工业控制系统信息安全防护

674 815

饶志宏中国电子科技集团公司信息安全首席专家,第三十研究所副总工程师

简介:本文从工业控制系统信息安全概念、防护目标、技术体系、发展趋势等方面进行了系统介绍。

一、工业控制系统信息安全概述

通常情况下,工业控制系统安全可以分成三个方面,即功能安全、物理安全和信息安全。

三种安全在定义和内涵上有很大的差别。

功能安全,使用安全完整性等级的概念已有近20年。功能安全规范要求通常将一个部件或系统的安全表示为单个数字,而这个数字是为了保障人员健康、生产安全和环境安全而提出的基于该部件或系统失效率的保护因子。

物理安全,保护要素主要由一系列安全生产操作规范定义。政府、企业及行业组织等一般通过完备的安全生产操作流程约束工业系统现场操作的标准性,确保事故的可追溯性,并可以明确有关人员的责任,管理和制度因素是保护物理安全的主要方式。

工业控制系统信息安全的评估方法与功能安全的评估有所不同。虽然都是保障人员健康、生产安全或环境安全,但是功能安全使用安全完整性等级是基于随机硬件失效的一个部件或系统失效的可能性计算得出的,而信息安全系统有着更为广阔的应用,以及更多可能的诱因和后果。影响信息安全的因数非常复杂,很难用一个简单的数字描述出来。然而,功能安全的全生命周期安全理念同样适用于信息安全,信息安全的管理和维护也必须是周而复始不断进行的。

二、工业控制系统信息安全与IP数据网络信息安全的区别

1.两种网络的信息安全特点对比

1)安全需求不同2)安全补丁与升级机制存在的区别3)实时性方面的差异4)安全保护优先级方面的差异5)安全防护技术适应性方面的差异2.工业控制系统信息安全面临的挑战

5)开发硬件兼容能力更强的工业SCADA系统安全防护技术:传统IT数据网络中安全防护能力较强的技术如身份认证、鉴别、加密、入侵检测和访问控制技术等普遍强调占用更多的网络带宽、处理器性能和内存资源,而这些资源在工业控制系统设备中十分有限,工业控制设备最初的设计目标是完成特定现场作业任务,它们一般是低成本、低处理器效能的设备。而且,在石油、供水等能源工业系统控制装置中仍然在使用一些很陈旧的处理器(如1978年出厂的Intel8088处理器)。因此,在这类装置中部署主流的信息安全防护技术而又不显著降低工业现场控制装置的性能具有一定难度。

6)研制兼容多种操作系统或软件平台的安全防护技术:传统IT数据网络中的信息安全技术机制,主要解决以Windows、Linux、Unix等通用型操作系统平台上的信息安全问题。而在工业SCADA系统领域,现场工业SCADA系统装置一般使用设备供应商(ABB、西门子、霍尼韦尔等)独立研发的、非公开的操作系统(有时称为固件)、专用软件平台(如GE的iFix等)完成特定的工业过程控制功能。因此,如何在非通用操作系统及软件平台上开发、部署甚至升级信息安全防护技术,是工业SCADA系统信息安全未来需要重点解决的问题。

三、工业控制系统信息安全防护技术体系

工业控制系统信息安全内涵、需求和目标特性,决定了需要一些特殊的信息安全技术、措施,在工业生产过程中的IED、PLC、RTU、控制器、通信处理机、SCADA系统和各种实际的、各种类型的可编程数字化设备中使用或配置,达到保障工业控制系统生产、控制与管理的安全功能目标。所有自动控制系统信息安全的基础技术是访问控制和用户身份认证,在此基础上发展了一些通过探针、信道加密、数据包核查和认证等手段保护通信数据报文安全的技术。为实现功能安全前提下的工业控制系统信息安全,需要构筑工业控制系统信息安全事前、事中和事后的全面管理、整体安全的防护技术体系。1)事前防御技术事前防御技术是工业控制信息安全防护技术体系中较为重要的部分,目前有很多成熟的基础技术可以利用:访问控制/工业控制专用防火墙身份认证ID设备基于生物特征的鉴别技术安全的调制解调器加密技术公共密钥基础设施(PKI)虚拟局域网(VPN)

2)事中响应技术入侵检测(IDS)技术对于识别内部的错误操作和外部攻击者尝试获得内部访问权限的攻击行为是非常有效的。它能够检测和识别出内部或外部用户破坏网络的意图。IDS有两种常见的形式:数字签名检测系统和不规则检测系统。入侵者常常通过攻击数字签名,从而获得进入系统的权限或破坏网络的完整性。数字签名检测系统通过将现在的攻击特性与已知攻击特性数据库进行比对,根据选择的灵敏程度,最终确定比对结果。然后,根据比对结果,确定攻击行为的发生,从而阻断攻击行为并且通报系统管理员当前系统正在遭受到攻击。不规则检测技术通过对比正在运行的系统行为和正常系统行为之间的差异,确定入侵行为的发生且向系统管理员报警。例如,IDS能够检测在午夜时分系统不正常的活跃性或者外部网络大量访问某I/O端口等。当不正常的活动发生时,IDS能够阻断攻击并且提醒系统管理员。

