一、基本的網(wǎng)絡(luò )信息安全考慮

網(wǎng)絡(luò )信息安全的觀(guān)念是關(guān)于保護網(wǎng)絡(luò )基礎架構本身；保護用于建立和管理網(wǎng)絡(luò )功能的網(wǎng)絡(luò )協(xié)議。這些關(guān)鍵概念用于解決方案的所有層次和區域。這些步驟幫助用戶(hù)保護IACS網(wǎng)絡(luò )和IACS應用，防止多種方式的攻擊。下面內容是信息安全基線(xiàn)的關(guān)鍵區域：

● 基礎設備架構-對網(wǎng)絡(luò )基礎架構訪(fǎng)問(wèn)的信息安全管理；

● 交換基礎架構-網(wǎng)絡(luò )訪(fǎng)問(wèn)和第2層設計考慮；

● 路由基礎架構-保護網(wǎng)絡(luò )第3層路由功能，防止攻擊或誤用；

● 設備的彈性和可存性-保護網(wǎng)絡(luò )的彈性和可用性；

● 網(wǎng)絡(luò )遙測-監視和分析網(wǎng)絡(luò )行為和狀態(tài)，對問(wèn)題和攻擊做出識別和反應。

這些實(shí)踐可應用于不同的層、區域和相關(guān)的網(wǎng)絡(luò )架構。

二、IACS 網(wǎng)絡(luò )設備的保護

這個(gè)概念描述了保護關(guān)鍵IACS端點(diǎn)設備本身的實(shí)踐，特別是控制器和計算機。因為這些設備在IACS中扮演著(zhù)重要的角色，他們的信息安全是要給予特殊關(guān)照。這些概念包括下面內容：

● 物理安全－這個(gè)層限制區域、控制屏、IACS設備、電纜、控制室和其他位置的授權人的訪(fǎng)問(wèn)，以及跟蹤訪(fǎng)問(wèn)者和伙伴；

● 計算機加固－這包括補丁程序管理和防病毒軟件，以及能夠刪除不使用的應用程序、協(xié)議和服務(wù)等；

● 應用信息安全－這包含鑒定、授權和審核軟件，諸如用于IACS應用的FactoryTalk的安；

● 控制器加固－這里指處理變更管理和限制訪(fǎng)問(wèn)。

三、單元/區域 IACS 網(wǎng)絡(luò )信息安全

應用于單元/區域的關(guān)鍵信息安全觀(guān)念包括下面的部分：

● 端口信息安全，密碼維護，管理訪(fǎng)問(wèn)單元/區域網(wǎng)絡(luò )基礎架構；

● 冗余和不需要服務(wù)的禁用；

● 網(wǎng)絡(luò )系統信息登錄，使用簡(jiǎn)單網(wǎng)絡(luò )管理協(xié)議（SNMP）和網(wǎng)絡(luò )信息監視；

● 限制廣播信息區域，虛擬局域網(wǎng)（VLAN）和網(wǎng)絡(luò )協(xié)議的種類(lèi)；

● 計算機和控制器的加固。

四、制造 IACS 網(wǎng)絡(luò )的信息安全

制造區域的設計考慮和實(shí)施要在早期階段討論，特別要考慮關(guān)鍵的單元/區域。另外，應用這些考慮，用于制造區的關(guān)鍵信息安全考慮包括下面內容：

● 路由架構的更佳實(shí)踐，覆蓋路由協(xié)議成員和路由信息保護，以及路由狀態(tài)變化記錄；

● 網(wǎng)絡(luò )和信息安全監視；

● 服務(wù)器信息安全覆蓋端點(diǎn)信息安全；

● FactoryTalk應用信息安全。

五、隔離區和IACS防火墻

DMZ和工廠(chǎng)防火墻是一個(gè)保護IACS網(wǎng)絡(luò )和IACS應用的基本措施。結合防火墻和DMZ的概念是用于IACS網(wǎng)絡(luò )信息安全的關(guān)鍵的縱深防御的方法。DMZ和工廠(chǎng)防火墻的設計和實(shí)施指南的關(guān)鍵特性和功能包括以下方面：

● 部署工廠(chǎng)防火墻管理在企業(yè)和制造區之間的信息流。一個(gè)工廠(chǎng)防火墻提供了下面的功能：

在網(wǎng)絡(luò )區之間，通過(guò)指定的信息安全層建立的通信模式，比如建立隔離區DMZ；

在不同區域之間所有通信狀態(tài)包的檢查，如果在上面允許的情況下；

從一個(gè)區域企圖訪(fǎng)問(wèn)另一個(gè)區域的資源時(shí)，強制執行用戶(hù)鑒定，比如從企業(yè)層企圖訪(fǎng)問(wèn)DMZ的服務(wù)；

侵入保護服務(wù)（IPS）檢查在區域之間的通信流，設計成能夠識別和阻止各種潛在的攻擊。

● 不同區域之間的 DMZ中的數據和服務(wù)能夠安全地共享。

......

更多內容歡迎交流。