SCADA安全从网络可见性开始
自1960年代以来,监督控制和数据采集系统(SCADA)或工业控制系统(ICS)一直在监视和控制我们的工业,电力和炼油行业。
SCADA从模拟开始,专注于监测物理质量,如压力、温度、粘度、电压水平、液体流量、风/空气速度和盐度。SCADA系统通常作为一个独立的系统运行,告诉人类操作员他们所监测的系统是否在正确的参数内工作。然后,这些系统向计算机报告,计算出是否一切正常;如果不正常,它就做出决定,要么改变参数,要么关闭有危险的系统。
工业控制系统(ICS)描述了工业环境中硬件和软件集成的关键基础设施网络连接。ICS包括监督控制和数据采集(SCADA)和分布式控制系统(DCS),工业自动化和控制系统(IACS),可编程逻辑控制器(PLC),可编程自动化控制器(PAC),远程终端单元(RTU),控制服务器,以及智能电子设备(IED)和传感器。
曾几何时,SCADA和ICS系统被认为是完全独立的,各自有不同的人机界面、报告程序/方法、通信方式、语言、警报/故障报警系统和方法。今天,随着以太网和互联网的采用,正在成为工业系统运行的一部分和物联网(IoT)的一个子组件。
以太网引入了SCADA漏洞 以太网为SCADA环境带来了互操作性、带宽效率和更精细的颗粒度,从而带来了更大的节约或收益(取决于你的组织目标)。工业环境现在也面临着与我们其他人一样的来自网络世界的漏洞–IP入口。
一旦IP地址被识别,这些系统–包括传感器、控制器和人机界面显示器(HMI)–就可以被黑掉。
>>立即下载:了解如何保护工业网络 [免费白皮书]四种确保SCADA安全的可视性解决方案 可以说,确保工业环境安全的最重要方面是网络的可见性。如果在设计网络时没有考虑到可视性,那么将昂贵的安全和监控设备安装到位并投资于员工培训将无助于防御。与传统的网络安全一样,数据包由网络TAP或SPAN传送到带外解决方案,然后与网络数据包经纪人(NPB)结合,为带外解决方案聚合和整理数据包。
当涉及到关键的基础设施时,公司无法承受盲点、丢包、流量瓶颈或遭受网络停机。在整个工业框架中部署网络TAP可以确保正常运行时间,并消除SPAN/镜像端口不可避免地带来的数据包交付问题。不幸的是,许多工程师可能知道他们需要一个TAP,但找不到适合他们环境的TAP。下面是适合SCADA环境提供的四种独特的TAP选择。
1)为PC104指令和控制网络提供可视性
该解决方案将可视性从传统的以太网领域带到了PC104指令和控制网络。PC104或PC/104是嵌入式工业技术的互连标准。该标准允许消费者将来自不同制造商的板卡堆叠在一起,产生一个定制的嵌入式系统。
其他的板卡是对RTU(远程终端单元)的访问,这意味着它们解释被监测的内容(例如,热量/温度、压力、流量等)。在这里,堆栈中的处理器解释RTU的报告并采取行动,其形式可以是警报或报告。通过能够通过以太网监控互连,我们将拥有可见性,并知道***或故障。
像Aggergator TAP这样具有堆栈设计的网络TAP,可以被集成到PC104中,以提供一个可视平面。这些TAP是被动的,用于捕获100%的全双工流量,然后可以发送到多个监控设备,以分析你的网络。
2)用于传统设备的被动可见性
传统设备的设计并不是为了在其孤立的系统之外进行通信。当你开始推动传统设备在这些专有系统之外传输数据时,你就会使工业网络出现安全漏洞。
在被传统设备困扰的工业以太网环境中,对被动、实时监控的需求比以往任何时候都要强烈。被动网络TAP是工业以太网环境中一个重要的连接解决方案,有被动光纤和被动10/100M铜缆两种类型。安全和监控设备可接收100%的流量,而不会向数据流引入新的或被操纵的流量。
3)重新生成可见性
我们已经看到了许多需要将数据流复制到多个工具或目的地的场景。我们最近看到的情况是,特定的法规要求相同的数据由不同的设备捕获以进行分析,或者数据可能由不同的团队 “拥有”。SPAN复制和TAP再生提供了简单的解决方案,可以从单一链路提供多个Tx/Rx流量副本,并有故障安全或被动OEO设计[光到电到光]选项。
4) 单向网关的可视性
对于特定的行业,新的法规强制执行物理单向性,加上复制数据库和模拟协议服务器的软件来处理双向通信,并包含广泛的网络安全功能,如,安全启动、证书管理、数据完整性、前向纠错(FEC)和安全通信。
数据二极管是一种网络设备或装置,类似于网络TAP,只允许原始数据在一个方向上传输,用于保证信息安全或保护关键数字系统,如SCADA/工业控制系统,免受入站网络***。数据二极管TAP为10/100/1000M铜缆网络提供 “无注入 “的TAP聚合。这些产品将帮助你创建单向监控解决方案,捕获每一个比特、字节和数据包,并确保复制的数据包不会再进入并扰乱工业网络–所有这些都在一个专门设计的、不可破解的包装中。
有一个独特的环境需要可见性,但有连接或架构问题?请联系我们进行讨论。
文档来源:51CTO技术博客https://blog.51cto.com/u_14928887/3033145
页:
[1]