技术文章

当前页面: 首页 >技术文章 >【专家博客】SCADA物理隔离网闸–技术还是理念?

【专家博客】SCADA物理隔离网闸–技术还是理念?

供稿:青岛多芬诺信息安全技术有限公司 2013/10/28 10:35:43

0 人气:830

       上个月,我收到了一些邮件,看到一些LinkedIn上的文章暗指当我提出物理隔离网闸只是一个神话时,我是在攻击数据二极管的理念。可惜,这是对我关于ICS/SCADA的信息的严重误解。

       当我指出物理隔离网闸不可能时,我并没有谈论到技术。使用防火墙还是使用数据二极管来过滤、控制信息流并非我谈论的重点。这些都是有价值的技术(可能不是最后一个)。它们也不是灵丹妙药,但是当被合理明智地用在纵深防御策略里时,它们能做很多事情来保护控制系统的安全。

Eric Byres指出技术不是灵丹妙药,但是被用在纵深防御策略中时,可以提高控制系统的安全性。


       我谈论的是认为我们可以将控制系统和外界真正隔离的这种理念。我认为任何说“我的控制系统是完全隔离”的人都被严重误导了。这类人只关注明显的网络流,而忽略了其它危险性很小的sneakernet流。这就是我说的“神话”的意思,和“保护控制系统安全的正确的技术”没有关系。

       隔离理念的缺陷(为避免更多的混淆,我不再称它为物理隔离网闸理念)在于其依赖单一的防御–控制系统的完全电子隔离。使用单一防御,单点故障就会随之而来。艰难的经历后,我们都知道存在单点故障的设计是不健全的。结论就是对控制网络进行隔离不是一个可行的长期策略。

        对于控制和管理信息流的最好技术,您有哪些评论和建议?您是如何管理不通过网络的信息流的,如移动媒体(CD,USB密钥等等),无线,串口和个人电子设备。

更多内容请访问 青岛多芬诺信息安全技术有限公司(http://c.gongkong.com/?cid=17323)

手机扫描二维码分享本页

工控网APP下载安装

工控速派APP下载安装

 

我来评价

评价:
一般