【操作指南】SCADA与过程控制网络防火墙配置指南
浏览量:1138 | 发布时间:2014-10-20 10:11:00
SCADA与过程控制网络防火墙配置指南
【摘要】
近年来,监视控制与数据采集系统(SCADA)、过程控制以及工业制造系统越来越需要借助商业信息技术手段如以太网、TCP/IP和Windows® 等进行关键或非关键的通信。尽管使用这些常规协议和操作系统在其他方面是有帮助的,但同时这些技术也严重导致了至关重要的SCADA系统和过程控制网络(PCNs)与外界的接触增多。这些系统如今面临着多种威胁的攻击风险,这可能来自于有熟练技术和目标的网络罪犯,也可能是刚会写代码的青少年。不幸的是,目前只有极少的方案经过证实能够帮助资产所有者或工程师们保护其关键系统。通常推荐的安全解决措施之一是将SCADA系统和PCN网络与因特网和公司网络(EN)用防火墙隔离开,但是对于如何配置这些防火墙,包括它的结构、组态以及管理等方面,都只能找到很少的信息。防火墙是一种设计精良且需要准确配置的复杂设备,因而这本关于如何在工业领域恰当配置防火墙的指南将很有帮助。
为响应此需求,英国国家基础设施安全协调中心(NISCC)委托英属哥伦比亚理工学院(BCIT)的先进信息技术小组(GAIT)研究和整理汇编关于目前SCADA/PCN防火墙配置方面的操作方法。其目的是考查用于工业控制领域防护的防火墙的构造、配置及管理的最新水平。2004年3月,研究小组向约60家组织和行业新闻列表企业发出调查问卷,了解防火墙在工业领域的应用情况。总共收到10家供应商,包括防火墙生产商、IT安全公司和控制系统制造商等某种形式的答复。也收到了大约15家来自于石油、化工、食品及电力等行业的工业用户的回复。这些供应商和最终用户都是来自于北美和欧洲的企业。本文所提供的信息均以个人观点、白皮书、政策指南、网络审计报告和安全产品文献等为依据。此外,本文还囊括了工业控制安全领域标准组织相关草案文件的内容。包括从美国石油学会(API)、工业自动化开放网络协会(IAONA)、国际电工委员会(IEC)、电气和电子工程师学会(IEEE)、仪器仪表和系统与自动化协会(ISA)等处取得的文件。
所有收集的信息均由研究小组整理,通过总结防火墙构造、设计、配置和管理等方面确定当前的安全措施。随后经过分析和打分,得到这些措施在工业控制领域可能的效用水平。分析结果表明工业领域运用的防护手段多种多样,其防护效果也是参差不齐。常用的双端工作站,网桥、路由器都不可能提供恰当的隔离效果,尽管两个工作站的架构边界是安全的,但仍需要极其小心地配置。总体来说,能够允许在企业网络和SCADA/PCN网络之间建立非军事区(DMZ)的构造才能提供最有效的安全保障。