[ICS] 物理安全

news2024/11/22 17:15:45

工业控制系统安全气泡类比

这个理念是,为了防御那些无法更新到最新安全控制措施的旧系统,或者由于设备资源有限而无法处理安全控制措施的系统,帮助可视化这种设备的安全策略可以将它们放置在一个肥皂泡或玻璃泡中。泡中的系统和设备彼此信任,可以在内部自由通信。为了被放置在泡内,系统必须经过验证,确保没有恶意内容,并且对工业控制系统(ICS)的功能至关重要。泡外的系统需要通过受控和监控的通道与泡内的系统进行通信。任何试图渗透泡的行为都会导致泡破裂或破碎,这是一种容易检测的情况。

在这个类比中,以下是几个观察点:

  • 气泡 代表了工业控制系统(ICS)需要防御的安全边界,这个边界由限制物理和逻辑(网络)访问泡内设备的安全控制措施来实现。

  • 气泡的破裂 反映了安全深度模型中的检测控制措施的结果,例如主机和网络入侵检测系统。

  • 进入气泡的通道 由(物理)访问控制和安全的网络架构设计来实现,例如在气泡内部和外部网络之间实施的非军事区(DMZ)。

注意 在 融合工厂以太网(CPwE) 的背景下,气泡的内部将是制造区,外部是企业区,而通道则是 IDMZ(工业区划分区)。

安全气泡类比的核心理念是,通过完全隔离所有已知为安全的敏感系统,避免它们与其他系统、用户和未知安全或意图的交互接触,这些系统可以保持其安全性和完整性。换句话说,通过从系统的原始状态开始,并验证和控制与该系统的每一次交互,即使系统本身无法自我防御,其安全性也可以得到维护。

隔离练习

绝对遵守气泡模型理论上可以保证任何系统在安全区域内的完整性和安全性。然而,在实际操作中,这可能成为一项艰巨的任务,尤其是当安全区域的规模增加时。为了使任务更加可管理,必须仔细确定哪些系统应该放置在安全区域(CPwE 定义的制造区)内,哪些系统应该放置在外部(企业区)。

作为一个经验法则,无法通过传统策略(如打补丁和部署杀毒软件)进行保护的系统应该放置在制造区。对于剩余的系统,需要确定将它们放置在企业区还是制造区是否会对工业控制系统(ICS)的可操作性或流经通道(IDMZ)的流量量产生不利影响。这将决定系统应该放置在制造区还是企业区:

image.png

考虑一个依赖于 制造执行系统(MES) 正常运作的工业控制系统(ICS)。MES 系统负责跟踪、处理和生产 ICS 所生产的产品。生产车间的员工每天都会与 MES 系统密切互动。MES 系统还跟踪生产车间活动的效率和状态,生成状态报告、预测分析和可追溯性报告,这些报告被本地生产设施和公司总部的人员使用。

在考虑将 MES 系统放置在哪里时,需要查看与 MES 系统的主要交互发生在哪里。以下是几个要点:

  • 生产车间的操作员与 MES 系统的交互:
    如果大多数交互发生在生产车间的操作员和 MES 系统之间,并且这些交互是通过专用的 MES 操作终端进行的,那么将这些操作终端与 MES 系统一起放置在企业网络上是否合理?
    如果大多数交互是在 MES 系统与生产车间自动化和控制系统及设备之间进行的,那么 MES 系统应放置在制造区,与 MES 操作终端一同存在。

  • 办公室人员与 MES 系统的交互:
    如果办公室人员的交互占主导地位,将 MES 系统放置在企业区可能更合适。无论做出什么决定,系统(例如制造执行系统)可能会与通道(IDMZ)进行定义的交互。
    如果决定将 MES 系统放置在制造区,则需要为办公室员工提供从系统获取报告的方式,并确保两者之间的通讯顺畅;如果系统放置在企业区,则需要为控制数据提供通向 MES 系统的方式。

总结:
进行这些隔离练习时,可能会发现它们既耗时又令人沮丧。有些系统很适合放置在某个区域,而有些系统则很难决定。根据经验,难以决定的系统往往由以下问题决定:如果我们失去区域之间的通道,生产是否能继续?换句话说,如果 IDMZ 出现故障或因企业区的漏洞需要关闭,选择将系统放置在某个区域是否会影响 ICS 和其过程的持续性。

回到正题:物理安全

应用物理安全。物理安全涵盖了防止或限制对工业控制系统(ICS)设备、系统和环境的物理访问的安全控制。这项活动应该是全面的,覆盖所有可能的进入角度。它应包括推荐的物理 IT 安全最佳实践以及针对 ICS 环境的控制措施。以下是针对工业控制系统、其所在设施及其周边区域的物理安全的一般建议:

