盘点2016国内工业控制系统信息安全十大新闻事件

2016年对于我国工业控制系统信息安全市场来说,应该是收获颇为丰厚的一年。尤其是在相关法律法规、标准等方面都取得了突破性的进展。工业控制系统信息安全产业联盟(ICSISIA)特别整理发布2016国内工业控制系统信息安全十大新闻,且听小编细细说来!
Top
1
《中华人民共和国网络安全法》正式出台
2016年11月7日,第十二届全国人大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,习近平主席签署第五十三号主席令,予以正式公布。《网络安全法》进一步界定关键信息基础设施范围;对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施;增加惩治网络诈骗等新型网络违法犯罪活动的规定等。《网络安全法》自2017年6月1日起施行。
Top
2
《国家网络空间安全战略》发布
2016年12月27日,国家互联网信息办公室发布了《国家网络空间安全战略》,这是我国首次发布关于网络空间安全的战略。《战略》阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,是指导国家网络安全工作的纲领性文件。
Top
3
工信部印发《工业控制系统信息安全防护指南》
2016年10月,工业和信息化部印发的《工业控制系统信息安全防护指南》,其中指出,工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面做好工控安全防护工作。
《指南》的发布是对国家关键信息基础设施安全保护要求的充分落实,也为新时期、新形势下做好工控安全防护工作提供了重要的参考。
Top
4
习总书记强调要加强关键信息基础设施保护

这要看企业的发展是不是真正尊重市场,有没有资金和技术实力,还有就是企业本身的品牌和文化建设优势。
入股明星风投3年分红330万 河北宣工兜售高特佳补血
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上对关键信息基础设施保护和网络安全检查工作做了精辟论述,指出:“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”,要求“要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改”。
Top
5
全国范围关键信息基础设施网络安全检查工作启动
2016年7月,经中央网络安全和信息化领导小组批准,首次全国范围的关键信息基础设施网络安全检查工作正式启动,这是落实习近平总书记重要讲话精神的重要举措,也是在网络安全新形势下,针对全国关键信息基础设施网络安全保护开展的全局性、基础性工作。
开展关键信息基础设施网络安全检查,是从涉及国计民生的关键业务入手,理清可能影响关键业务运转的信息系统和工业控制系统,准确掌握我国关键信息基础设施的安全状况,科学评估面临的网络安全风险,以查促管、以查促防、以查促改、以查促建,同时为构建关键信息基础设施安全保障体系提供基础性数据和参考。
Top
6

天津武清检察院组织全体干警参加保密知识测试

24项信安标委归口国家标准获批发布
2016年8月29日,全国信息安全标准化技术委员会归口的《信息安全技术 具有中央处理器的IC卡嵌入式软件安全技术要求》、《信息技术 安全技术 信息安全管理体系要求》、《信息技术 安全技术 信息安全控制实践指南》等24项国家标准正式发布,其中包含信息安全技术工业控制系统安全应用指南。

大数据分析显示Andriod系统以523个漏洞位居榜首

Top
7
国内首个军工工业控制信息安全防护体系试运行
2016年2月,由中国航天科工二院706所研发的军工工业控制信息安全防护体系已于该院相关生产车间完成试运行,试运行期间该防护体系成功保障了数控机床运行过程中信息数据的有效管控,标志着国内首个军工工业控制系统信息安全防护体系已具备实际应用能力。
Top
8
2016第五届工业控制系统信息安全峰会圆满收官
2016年11月2日,由工业控制系统信息安全产业联盟(ICSISIA)主办,ICSISIA秘书处及控制网(kongzhi.net)&《自动化博览》承办的“2016第五届工业控制系统信息安全峰会”第四站在上海成功举办。本次会议是“2016第五届工业控制系统信息安全峰会”的“收官之战”。会议现场观众的热烈反响和积极互动,实现了“2016第五届工业控制系统信息安全峰会”的完美收官。
该活动自2012年起,已连续举办五届。
Top
9
《工业控制系统信息安全》专刊(第三辑)出版发行
2017年11月,《工业控制系统信息安全专刊》(第三辑)正式出版。自2014年成立工业控制系统信息安全产业联盟以来,每年出版一本《专刊》,《专刊》的出版受到了业内的广泛好评。今年的《专刊》内容更加丰富,有来自电力、石油、轨道交通、烟草、市政、高铁等领域的专家,深入讲解所在领域对工业控制系统信息安全的需求与应用,相信会对读者有所启发。
Top
10

开学第一课 安全教育唱主角

“工业控制系统深度安全技术”列入科技部“网络空间安全”重点专项2016年度项目申报指南
科技部依据《国家中长期科学和技术发展规划纲要(2006—2020年)》,会同有关部门组织开展了《网络空间安全重点专项实施方案》编制工作,综合各方意见,启动“网络空间安全重点专项”2016年度首批项目,并发布指南。专项围绕:网络与系统安全防护技术研究、开放融合环境下的数据安全保护理论与关键技术研究、大规模异构网络空间中的可信管理关键技术研究、网络空间虚拟资产保护创新方法与关键技术研究、网络空间测评分析技术研究等5个创新链(技术方向),部署32个重点研究任务,专项实施周期为5年,即2016年~2020年。按照分步实施、重点突出原则,首批在5个技术方向启动8个项目。其中,“工业控制系统深度安全技术”被列入“网络空间安全”重点专项2016年度项目申报指南。
以上内容由工业控制系统信息安全产业联盟(ICSISIA)整理发布,转发请注明出处。
微信扫一扫关注该公众号

跟踪软件会帮助找回失窃的电脑,但是不少跟踪软件的合法性受到大众的质疑,应制定相应的规范。

猜您喜欢

原子力発电の安全で高効果の発展は、环境汚染を軽减するための…
自带计算设备BYOD带来的安全问题探讨
不限行业的EHS在线网络视频教程
女人为什么会劈腿 女人劈腿的原因揭秘
IFAMILY WRIGHTSLAW
移动设备安全快速指南

重磅 关于举办“工控安全保障工程师培训”的通知

近来遇到一些疑惑,想参加工控系统信息安全相关的培训,有什么推荐吗?
中国自动化学会(CAA)与工业控制系统信息安全产业联盟(ICSISIA)联合面向全国举办“工控安全保障工程师培训”,3月15日就正式开始了,赶紧去报名吧!
为贯彻落实习总书记在2016年4月19日全国网络安全和信息化工作座谈会上强调的要加强关键信息基础设施保护的重要讲话,以及工信部印发的《工业控制系统信息安全防护指南》文件精神,中国自动化学会(CAA)与工业控制系统信息安全产业联盟(ICSISIA)联合面向全国举办“工控安全保障工程师培训”,旨在提升我国工业控制系统安全保障水平,强化行业工控安全系统性认识,提高工业企业抵御信息安全事件的能力,降低工业企业信息泄露风险,加强工控安全技术人员专业能力和专业知识,现将有关事宜通知如下:
一、培训内容及对象
(一)培训内容
《工业控制系统信息安全防护指南》解读;相关工控安全标准解读;工控基本知识介绍;工控安全隐患分析;现场检查安全分析;渗透测试案例解析;工控安全运维;工控漏洞管理;工控安全风险管理;工业控制系统信息安全的应急响应;工控安全产品及防护方案等。
(一)培训对象
各工业企业工业控制系统的管理决策、规划设计、集成建设、运营管理、应用维护、安全保障等相关人员。
二、培训时间和地点
2017年3月15-16日
中国知识产权培训中心
不限行业的EHS在线网络视频教程
(北京市海淀区上地西街信息路6号环岛东南角)
三、报名方式
(一)请仔细填写报名回执表(点击下方阅读原文获取)于2017年3月10日前以电子邮件形式发送至工业控制系统信息安全产业联盟秘书处([email protected]),邮件主题请注明:培训报名。
(二)也可拨打:010-57116299电话报名。
四、培训费用
工控安全保障工程师(初级)培训班:4800元/人。
培训费用包含讲师、场地、教辅资料、考试、证书等。培训期间食宿费用自理。
五、缴费方式
请参加培训的学员于开班前缴纳培训费用,汇款时应注明“工控安全保障工程师(初级)培训及姓名、单位”。
请汇款至以下帐号(仅限公对公转账):
公司名称:北京自控在线文化传播有限公司
开户银行:中国建设银行北京上地支行

不可大意!你的Web浏览器安全吗?

