1704018739
(3)硬件接口
1704018740
1704018741
当未授权的人通过硬件接口访问设备或系统时,硬件接口就成了危险的入口,因此不使用的接口应被禁用(Ethernet/Profinet口、WLAN、Bluetooth、USB等)。同时还可通过禁用或物理隔离硬件接口达到保护作用或禁止其对外部介质的自动引导与自动启动功能。
1704018742
1704018743
(4)用户账号管理
1704018744
1704018745
每个激活的用户账号都可能成为系统的潜在风险。配置实际需要的账户,且对已存在的用户账号应采用安全的数据访问机制。另外,还需要定期检查系统的用户账号,特别是本地配置的用户账号。
1704018746
1704018747
除了上述的4个方面外,还可以使用合适的防病毒软件来识别木马程序和阻止病毒的进一步传播。在特殊的情况下需要注意以下几个方面。
1704018748
1704018749
1)病毒扫描过程降低了系统的性能(为防止这种情况,可仅扫描加载的数据,在系统的维护期间手动扫描整个系统等)。
1704018750
1704018751
2)定期更新病毒样本库(若可能的话,可以从中央服务器上更新)。
1704018752
1704018753
3)即使是在受木马感染的情况下,也必须保证系统的可用性,这意味着病毒扫描器不能做如下的操作:移除文件或阻止访问;把文件放到隔离区;终止通信功能;关闭系统。
1704018754
1704018755
除防病毒软件外,安全起见,可以使用白名单来阻止和识别木马。白名单机制提供了额外的保护,阻止了未知的应用程序或木马的执行,当然也可以阻止对已安装软件的未授权的修改操作。白名单软件创建了可以在计算机上运行的程序和应用列表,不在白名单列表中的程序和应用不允许执行。
1704018756
1704018757
(5)补丁管理
1704018758
1704018759
迄今为止,大多数的安全攻击都是利用已知的系统漏洞进行的。针对这些漏洞,生产商有相应的补丁包。只有极少数的攻击是通过零日漏洞(这些漏洞不为多数人所知)进行的。
1704018760
1704018761
安装Windows补丁是加强安全的重要措施。对于装有西门子产品(SIMATIC WinCC、PCS 7、PC-based、SIMOTION和SINUMERIK等)的计算机,只能安装经过兼容性测试的安全补丁。这些兼容的补丁列表会发布在Newsletter和FAQ中,而且建议用户在使用前做系统的兼容性测试。补丁是通过放置在DMZ中的Windows更新服务器(WSUS)发布的。对于在线的更新,需要建立更新流程(尤其对于冗余系统)。
1704018762
1704018763
(6)自动化设备的版本更新
1704018764
1704018765
虽然自动化设备的操作系统与计算机的操作系统有所区别,但这并不意味着它没有安全相关的漏洞。一旦有安全相关的漏洞信息出现,就应在其应用环境中评估此漏洞,而是否采用进一步的措施,需要考虑如下几种情况:
1704018766
1704018767
1)不需要任何措施,已有的措施能保证足够的安全。
1704018768
1704018769
2)为了保证安全,需要额外的外部措施。
1704018770
1704018771
3)安装最新的更新版本消除漏洞。
1704018772
1704018773
2.控制层级的保护
1704018774
1704018775
计算机和网络已采取了保护措施,而对于特殊设备及专有系统又如何保护呢?如何保护一个可编程逻辑控制器和不使用商用操作系统或运行了数年甚至数十年的老版本系统的操作员站呢?
1704018776
1704018777
对此,第三方的安全软件是不能提供解决方案的。要访问此类设备系统的功能几乎是不可能的或所访问的功能非常有限。对于控制层的安全方案,自动化硬件制造商被要求提供相应的安全机制和用户特殊系统的安全设置项。同时,建议用户询问制造商是否有安全机制及如何激活,并设置安全选项。
1704018778
1704018779
对控制层的保护实质是确保现场控制器的可用性和对知识产权的保护。由于自动化与IT的互联及集成度不断增加,访问保护和防止恶意操纵的要求在工厂也发生着变化。这是现代控制系统中不可缺少的部分。西门子新一代的控制器S7-1500已经集成了此功能。除此之外,西门子控制器提供的功能还有密码保护、程序块保护和复制保护等,以确保工厂信息安全。
1704018780
1704018781
各个功能块可以得到保护,也就意味着未经授权的人无法访问函数块的内容及对其算法的复制和修改。同时通过版权保护防止对设备的仿制。程序块与存储卡序列号的绑定使得被保护的程序只能运行在合法的机器设备中。这些功能有助于保护机器设备制造商的投资,维护他们的技术权益。
1704018782
1704018783
S7-300 PLC的高级版CP343-1、S7-400 PLC的高级版CP443-1和S7-1500 PLC的高级版CP1543-1可以成为网络及自身的安全接口。通过安全CP卡来连接控制器和下层网络,可以使它们进行安全通信,这实现并扩展了单元保护的理念。
1704018784
1704018785
CP1628以太网卡用于保护个人计算机,而通过VPN和防火墙可保护工业计算机的通信。所有这些“安全集成”的产品相互兼容,相互之间可以建立安全的VPN连接,这样,系统的任何部分或任何类型的自动化组件都能得以保护。
1704018786
1704018787
1704018788
[
上一页 ]
[ :1.704018739e+09 ]
[
下一页 ]