日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

工業(yè)互聯(lián)網(wǎng)作為我國打造制造強國的核心手段，也是最近大家談?wù)摵芏嗟摹靶禄ā敝?。那么，咱們今天要談的工業(yè)互聯(lián)網(wǎng)安全，它的防護對象有哪些呢?

秦皇島網(wǎng)站制作公司哪家好，找成都創(chuàng)新互聯(lián)公司！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、響應(yīng)式網(wǎng)站建設(shè)等網(wǎng)站項目制作，到程序開發(fā)，運營維護。成都創(chuàng)新互聯(lián)公司公司2013年成立到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設(shè)就選成都創(chuàng)新互聯(lián)公司。

[[321926]]

總的來說，工業(yè)互聯(lián)網(wǎng)安全防護的對象包括工業(yè)現(xiàn)場設(shè)備、工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、工業(yè)應(yīng)用程序及工業(yè)數(shù)據(jù)等，如下圖：

確定了保護對象后，我們應(yīng)該怎么來部署防護措施呢。

【理論基礎(chǔ)安全篇】

第一，設(shè)備安全。在使用諸如工業(yè)機器人、智能儀表、傳感器等現(xiàn)場設(shè)備時，主要的安全考慮是做好鑒權(quán)和控制。安全措施有：

(1)采用鑒別機制對接入工業(yè)互聯(lián)網(wǎng)中的設(shè)備身份進行鑒別，確保數(shù)據(jù)來源于真實的設(shè)備;

(2)制定安全策略，如訪問控制列表，實現(xiàn)對接入工業(yè)互聯(lián)網(wǎng)中設(shè)備的訪問控制，并對管理設(shè)備的用戶授予其所需的最小權(quán)限，并實現(xiàn)對管理設(shè)備的用戶的權(quán)限分離;

(3)對登錄設(shè)備的用戶進行身份標(biāo)識和鑒別，身份鑒別信息滿足相應(yīng)的復(fù)雜度要求并定期更換;

(4)對設(shè)備配置登錄失敗處理功能，啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施;

(5)做好設(shè)備的用戶管理工作，如賬戶和權(quán)限的管理、默認(rèn)賬戶的管理、過期賬戶的管理等;

(6)對設(shè)備采取基本的入侵防范措施，如只安裝執(zhí)行任務(wù)所必需的組件和應(yīng)用程序，關(guān)閉設(shè)備中不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口;

(7)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的終端進行限制;

(8)及時修補漏洞;

(9)對設(shè)備進行安全審計，審計覆蓋到對設(shè)備進行運維的每個用戶，對重要的用戶行為和重要安全事件進行審計，做好審計記錄的管理;

第二，控制安全。對于傳統(tǒng)制造業(yè)來說，為保證整條流水線的協(xié)同生產(chǎn)，每個工廠都有著嚴(yán)格的流程控制，這也是為什么控制安全在整個工業(yè)互聯(lián)網(wǎng)中同樣占有重要作用的原因。在控制安全方面，主要對控制軟件和控制協(xié)議采取安全措施：

(1)對登錄控制軟件進行操作的用戶進行身份標(biāo)識和鑒別，身份鑒別信息滿足相應(yīng)的復(fù)雜度要求并定期更換;

(2)對登錄控制軟件進行操作的過程配置登錄失敗處理功能，并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施;

(3)做好控制軟件的用戶管理工作，如賬戶和權(quán)限的管理、默認(rèn)賬戶的管理、過期賬戶的管理等;

(4)對控制軟件啟用安全審計功能，審計記錄符合法律法規(guī)要求;

(5)對控制軟件采取基本的入侵防范措施，如只安裝必需的組件和程序，關(guān)閉設(shè)備中不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口;

(6)對控制協(xié)議采取完整性保證機制，確保控制協(xié)議中的各類指令不被非法篡改和破壞;

(7)安裝防惡意代碼軟件或配置具有相應(yīng)功能的軟件，并定期進行升級和更新防惡意代碼庫;

