Citect集成的SCADA系统的安全防护(网络安全和SCADA系统白皮书)

近些年来，公共事业公司在经营上发生了巨大的变化，增加利润，减少开销的压力使他们在企业商务网络中集成SCADA系统以简化操作。巩固SCADA系统安全性的第一步就是创建一份书面安全政策，这是保护公司网络必要组分。管理团队要制定清晰明了的宗旨，目标，规则和正规程序从而对整体方向进行定位，拟订计划。而书面安全政策的关键因素是在书写前实行一个弱势评估。弱点评估应该执行一个机制来分辨系统设置和原始威胁，并执行一个与所有软件网络需要相关连的电脑和网络设备的物理审计。同时，需要采取安全措施来保护网络。包括：网络设计，防火墙 ，VPN，IP安全 ，非武装区域。 保证一个安全网络关键系数是接触点的数量，这些应该尽可能的被限制。当防火墙从互联网上获取通道时, 许多现有的控制系统会允许远程用户对系统访问并进行调试。 这些调制解调器经常直接连接到控制器分站，并有密码保护。 在公司网络和互联网之间建立一个坚固的防火墙是十分必要的。作为进出公司网络的单一结点，防火墙能够有效的被监测和保护，在公司的网络管理当中应至少存在一个独立于网络终端的防火墙和路由器。在更大的站点中，需要在SCADA网络中保护控制系统免受攻击。在公司和SCADA网络之间设立一个防火墙能够实现这个目标。 如今，复杂网络所面临的主要安全问题之一是远程存取，VPN是连接远程SCADA网个安全途径，在某种程度上，VPN可以保密所有的数据路径，只对有限的个人团体开放，如供应商公司的雇员，VPN 基本上是交互式的一个小型计算机网络，好象运行在自己的私有网络上，而不是实际存在的物理网络的实体结构。典型的VPN 服务器将被安装并作为防火墙的一部分或者一个独立的服务器，外在用户只有在获得访问验证后才能访问SCADA网络。 IP安全是由IETF制定的一套协议，用来支持IP层数据包的安全交换，在实施VPN时广泛部署了IP安全。为了运行IPsec，发送端和接收端必须分享一个公开的密钥，通过ISAKMP/ Oakley协议就可以完成这个过程，同时，允许接收者获得一个公开的密钥用来验证发送者使用数字证书。 非武装区域是SCADA网络和公司网络或互联网之间的缓冲地带，它被一个额外的防火墙和路由器隔离，并提供了一个额外的抵御电子网络攻击的安全层， DMZ缓冲法已经成为一个普遍的方法，广泛应用于从SCADA系统网络中分离商业应用，也是一个高度推荐的额外安全措施。 未经认可访问一个无线网路两个常用方法是利用笔记本电脑或PDA来作为一个客户端来访问，或者克隆一个无线通路的访问点。 如果没有任何措施来保护无线网路 , 那么这些方法之中任何一个都能提供对无线网路的全方面的访问。 欲知Citect解决方案和服务的更多信心，请登陆http://www.citect.com