1.位置、位置、位置:选择 ICS 设施的正确位置至关重要。应避免选择已知的地震断层线附近以及飓风频发地区。还要明智地选择邻近环境。监狱、机场或化学厂等可能会带来意外的干扰。

2.以安全为导向进行园林设计:过度生长的树木、过大的岩石和其他大型障碍物可能会妨碍对建筑及其周边区域的监控。保持现场周围 100 英尺的缓冲区,并设计园林景观以便摄像头和巡逻人员能够有效执行其职责。
合理尺寸和位置的自然障碍物,例如岩石,可以帮助防御围栏防御的薄弱点,如墙壁、大门、窗户、门和围栏。在园林设计无法保护建筑免受车辆侵害的情况下,应使用防撞障碍物,如防撞柱或柱子。

image.png

3.围栏:围栏作为外围防御的第一道防线。围绕设施设置至少 6-7 英尺高的围栏或墙壁,可以有效阻止随意的入侵者进入设施。高度达到 8 英尺或更高的围栏则能阻止即使是最坚决的入侵者。

4.车辆和人员出入口:通过配备有可伸缩防撞柱的值守保安站来控制对设施的访问。员工通过刷卡站和/或密码通行进入大门。访客需在保安处登记,并按照访问政策进行处理。

image.png

5.爆炸物检测计划:对于特别敏感或可能成为目标的生产设施,应该让门卫使用镜子检查车辆底部是否有爆炸物,或者提供便携式爆炸物嗅探设备。

6.设施监控:应在设施内外以及周围外围防线安装监控摄像头,使用 IP 摄像头或闭路电视(CCTV)系统。特别注意设施的所有出入口以及每个访问点。理想的做法是结合使用运动检测设备、低光摄像头、云台摄像头和标准固定摄像头。录像应保存到异地,并按照预定时间保留。除了视频监控外,配备警犬的保安应定期巡查设施及其周围区域,以发现任何异常情况。

7.限制设施出入口:通过设立一个主要入口和一个用于配送或运输的后入口来控制建筑物的访问。

8.墙壁:对于外部墙壁,厚达一英尺或更厚的混凝土墙是对抗恶劣天气、入侵者和爆炸装置的廉价而有效的屏障。为了提供更好的安全性,墙壁可以加装 Kevlar 层。对于保护敏感区域(如数据中心、服务器室或工艺区)的内部墙壁,应从地面延伸至天花板,以防止入侵者通过掉落的天花板爬过墙壁。

image.png

9.窗户:我们在建造生产设施,而不是办公楼,因此应尽量避免使用窗户,因为窗户是建筑物外部防御中的一个薄弱点。唯一的例外可能是休息室或行政区域。以下类型的玻璃提供额外保护,每种都有其独特的特点和适用性:

  • 热强化玻璃:通过加热和快速冷却处理提高强度。
  • 全钢化玻璃:经过特殊处理以提高强度和耐冲击性。
  • 热处理钢化玻璃:在钢化玻璃的基础上进一步处理,以增加热稳定性。
  • 夹层玻璃:由两层或多层玻璃与中间的塑料层粘合而成,提供更好的抗冲击性和安全性。
  • 钢丝玻璃:含有钢丝网的玻璃,能够提高抗冲击性。

10.将防火门设置为仅限出口:对于消防规范要求的出口,安装外侧没有把手的门。当这些门被打开时,应发出响亮的警报,并触发安全指挥中心的响应。

11.生产区域的访问安全:严格控制对 ICS 设施生产区域的访问。生产区域的入口应锁定,仅允许授权人员通过刷卡和/或生物识别设备进入。所有承包商和访客必须始终由员工陪同。

12.IT基础设施设备的访问安全:严格控制对 IT 设备存放区域的访问,例如服务器室、数据中心或网络设备(如主配线架 MDF、配线架 IDF 和中间配线柜)。在服务器室和数据中心的入口处安装刷卡读卡器或密码锁。使用特殊钥匙锁定 MDF 和 IDF 柜,或将 MDF/IDF 放在一个安全区域内。

13.敏感 ICS 设备:通过将敏感的 ICS 设备(如 PLCs、工业计算机/服务器和网络设备)放置在可锁定的面板或可安全区域(如锁定的工程办公室)内来确保其安全。物理访问这些 ICS 设备可能会轻易获取其中的数据或干扰其正常功能。将这些设备放置在安全区域内可以保护它们免受故意和意外的损害。

image.png

14.物理端口安全:为了防止未经授权的计算机、交换机、接入点或计算机外设(如 U 盘)被插入,所有物理端口都应进行安全防护。对于未使用的交换机端口和备用网卡端口,可以使用端口封堵器。

image.png

为了保持电缆固定到位,可以使用端口锁定装置(port lock-ins)。

image.png

USB 端口可以使用阻塞装置(blocking device)进行封堵。

image.png

加强核心安全层

  1. 多重身份验证: 进入 ICS 设施最安全部分的人员将至少经过三次身份验证,包括以下几个阶段:

    • 门卫处: 在进入设施的主要入口时进行身份验证。
    • 员工入口: 这是最严格的控制层,通常不允许尾随进入。为了加强控制,可以使用以下两种方式之一:
      • 全高转门: 如果有人试图在已验证用户后偷偷进入,门会轻轻向反方向旋转。
      • 气闸门: 由两个单独的门和中间的气闸组成。只有一个门可以打开,并且需要对两个门进行身份验证。
    • 内部门: 这是分隔一般区域与生产区域的门,以及各个受限区域的门,如服务器房间门或主控制室入口。
  2. 监控出口: 监控建筑的入口和出口,不仅是主要设施,还包括设施中的更敏感区域。这有助于跟踪人员的活动,并能帮助发现设备的丢失,还能在紧急情况下协助疏散。

  3. 冗余公用设施: 数据中心需要两个公用设施来源,例如电力、水、语音和数据。电力来源应追溯到两个独立的变电站,水源应连接到两个不同的主水管。管线应地下铺设,并从建筑物的不同区域进入,水管与其他公用设施分开。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2076978.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Spring Cloud Stream与Kafka(一)

Spring Cloud Stream与Kafka(一) ​ 在实际开发过程中,消息中间件用于解决应用解耦,异步消息,流量削峰等问题,实现高可用、高性能、可伸缩和最终一致性架构。不同的消息中间件实现方式不同,内部…

遥感反演保姆级教程:SPSS筛选因子之后如何采用python建模和反演整个研究区?(以反演生物量为例)

SPSS筛选因子之后如何采用python建模和反演整个研究区?(以反演生物量为例) 引言 在遥感数据分析中,因子筛选和建模是关键步骤。筛选出与目标变量(如生物量)显著相关的因子,不仅可以提高模型的预测精度&a…

编程世界的平衡术:日常编码与自我提升的和谐共生

前言 在快速迭代的编程世界中,程序员的角色日益复杂且充满挑战,他们不仅是代码的编织者,更是技术进步的推动者。面对日常编码工作的繁重与个人成长的迫切需求,寻找两者之间的平衡点成为了每位程序员必须深思的问题。以下是我的详细…

C++初学者指南-5.标准库(第二部分)–特殊容器

C初学者指南-5.标准库(第二部分)–特殊容器 pair<A , B> 包含两个相同或不同类型的值 tuple<A , B> C11 包含许多相同或不同类型的值 optional C17 包含一个类型为 T 的值或没有值 variant<A,B,C,…> C17 包含一个类型为A、B或C的值…… any C17 包含任…

《花100块做个摸鱼小网站! 》第四篇—前端应用搭建和完成第一个热搜组件

⭐️基础链接导航⭐️ 服务器 → ☁️ 阿里云活动地址 看样例 → &#x1f41f; 摸鱼小网站地址 学代码 → &#x1f4bb; 源码库地址 一、前言 在本系列文章的早期章节中&#xff0c;我们已经成功地购买了服务器并配置了MySQL、Redis等核心中间件。紧接着&#xff0c;我们不仅…

用AI来学习英语口语(白嫖,所以稍微麻烦些)

写在前面 本文看下如何使用AI来免费学习英语口语。 1&#xff1a;正文 首先&#xff0c;我们点击这里来到一个对话窗口&#xff0c;你可以在这个窗口中使用英语来询问你的问题&#xff0c;比如what can i do when i am not happy&#xff1a; 接着复制机器人回答内容&#…

datawhale AI夏令营第五期 深度学习入门 Task1 了解机器学习

机器学习基础 定义 学习一般是只有人才具备的能力&#xff0c;机器学习就是通过某种方式让机器具备人才有的学习能力&#xff0c;这里的某种方式是机器具备找一个函数的能力 比如说证件照背景颜色更换&#xff0c;那么机器需要找到图片中的背景在哪里&#xff0c;再替换成目…

pandas操作Excel文件

pandas操作Excel文件 一、前言二、指定读取的工作表与header设置2.1指定工作表2.2header设置 三、读取Excel数据3.1iloc读取数据3.2read_excel读取数据3.3loc读取数据 四、DataFrame数据筛选4.1根据列标签对整列进行筛选4.2使用iloc对区域进行筛选4.3自定义筛选 五、DataFrame类…

2024年8月26日(线上考试系统,虚拟化技术部署,使用link)

[rootdocker ~]# systemctl start docker [rootdocker ~]# docker pull mysql 一、线上考试系统 虚拟化技术部署 1、部署前端服务器 project_exam_system.sql数据库文件 dist网络资源 1.将资源上传到服务器 C:\Users\89765>scp -r "D:\青岛实训\project_exam_system\d…

