[工业网络][1] 工业网络安全

最新推荐文章于 2024-11-02 17:23:36 发布

Мартин.

最新推荐文章于 2024-11-02 17:23:36 发布

阅读量964

点赞数 10

分类专栏： OT/PLC 文章标签：网络 web安全安全

Whoami? Martin

本文链接：https://blog.csdn.net/qq_51886509/article/details/140106157

版权

OT/PLC 专栏收录该内容

27 篇文章 4 订阅

订阅专栏

工业网络安全

对工业网络和相关人员、过程或设备的危害可能通过以下方式:

恶意行为-故意破坏服务或导致工业网络功能不正确的行为。这些攻击的范围可能从针对人机界面(HMI)服务器的“拒绝服务”攻击到故意下载修改过的梯形逻辑程序到PLC(可编程逻辑)控制器。
意外事件——这些可能是任何事情，从“手指”的员工按错了键导致服务器崩溃到电线浪涌。

当我们想到工业网络和计算机控制的设备时，我们通常会想到ISA99文件所称的“电子安全”，但我们也应该包括另外两个安全分支的某些方面:物理安全和人员安全。

假设我们有一个心怀不满的员工在化工厂发泄他的愤怒

1.在运行人机界面软件的计算机工作站释放病毒，使病毒通过工业网络传播;
2.用管钳打碎了储罐上的液位视镜，导致液体漏到地板上
3.撬开SIS系统控制箱的门，通过在隔离导体之间安装跳线并绕过声音警报来禁用超压关闭

根据我们的定义，行为1和行为3属于我们对工业网络安全的定义。行为2是蓄意破坏，但这是对机械指示仪器的物理破坏，而不是对工业网络的破坏。涉及一些物理动作，比如开锁和安装跳线，但跳线随后会改变工业网络(SIS系统)内的电流

ISA99委员会也承认，安全的其他分支，如物理和人员安全，是必要的，但同样指出，其标准主要涉及工业自动化和控制系统的“电子安全”

关键基础设施保护

工业领域与使用工业网络的国家关键基础设施领域

回顾历史就会发现，关键的基础设施部门相互依赖的程度有多大——拿走一个关键部门，其他部门可能会像多米诺骨牌一样倒下。
2003年8月发生在美国东北部的大停电事件表明，一个部门的故障可能会波及其他部门。当克利夫兰停电时，该市的供水泵也关闭了，因为它们是靠电力运行的。同样，当交通灯停止工作，加油站无法加油时，纽约的交通运输部门也受到了影响，因为两者都是电动的。

我们可以得出结论，确保我们三个关注领域的工业网络安全是保障国家级关键基础设施安全的前提。这对所有工业化国家来说都是如此。事实上，一个国家的关键基础设施越自动化、越依赖计算机，它就越需要发展和应用工业网络安全，以确保其在全球恐怖主义新时代中的正常运作。

开放和安全

让我们来看看过去12年左右工业网络领域发生了什么。

(COTS)工业网络中的硬件和软件。现在我们看到从微软Windows®到不同风格的Linux和Unix操作系统，以及以太网、TCP/IP和网络无线协议
连通性。一旦在工业网络中使用了COTS硬件、软件和网络组件，下一个合乎逻辑的事情就是将工业网络和业务网络连接起来，这样以前不兼容的系统就可以通信了。商业系统总是连接到因特网上。
Web、Web服务和无线。最近的发展包括能够访问每个智能电子设备中的Web服务器，以及每个工程师办公室桌面上的浏览器，以监视设备的操作。无线局域网,局域网提供了连接设备的便利，而不必在工厂内安装昂贵的电缆

所有这些发展都开放了我们的系统，但问题是，“我们能既开放又安全吗?”开放和安全是我们新兴工业网络安全学科的“圣杯”。我们希望保持拥有开放系统的压倒性商业优势，同时确保我们的系统足够安全，以确保我们的工厂和公用电网不会成为网络攻击的目标。

谁在做什么

出于所有实际目的，工业网络安全领域始于20世纪90年代末。
9月11日的袭击大大加快了活动的步伐。从那时起，各种各样与工业网络安全相关的组织开始着手解决这个问题的各个方面

从事工业网络安全工作的组织可以分为以下几类:

政府组织。在美国，积极从事工业网络安全的政府机构包括国土安全部(DHS)下属的国家网络安全处(NCSD)
美国能源部(DoE)，美国能源部国家实验室(如桑迪亚，太平洋)西北，和爱达荷国立)，商务部国立学院
标准与技术(NIST)，联邦能源管理委员会
(FERC)和美国审计署(GAO)。每个组织在保护构成港口的工业网络方面都有一定的利害关系
在国际舞台上，政府组织，如加拿大国务院
关键基础设施保护和应急准备(OCIPEP)
英国的国家基础设施保护中心(CPNI)在保护国家关键基础设施方面也扮演着类似的角色
非营利组织。这些组织的范围从国际专业和技术协会跨越工业部门，如ISA，到美国的工业部门特定组织，如北美电力可靠性公司(NERC)负责电力行业，美国水务协会(AWWA)负责水务行业。这些非营利组织包括在工业网络安全方面开设课程、研讨会和研发项目的学校和大学
盈利性实体。作为工业网络供应商和用户的各种公司是决定工业网络安全程序和设备是否成功开发、商业化、购买和使用的关键

在上面列出的组织类别中，有两个组织处理工业网络安全，在化学处理、公用事业和离散制造三个领域的国际层面上工作。

ISA，通过技术和标准委员会，如ISA99，制造和控制系统安全
IEC(国际电工委员会)，包括负责IEC 62443网络和系统安全标准的65委员会。

这些组织跨越工业领域，因此也跨越制造业。
例如，我们前面提到的ISA-99系列标准和技术报告将“工业自动化和控制系统”的广度定义为
“在最广泛的意义上应用，包括所有类型的制造和加工设施和系统在所有行业的每一个制造领域。”

联邦监管机构

最近，有两个联邦机构被赋予了对公共和私营部门工业网络安全的监管权。联邦能源监管委员会（Federal Energy Regulatory Commission）被授权监管输电网的网络安全，并已行使这一权力，将北美电力可靠性公司（NERC）的关键基础设施保护（CIP）共识行业标准转化为官方联邦法规，并附有执行处罚。国土安全部（Department of Homeland Security）通过其化学设施反恐法规（CFAT）对化学工业进行监管，主要关注物理安全，但也有一个网络安全部分。联邦政府的其他部门在监管其他关键基础设施领域时，未来也可能会参与其中。

参考

ANSI/ISA-99.00.01-2007 Security for Industrial Automation and Control Systems,
Part 1. ISA, 2007.
The White House. Presidential Decision Directive 63. Protecting America’s Critical
Infrastructure. May 22, 1998. Retrieved 11/11/2004 from:
http://www.fas.org/irp/offdocs/pdd/pdd-63.htm.
The White House. National Strategy to Secure Cyberspace. February 2003. Retrieved
11/11/2004 from: http://www.whitehouse.gov/pcipb/cyberspace_strategy.pdf.
ANSI/ISA-TR99.00.01-2007 Security Technologies for Industrial Automation and
Control Systems. ISA, 2007.
ANSI/ISA-99.00.01-2007 Security for Industrial Automation and Control Systems:
Establishing an Industrial Automation and Control Systems Security Program, Part 2.
ISA, 2007.
ANSI/ISA-84.00.01-2004 Part 1 Functional Safety: Safety Instrumented Systems for
the Process Industry Sector – Part 1. ISA, 2004