Download miễn phí Các chiến lược bảo vệ hệ thống điều khiển và hệ SCADA
Do việc kết nối trực tiếp môi trường SCADA với mạng IT kết hợp hay với
mạng internet có thể làm cho môi trường SCADA dễ bị nguy hiểm và bị đe
doạ, vì vậy tạo ra một môi trường bảo mật trung gian mới (vùng 2) trong
chính DMZ của nó (Vùng đảo ngược quân sự hoá) được coi là một giải pháp
tốt hơn. Data historian DMZ trung gian này sẽ tạo ra một bộ đệm giữa mạng
IT kết hợp và môi trường SCADA, đồng thời thiết kế này cũng mang lại rất
nhiều ích lợi.
Bài viết này nêu ra một số vấn đề cơ bản với hiện trạng bảo vệ hệ SCADA
và hệ thống điều khiển, giới thiệu khái niệm khu vực bảo mật dễ bị nguy
hiểm và giới thiệu ngắn gọn một vài giải pháp bảo vệ máy tính mới và độc
nhất có khả năng ứng dụng tại mỗi khu vực bảo mật.
Trong nhiều năm qua, với sự im ắng và các cấp độ hoạt động ngày càng tăng
của các loại sâu và virus như Blaster (aka MSBlast), người ta thừa nhận rằng
các hệ thống độc quyền và biệt lập trước đây hiện được kết nối với các mạng
kết hợp, và nhiều hệ thống còn bao gồm các điểm nối từ Internet. Một kiến
thức phổ biến hiện nay là thiết bị điện tử kiểm soát cơ sở hạ tầng trọng yếu
dễ bị hỏng qua DoS (Phủ nhận dịch vụ), các gói tin dị hình, và mã độc do
virus, Trojan và sâu gây ra.
Những đánh giá về điểm yếu của hoạt động bảo mật máy tính trong hệ
SCADA và hệ điều khiển quá trình đã làm nảy sinh một mô hình phương
pháp mà nhiều công ty ứng dụng để bảo vệ các tài sản trọng yếu của mình.
Hơn 80% các công ty cung cấp điện, ga, nước và năng lượng được đề cập tới
sử dụng một firewall hay giải pháp bảo vệ máy tính giữa mạng kết hợp IT và
mạng điều khiển quá trình có đủ khả năng để duy trì sự bảo mật cho các tài
sản trọng yếu dưới sự
kiểm soát của hệ
SCADA và hệ điều
khiển quá trình.
Các công ty này đặc
biệt coi mạng điều
khiển quá trình như
một hộp đen lớn và có
xu hướng bảo vệ
những môi trường này
bằng cách cố gắng
tách biệt chúng khỏi
bất cứ một mạng nào
khác tới mức có thể.
Đây là một sự cố gắng
đầu tiên mang lại hiệu
quả tốt và là một
hướng đi đúng đắn.
Ngoài ra, có thể xem
xét một số giải pháp bảo vệ máy tính khác tạo điều kiện để những tài sản
trọng yếu được kết nối qua các giao thức Ethernet và Internet có khả năng
định tuyến có thể đối phó được với những mối đe dọa cả từ bên ngoài lẫn
bên trong.
Phần dưới đây có hai sơ đồ, sơ đồ đầu tiên thể hiện mạng logic của một hệ
SCADA và DCS điển hình được nối với mạng kết hợp. Sơ đồ thứ hai cho
thấy hầu hết các công ty quan tâm đến tính bảo mật của các môi trường thời
gian thực, môi trường SCADA và môi trường điều khiển quá trình của họ
như thế nào. Họ chỉ phân chia mạng của mình thành hai môi trường - một
cho hệ thống kết hợp/IT, và một cho hệ SCADA và hệ thống điều khiển quá
trình.
