJ01)