银行账号:11001045300053006316
注意事项:1.为及时核查缴费状态,请在转帐时务必注明姓名、单位等信息;
2.发票以汇款帐号为准,统一开具国税普通发票,发票项目:培训费。如需个人帐户缴费请联系联盟秘书处。
六、证书颁发

学员经培训和考试合格后,由中国自动化学会与工业控制系统信息安全产业联盟联合颁发工控安全保障工程师(初级)证书。
请将1张2寸白底免冠彩色照片(背面注明“单位+姓名”)邮寄至北京市海淀区上地十街辉煌国际5号楼1416室(孙凝收),或直接带到培训现场交给工作人员。
附件1:工控安全保障工程师(初级)培训指南
附件2:工控安全保障工程师(初级)培训报名回执表
查看附件内容,请点击下方阅读原文!!!
联盟秘书处联系方式:

中科电气关于获准列入三级保密资格单位名录的公告

联系人:孙凝 梁秀璟
电话:010-57116299
邮箱:[email protected]
遇有重大信息系统事故或突发事件,公司应该按应急预案快速响应处理,并按规定及时向安全管理层报告。
传真:010-62669562
正式通知如下:
该文章作者已设置需关注才可以留言

猎豹移动2016网络安全报告:朋友圈恶意网址超搜索引擎

微信扫一扫关注该公众号

多家政府网站被挂黑链,经过认证发牌的网站被挂黑链并不能完全避免,问题是接报后无一家主动提出整改,均主动忽略漏洞,网络安全上的不作为让部分地区的政府失信。

猜您喜欢

话题:环保部:构建天地一体化生态安全监测预警和评估体系
移动支付安全中间人攻击防范
企业安全歌,唱红中国,唱响全球
巴空军16架枭龙战机服役150架订单完成过半
MUSCHEALTH YOUTUBEADBLOCKER
“毁灭世界的力量”基于云计算的僵尸网络

上海智能工控系统联盟正式揭牌成立

鲁中汇源推出新品,引领2017果汁饮料新风尚
上海智能工控系统联盟正式揭牌成立

2016年12月28日下午,由上海市经济和信息化委员会与上海市科学技术委员会作为指导单位、上海智能工控系统联盟主办、上海亚泰仪表有限公司和上海岗崎控制仪表有限公司协办的“上海智能工控系统联盟成立仪式暨基于异构网络与动态重构的开放型分布式控制系统”项目启动仪式,在宝山区城市工业园上海亚泰仪表有限公司举行。

新手机系统崩溃数据丢失,成都律师状告三星索赔5万元

黑客受人指使利用软件攻击网吧 年仅18岁被判刑

上海市促进中小企业发展协调办公室主任郑晓东、上海市经济和信息化委员会装备产业处处长刘平,宝山区经济委员会(信息化委员会)主任叶英,上海交通大学电子信息与电气工程学院仪器科学与工程系教授(博导)韩韬、上海大学机电工程与自动化学院书记王灵,市科学技术委员会高新技术处、宝山区科学技术委员会、宝山区城市工业园,以及相关会员单位的领导八十余人出席了成立仪式。
市促进中小企业发展协调办公室主任郑晓东、市经济和信息化委员会装备产业处处长刘平共同宣告“上海智能工控系统联盟”成立并揭幕。宝山区经济委员会(信息化委员会)主任叶英开启了“上海智能工控系统联盟”网站。上海交通大学电子信息与电气工程学院仪器科学与工程系教授(博导)韩韬代表专家委员会作了讲话,上海博卡实业有限公司总经理俞平权代表会员单位发言,联盟秘书处介绍了2017年上海智能工控系统联盟工作计划,联盟理事长王健安宣布《基于异构网络与动态重构的开放型分布式控制系统》项目的研发正式启动。
郑晓东在会上指出,中小企业是本市数量最大、最具创新活力的企业群体,在促进经济增长、推动创新、增加税收、吸纳就业、改善民生等方面具有不可替代的作用。因此,促进中小企业发展就是最大的民生。但是,在经济发展新常态的大背景下,越来越多的中小企业陷入了困境,粗放型发展模式难以为继,转型升级、创新发展已经是中小企业发展的必然选择。对此,引导和鼓励中小企业围绕关键核心技术和产品,结合技术、管理创新,在产业链、或细分领域和细分市场占据制高点,不断提高发展质量和水平,增强核心竞争力。这是一项长期的、系统性工程,要解决目前中小企业面临的诸多问题,提高中小企业的整体素质,从根本上来说,是要帮助企业营造良好的经营发展环境。要做好这点,除了政策、财税金融扶持还很不够,我们还要创新思路,建立和完善服务体系,促进服务资源与企业需求对接。这就要求我们要动员社会力量,特别是要鼓励中介机构、行业协会、大学和科研机构为中小企业提供有实效的服务,着力解决中小企业在技术创新、企业管理信息化、市场开拓、投资融资、人才培训、信息咨询等方面存在的突出问题。

卖给培训机构 南昌14人非法交易个人信息获刑

郑晓东强调,联盟下一步应该集聚中小企业技术力量,采取六位一体(政、产、学、研、用、金)形式,攻关国家和本市智能工控的重点技术领域课题,培育企业的内生竞争力;结合两化融合重点工作,帮助中小企业经营管理者学习和运用现代管理知识,提升经营管理和企业信息化应用能力,提高智能制造工艺水平;关心民生、城市建设、环境保护、绿色能源工程中的智能控制系统的技术改造项目。同时,引导中小企业履行社会责任,构建优秀的企业文化,培育一批有抱负的企业家。
公司应该确保全面的追踪、分析和解决信息系统问题,并对问题记录、分类和索引。
刘平在会上指出,智能工控系统大致可以分为两个部分,一是硬件,二是软件。从硬件这一块来看,本市的很多企业都可以做,但实际上最关键的就是在软件这一块,尤其是在算法方面,我们和国外的差距还是比较大,算法方面是我们今后需要重点加以突破的内容。本市制造业“十三五”转型升级规划当中也明确了将仪器仪表及智能控制作为上海制造业发展的一个重点内容,在去年发布的《关于上海加快发展智能制造助推全球科技创新中心建设的实施意见》中,我们提出了五位一体的发展思路,包括基础装备、平台、网络、数据还有应用这五个方面。实际上在这五个方面中,都离不开智能工控系统的支撑,所以智能工控是一个科技含量比较高、又是不可或缺的行业,特别适合在上海这样一个国际大都市生存、发展及壮大。
刘平强调,联盟的定位就是要提高行业的专业化程度,联盟应该在一个特定的时间段,制定相应的目标。今天在联盟成立的同时,又启动了《基于异构网络与动态重构的开放型分布式控制系统》项目的研发,表明联盟成立的使命就是要在智能工控系统领域做精做细、做大做强,来提高我们联盟的专业化程度。同时,联盟需要搭建多项平台来提高联盟的凝聚力、号召力。多开展一些相关的活动,包括论坛、沙龙等,通过这些活动来相互传递信息,提供服务咨询。
刘平希望,联盟能够继续加大一些政策方面的宣传,尤其是创新一些机制,为会员单位服务作些探索。特别在创新机制方面,走出一条适应市场经济发展的新路,吸引更多具有影响力或带动力的会员单位,提高联盟的创新水平。
上海智能工控系统联盟是在市经济和信息化委员会和市科学技术委员会联合指导下,联盟根据《国家创新驱动发展战略纲要》、《国家中长期科学和技术发展规划纲要(2006—2020年)》和《中国制造2025》等相关文件精神,围绕智能工控系统研发制造和企业信息化发展两大主线。在上海市相关委办局指导下,吸纳智能工控系统产业链上的基础研究机构、零部件供应商、设备供应商、最终用户、高校、标准化组织、检测机构、金融组织、相关的服务咨询机构以及致力推动智能工控系统事业的单位自愿组成,是一个集联合性、专业性和行业性于一体的产业发展联盟组织。
目前,联盟注册会员已超过30家。联盟秘书处依托上海亚泰仪表有限公司和上海岗崎控制仪表有限公司联合开展工作。联盟成立后,将充分发挥桥梁和纽带作用,加强上下游产业链资源整合和优势互补,共同营造良好发展环境。
联盟以“使命担纲、协同创新、共赢发展”为宗旨,按照《上海加快发展智能制造助推全球科技创新中心建设》的要求,搭建政、产、学、研、用、金“六位一体”的服务平台,聚集智能工控系统相关的政策、规划、产业、技术、项目、金融、信息等资源,重点开展具有短期商业价值的智能工控系统解决方案相关技术的研发和产业化,兼顾中长期的前瞻共性技术的研究,利用科研院所的研究成果,进行产业化应用与开发,整合产业发展资源,优化产业发展环境,协同行动和集成发展,形成产业核心竞争力,有效提升上海智能工控系统关键技术创新水平,推进智能工控系统技术及产品研究、开发与应用发展,促进智能工控系统的产业变革和模式创新,服务社会创新体系建设,促进经济社会又好又快发展。
上海智能工控系统联盟第一个项目“基于异构网络与动态重构的开放型分布式控制系统”项目正式启动。项目主要实现支持IEC61131-3以及IEC61499国际标准,研发开放型分布式控制系统的高效模块;支持工业以太网+工业无线WiFI的异构网络接入;提供基于IEC61499的开放性平台,实现多硬件平台互联互通与相互协作,同时,支持实时过程数据采集、过滤、储存至工业大数据云端;应用多智能体技术,实现嵌入式轻量级ERP与MES功能服务;通过工业无线与增强现实技术(AR),提供现场设备实时监控;应用透明加密技术,确保系统信息安全。(来源:上海智能工控系统联盟)
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

