西门子制定针对供应商的网络信息安全约束性要求

2019-11-29 22:47栏目:仪器仪表
TAG:

西门子在新供应商中逐步推行网络信息安全的最低约束性要求,并在所有新合同中附加一项具有约束力的条款。要求主要适用于安全核心部件供应商,如软件、处理器和特定控制单元的电子部件。不符合最低要求的现有供应商将逐步实施这项规定。该规定旨在更好地保护数字供应链免受黑客攻击。西门子遵照《信任宪章》的规划提升网络信息安全,例如明确要求供应商将特定的标准、程序和方法纳入其产品和服务,目的是为了阻止供应商产品中的漏洞和恶意代码,也避免漏洞和恶意代码进入西门子产品。未来,供应商自身必须定期进行安全审查、测试并采取纠正措施。西门子自身行为也将强制执行这些要求。www.2015.com 1

4、限制文件传输协议。FTP用于在设备之间传输、交换文件,在SCADA 、、RTU等系统中都有应用。FTP协议并没有任何安全原则,登入密码不加密,有些FTP为了实现历史缓冲区而出现溢出的漏洞,所以应配置防火墙规则阻塞其通信。如果FTP通讯不能被要求禁止,通过FTP输出数据时,应额外增加多个特征码授权认证,并提供加密的通信隧道。

病毒泛滥也是总所周知的安全隐患。在全球范围内,每年都会发生数次大规模的病毒爆发,而全球现已发现数万种病毒,每天还会新生数十余种。除了传统意义上的具有自我复制能力、但必须寄生在其它实用程序中的病毒种类外,各种新型的恶意代码更是层出不穷,如逻辑炸弹、特洛伊木马、蠕虫等,它们往往具有更强的传播能力和破坏性。如蠕虫病毒和传统病毒相比,其最大的不同在于可以进行自我复制,传统病毒的复制过程需要依赖人工干预,而蠕虫却可以自己独立完成,破坏性和生命力自然强大得多。

1、SCADA和工业协议。MODBUS/ TCP、EtherNet/ IP和DNP3等在工业控制系统中被大量使用,但是这些协议在设计时没有安全加密机制,通常也不会要求任何认证便可以在远程对一个控制装置执行命令。这些协议应该只被允许在控制网络单向传输,不准许在办公网络穿透到控制网络。能够完成这一功能的工业防火墙或者安全路由器,通常被部署在具有以太网接口的I/O设备和控制器上,从而避免因设备联网而造成的病毒攻击或广播风暴,还可以避免各子系统间的病毒攻击和干扰。

3、超文本传输协议。一般来说,HTTP不应该被允许从企业管理网透过进入控制网络,因为他们会带来重大安全风险。如果HTTP服务到控制网络是绝对必需的,那么在防火墙中需要通过HTTP代理配置来阻止所有执行脚本和Java应用程序,而且特定的设备使用HTTPS更安全。

6、简单网络管理协议。SNMP是网络管理服务中心,提供管理控制台与设备如网络设备、打印机、PLC之间的监控,并制定管理的会话规则。从运维角度看,SNMP是非常有用的服务,但在安全方面存在很多问题。SNMP V1和SNMP V2C的安全机制比较脆弱,通信不加密,所有通信字符串和数据都以明文形式发送。攻击者一旦捕获了网络通信,就可以利用各种嗅探软件直接获取通信字符串,即使用户改变了通信字符串的默认值也无济于事。SNMP V3解决了上述安全性问题,但却没有被广泛使用。从控制网中使用SNMP V1和V2C的命令都应被禁止,除非它是一个完全独立的信任管理网络。而即使设备已经支持SNMP V3,许多厂商使用的还是标准的通信字符串,存在重大安全隐患。因此,虽然SNMP V3比以前的版本提供了更多的安全特性,如果配置不当,其实际效果仍旧有限,这一点也需要引起足够的重视。

2、分布式组件对象模型 。在过程控制中,OLE和ProfiNet是使用DCOM的,它运用了微软的远程过程调用服务。该服务有很多的漏洞,很多病毒都会利用这个弱点获取系统权限。此外OPC也利用DCOM动态地打开任意端口,这在防火墙中进行过滤是非常困难的。通用防火墙无法完成对OPC协议的规则限制,如果必须需要该协议,则要求控制网络、网络之间必须物理分开,将控制网络和企业网络横向隔离。

总的来说,网络隔离技术的主要目标是解决工业控制系统中的各种漏洞:操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等,网络隔离也是目前唯一能解决上述问题的安全技术。

工业控制系统的安全防护需要考虑每一个细节。从现场I/O设备、控制器,到操作站的计算机操作系统,工业控制网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络,考虑到不同业务终端的安全性与故障容忍程度的不同,防御策略和保障措施应该按照等级进行划分,而实施分层次的纵深防御架构需要分别采取不同的对应手段,构筑从整体到细节的立体防御体系。

随着TCP/IP协议被控制网络普遍采用,网络通信协议漏洞问题变得越来越突出。 TCP/IP协议簇最初设计的应用环境是美国国防系统的内部网络,这一网络是互相信任的,因此它原本只考虑互通互联和资源共享的问题,并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后,安全问题就发生了。所以说,TCP/IP在先天上就存在着致命的设计性安全漏洞。

www.2015.com,网络防火墙通过设置不同的安全规则来控制设备或系统之间的数据流,在实际应用中主要用于分析与互联网连接的TCP/IP协议簇。防火墙在网络中使用的前提是必须保证网络的连通性,其通过规则设置和协议分析,来限制和过滤那些对管理比较敏感、不安全的信息,防止未经授权的访问。由于工业控制与商用网络的差异,常规的网络安全设置规则用在控制网络上就会存在很多问题。只有正确地设计、配置和维护硬件防火墙的规则,才可以保护工业控制网络系统的安全环境。建议设置的特殊规则包括:

对工控系统而言,工控加商城认为可能带来直接隐患的安全漏洞主要包括以下几种:

根据公安部制定的《GA370-2001端设备隔离部件安全技术要求》的定义,物理隔离的含义是:公共网络和专网在网络物理连线上是完全隔离的,且没有任何公用的存储信息。物理隔离部件的安全功能应保证被隔离的计算机资源不能被访问(至少应包括硬盘、软盘和光盘),计算机数据不能被重用。

随着工业化与信息化的融合推进,以及以太网技术在工业控制系统中的大量应用,病毒和木马对SCADA系统的攻击事件频发,直接影响到公共基础设施的安全,造成的损失不可估量。因此,目前国内外生产企业都是否重视工业控制系统的安全防护建设。但由于工控网络存在着特殊性,商用的信息安全技术无法完全适用,解决工业控制系统安全需要有针对性地实施特殊措施。

4、 网络通信协议安全漏洞

www.2015.com 2

版权声明:本文由www.2015.com发布于仪器仪表,转载请注明出处:西门子制定针对供应商的网络信息安全约束性要求