(8)采取資源控制策略，限制單個用戶或進程對系統(tǒng)資源的最大使用限度。

第三，網(wǎng)絡(luò)安全。主要針對工廠內(nèi)部和外部的網(wǎng)絡(luò)及邊界采取安全措施，防止來自外部的入侵：

(1)內(nèi)部網(wǎng)絡(luò)。根據(jù)業(yè)務(wù)特點劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段。以及采用適應(yīng)工廠內(nèi)部網(wǎng)絡(luò)特點的完整性校驗機制，實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)傳輸完整性保護;

(2)外部網(wǎng)絡(luò)。保障數(shù)據(jù)傳輸過程中的保密性和完整性，可采取信道加密技術(shù)或部署加密機等方式;

(3)網(wǎng)絡(luò)邊界安全。厘清內(nèi)、外網(wǎng)之間的邊界范圍，針對邊界采取安全相適應(yīng)的措施，如在邊界處設(shè)置工控防火墻、網(wǎng)閘、網(wǎng)關(guān)等安全隔離設(shè)備，并在關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署入侵防范設(shè)備。

(4)對網(wǎng)絡(luò)通訊數(shù)據(jù)、訪問異常、業(yè)務(wù)操作異常、網(wǎng)絡(luò)和設(shè)備流量、工作周期、抖動值、運行模式、各站點狀態(tài)、冗余機制等進行監(jiān)測，發(fā)生異常進行報警;

(5)對通過無線網(wǎng)絡(luò)攻擊的潛在威脅和可能產(chǎn)生的后果進行風(fēng)險分析，并對可能遭受無線攻擊的設(shè)備的信息發(fā)出(信息外泄)和進入(非法操控)進行屏蔽;

(6)對網(wǎng)絡(luò)進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計;

(7)實現(xiàn)網(wǎng)絡(luò)集中管控，包括對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運行狀況進行集中監(jiān)測。

第四，應(yīng)用安全。針對工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序至少需要采取身份鑒別和訪問控制技術(shù)。

(1)對使用工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序的用戶身份進行標(biāo)識和鑒別，身份鑒別信息滿足復(fù)雜度要求并定期更換，強制用戶首次登錄時修改初始口令;

(2)工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序的登錄過程應(yīng)提供并啟用登錄失敗處理功能，多次登錄失敗后應(yīng)采取必要的保護措施;

(3)對使用工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序的用戶分配賬戶及明確相應(yīng)的訪問操作權(quán)限，根據(jù)訪問控制策略，對工業(yè)互聯(lián)網(wǎng)平臺開發(fā)者、工業(yè)應(yīng)用程序及其用戶調(diào)用工業(yè)互聯(lián)網(wǎng)平臺開發(fā)接口實施訪問控制，并做好用戶管理工作;

(4)對于工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序需配備數(shù)據(jù)合規(guī)性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的內(nèi)容符合其設(shè)定要求;

(5)工業(yè)互聯(lián)網(wǎng)平臺與工業(yè)應(yīng)用程序能提供安全審計功能，并在工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應(yīng)用程序上線前對其安全性進行測試，對可能存在的惡意代碼進行檢測;

(6)確保工業(yè)應(yīng)用程序的供應(yīng)鏈安全、可靠。

第五，數(shù)據(jù)安全。工業(yè)數(shù)據(jù)的安全直接關(guān)系到工業(yè)生產(chǎn)線的穩(wěn)定，數(shù)據(jù)的丟失、篡改等都會影響生產(chǎn)線，對工業(yè)數(shù)據(jù)采取的安全措施有：

(1)建立數(shù)據(jù)安全管理制度，定期備份重要數(shù)據(jù);

(2)加密數(shù)據(jù)，從數(shù)據(jù)儲存和數(shù)據(jù)傳輸兩個環(huán)節(jié)入手，使用加密算法對數(shù)據(jù)加密，利用VPN等技術(shù)實現(xiàn)傳輸加密;

(3)部署數(shù)據(jù)防泄密系統(tǒng)，對數(shù)據(jù)的操作行為進行監(jiān)控審計;

(4)建立數(shù)據(jù)銷毀機制，明確銷毀方式和銷毀要求;