我们的IT服务通常有专门的VIP通道,让我们重要的尊贵客户能得到更优质的服务和获得更好的体验。同时,在高管离职的控制措施方面,我们也有特别的VIP措施,以便把因其离职可能对公司造成的潜在损失降至最低水平。

猜您喜欢

当禁止浪费之风刮向网络安全行业
个人电脑安全基础操作指南
如何识别和防范假冒WiFi热点
最新发现:一种可以检测早期癌症的血液测试
DOCTORALIA REDHUNTERX
信息安全十字歌谣

勒索软件再升级,工控系统险遭殃?

勒索软件已经成为了商务企业、教育机构以及医疗卫生部门的心头大患。而近期又有网络安全研究人员发现,通过恶意软件来攻击城市的基础设施其实也并没有多大的难度。这些基础设施是一个城市能够正常运转的基础,这无疑是在我们目前生活环境的安全状况雪上加霜。
公共基础设施处于安全风险之中
就在情人节的这一天,来自佐治亚理工学院的网络安全研究专家披露了一款由他们自行设计和开发的新型勒索软件,而需要注意的是,这是一款专门针对工业控制系统的恶意软件。研究人员也通过实验证明了,这款勒索软件可以轻而易举地“拿下”城市的污水处理系统。
差旅或在外工作时需注意的信息资产安全

比电信诈骗更可怕 这个春节你被表情包套路了吗?

虽然此次攻击实验的对象并非真正的城市污水处理系统,而是模拟出来的,但这也足以证明网络攻击者可以通过恶意软件破坏我们日常生活所必须的一些关键基础设施。除了污水处理系统之外,还有能源供应系统、水资源供应系统、供暖系统、通风系统、空调控制系统和自动扶梯控制器都将处于安全风险之中。
研究成果发布
目前,研究人员已经在美国旧金山的RSA大会上公布了他们的研究成果。
在此次RSA大会上,该研究团队也向我们描述了他们是如何去识别工业设备中各种常见可编程逻辑控制器(PLC)的。在获取到了三种不同的工业设备之后,研究人员立刻对这些设备的安全等级和安全状态进行了测试,例如密码保护状态以及它们抵御恶意攻击的能力。

RSA2017:物联网安全威胁将成热点话题

研究人员利用可编程逻辑控制器(PLC)和一些水管以及水箱等工具模拟出了一个小型的污水处理系统,但是这个小型系统的功能并不是对水进行过滤和净化的。研究人员将原本用于净化水的氯替换成了碘和淀粉,当攻击者通过恶意远程控制来向水中添加碘时,水箱中的水就会变成蓝色。

首先,研究人员通过类似钓鱼邮件和恶意链接等常见的攻击方法让目标系统成功感染勒索软件,然后再利用勒索软件来对目标系统实施模拟攻击。实验结果表明,这款新型的勒索软件能够关闭并锁定关键的工业控制系统。
当某个工业控制系统被攻击者恶意关闭之后,也就意味着这个系统成为了攻击者手中的“人质”。此时,如果有关部门拒绝支付赎金的话,攻击者就可以威胁在城市供水系统中添加过量的氯,而这将会给整个城市居民的人身安全带来危险。
除此之外该研究团队还表示,攻击者还可以通过攻击系统的可编程逻辑控制器(PLC)来关闭水阀或篡改设备读数。
来自佐治亚理工学院电气与计算机工程系的博士生David Formby表示:“适量的氯可以对水进行消毒,而且饮用起来也不会对人的身体造成伤害。但是水中添加过量的氯将会使人体产生多种不良反应,所以这种情况下的水是非常危险的。”
在研究如何攻击这些可编程逻辑控制器(PLC)的过程中,研究人员发现了1400多种不同类型的可编程逻辑控制器(PLC),而我们可以通过互联网轻而易举地访问这些可编程逻辑控制器(PLC)。大多数情况下,这些设备都会有企业网络防火墙的保护,但是当整个网络环境不再安全的情况下,这些防火墙也就相当于是形同虚设了。

移动支付安全问题受关注 “无现金时代”还有多远?

多家网站被黑客频繁光临,厉害的黑客掌控了系统的完全控制权,所有用户的密码和SSH密钥都失窃,SSH钓鱼或中间人攻击威胁着这些远程终端用户,网站安全不能和大的安全体系脱离。
在此之前已经发生过很多次针对嵌入式工业控制系统的勒索软件攻击事件了,而且我们也可以看到了勒索软件将会给医院带来多么大的恶劣影响。在某些情况下,相对于赎金这种经济负担而言,恶意网络攻击所带来的负面影响会更加可怕。对于医院来说,这种负面影响将会直接影响到病人的安危,病人的生命将会受到严重的威胁,城市的净水系统也是一样,如果这些系统遭到攻击,那么受此影响的人可就不是一个两个了。
佐治亚理工学院电气与计算机工程系的教授Raheem Beyah认为,工业控制系统中的漏洞已经存在了有至少十年了,这是众所周知的事情。随着这两年来勒索软件的兴起,其他行业对于勒索软件来说也越来越难以攻下了,所以工业控制系统很可能会成为网络攻击者的下一个大目标。
Beyah说到:“某些国家的政府黑客可能早就已经对这种攻击了如指掌了,所以他们很可能会通过这种攻击手段来达到某些政治目的,但是普通的黑客应该对这些系统不感兴趣。我们希望通过此次的攻击演示来引起人们对工控系统安全性的重视,如果我们可以成功地攻击这些工业控制系统,那么其他那些不怀好意的人同样也可以做到。”
微信扫一扫关注该公众号

确保数据安全性和完整性的信息安全意识培训对公司的成功变得至关重要。

猜您喜欢

【海通计算机】汇金科技:银行实物流转内控风险领先供应商
终端用户保障数据安全从何处入手
让环安人员的培训工作变得轻松的视频课件以及在线教育服务
安全月安全周安全意识宣传——移动支付中间人攻击防范
CROMWELL ABQJUMP
LBS地理位置信息泄露造成损失

TÜV南德获CNCA信息安全管理体系(ISO/IEC 27001)认证业务资质批准

中国/上海,日前,全球领先的第三方检测认证机构TÜV南德意志集团(以下简称“TÜV SÜD”)下属的南德认证检测(中国)有限公司获得了国家认证认可监督管理委员会(CNCA)信息安全管理体系(ISO/IEC 27001)的认证业务资质许可。未来将持续在质量、环境、职业健康安全、能源、森林产销监管链等管理体系认证审核基础上,进一步为中国各类企业、组织、机构等提供信息安全管理认证、审核和相关培训及知识服务。
伴随着全球信息化、数字化的发展,全球经济发展正逐步进入数字化时代。在国务院《“十三五”国家信息化规划》中,同样也将加快信息化发展纳入中国未来发展方向。然而,随着大数据的蓬勃发展,当前网络与信息安全领域,也正在面临着多种挑战。信息安全已成为全球关注的热点。

