|
7月20日,由中國化工學會化工自動化及儀表專業委員會、中國自動化學會儀表與裝置專業委員會主辦的“2017全國先進控制技術與自動化裝備應用學術會議”年在丹東遼東學院召開。海天煒業被特邀出席會議,并發表《等保測評2.0下的工控系統網絡安全風險評估的實踐研究》的演講。 海天煒業表示,《中華人民共和國網絡安全法》規定,關系到國家安全、國計民生、公共利益的關鍵信息基礎設施,尤其是我國的工業關鍵基礎設施,近80%強依賴進口,存在著嚴重的安全隱患,一旦遭到網絡攻擊破壞而導致喪失功能或者數據泄露,可能會造成嚴重危害和國際影響。因此在網絡安全等級保護制度的基礎上,必須實行重點保護。而工業控制系統作為國家關鍵信息基礎設施,是等級保護工作的核心保護對象。為了適應國家法律、政策的最新要求,工業控制系統等級保護相關標準需要擴展和完善,其中如何評價系統的安全狀況將是開展后續工作的基礎。 為保證工業控制系統網絡安全,必須從風險評估入手,使用符合工控系統特點的理論、方法和工具,準確發現工控系統存在的主要問題和潛在風險,才能更好地指導工控系統的安全防護,才能建立滿足生產需要的工控系統網絡安全縱深防御體系。工業控制系統網絡安全主要參考IEC 62264-1對工控系統進行層次結構劃分,參考IEC 62443-1-1對工控系統進行分安全域保護,結合IEC 62264-1標準、IEC 62443系列標準、集散控制系統(DCS)安全類系列標準(GB/T 30009.1-2016~GB/T 30009.4-2016)等相關標準的基礎上,通過對工控系統整體框架以及各個網絡層次、各層的各個軟件硬件組件,針對不同安全等級,設計出網絡安全等級保護所應該保護的數據、協議、流量等等級保護要求,并根據具體的工控系統對象、應用的場合和工藝要求等確定具體的網絡安全措施的落實,但必須以不影響工控系統的正常運行和SAFETY安全為前提。 此外,由于工業控制系統的特殊性,其風險評估與IT的風險評估有一些不同,有一些特殊的方面需要引起注意: a)工控系統的敏感性和時效性都要求比較高,因此技術性的評估設備在使用過程中,需要做好充分的風險識別和處置預案,如漏洞掃描原則上不能直接應用于工控系統,而是通過在備用系統或者停產系統上漏掃的方式進行。對工控系統進行在線漏洞掃描很可能造成生產異常,在這方面有很多真實案例,例如:某一安全廠商受邀對國內某著名火電集團的工控系統做風險評估,由于使用在線的漏洞掃描方式,導致數據采集服務器宕機,從而造成關鍵生產數據丟失。 b)滲透測試作為風險評估的有效工具方法,其直觀性顯而易見,但是凡事有利就有弊,滲透測試的過程控制在工控系統風險評估中尤其重要。如果滲透人員對工控系統了解不足,在滲透過程中有誤操作行為產生,那么很可能帶來直接的安全問題生產災難,將測試變成了攻擊。 關于海天煒業: 2017年4月,經中國信息安全認證中心認可,海天煒業成為青島首家獲得信息安全風險評估服務資質認證(二級)的企業。該項資質的取得,是中國信息安全認證中心對海天煒業信息安全服務能力的認可。獲得“信息安全風險評估”服務資質后,海天煒業的“工控網絡安全整體解決方案”將優化升級,為用戶提供“評估-完善-后評估”的“一站式”服務,為用戶的工業控制系統安全、穩定運行保駕護航。 |
|
|
來自: xiaohuizuo > 《等級保護》
