SCADA系统安全防护
- 关键词:SCADA系统,安全防护,解决方案
SCADA系统可以对现场的运行设备进行监视和控制,以实现数据采集、设备控制、测量、参数调节以及各类信号报警等功能。SCADA系统的跨度非常广,各个站控系统相对分散,网络连接庞大、复杂;此外生产信息化的需求也让目前整个管道系统组成一个庞大的生产控制网。
隐患分析
尽管工厂信息网络安全采取杀毒服务器、操作系统补丁服务器等措施,但SCADA系统网络仍存在一些潜在的安全威胁。
1、SCADA系统与上层ERP信息网之间的OPC通讯安全隐患
虽然考虑了双网卡配置,管理信息网与控制网通过该站进行了隔离,部分恶意程序不能直接攻击到控制网络,但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等,这种配置没有作用,病毒会在信息网和控制网之间互相传播。安装杀毒软件可以对部分病毒或攻击有所抑制,但病毒库存在滞后问题,所以不能从根本上进行防护。
2、SCADA内部各个站控系统间的互相感染隐患
所有的站控系统都在同一个网络中,如果仅仅从管理角度,采取通过规章制度限制移动介质接入而减少外部感染,不在网络内部采取有效防护措施的话,SCADA内部所有站控系统会相互感染,甚至导致系统停车。
3、SCADA系统厂商的远程维护接入带来的安全隐患
如果SCADA系统厂商使用的维护设备自身遭受病毒攻击,在远程维护过程中,维护设备与SCADA系统直接相连,就会间接导致病毒攻击扩散到SCADA系统中,存在一定的安全隐患。
解决方案及实施
1、创建网络安全分区
基于SCADA系统网络架构和存在的安全隐患,结合系统网络安全要求,将整个系统划分为站控系统、调控中心、管理信息以及远程接入等6个区域。
2、部署Guard安全模块GSA,根据各个区域的安全需求,确定所需的可装载安全软插件LSM
a、将各个站控系统通过Guard工业防火墙(防火墙硬件GSA+Firewall LSM软插件)进行相互隔离,防止病毒扩散
b、在SCADA系统和上层管理信息层之间部署专业的OPC通讯协议防火墙(防火墙硬件GSA+OPC LSM软插件),防止来自上层信息网针对各条管线SCADA系统的攻击和病毒感染
c、在第三方远程接入前端增加Guard工业防火墙(防火墙硬件GSA+Firewall LSM软插件),防止来自第三方设备的病毒感染和攻击
3、在整个管线的SCADA控制网内部部署一台配置管理平台CMP,对所有的Guard工业防火墙硬件进行组态和管控
4、在信息管理层安装一台安全管理平台SMP,统一部署网络通讯监控策略,显示并记录每条管道SCADA的网络报警及设备状态
更多即时动态与海量信息分享,请关注企业官方新浪微博:海天炜业。