云计算讲不下去 物联网漏洞泛滥 新的救世主出现了……

例如在工业领域,随着信息化与工业化融合的不断深入,“工业4.0”以及“中国制造2025”的推进,工控系统也从单机走向互联,从封闭走向开放。这使得生产效率明显提高的同时,工控系统的信息安全问题就面临着严峻的威胁。因此,2016年10月,工信部印发了《工业控制系统信息安全防护指南》,指导工业企业开展工控信息安全的防护工作。
信息安全在TÜV SÜD

近年来,TÜV SÜD正积极围绕着如何帮助企业把握数字化转型带来的机遇,同时将数字系统安全相关风险降至最低,以帮助企业建立信任,在数字化转型的当下赢得竞争力提供全新的服务。而“数字化转型”正是TÜV SÜD着眼于未来对经济及社会产生重要影响的四个战略主题之一。并且,TÜV SÜD也于2016年分别在德国慕尼黑、新加坡创建数码服务卓越中心,该中心将专注研发针对智能科技的测试与认证新方法,涉及预测数据分析、工业安全网络与功能安全领域。

防网络诈骗 支付宝下周将关闭付款码转账功能

企业文化是无形的,它是我们企业的灵魂,即使它没有直接产生商业价值,但却对公司的长远战略发展起关键推动作用,我们在组织内建立信息安全文化也是如此,在信息安全方面,它指导着我们的思考和行为方式。

在中国, TÜV SÜD专业的审核员拥有丰富的知识与实践经验,能够在许多工业和服务业领域开展信息安全和其他管理体系的审核,致力于诸如智能基础设施及工业 4.0 等智能细分市场。无论是独立的信息安全管理体系还是与其他管理体系整合,TÜV SÜD的专家都会采用全面的方法满足相应的信息技术测试和认证需要。
乌兰浩特市迅速贯彻落实安全生产督查组反馈意见

未来,TÜV SÜD将持续在质量、环境、职业健康安全、能源、森林产销监管链等管理体系认证审核基础上,进一步为中国各类企业、政府、组织机构等提供信息安全管理认证、审核和相关培训及知识服务。
关于ISO/IEC 27001
ISO/IEC 27001作为国际领先的信息安全管理标准,不仅适用于商业、政府和非营利组织等组织机构,并且能够帮助企业、政府、组织机构等在信息安全运行过程中识别并采取适当的措施管理、降低风险。定期的监督审核也将确保企业、政府、组织机构的信息系统不断地被监督和改善,并以此作为增强信息安全的信任、信用及信心,使利益相关方及客户感受到企业、政府、组织机构对信息安全的承诺。
该文章作者已设置需关注才可以留言

思博伦安全专家预测2017年民用和军用全球导航应用面临的更大风险

微信扫一扫关注该公众号

欧盟已经立法要求网站提示访客其Cookie搜集情况,美国也很注重保护用户的个人隐私,我们要奋起真追,做文明的互联网服务商,给用户足够的个人信息搜集方面的知情权。

猜您喜欢

地铁安防系统采用安防玻璃
NBC.com被黑事件让哪些安全技术蒙羞?
网络安全公益短片小心披露您的地理位置信息
秦俊杰杨紫甜蜜公开恋情:我可能找了个假女友
WEBVAHINI DIRECTORYDOLPHIN
如何识别和防范假冒WiFi热点

【鹏越 工控安全】专题系列(125)——水行业控制系统信息安全现状分析及对策探讨

水行业主要控制系统简介

过程控制系统
市政水行业的SCADA系统一般分为几个组成部分:集团控制中心、水厂分控中心、监控分站等。它所具有的功能一般包括:数据采集控制,传输,显示及分析,报警,历史数据的存储、检索、查询,报表显示及打印,遥控,网络通信等。水厂分控中心对水厂的生产及各站点进行实时监控,采集各站点的数据信息,并对这些信息进行存储、分析汇总、打印等处理。通过数据分析,及时给出报警信息或向站点发出控制命令,控制设备的运行。监控分站一般根据生产管理的要求、工艺流程、信息量的大小和控制设备的多少来划分。每一个监控分站采集现场数据并通过工业以太网或现场总线将信息上传至水厂分控中心,同时接受水厂分控中心发出的控制命令,控制现场的各种工业设备。水厂分控中心一般通过租用公共通信线路(有线或无线)将汇总数据传送到集团控制中心,以实现整个系统的调度和管理。
能源管理系统
市政水行业的能源管理系统一般分为三个子系统。信息处理子系统的功能是数据采集和过程监控,实现不同需求的数据采集、分类归档、逻辑分析、报表管理等。故障处理子系统的功能是监测、报警、信息记录和归档、故障分析等。能源管理子系统的功能是能源计划管理、实效管理、质量管理、运行支持、预测分析等。能源管理系统向下通过现场总线进行数据采集,向上通过专用光纤链路与上级电力系统通信,将所有的电量信息、设备状态信息等上传,同时接受上级电力系统的调度指令。
图1 水行业典型过程控制系统
图2 水行业典型能源管理系统

西媒:美国国家情报总监辞职 有50年情报工作经验

水行业工业控制系统信息安全现状分析
信息安全重视不足
笔者在工作中参与了一些现状水务项目收购、改造的尽职调查工作,在调研中发现,许多业主对市政水行业工业控制系统信息安全问题的紧迫性、重要性认识不足。在实地调研中我们发现,许多水务集团通过BOT (或TOT)等方式建设或者收购的项目,对投入及回报考虑的较多,更多的是把该行业作为投融资的渠道和手段,对企业工业控制系统的安全风险评估不足,防范措施单一,技术和资金投入不足。许多用户的判断是,行业内目前未发生严重的信息安全事件,现有的系统被攻击的可能性较小,不会造成经济损失和损害公共安全。但实际情况是,在目前的网络环境下,现有的安全措施下,不排除发生严重的、恶意人为的水行业工控系统安全性事故。

保护对象不明确或者无保护
从行业总体看,水厂或集团控制中心对外部网络一般设置防火墙;集团控制中心与水厂之间的远程通信,通过控件加密方式将控制指令在远端加密,现场控制系统通过控件解密方式还原控制指令。但在水厂内部网络边界防护上,无论是过程控制系统,还是能源管理系统的工业控制网络,与企业管理网络一般没有明确的隔离;水厂内采用的工业控制网络通信协议一般也未采取特别的安全措施;系统数据安全一般仅考虑备份措施;系统的管理权限一般通过简单的授权进行分级管理;大量的智能设备、嵌入式设备没有系统的防御措施。
缺少相关顶层设计

基于开源软件漏洞的攻击今年将上升20%

我国中小企业互联网安全防护总体水平较高,网络安全市场有较大的发展空间。
在行业内,缺少专门针对水行业工业控制系统安全的相关标准和规范。在设计水厂能源管理系统时,一般是参照电力行业相关标准和规范执行。而对于过程控制系统仅考虑工业控制网络与外部网络的隔离,对大量的工控产品、无线设备、嵌入式设备等一般没有风险评估及安全设计标准和机制,导致在水行业项目的工业控制系统设计、施工、验收时缺乏相应的依据,工业控制系统的安全设计随意性较大,对项目建成后的运行带来潜在的风险。