Những điểm yếu SCADA điển hình và các giải pháp đổi mới
Với các mạng doanh nghiệp, việc thiếu những phương pháp kiểm soát sự
truy nhập và sự phân chia mạng trong hệ SCADA và hệ thống điều khiển
quá trình cũng gây nguy hiểm cho máy tính. Những sự nguy hiểm đó này có
thể xuất phát từ những mối đe dọa từ bên trong và bên ngoài. Những phần
sau bao trùm các điểm yếu và những giải pháp đổi mới tiềm năng để giải
quyết những vấn đề này.
Các mối đe dọa từ bên ngoài
Sâu, virus, Trojan, và malware gây hại cho các mạng SCADA
Chỉ có một giải pháp bảo vệ máy tính tại vòng ngoài của môi trường
SCADA hay môi trường PCN thường làm cho các trạm làm việc và các máy
chủ SCADA, các mạng viễn thông và các bộ điều khiển PLC và RTU dễ bị
tấn công bởi các loại sâu nhiều dạng tự nhân bản, sự biến đổi của chúng luôn
nhanh hơn khả năng phản ứng của các hãng chống virus. Với các vùng bảo
mật phụ thêm, tính bảo mật cấp độ cổng và các firewall đặt giữa mỗi vùng
bảo mật, các loại sâu và virus có thể bị chặn lại bất kể là giải pháp chống
virus có tệp chữ ký mới nhất hay không. Ngoài phương pháp phân chia môi
trường SCADA bằng việc sử dụng các firewall, một giải pháp chống virus
có thể được thiết lập mà không cần kết nối internet trực tiếp, tuy nhiên
giải pháp này vẫn chưa tự động nhận những cập nhật chữ ký và chuyển
chúng tới các máy tính trong môi trường SCADA.
Do việc kết nối trực tiếp môi trường SCADA với mạng IT kết hợp hay với
mạng internet có thể làm cho môi trường SCADA dễ bị nguy hiểm và bị đe
doạ, vì vậy tạo ra một môi trường bảo mật trung gian mới (vùng 2) trong
chính DMZ của nó (Vùng đảo ngược quân sự hoá) được coi là một giải pháp
tốt hơn. Data historian DMZ trung gian này sẽ tạo ra một bộ đệm giữa mạng
IT kết hợp và môi trường SCADA, đồng thời thiết kế này cũng mang lại rất
nhiều ích lợi.
Lợi ích chính cho
vùng đệm mới này là
dữ liệu có thể được
sắp xếp ở đây từ môi
trường SCADA và rồi
di chuyển đến các môi
trường IT khác. Thay
vì có nhiều sự kết nối
IT trực tiếp tới môi
trường SCADA, tất cả
việc thu thập và lưu
trữ dữ liệu có thể
được di chuyển ra
khỏi Data historian
DMZ này, do vậy
việc hạn chế hơn nữa
sự truy nhập vào môi
trường SCADA và
cho phép một tập hợp
các luật firewall chặt
chẽ hơn được viết
giữa vùng này và môi
trường SCADA. Khái
niệm “đặc quyền tối
thiểu” có thể được áp
dụng ở đây do vậy chỉ
có những người được
yêu cầu truy nhập vào
các hệ SCADA và các
thành phần mới được
phép vào trong môi trường SCADA. Còn tất cả những người sử dụng khác
chỉ thực sự cần truy nhập vào dữ liệu thu thập được từ các hệ SCADA có thể
được phép truy nhập vào những hệ thống này trong Data historian DMZ.
Một lợi ích khác của việc có Data historian DMZ mới này (hay Vùng 2) là
việc cài đặt các máy chủ chuyển tiếp, chúng có thể chuyển tiếp hay gửi trên
các hệ điều hành và những điểm nối tạm cập nhật chống virus từ phía IT của
mạng vào môi trường SCADA hay môi trường các hệ điều khiển. Nếu có sự
truy nhập vào một bộ mô phỏng hay mạng phát triển với việc cài đặt phần
cứng và phần mềm SCADA, thì hệ điều hành mới và những điểm nối tạm
chống virus này cần được thử nghiệm trong những môi trường thử nghiệm
này trước khi di chuyển tiếp. Biểu đồ trong hình 5 thể hiện một hệ điều hành
thứ cấp hay các hệ thống nối tạm chống virus có thể đặt trong Vùng 2, ha...
