对工业控制网络结构安全防护手段有哪些
对工业控制网络结构安全防护手段有以下这些:
结构优化:结构主要指的是网络的结构,但是也包括生产的布局结构。它与入侵容忍度是紧密相关的。当某件事发生的时候,必须有相应的结构,这样才能保证其他大面积系统不受影响。这是结构安全的核心。实际上这就是一个分区隔离的概念,它会把危害限制在一个尽量小的可控范围之内,如国家电网的“横向隔离、纵向认证”。
访问控制:访问控制本身是一种安全手段,它控制用户和系统如何与其他系统和资源进行通信和交互。访问控制能够保护系统和资源免受未经授权的访问,并且在身份验证过程成功结束之后确定授权访问的等级。尽管我们经常认为用户是需要访问网络资源或信息的实体,但是还有许多其他类型的实体需要访问作为访问控制目标的其他网络实体和资源。结构安全的根本所在就是通过控制如何访问目标资源来防范资源泄露或未经授权的修改。访问控制的实现手段在本质上都处于技术性、物理性或行政管理性层面。基于政策的文档、软件和技术、网络设计和物理安全组件都需要实施这些控制方法。
防火墙技术:防火墙用于限制从另一个网络对特定网络的访问。大多数企业都使用防火墙来限制从Internet对企业网络的访问。他们还可能使用防火墙限制一个内联网段对另一个内联网段的访问。例如,如果网络管理员需要让雇员无法访问生产网络,那么他会在这个网络和其他所有网络之间设立一个防火墙,并且配置防火墙为只允许放行它认为可以接受的流量类型。
漏洞扫描:工业网络安全设备、工业网络传输设备等。进行漏洞扫描工作时,首先探测目标系统的存活设备,对存活设备进行协议和端口扫描,确定系统开放的端口协议,同时根据协议指纹技术识别出主机的系统类型和版本。然后根据目标系统的操作系统和提供的网络服务,调用漏洞资料库中已知的各种漏洞进行逐一检测,通过对探测响应数据包的分析判断是否存在漏洞。
补偿性措施:当某个特定数据包会让工控系统崩溃或者引发进一步的安全问题时,保护设备可以拦截这个包,这样就不用修改工控系统代码或者打补丁了。那么这类保护设备实现的功能我们就称之为补偿性措施。保护设备放在需要保护的设备或者系统前端。如果用户自身已经知道,这个漏洞风险很大,一定会导致死机,一定会窃取信息,而且也发生过,那么多数用户都会非常希望有这个补偿性措施,这个补偿性措施比升级工控系统软件或者打补丁的风险要低很多。