隐患分析
尽管工厂信息网络安全采取杀毒服务器、操作系统补丁服务器等措施,但SCADA系统网络仍存在一些潜在的安全威胁。
1、 SCADA系统与上层ERP信息网之间的OPC通讯安全隐患
虽然考虑了双网卡配置,管理信息网与控制网通过该站进行了隔离,部分恶意程序不能直接攻击到控制网络,但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等,这种配置没有作用,病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制,但病毒库存在滞后,所以不能从根本上进行防护。
2、 SCADA内部各个站控系统间的互相感染隐患
所有的站控系统都在同一个网络中,如果仅仅从管理角度,采取通过规章制度限制移动介质接入而减少外部感染,不在网络内部采取有效防护措施的话,SCADA内部所有站控系统会相互感染,甚至导致系统停车。
3、 SCADA系统厂商的远程维护接入带来的安全隐患
解决方案及实施
1、 创建网络安全分区
基于SCADA系统网络架构和存在的安全隐患,结合系统网络安全要求,将整个系统划分为站控系统、调控中心、管理信息以及远程接入等6个区域。
2、 部署多芬诺安全模块TSA,根据各个区域的安全需求,确定所需的可装载安全软插件LSM
a、将各个站控系统通过多芬诺工业防火墙(防火墙硬件TSA+Firewall LSM软插件)进行相互隔离,防止病毒扩散
b、在SCADA系统和上层管理信息层之间部署专业的OPC通讯协议防火墙(防火墙硬件TSA+OPC Enforcer LSM软插件)防止来自上层信息网针对各条管线SCADA系统的攻击和病毒感染
c、在第三方远程接入前端增加多芬诺工业防火墙(防火墙硬件TSA+ Firewall LSM软插件),防止来自第三方设备的病毒感染和攻击
3、 在整个每条管线的SCADA控制网内部部署一台CMP中央组态管理平台,对所有的多芬诺工业防火墙硬件进行组态和管控
4、 在信息管理层安装一台SMP安全管理平台,统一部署网络通讯监控策略,显示并记录每条管道SCADA的网络报警及设备状态
共0条 [查看全部] 网友评论