信息技 与 用
成部分,其安全已关系到国家的 略安全。随着信息化与工
化
.如Modbus/】陀P、Profinet、DNP3、OPC等可能存在漏洞,攻
者可利用漏洞 送非法控制命令.又由于通信 程不具 加密、
功能和完成情况保 .存在被窃听、 装、 改、抵 和重放
深度融合以及物 网的快速 展.工 控制网 品越来越多
地采用通用
公共网
、通用硬件和通用 件.以各种方式与互 网等
接. 致病毒、木 等威 正在向工 控制网
的
15】.可
工
控制网 及其 有通信
及
的安全性
散,其网 安全
日益突出。由于工 控制系 厂家 其通信
亟待解决。在我国关
OPC通信服 .而大量的OPC Server往往使用弱安全
制.以及 .因此。 OPC安全研究具有一定
基
施的大型DCS中,普遍采用
是封 的.其安全性直接威 我国的“中国制造2025”国家
机
划的安全性.因此.
研究 得更加迫切。
工
控制网 安全防御的一些关
技
的
授 服
的意
.
2
工
控制网 的安全防御体系的 状与亟待解决的
按照工信部338号文件(-r 控制网 安全防 指南》的指
.工 采用指令 防火 .其要求不 可以
我国的工 化与信息化 在正 在深度融合 段.工
控
建
工
制网 在保 需求、响
与更新周期等方面的要求 之信
深度解析OPC
OPC客 端之
到指令
商的
.而且可以跟踪OPC服 器和
端口.最小化开放生 控制网的端
息网 存在 大的不同.使得目前面向信息网 的安全防御理
与技 不能直接 用到工 控制网 的安全防御之中.目前
D.同
OPC客 端与OPC服 器之 的指令
求
行
在工 控制网 的安全防御建 工作中.以下几方面的
亟
.
于不符合安全要求的操作指令 行 截和 警.并
待解决:
OPC 行写入控制.
OPC 向只 控制. 些安全措施
的工 控制网 的网 安全.
可以极大提升了基于OPC
(1)与工 控制网 相关的安全防御理 体系有待 一步
的完善。国家 控制网 的安全防御的相关 准、解决
的理 与体系亟待完善。
面
工
指令
工
防火
(1) 控OPC网 和服 器:在通信
器分配的通信所需要的TCP端口号.尽可能少地打开防火
OPC
的安全性.采取的关
技
:
,
跟踪OPC
(2)缺乏
控制网
工 控制网 安全防御的相关技 手段。由于
服
工
于运行的
性与响
等方面的要求
的端口.允 数据 接通 的同 尽可能关 所有未使用的
高.有 于信息网 的要求.研究
及技 非常必要.
工
控制网 的安全防御
端口。
理
(2) OPC客 端与OPC服 器之
,同 OPC可 行写入控制.
的指令 求
(3) 于来自工 控制网 内部的各
攻
行
的防范能
来自
行
OPC 向只
力仍 不足. 有的工 控制网 安全防御防范主要
控制.
网
外部的攻
行
.
于来自网 内部的威 缺乏安全保
(3)使用OPC— UA:OPC— UA
的数据是可加密的。并
机制。
通信 接和数据本身都可
以保 从原始
安全控制。 种新的安全 种可
(4) 于工 控制网
的管理与 控能力不足。目
到MES、ERP系 的各种数据的可靠
。
前
大多数的工 控制网 中并没有 于其
控机制.容易受到攻
(5)缺乏 于工 控制网 运行状
正在 生的攻 制止攻 者的最佳 机。
(6)缺乏 于工 控制网 事件做出及
的能力。尽管相关部 国家关
急指南.一些危害需要用 判断。耽 了工 控制网 恢复
正常运行所需要的 .造成 大。
在我国,构建一个工控网 境可信、网
运行可控的工 控制网 防御体系. 于工 控制网
安全保 工作来 具有至关重要的理
安全防御体系的关 研究
的管理与
(4)采取增 安全措施:可将OPC服 器隔离到只包含授
的唯一分区中,并采用“分区加固、身份 ”技 .达到
深防御的目的。
。
的
感知:无法
行
.
(5)通信内容加密技 :所有通信的内容都被加密后
防火 收到的信息 行解密后再 行通信
容的深度
3.2工 控制网
,
攻
响
与反制
工
和内
基
施的安全事故制定
。
的
估技
了
失
目前“工 控制网 安全是一
工控界的广泛的 可和接受.作
估也越来越受到大家的重 .但在
需要 正和解决一些模糊概念和
(1)目前国内 缺乏具有自主知
系
工程”的 点已得到了
状
可知、网
工程的基 和前提的
作
的
域的研究、
展
程中
工
建
与
意
。
:
3
技
、比
系
地
控制网
系
安全
估 准和体系.
根据工信部 布的《工 控制网 安全防 指南》的建
.
在工控安全体系建 中.需要建 一个完整的工控系 安全防
体系,包括:工控信息安全管理、工控安全 估、工控网
安全防 以及相 的管理制度等.确保工 控制网 信息的安
(2)工控网
个相当重要而又是最 解决的方面.目前缺乏系 性的指南。
(3) 工控网 估工具比 缺乏.市 上关于信息
估比 成熟的 品很少.工控网
估
程的主 性是影响
估
果的一
全。其中.有几
3.1工 控制网
关
技
亟待研究并 践。
安全
估相关的
安全性研究
工具更是 乏。
工
目前工 控制网 一直使用着
复
的
有封 通信
控制网
的
估目前尽管有GB/T33009一
CHINA MANAGEMENT INFORMATIONIZATION,1
万方数据
全部评论(0)