以上两种IDS系统都有其优点和缺点,但是,它们都有一个相同的问题—如何设置检测灵敏度。高灵敏度会造成错误的入侵报警,IDS会对每个入侵警报作相应的系统动作,因此,过多的错误入侵警报,不仅会破坏正常系统的某些必须的功能,而且还会对系统造成大量额外的负担。而低灵敏度会使IDS不能检测到某些入侵行为的发生,因此IDS会对一些入侵行为视而不见,从而使入侵者成功进入系统,造成不可预期的损失。

3)事后取证技术

上述讨论的是在工业控制系统信息安全中一些常用的、常规性技术,而在工业控制系统信息安全实施过程中,主要有以下一些特别的关键技术。

THE END

一文读懂比特币和区块链区块链技术与应用

电子烟方案

10月1日实施!信息安全技术安全电子签章密码技术规范(GB/T385402020)大档家档案管理系统档案数字化档案软件国产档案管理软件数字档案室

信息安全之六大安全要素概述AET

电子商务

网络暴力现状范文

东方证券股份有限公司,欢迎您!

工业控制系统信息安全防护

和利时构建自主可控安全可信PLC完整产品线PLC/DCS工业自动化控制文章e

GB/T15843.32008信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制正版授权.pdf

1.密码学在工程中的应用:从加密算法到数字签名的实践指南密码学概述 什么是密码学 密码学是研究通信安全、数据保护和身份认证等领域的一门学科,主要包括加密算法、解密算法、数字签名、身份认证等内容。 密码学在工程中的重要性 在当今信息时代,数据的安全性至关重要。无论是用户的个人隐私信息,还是企业的商业机密,都需要得到有效的保护。而密码学就是为了保护这些信息安全而https://www.jianshu.com/p/f4461dbecf74
2.python通过密钥获取签名mob64ca12e7f20c的技术博客在现代安全通信中,数字签名是一种重要的技术手段,可以确保消息的完整性以及发送者身份的真实性。Python提供了一些强大的库来帮助开发者生成和验证数字签名。本文将通过示例演示如何使用Python生成数字签名,以及如何使用密钥获取签名。首先,我们需要理解数字签名的基本概念和流程。 https://blog.51cto.com/u_16213396/12797244
3.哪些嘲下使用代码签名证书比较好固件典型问题政务应用信任:根据《互联网政务应用安全管理规定》,互联网政务应用需要采取技术措施和其他必要措施,防范内容篡改、攻击致瘫、数据窃取等安全风险,以确保应用的安全稳定运行和数据安全。通过使用代码签名证书对互联网政务应用进行数字签名,可标识开发者真实身份,确保代码完整性,有效防止代码被恶意篡改的安全风险,有利于提高互https://www.163.com/dy/article/JJA7JIDE0511L2E2.html
4.协会动态《医疗机构信息系统数字签名技术规范数据原文及格式2024年11月18日下午,广东省计算机信息网络安全协会组织召开《医疗机构信息系统数字签名技术规范 数据原文及格式》第二次全员研讨会议,旨在进一步推动医疗机构信息系统数字签名技术的标准化进程。与第一次研讨会相比,标准制定工作取得了显著进展https://mp.weixin.qq.com/s?__biz=MzA5Mzk3Nzc0MQ==&mid=2656410560&idx=1&sn=206864cf9f0b5bc1d265fb5b834e7e3d&chksm=8bf49622bc831f348d4b0c7eb091e3ed8dd70a8b98739ca52443488a039d2db916509757da11&scene=27
5.网络安全之密码技术本文主要对密码技术的相关背景、发展历程和一些常见的数据加密技术以及加密技术的部分应用做简要的概述和介绍。其目的是让您对于密码技术有初步的认识和了解,同时,尽可能地激发您学习和应用密码技术的兴趣。 一、密码学概述 密码学(Cryptography)是研究编制密码和破译密码的技术科学。研究编制密码的科学称为密码编码学,而https://zhuanzhi.ai/document/85caa599181acc1c953eee769da130f0
6.网络安全的重要性论文(通用10篇)比如建立一个服务器的安全环境,在操作系统中就应该选择安全性较高的版本,例如XP系列就适合作为服务器使用,在安全性上存在着不足。然后在一些电子商务应用上,使用密码学技术。提升保密性。比如数字签名的身份认证,MD5的数学模型加密手段等等。可以说网络在不断发展,安全性的研究就一直在进行着。https://www.ruiwen.com/lunwen/1261566.html
7.宁化县商务局数字宁化(二期)项目建设政府采购本公司受福建省宁化县商务局的委托,就其所需的宁化县商务局数字宁化(二期)项目建设进行国内公开招标。现按规定对该项目招标文件进行预公告。各潜在投标人、专家对本项目招标文件有修改建议的,请在本项目预公告截止时间之前将修改建议书面原件材料(加盖公章)送至招标代理机构签收。逾期不予受理。 http://www.fjnh.gov.cn/xxgk/ggzy/zbcg/201907/t20190718_1316858.htm
8.个人信息安全知识(通用8篇)实际情况并非如此,我国涉及个人信息保护的法律法规不在少数,如:《中华人民共和国电子签名法》《侵权责任法》[2]以及2013年3月1日开始实施的个人信息安全国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》[3],然而其内容都是较为零散的,不具备一定的针对性和适用性,整体缺乏制约作用。同时,如何切实可行https://www.oh100.com/zhishi/641285.html?1500536401