水行业工业控制系统信息安全对策探讨
建立风险评估机制
风险评估是系统安全设计中的一个至关重要的部分,是实现工控系统信息安全的基础。在设计水厂工业控制系统的初始阶段,就要明确在水行业工业控制系统中我们要保护什么、需要防范的对象是什么。笔者认为,对于水行业工业控制系统,根本的目标是保证最终出水的质量,无论是居民生活饮用水,还是污水及废水的处理。与此相关的一切硬件、软件、网络等,都应列入被保护对象。风险评估应贯穿于项目的整个生命周期,包括设备的选型、采购、运行、维护等各个阶段。而防范的对象,包括外部威胁和内部威胁。外部威胁主要是通过互联网的侵入,这包括集团控制中心、水厂内的各种互联网网关设备、嵌入式设备、视频监控设备等的安全漏洞。而内部威胁,包括工作人员使用移动设备、外存储设备、无线设备、无意或有意的错误操作等。
设计解决方案
在设计安全解决方案时,要根据水行业的特点建立一个威胁模型,建模的目的就是模拟系统是如何受到攻击的。该模型应该考虑水厂内工控设备的特定物理环境,例如无人值守的取水泵房、污水处理厂上游的提升泵站、大量的智能仪表及无线设备等;同时涵盖水行业常用的硬件、软件、网络协议等可能遭受的潜在攻击。针对性地建立威胁模型有一定难度,但是非常必要,只有通过建模才可能解决潜在的系统安全隐患,追溯事故的发生原因,模拟事故发生的后果。
在建立威胁模型,确定了系统的真正威胁后,才可以创建安全策略。水行业工控系统有其一定的特点,在没有确定威胁的情况下,单纯的把各类安全技术手段堆叠在一起,并不能保障系统的安全性。在工控系统信息安全设计中,威胁决定应对策略,应对策略决定安全设计,最终的安全设计应是检测、保护、回应的混合机制。安全设计完成后,应模拟各种威胁和攻击进行安全验证,并在系统的整个生命周期内不断地进行监测和修正。
制定行业标准
2015年5月在上海市城市建设设计研究院讨论CJJ120《城镇排水系统电气与自动化工程技术规程》的修编会议中,笔者建议增加工业控制系统信息安全的相应内容,提供设计依据,从新项目的设计阶段,就把行业的工业控制系统信息安全做全面的规划和设计。保障市政水行业等公用行业工业控制系统的安全运行,除了从设计上要重视,更要做到有规可依,需要从国家的法律法规、行业设计标准、施工及验收标准、行业及企业制度等方面强化、细化。
市政水行业是关系到国计民生的基础设施,保障其安全、稳定地运行,就是保障居民饮用水安全、保护自然水体环境,保障其工业控制系统信息安全是必要的、迫切的。要设计出符合水行业工业控制系统特点的安全策略,就必须了解水行业工业控制系统的真正威胁,评估威胁的风险大小,建立系统防御。其设计是一个动态的、与具体工控系统相关的过程。只有保障了行业工业控制系统信息安全,才能在保障公众的知情权、行业信息透明、公开的前提下,确保水务企业安全运行、保障行业的健康发展。
(来源:控制网)
作者简介:
中国企业如何与海外环境及当地的民族文化融合,海外安全知识:
张泳

非法侵入计算机 网安总队连破两案

天津市市政工程设计研究院给排水分院
电气自动化专业技术负责人
温馨提醒:
现在关注“鹏越网络空间安全研究院”在对话框输入“工控”、“培训”、“CTF” 、“物联网”、 “人工智能”等关键字,可以有相关的合辑内容推送,之后我们还会推出更多方便搜索和阅读的服务,敬请期待!
点击下方”阅读原文“获得更多资讯:
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

我们安全意识不够,黑客的技术水平太弱,但是互联网安全面临的是全球威胁,美俄黑客哪天对中文网站兴趣来了,害的不仅是网站,还有网站的大量用户。

猜您喜欢

天翼云盘超级会员上线,云存储彻底告别免费时代?
信息安全意识超短动漫
网络安全公益短片防范移动僵尸网络
冯德伦曝舒淇正调理身体:造人顺其自然
LINKKK KATHARINEMERLIN
网站客服人员应加强安全意识防网络钓鱼

工控数据库安全,该由谁来防护?

工业控制系统由一系列自动化控制组件以及实时数据采集、监测的过程控制组件共同构成,在电力设施、水力油气、交通运输等重要行业和领域有着广泛的应用,主要利用信息化手段,实现物理过程的监测和控制。
双峰县走马街镇中心卫生院开展消防安全知识培训
早期的工控系统和企业管理系统是封闭、隔离的,随着时代发展,为了实时数据采集与生产控制,需要将工控系统和企业管理系统直接通信交互。
电力、石化、交通、市政及关键基础行业对信息网络的依赖越来越强,相关行业的工业控制系统间也日益通过信息网络来实现信息互联互通及远程控制。因此工控系统将不能仅关注系统功能安全问题,更要注意防范来自网络空间的安全问题。
《2016工业控制系统漏洞趋势报告》显示,工业控制系统漏洞正在增多,在2014到2015年之间存在着49%高速增长。如何把控工控安全、提升防护能力已成为业界关注的焦点,业内分析,工控安全将成为政策部署的重点之一。
12016年主要工业控制系统(ICS)安全事件
Operation GHOUL(食尸鬼)行动
2016年8月,卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,攻击通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。
BLACKENERGY(黑暗力量)攻击导致的断电事故
2015年12月23日,乌克兰电力供应商Prykarpattyaoblenergo通报了持续三个小时的大面积停电事故,受影响地区涉及伊万诺-弗兰科夫斯克、卡卢什、多利纳等多个乌克兰城市。后经调查发现,停电事故为网络攻击导致。攻击者使用附带有恶意代码的Excel邮件附件渗透了某电网工作站人员系统,向电网网络植入了BlackEnergy恶意软件,获得对发电系统的远程接入和控制能力。
伊朗黑客攻击美国大坝事件
2016年3月24日,美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是,经执法部门后期调查确认,黑客还没有完全获得整个大坝计算机系统的控制权,仅只是进行了一些信息获取和攻击尝试。

马鞍山市博望区开学第一课:安全教育先行

2工控安全面临的根源问题

工业控制系统(ICS)安全事关国家关键基础设施安全和民生安全,智能楼宇系统、自来水厂控制系统、核电站管理系统,每一个工控系统都影响着人们的生产生活,网络安全已不仅存在于电脑中,对生活同样有重要影响。
目前来说,工控安全问题的最大根源在于信息安全从来不是工控系统的设计目标。从产品设计上看,大量工控设备都缺少安全机制,包括最基本的安全功能,如身份鉴别、访问控制、通信保护、安全审计等。
工控网络面临着数据层的安全挑战。数据层安全挑战,是指工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题,不管数据是通过大数据平台存储,还是分布在用户、生产终端、设计服务器等多种设备上,海量数据都将面临数据库丢失、泄露、篡改等安全威胁。
从管理角度看,工控系统存在职责不清晰、安全意识薄弱、“重safety轻security”的问题,工控信息安全长期处于“三不管”地带,所有设备在上线前未经安全测评,上线后也很少进行安全评估。这些原因最终造成了当前工控系统恶意代码无防护,网络连接无隔离、系统漏洞难修补、网络状况无监测、远程通信无保护的状况。
在人员管理方面,随着工业与IT的融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为,可能破坏工业系统、传播恶意软件、忽略工作异常等,而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。
3IT系统安全技术在工控领域的挑战
长期以来,在我国信息安全不是工控系统的首要设计目标,以“保密性-完整性-可用性”为设计要求的信息安全解决方案和标准很难满足工控行业对信息安全的需求,因此存在着适用程度低等问题。
工控系统与IT系统差别很大。工控系统强调实时性、可靠性,有些系统甚至要求毫秒级,系统不会轻易重启,且更新很慢。工控系统安全首先强调可用性,其次是完整性,最后是保密性。IT系统则更强调保密性、完整性,最后才是可用性。这两种安全目标的反差直接使得现有信息安全技术在工控领域面临很大的挑战。
比如漏洞扫描、渗透测试、补丁更新、主机监控等技术都由于可能会影响工控系统可用性而不被行业用户所接受。再加上工控网络大量采用私有通信协议,而且设备本身的处理能力低、对实时要求高,这些导致了防护隔离、入侵检测、通信加密、网络监控等传统信息安全技术都需要改变。
4工控数据库安全解决方向
随着工业化和信息化的深度融合,信息安全将成为工控网络安全的重要问题,而工控数据库安全防护与边界防护需同时进行。工控数据库安全防护,应从管理和技术两方面进行:
管理上,理顺“工控信息安全到底归谁管”的问题,也就是明确工控信息安全组织机构。在具体措施上可借鉴已有成熟的信息安全管理标准规范,并与现行的生产安全管理制度进行对照,查漏补缺,确保管理制度具备可行性。此外,还需加强人员的安全意识培训,覆盖信息安全领域和自动控制领域。
从技术上,进行革新以适应工控特点。对数据库进行安全监测,避免出现“谁进入数据库不知道、进行了什么操作不知道、获取了什么数据不知道”一问三不知的状况。通过对工控数据库进行监控,一方面及时发现数据库中出现的异常状况,并及时响应做出处理;另一方面,旁路部署工控数据库审计系统,避免对系统可用性造成不良影响。
在工业交换机部署昂楷工控数据库安全审计系统,对所有的数据操作行为进行监管,建立一个完整、可靠、高效的数据安全体系。
可实现以下功能:
政府、军队、企业、科研院所要联手开发针对人民大众的网络安全战争教育课程,方可在互联网安全保护上发起并赢得“人民战争”的胜利。
Ÿ支持多种数据库的审计
支持多种实时数据库(IP21、PI、Industrial SQL Server、iHistorian等)的审计及传统数据库(Oracle、MS-SQL 、DB2、MYSQL等)的审计:

工业控制系统缺乏安全 阀门关键部件首当其冲(附图)

源头事件回溯追踪
支持对工控系统异常的操作记录进行回溯,根据时间、IP地址、端口等条件组合关联查询,为工控系统的安全事故调查提供详实的依据。
API接口
可以与工控行业其它平台、系统对接,进行数据交互,满足客户各种需要。
独特报表功能
合规性报表:工控数据库审计根据合规性要求,输出不同类型的报表。例如,可根据等级保护三级要求,输出符合等保相关项目满足的度的报表。
策略定制化报表:根据审计人员关心的主要问题,定制符合需求的策略规则输出报告,使审计人员能够迅速得到自己需要的审计信息。
实时网络监测,保障正常生产

台湾成大船舶拖曳水池获日本船级社认证

对网络数据、事件进行实时监测、实时警告,帮助用户实时掌握工业控制网络运行状况。
旁路部署,高可靠性
产品采用旁路部署的方式,不连接客户数据库,不改变客户原有网络架构,产品设备故障不影响客户的网络,实现真正的零交互。
Ÿ工控协议指令级检测与审计
可对工控实时数据库协议(如:PROFINET,POWERLINK,EtherCAT,SERCOSIII,CANBUS,MODBUS,profibus等)做指令级审计,为解决工控数据的安全问题提供了技术基础保障。
(来源| 综合整理)
“数据安全”微信群正式组建啦,该群致力于为数据安全维护者打造一个高品质的交流分享平台,欢迎加群主微信(小楷:szankki),邀您进群。敲门砖:护航数据库安全
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

要防止钓鱼网站,关键仍在提高防范意识,不要在公共场所(如网吧、公共图书馆等)使用网上银行,以防止这些计算机可能装有恶意的监测程序。

猜您喜欢

监管软硬件提升 为资本市场稳定运行护航
陆易Louis是知名的搜索引擎公司搜度SoDo公司的一名资深研发组长,看看他遇到了什么搜索算法问题,以及信息安全调查人员有什么发现。
网络安全意识动画片展播社交媒体安全使用与信息防泄露
过个年就得吃土?换个姿势钱生钱!——民贷天下理财课堂
JUBINMEHTA IDLEWORDS
互联网金融行业信息安全意识

《计世研究简报》精选:中国工控信息安全市场的现状及趋势

《计世研究简报》是计算机世界研究院通过全方位监测ICT产业最新发展趋势,精选海内外众多研究机构重磅研究报告,结合计算机世界研究院独家研究成果,为客户提供的金牌信息研究产品。
计世研究简报
第11期
计世研究:中国工控信息安全市场的现状及趋势
天津滨海-中关村科技园将打造“零工业”城区-新华网
工控系统为代表的关键基础设施领域是一个新兴的安全领域,近年来备受关注。2016年,全球发达国家加快了工业控制网络安全领域发展的步伐,采取了加大资金投入、制定国家层面战略规划和行动计划、成立国家安全机构和学院、组建网络部队等多方面的措施,以提升本国网络安全保障能力。我国也在2016年发布了6项工业控制系统安全相关标准、开展了全国关键信息基础设施网络安全检查和全国工业控制系统安全大检查等一系列行动。如今,工业控制系统已经成为国家关键基础设施的重要组成部分。国家对工控领域的重视,也必然给工控信息安全市场带来更多的机会。计算机世界研究院的调查认为,中国工控信息安全市场呈现以下几项特征和发展趋势:
1.工控信息安全市场的容量远未饱和
由于广泛应用于冶金、电力、石油石化、核能等工业生产领域,以及航空、铁路、公路、地铁等公共服务领域,工业控制系统堪称是国家关键生产设施和基础设施运行的“神经中枢”。统计显示,我国超过80%的涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,因此,一旦发生安全事故,其造成的社会影响和经济损失非常严重。然而,根据2000年以来国家信息安全漏洞共享平台披露的工控系统行业的漏洞数量来看,工控漏洞在2010年之后却始终处于增长态势。2014年ICS-CERT所公布的数据中,工控安全事件达632件,而且多集中于能源行业(59%)和关键制造业(20%)。
数据来源:CNVD
总体来看,随着“两化融合”的深入,未来工控系统安全漏洞和威胁还会继续增长。然而,中国工控信息安全市场在近年才开始进入发展阶段,目前整个市场还处于市场预热的阶段。据估算,中国信息安全的市场总容量巨大,2013年数据统计为194亿元,其中工业信息安全市场容量在23.28亿元,而这其中工控系统信息安全容量仅为2亿元左右。这一市场中占比最大的是电力市场,石油化工占比第二,其他还包括冶金、烟草、煤矿等。

垃圾短信呈整体下降趋势(图)

2.工控信息安全厂商市场集中度较低
工信部于2016年10月发布的《工业控制系统信息安全防护指南》,从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面对工控信息安全建设内容进行了规定。目前,国内涉足这11项领域的厂商主要包括:
匡恩网络;启明星辰;海天炜业;威努特;力控华康;珠海鸿瑞;绿盟;三零卫士;立思辰;中科网威;华大智宝;得安信息;安策科技;安盟电子;深信服;天融信;华为;中兴;联想
目前,我国信息安全厂商的集中度较低,国内前五名厂商份额占比约26%,而全球前五大厂商份额占比约40%。信息安全领域细分领域众多,部分细分领域之间的技术关联性不强,而信息安全技术密集型的特点,造成企业很难在不同的细分领域同时发力。预计未来市场将更多通过并购的方式提高集中度。
3.工控信息安全产品以硬件类产品为主
消费者在网购时不要点击任何通过聊天软件发来的商品链接,最好不要选择购买店铺主营商品之外的货物,以防落入骗子的陷阱。
在安全技术转化为产品的能力与国际先进水平有差距在信息安全主流产品方面,我国尚无真正能打入国际主流市场的国际化安全产品,在产品成熟度、国际市场占有率、国际品牌影响力等方面与国际先进水平有差距。
目前市面上的工控安全产品,主要硬件类产品为主,超过整体市场70%以上的市场份额,主要以工业防火墙和工业网闸类产品为主,软件类及服务类产品市场份额相对较小,尚处于市场导入期。目前针对工控信息安全防护产品技术,行业内仍存在不同的发展理念,但越来越多的厂商开始眼着于整体解决方案,从完善产品体系的角度推出主动防御的工控信息安全产品。

电话营销失控成骚扰 家装建材企业应把握底线

4. 工控信息安全市场将迎来国产化浪潮
国内工业控制系统信息安全产业在政策鼓励和需求推进下,整体行业面临存量的国产化替代和增量的更新,将会催生巨大的市场机遇,引来国内企业纷纷布局。目前国内工业控制系统的建设、安全防护,有相当一部分是由西门子、罗克韦尔、阿尔斯通、ABB等国外公司提供。伴随着整体信息安全重要等级的持续提升,工业控制系统安全防护作为信息安全领域的重要子领域,将会对面临核心领域存量的国产化替代,新建设领域的国产化采购浪潮。目前,部分国内企业已经纷纷开始布局。【研究员HYW】
本期简报更多精彩内容:
央行官员谈开发数字货币的作用及应用场景
农村互联网金融这块处女地该怎么耕耘?
埃森哲年度报告:决定企业成败的五大技术趋势
德勤:对于无人驾驶,中印与美日德消费者的态度迥异