(5)針對工業(yè)互聯(lián)網(wǎng)平臺用戶的賬戶信息、鑒別信息、系統(tǒng)信息等要滿足個人信息保護規(guī)定。

【案例研究篇】

一、工業(yè)互聯(lián)網(wǎng)典型安全風(fēng)險

二、安全防護案例

三、工業(yè)互聯(lián)網(wǎng)安全防護技術(shù)應(yīng)用(總結(jié))

(1)邊界安全

邊界安全通常是通過在關(guān)鍵網(wǎng)絡(luò)節(jié)點處部署工控防火墻、網(wǎng)閘、網(wǎng)關(guān)等安全隔離設(shè)備，比如利用防火墻或者在路由器上設(shè)置訪問控制列表進行子網(wǎng)間的訪問控制和數(shù)據(jù)隔離，并且，還可增加用戶身份認(rèn)證系統(tǒng)和用戶權(quán)限管理系統(tǒng)，限制非法的用戶訪問，確保用戶真實性，合法記錄用戶對網(wǎng)絡(luò)資源的訪問日志，便于后續(xù)審計追溯。

(2)接入控制

1)通過堡壘機等裝置實現(xiàn)網(wǎng)絡(luò)的接入管理，包括網(wǎng)絡(luò)邊界識別和資產(chǎn)識別、自動識別在線終端、智能識別終端類型等;

2)對入網(wǎng)終端設(shè)備進行身份鑒別和合規(guī)驗證、展示與交換機端口的映射關(guān)系;

3)IP實名制登記和入網(wǎng)終端網(wǎng)絡(luò)信息生命周期管理，準(zhǔn)確識別違規(guī)接入和修改IP、MAC等行為。

(3)安全審計

通常部署安全監(jiān)測審計系統(tǒng)，很多做工控安全的廠家都有，目的是實現(xiàn)網(wǎng)絡(luò)流量監(jiān)測與告警，采用被動方式從網(wǎng)絡(luò)采集數(shù)據(jù)包，通過解析工控網(wǎng)絡(luò)流量、深度分析工控協(xié)議、與系統(tǒng)內(nèi)置的協(xié)議特征庫和設(shè)備對象進行智能匹配，實現(xiàn)實時流量監(jiān)測及異常活動告警，實時掌握工控網(wǎng)絡(luò)運行狀況，發(fā)現(xiàn)潛在的網(wǎng)絡(luò)安全問題。通過設(shè)定狀態(tài)白名單基線，當(dāng)有未知設(shè)備接入網(wǎng)絡(luò)或網(wǎng)絡(luò)故障時，可觸發(fā)實時告警信息。

(4)安全態(tài)勢感知

通過采集并存儲網(wǎng)絡(luò)環(huán)境的資產(chǎn)、運行狀態(tài)、漏洞收集、安全配置、日志、流量信息、情報信息等安全相關(guān)的數(shù)據(jù)，利用態(tài)勢預(yù)測模型分析并計算安全態(tài)勢，達到對全局網(wǎng)絡(luò)空間的不間斷監(jiān)控，發(fā)現(xiàn)和挖掘網(wǎng)絡(luò)中的異常攻擊和威脅事件;部署態(tài)勢感知的話選擇大廠的好處是威脅情報渠道廣、自身有依托平臺等。選擇態(tài)勢感知的兩個技術(shù)指標(biāo)分別是：

1)具備針對威脅或者攻擊的調(diào)查分析及可視化功能，可以對威脅或者攻擊相關(guān)的攻擊路徑、攻擊目標(biāo)、采用的手段和影響范圍進行快速定位，從而可以快速有效地進行自動化的安全決策支持和響應(yīng);

2)具備安全預(yù)警機制。

當(dāng)然，并不完全，從第二章的案例中可以看出針對不同的行業(yè)，有不同的解決方案，在產(chǎn)品和服務(wù)的選擇上是基于自身業(yè)務(wù)屬性和存在的安全風(fēng)險來考慮，從而選擇最優(yōu)，但是，都存在了一些共性的安全問題。

網(wǎng)頁標(biāo)題：工業(yè)互聯(lián)網(wǎng)安全研究筆記
網(wǎng)址分享：http://m.5511xx.com/article/codjhec.html