9.Darkhotel组织渗透隔离网络的Ramsay组件分析在以往的攻击活动中使用劫持WiFi投递诱饵、鱼叉式钓鱼邮件、0day、nday、滥用数字签名、白利用,以及感染U盘文件达到突破物理隔离等技术手段。在这次事件中,Darkhotel组织的策略是将恶意代码与合法应用捆绑,以往对该组织的披露认为这种捆绑策略是为了伪装恶意代码,即属于ATT&CK初始投递载荷阶段。但实际上,从近期捕获的样本https://www.antiy.cn/research/notice&report/research_report/20200522.html
10.深入解析Docker(1)Docker概述深入解析Docker(1)Docker概述 本课程适用于零基础、技术改进甚至所有编程语言开发者; 课程对应包括基础文章、推广文章和高级文章,共12章。 本课程主要学习知识点:“7个深度/3个全面”; 对于Docker的知识体系,不需要搜索任何其他信息。真正做到一课在手,不需要求。https://www.tulingxueyuan.cn/tlzx/jsp/2805.html
11.轻量级密码在资源受限设备安全中的应用解析本文将聚焦轻量级密码,主要从技术研究、标准化研究等方面探讨国内外轻量级密码在资源受限设备安全中的应用进展情况,以期为工控安全的研究者提供一些参考。 1 概述 工业控制系统(Industrial Control System,以下简称“工控系统”)涉及到电力、能源、交通、石化等国家关键基础设施的各个领域。工控系统所处的网络安全环境日趋https://www.secrss.com/articles/7617
12.同态加密:实现数据的“可算不可见”腾讯云开发者社区同态加密是密码学领域自1978年以来的经典难题,也是实现数据隐私计算的关键技术,在云计算、区块链、隐私计算等领域均存在着广泛的应用需求和一些可行的应用方案。 本文首先介绍同态加密的基本概念、研究进展以及标准化进展,然后对主流的乘法/加法半同态加密算法和全同态加密算法及其工程实现情况进行概述,最后对同态加密在各https://cloud.tencent.com/developer/article/2274458
13.区块链关键技术3(笔记)区块链交易中,数字签名包含那些信息3、p2p的三种主流结构 4、去中心化 什么是去中心化 去中心化价值 5、传播机制 在这里插入图片描述 参考资料 一、数据归属:数字签名 比特币的数字签名,就是由比特币转出方才能生成的一段防伪造字符串。通过验证该交易是由转出方本人发起的,另一方面验证信息的完整性。数字签名由数字摘要技术和非对称加密技术组成。https://blog.csdn.net/qq_52215423/article/details/127236027
14.信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制GB/T 15843.3-2023 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制,该文件为pdf格式,请用户放心下载。 尊敬的用户你们好,你们的支持是我们前进的动力,网站收集的文件并免费分享都是不容易,如果你觉得本站不错的话,可以收藏并分享给你周围的朋友。 如果你觉得网站不错的话,找不到本网站的话,可以百https://www.998pdf.com/15147.html
15.第3章密码技术概述第3章密码技术概述 学习目标 本章介绍密码技术的基本概念、分类、实现和应用原理。内容包括:数据保密通信模型及基本术语对称密码体制及其分类与工作原理公钥密码体制及其工作原理数字签名技术及其特性消息完整性保护及认证如何定义和衡量密码体制的安全性 目录 3.1密码术及发展3.2数据保密通信模型3.3对称密码体制3.4公钥https://wenku.baidu.com/view/7dde32f16bdc5022aaea998fcc22bcd126ff4234.html
16.信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制GB/T 15843.3-2023 信息技术 安全技术 实体鉴别 第3部分:采用数字签名技术的机制,英文名称为 Information technology—Security techniques—Entity authentication—Part 3:Mechanisms using digital signature techniques, 属于国家标准,本文件为PDF文档.GB/T 15843.3-20https://www.surfacex.cn/item/2529460741.html
17.信息技术安全技术实体鉴别第3部分:采用数字签名技术的机制犌犅犜15843.32008犐犛犗犐犈犆979831998 前 言 / 《信息技术 安全技术 实体鉴别》分为五个部分: GBT15843 ———第 部分:概述 1 ———第 部分:采用对称加密算法的机制 2 ———第 部分:采用数字签名技术的机制 3 ———第 部分:采用密码校验函数的机制 4 ———第 部分:采用零知识技术的机制 5 可能还https://max.book118.com/html/2019/0729/7062144134002043.shtm