涨价,将是2017年智能手机行业的主旋律
今年哪些领域将受资本追捧,哪些将遭冷遇?
京东物流运费上调终究不是长久之计
特斯拉更名是竞争优势丧失的无奈之举

为防止黑客攻击 荷兰大选将采用人工计票

菲律宾极可能成为下一个移动互联网热点
点击“阅读全文”了解更多精彩内容,[email protected],我们将定期向您发送每期研报。
该文章作者已设置需关注才可以留言
微信扫一扫关注该公众号

网络攻击越来越复杂,我们注意教育全体员工特别是高级管理层,要注意防范网络欺诈和网络钓鱼攻击,不要轻易接收、运行陌生人发来的程序和文件,也不要点击那些奇怪的带有诱惑字眼的链接。

猜您喜欢

Checkpoint系统公司食品标签系列收获两个认证
信息安全管理的科学方法,让信息安全同业务目标保持一致
落实EHS方针必不可少的员工培训知识库动画视频版
谁来为中老年人叩响互联网商业时代的大门?
XN—-8SBFNK1BRDKT LOLLAR4GOVERNOR
安全管理者的利器——安全意识培训工具箱

高速铁路信号系统信息安全风险分析及建议

许伟 中国铁道科学研究院通信信号研究所
男,吉林洮南人,副研究员,现就职于中国铁道科学研究院通信信号研究所,主要从事 “TDCS- y型列车调度指挥系统”、“FZy- CTC型分散自律调度集中系统”的设计研发、工程实施、标准制定以及运筹调度优化等交通信息工程及控制前沿技术研究和CRCC产品认证等工作。研究方向为铁路行车指挥自动化。
面临的安全风险分析

各个子系统接口安全分析
列控子系统(CTCS)
时速300km及以上的高速铁路信号系统采用CTCS-3级列控系统,工作原理是基于GSM-R无线通信实现车地信息双向传输,无线闭塞中心(RBC)生成行车许可,轨道电路实现列车占用检查,应答器实现列车定位。列控子系统主要由列控中心(TCC)、无线闭塞中心(RBC)、临时限速服务器(TSRS)、车载设备、应答器和传输网络组成。列车通过车载设备与RBC建立连接,保证列控中心指令能够正确传输给车载。TSRS与TCC、RBC与TSRS、TSRS与TSRS、RBC与RBC之间采用基于TCP/IP的安全数据通信网保证数据的传输安全。RBC与CBI之间采用以太网连接并且采用信号安全通信协议,能防止系统间的网络渗透。
联锁子系统(CBI)
计算机联锁子系统(CBI)作为现场的基础信号设备,主要控制站内的道岔,为进出站的列车提供安全进路。CBI正常情况下接收CTC系统的排列进路指令,为列车排列进路,然后把进路信息发送给TCC和RBC。CBI与TCC、RBC、CTC、集中监测(GSM)等接口。CBI与TCC、RBC间采用RJ45以太网连接,并且应用铁路信号安全通信协议,可以防止系统间网络渗透问题。CBI与CTC、GSM间采用的是RS-422串口方式连接,并采取隔离措施,不存在网络渗透问题。
调度集中子系统(CTC)
高速铁路调度集中采用分散自律调度集中系统。以TDCS为平台,以调度指挥为核心,以行车指挥自动化为目标,实现了列车进路和调车进路统一管理、列车进路自动控制,避免了行车调度人员与车站行车人员频繁交接控制权的问题,提高了系统的使用效率。CTC系统作为核心信息的来源与微机联锁(CBI)、列控中心(TCC)、无线闭塞中心(RBC)、临时限速服务器(TSRS)、GSM-R系统和运输调度管理系统(TDMS)相连接。CTC与CBI、TCC采用的是RS-422串口方式连接,并采取隔离措施,不存在网络渗透问题。CTC与TSRS和RBC间子系统间单独组网的物理隔离方法(接口服务器或者双宿主机方式),并且应用铁路信号安全通信协议,可以防止调度集中向信息安全控制网络渗透问题。CTC与GSM-R、TDMS采用双宿主机的方式,并且与内网之间再采用网闸物理隔离方式,防止外界系统通过以太网边界向调度集中系统进行网络渗透。
铁路数字移动通信子系统(GSM-R)
随着车地之间双向、大容量、实时和可靠信息传输的迫切需求,CTCS-3级列控系统引入GSM-R无线通信技术应用高速铁路中,地面设备增加RBC和GSM-R无线通信网络。然而,GSM-R采用无线公共信道,这使得铁路信号系统网络作为专网,具有了更高的开放性,提供了从公共信道渗透铁路信号系统的通道,增加了铁路信号系统信息安全的脆弱性。目前,我国铁路信号系统信息安全防护大量采用传统的防火墙、访问控制、隔离、病毒漏洞扫描等技术,未针对我国铁路通信应用及相关安全通信协议(如RSSP-II)进行专门的安全防护,致使有些情况下防护措施是否能够有效还需要进一步验证。
表1RSSP常见威胁-防御矩阵
集中监测子系统(CSM)
集中监测子系统与CBI、CTC之间的接口采用串口RS-422方式,不存在渗透风险,但是与TCC维护机以及轨道电路ZPW-2000维护机之间采用RJ45方式连接,应用TCP/IP协议并且之间的通信未采用安全通信协议和防火墙。由于集中监测系统为非安全系统,从系统边界防护角度考虑,应该对集中监测系统和其它系统之间的通信接口采用安全通信协议。集中监控系统站内部分与系统中心之间应采用防火墙进行防护,与其它系统接口之间也应进行防火墙防护。避免系统网络之间的相互渗透问题,尤其是通过以太网络对信号安全数据通信网的渗透问题。

兼容性分析
我国高速铁路已经形成了自己的标准,但还没有成为国际上完全采用的标准,高铁“走出去”还存在与具有一定铁路技术基础的国家当地信号系统兼容问题。例如,美国铁路自20世纪80年代以来,一直致力于开发一种提高铁路运营安全性的系统(PTC,PositiveTrainControl),以有效地减少列车相撞概率、铁路职工的意外伤亡、设备损坏及超速事故的发生。PTC系统是为保证列车安全、可靠、精确和有效地运行等而将行车指挥、控制、通信和信息化等子系统集于一体的集成系统。在美国修建铁路必定要满足PTC要求,并且面临与既有系统相结合问题。
另外,国外高速铁路不一定是完全新建的双线铁路,有可能与既有线共用通道甚至共用轨道,跨线列车运行等情况,这不可避免地产生信号系统与既有线兼容问题,同时也相互引入网络安全威胁。

人人聚财取得国家信息安全等级保护三级备案 安全级别比肩银行
还敢叫老司机?!汽车安全知识竟然都搞错了

建议
我国工控系统信息安全防护体系建设明显滞后于工控系统建设,在防护意识、防护策略、防护机制、法规标准、防护检测等方面都存在不少问题,涉及工控系统的信息安全工作尚在起步阶段。我国高速铁路信号系统经历了快速的发展,但基本采用欧洲电气化标准委员会制定铁路信号安全标准,在新的网络病毒和网络攻击层出不穷和我国高铁“走出去”的时代背景下,我国高速铁路信号系统信息安全、网络安全采用的标准以及不同子系统接口间的边界和GSM-R开放网络面临的风险等问题亟待解决,在保证高速铁路运输安全的基础上,建议如下:
(1)借鉴工业化的纵深防御思想,实现各个子系统“垂直分层、水平分区;边界控制、内部监测;集中展现”。通过垂直分层将管理和控制从网络上分离,水平分区将不同的子系统之间从网络上隔离;通过边界防护和准入控制,内部监测网络流量以及入侵、业务异常等实现实时监测;最后将各种设备、业务流程等安全告警事件能够多维度综合展示给监控人员。
(2)我国高速铁路正处在大规模的建设和开通中,新建高铁和既有普速和已开通高铁的互联互通存在大量的系统测试、软件移植、修改和维护工作,严格遵照信号系统软件修改和维护规范,防止由于升级和维护引入风险。
网络打印机的安全引发重视,或成黑客攻击目标,黑客不仅可以远程连接到网络打印机,打印广告等等,进而浪费掉耗材,还可以窃取打印、复制、扫描和传真的文档,甚至将向打印机植木马,当跳板攻击内网……
(3)继续深入研究、完善现有系统的技术标准与体系结构,使系统更加安全,结构更加合理。中国铁路信号标准以中文形式颁布后,应及时发布对应的英文版标准,并及时纳入有关国际组织的标准名录,以便宣传和被其他国家认可,同时免于针对兼容各种当地的不同标准引入的风险。