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
Do việc kết nối trực tiếp môi trường SCADA với mạng IT kết hợp hay với
mạng internet có thể làm cho môi trường SCADA dễ bị nguy hiểm và bị đe
doạ, vì vậy tạo ra một môi trường bảo mật trung gian mới (vùng 2) trong
chính DMZ của nó (Vùng đảo ngược quân sự hoá) được coi là một giải pháp
tốt hơn. Data historian DMZ trung gian này sẽ tạo ra một bộ đệm giữa mạng
IT kết hợp và môi trường SCADA, đồng thời thiết kế này cũng mang lại rất
nhiều ích lợi.
Bài viết này nêu ra một số vấn đề cơ bản với hiện trạng bảo vệ hệ SCADA
và hệ thống điều khiển, giới thiệu khái niệm khu vực bảo mật dễ bị nguy
hiểm và giới thiệu ngắn gọn một vài giải pháp bảo vệ máy tính mới và độc
nhất có khả năng ứng dụng tại mỗi khu vực bảo mật.
Trong nhiều năm qua, với sự im ắng và các cấp độ hoạt động ngày càng tăng
của các loại sâu và virus như Blaster (aka MSBlast), người ta thừa nhận rằng
các hệ thống độc quyền và biệt lập trước đây hiện được kết nối với các mạng
kết hợp, và nhiều hệ thống còn bao gồm các điểm nối từ Internet. Một kiến
thức phổ biến hiện nay là thiết bị điện tử kiểm soát cơ sở hạ tầng trọng yếu
dễ bị hỏng qua DoS (Phủ nhận dịch vụ), các gói tin dị hình, và mã độc do
virus, Trojan và sâu gây ra.
Những đánh giá về điểm yếu của hoạt động bảo mật máy tính trong hệ
SCADA và hệ điều khiển quá trình đã làm nảy sinh một mô hình phương
pháp mà nhiều công ty ứng dụng để bảo vệ các tài sản trọng yếu của mình.
Hơn 80% các công ty cung cấp điện, ga, nước và năng lượng được đề cập tới
sử dụng một firewall hay giải pháp bảo vệ máy tính giữa mạng kết hợp IT và
mạng điều khiển quá trình có đủ khả năng để duy trì sự bảo mật cho các tài
sản trọng yếu dưới sự
kiểm soát của hệ
SCADA và hệ điều
khiển quá trình.
Các công ty này đặc
biệt coi mạng điều
khiển quá trình như
một hộp đen lớn và có
xu hướng bảo vệ
những môi trường này
bằng cách cố gắng
tách biệt chúng khỏi
bất cứ một mạng nào
khác tới mức có thể.
Đây là một sự cố gắng
đầu tiên mang lại hiệu
quả tốt và là một
hướng đi đúng đắn.
Ngoài ra, có thể xem
xét một số giải pháp bảo vệ máy tính khác tạo điều kiện để những tài sản
trọng yếu được kết nối qua các giao thức Ethernet và Internet có khả năng
định tuyến có thể đối phó được với những mối đe dọa cả từ bên ngoài lẫn
bên trong.
Phần dưới đây có hai sơ đồ, sơ đồ đầu tiên thể hiện mạng logic của một hệ
SCADA và DCS điển hình được nối với mạng kết hợp. Sơ đồ thứ hai cho
thấy hầu hết các công ty quan tâm đến tính bảo mật của các môi trường thời
gian thực, môi trường SCADA và môi trường điều khiển quá trình của họ
như thế nào. Họ chỉ phân chia mạng của mình thành hai môi trường - một
cho hệ thống kết hợp/IT, và một cho hệ SCADA và hệ thống điều khiển quá
trình.
Những điểm yếu SCADA điển hình và các giải pháp đổi mới
Với các mạng doanh nghiệp, việc thiếu những phương pháp kiểm soát sự
truy nhập và sự phân chia mạng trong hệ SCADA và hệ thống điều khiển
quá trình cũng gây nguy hiểm cho máy tính. Những sự nguy hiểm đó này có
thể xuất phát từ những mối đe dọa từ bên trong và bên ngoài. Những phần
sau bao trùm các điểm yếu và những giải pháp đổi mới tiềm năng để giải
quyết những vấn đề này.