C语言典型例题52

《C程序设计教程&#xff08;第四版&#xff09;——谭浩强》 题目&#xff1a; 例题4.4 相传古代印度国王舍罕要褒奖他聪明能干的宰相达依尔&#xff08;国际象棋发明者&#xff09;&#xff0c;问他需要什么&#xff0c;达依尔回答说&#xff1a;“国王只要在国际象棋的棋盘的…

Shader 中的渲染顺序

1、深度测试和深度写入 有了深度测试和深度写入发挥作用让我们不需要关心不透明物体的渲染顺序比如一个物体A 挡住了 物体B&#xff0c;即使底层逻辑中 先渲染A&#xff0c;后渲染B&#xff0c;我们也不用担心 B的颜色会把A覆盖&#xff0c;因为在进行深度测试时&#xff0c;远…

电池管理系统SOX算法资料优化目录2024.8.26

这篇文章主要写一下这一次更新的几个地方&#xff0c;有对原来的代码及模型进行优化的部分&#xff0c;也有新增加的代码和模型&#xff0c;我就把几个比较典型的给列了出来。但是还有好多的更新没有在下面展示出来&#xff0c;因为一个个展示出来太复杂了。如果你对更新的内容…

如何使用ssm实现基于 SSM 框架的宠物用品电子商务平台设计与实现+vue

TOC ssm258基于 SSM 框架的宠物用品电子商务平台设计与实现vue 绪论 1.1 研究背景 当前社会各行业领域竞争压力非常大&#xff0c;随着当前时代的信息化&#xff0c;科学化发展&#xff0c;让社会各行业领域都争相使用新的信息技术&#xff0c;对行业内的各种相关数据进行科…

黑神话悟空妖怪平生录

黑神话悟空是一部特别好玩的单机游戏。上一个我这么喜欢的国产单机还是古剑奇谭三。 虽然黑神话的战斗系统和地图系统尚不完善&#xff0c;但是这里面的游记是真的做得很认真。 203个妖怪&#xff0c;203首小诗&#xff0c;203个妖生故事&#xff0c;带你去看妖怪的喜怒哀乐。…

freemarker模版注入

Freemarker模版注入漏洞 模版注入漏洞根因&#xff08;SSTI&#xff0c;服务器端模版注入&#xff09;freemarker介绍Freemarker模版注入漏洞关键点漏洞复现环境引入依赖poc 修复方案完整代码&#xff08;包含修复&#xff09;参考 模版注入漏洞根因&#xff08;SSTI&#xff0…

乾坤大挪移--将一个混乱的excel分类整理的辅助VBA代码

excel 乾坤大挪移 你不需要将工作表手动分类&#xff1b; 只需要在”已整理“的标题行增加标题列&#xff0c; listbox会自动获取”已整理“sheet中的标题列&#xff0c;并列出来 你只需要选中同一列中的单元格&#xff0c;点击想移动到的列表的类别&#xff0c;双击或者点…

【云故事探索】NO.7:「越用越上瘾」,中华财险 60% 研发人员用通义灵码提效

云布道师 中华联合财产保险股份有限公司运用“云大模型”技术革新业务&#xff0c;通过阿里云的通义灵码大幅提升编码效率&#xff0c;近60%的研发人员采用&#xff0c;采纳的生成代码占比约20%&#xff0c;显著提升了团队创新能力与代码质量&#xff0c;并积极探索大模型在更多…

基于SpringBoot的智慧党建系统+uniapp移动端+LW示例参考

1.项目介绍 技术栈环境&#xff1a;SpringBootthymeleafuniappIDEA NavicatMySQL 功能介绍&#xff1a; 后端功能&#xff1a;首页管理&#xff08;轮播图、通知公告、新闻管理&#xff09;、用户管理&#xff08;用户信息、用户反馈、用户订单、用户动态&#xff09;、其他…

一文搞定MybatisPlus

Mybatis简介 MyBatis-Plus&#xff08;简称 MP&#xff09;是一个 MyBatis 的增强工具&#xff0c;在 MyBatis 的基础上只做增强不做改变&#xff0c;为简化开发、提高效率而生。 &#xff08;来自官网&#xff09; 体验Mybatisplus 1.创建SpringBoot工程&#xff0c;导入m…

HarmonyOS--认证服务-操作步骤

HarmonyOS–认证服务 文章目录 一、注册华为账号开通认证服务二、添加项目&#xff1a;*包名要与项目的包名保持一致三、获取需要的文件四、创建项目&#xff1a;*包名要与项目的包名保持一致五、添加json文件六、加入请求权限七、加入依赖八、修改构建配置文件&#xff1a;bui…