是侵犯版权还是商业秘密 检察院普法”假游戏”

环境Environment、健康Health、安全Safety在线动画教程
(4)加强基础技术和新兴技术的研究,例如采用软件定义网络SDN等新技术实现通过软件定义将安全策略应用到各种网络设备中,从而实现对整个网络通讯的安全控制,建立铁路信号管控一体化提供安全、可靠的平台。开发新型冗余的管控一体的铁路信号系统,功能上实现行车安全预警,信息安全上实现纵深防御、集防护、监测、管理与一体。
(5)改进现有鉴定、评审方式积极开展信号系统安全工程管理活动,我国铁路产品认证机构与国际第三方安全认证组织展开积极合作,实现互通互认。
本文摘自《高速铁路信号系统信息安全几点分析》一文,原文刊载于《自动化博览》2016年增刊——《工业控制系统信息安全》专刊(第三辑)
微信扫一扫关注该公众号

公司应该考虑建立一套在线的网络安全扫描系统,做好用户和权限管理。

猜您喜欢

轻松实现安全意识
网络信息安全好歌曲
信息安全威胁监控中心
镜头下︰青涩的马云夫妇与阿里巴巴的早期员工
BVR-IVANOVO HAUNTEDHUSTLEMADISON
员工安全培训呼唤参与式学习

工控安全丨工控系统威胁模型及脆弱性分析(上)

摘要:本文主要介绍了工控系统面临的四个方面的威胁和五种主要的风险。重点分析了近年来工控系统漏洞的整体发展趋势,从操作系统、应用软件、工控设备、PLC代码设计、工控协议等5个方面进行分类介绍。接着,从攻击者视角分析PLC攻击面,围绕运行时系统、文件系统、控制器管理系统、操作系统、固件等目标的分析攻击目的和意图,就国内外的研究进行了探讨。最后,阐述了工控系统安全与IT系统的异同,并强调工控系统安全正经历从纵深防御到内生安全的演化,同时对动态防御方法的发展也值得跟踪研究。
关键词:工控系统;威胁分析;漏洞;PLC安全
作者简介:
魏强(1979-),男,江西南昌人,副教授,博导, 现就职于解放军信息工程大学,主要研究方向为软件脆弱性分析、工控安全。
常天佑(1992-),男,河南驻马店人,研究生在读,现就读于解放军信息工程大学,主要研究方向工控安全。
1引言
20年前,Faizel Lakhani使用一台PDP-11,制造了电站公司历史上的第一个SCADA系统:OntarioHydro。SCADA技术此后变得无处不在。今年FaizelLakhani指出“电力控制系统在设计过程中从来没有考虑过网络安全。它们的设计目的是管理校准器和电压电流,目前它们的功能也仅限于此。”Pi tre谈到了关于工业控制系统安全的21个错误观念,指出“工控系统是孤立的、网络空间安全不会影响到工业设备的操作、工业控制系统被证明是安全的”等错误观点。
我们知道工业控制系统在设计之初思维范围只是局限在封闭式工控网络并未考虑到网络安全问题。随着工业和信息化的深度融合、工业4.0的提出,以及后来的“互联网+”,其目的都是为了将封闭的工业网络连接到互联网络,同时也使得工业控制系统信息安全问题随之暴露在互联网上。比如采用通用软硬件带来的漏洞后门问题,新技术带来的新挑战,以及面对Stuxnet、Flame病毒等背后所折射出的“国家队”级别威胁。
2风险及威胁分析首先,分析工业控制系统存在的脆弱点:
济川药业:2017年01月12日最新提示 变更调整其他 (600566)
越来越多的终端安全厂家开始提供云存储服务,对于个人用户来讲,安全的云存储是不错的东西,不断可以用于灾备,还可方便文件分享。

发现网购平台漏洞 男子花1分钱”买”西服还收徒

策略与规程脆弱性。指安全策略或安全规程不健全。工控系统缺乏安全策略,相关人员缺乏正规安全培训,系统设计阶段没有从体系结构上考虑安全,缺乏有效的管理机制去落实安全制度,对安全状况没有进行审计,没有容灾和应急预案以及配置管理缺失等。
工控架构脆弱性。传统工业控制系统更多考虑物理安全、功能安全,系统架构设计只为实现自动化、信息化的控制功能,方便生产和管理,缺乏信息安全考虑和建设。同时系统部署架构种类繁杂,需求特殊,不利于系统升级及漏洞修补。

工控平台脆弱性。由于现有的工业控制系统都采用了默认配置,这就使得系统口令、访问控制机制等关键信息很容易被外界所掌握;部分系统设备采用无认证接受指令以及嵌入式系统,存在较多漏洞和潜在后门的可能性较大;另外工控系统安装杀毒软件困难也使得工控系统很容易遭受病毒木马的感染。
工控网络脆弱性。工控网络脆弱性指工控系统采用的协议杂多且不安全,存在的漏洞较多;而且部分协议采用明文传输或文档公开,信息很容易被窃取,篡改及伪造;同时工控网络定义网络边界模糊,区域划分不明,比如存在控制相关的服务并未部署在控制网络内的情况。
下面我们分析一下工业控制系统潜在的主要威胁:
1、数据采集设备、控制设备存在可被攻击者直接控制的威胁
目前用于工控系统的相当一部分可编程逻辑控制器,数据采集设备,协议转换器缺乏基本的身份认证功能,他们通常接受任意的连接。所以攻击者可以伪造正常用户连接数据采集设备、PLC、协议转换器等,并发送命令来控制这些设备,如图2所示。
2、导出HMI屏幕
攻击者可以利用HMI漏洞提升权限或者其它方式来控制人机界面屏幕,通过HMI的显示器、键盘、鼠标以及屏幕上的按钮控制监视系统和控制系统,其攻击模型如图3所示。
3、控制系统数据库的改变

智能电视泄露隐私新例:Vizio非法搜集用户数据挨罚

在工业控制系统中数据的采集、处理、存储都是在控制系统的数据库上进行的,然后再将这些数据映射到企业局域网上。而且大部分厂商生产的设备支持利用控制系统的数据库操纵工控设备,所以攻击者只要能够入侵企业局域网上的数据库,进而通过SQL语言接管控制系统的数据库,最终达到控制工控设备的目的,其攻击场景如图4所示。
4、协议存在中间人攻击威胁
目前越来越多的工控网络使用以太网协议,而且工控系统自身的协议也逐渐公开,再加上工业控制设备存在较多的无认证连接或者轻量级的认证,为攻击者创造了很好的中间人攻击条件。如图5所示,攻击者可以通过在HMI和应用服务器之间进行信息中间拦截,篡改及伪造,达到入侵整个工控系统目的。
5、错误数据注入攻击威胁

洲际酒店12家店客户信息被泄露 行业安全漏洞亟待补上

在工业控制系统中还有一种常见的攻击方式,就是错误数据注入攻击[3]。Xuan Liu等以电力系统为参考对此类攻击进行了深入的研究。如图6所示,这种攻击方式是攻击者在掌握了工业控制系统的工艺流程、状态评估算法以及重要文件的配置参数后,不断地向输入端注入错误或恶意的测量数据并且使得中心控制系统中的错误数据检测算法检测不到这些恶意数据,从而使得系统逐渐进入不良的状态,进而误导控制系统对现场设备的控制以达到攻击的目的。
本文转自控制网
微信扫一扫关注该公众号

加强网络投诉和网络上访等系统的建设和日常运维,教育培训民众如何正确地使用它们,并且,最重要的是教育大众要为自己的网上言论负责。

猜您喜欢

韩美防长或下月初在首尔会晤 强调韩美同盟重要性
信息安全与媒体公关起冲突的原因分析及化解之道
网络信息安全实验与竞赛平台
新东方潘欣:移动互联学习已不可逆,百度传课多端发力前景可期
WEBUCATOR DENTISTRYATEASTPIEDMONT
企业安全宣传小短片