Các mối đe dọa từ bên ngoài
Sâu, virus, Trojan, và malware gây hại cho các mạng SCADA
Chỉ có một giải pháp bảo vệ máy tính tại vòng ngoài của môi trường
SCADA hay môi trường PCN thường làm cho các trạm làm việc và các máy
chủ SCADA, các mạng viễn thông và các bộ điều khiển PLC và RTU dễ bị
tấn công bởi các loại sâu nhiều dạng tự nhân bản, sự biến đổi của chúng luôn
nhanh hơn khả năng phản ứng của các hãng chống virus. Với các vùng bảo
mật phụ thêm, tính bảo mật cấp độ cổng và các firewall đặt giữa mỗi vùng
bảo mật, các loại sâu và virus có thể bị chặn lại bất kể là giải pháp chống
virus có tệp chữ ký mới nhất hay không. Ngoài phương pháp phân chia môi
trường SCADA bằng việc sử dụng các firewall, một giải pháp chống virus
có thể được thiết lập mà không cần kết nối internet trực tiếp, tuy nhiên
giải pháp này vẫn chưa tự động nhận những cập nhật chữ ký và chuyển
chúng tới các máy tính trong môi trường SCADA.
Do việc kết nối trực tiếp môi trường SCADA với mạng IT kết hợp hay với
mạng internet có thể làm cho môi trường SCADA dễ bị nguy hiểm và bị đe
doạ, vì vậy tạo ra một môi trường bảo mật trung gian mới (vùng 2) trong
chính DMZ của nó (Vùng đảo ngược quân sự hoá) được coi là một giải pháp
tốt hơn. Data historian DMZ trung gian này sẽ tạo ra một bộ đệm giữa mạng
IT kết hợp và môi trường SCADA, đồng thời thiết kế này cũng mang lại rất
nhiều ích lợi.
Lợi ích chính cho
vùng đệm mới này là
dữ liệu có thể được
sắp xếp ở đây từ môi
trường SCADA và rồi
di chuyển đến các môi
trường IT khác. Thay
vì có nhiều sự kết nối
IT trực tiếp tới môi
trường SCADA, tất cả
việc thu thập và lưu
trữ dữ liệu có thể
được di chuyển ra
khỏi Data historian
DMZ này, do vậy
việc hạn chế hơn nữa
sự truy nhập vào môi
trường SCADA và
cho phép một tập hợp
các luật firewall chặt
chẽ hơn được viết
giữa vùng này và môi
trường SCADA. Khái
niệm “đặc quyền tối
thiểu” có thể được áp
dụng ở đây do vậy chỉ
có những người được
yêu cầu truy nhập vào
các hệ SCADA và các
thành phần mới được
phép vào trong môi trường SCADA. Còn tất cả những người sử dụng khác
chỉ thực sự cần truy nhập vào dữ liệu thu thập được từ các hệ SCADA có thể
được phép truy nhập vào những hệ thống này trong Data historian DMZ.
Một lợi ích khác của việc có Data historian DMZ mới này (hay Vùng 2) là
việc cài đặt các máy chủ chuyển tiếp, chúng có thể chuyển tiếp hay gửi trên
các hệ điều hành và những điểm nối tạm cập nhật chống virus từ phía IT của
mạng vào môi trường SCADA hay môi trường các hệ điều khiển. Nếu có sự
truy nhập vào một bộ mô phỏng hay mạng phát triển với việc cài đặt phần
cứng và phần mềm SCADA, thì hệ điều hành mới và những điểm nối tạm
chống virus này cần được thử nghiệm trong những môi trường thử nghiệm
này trước khi di chuyển tiếp. Biểu đồ trong hình 5 thể hiện một hệ điều hành
thứ cấp hay các hệ thống nối tạm chống virus có thể đặt trong Vùng 2, ha...
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links