[ICS] 物理安全

工业控制系统安全气泡类比

这个理念是，为了防御那些无法更新到最新安全控制措施的旧系统，或者由于设备资源有限而无法处理安全控制措施的系统，资助可视化这种设备的安全计谋可以将它们放置在一个肥皂泡或玻璃泡中。泡中的系统和设备彼此信任，可以在内部自由通讯。为了被放置在泡内，系统必须颠末验证，确保没有恶意内容，并且对工业控制系统（ICS）的功能至关紧张。泡外的系统须要通过受控和监控的通道与泡内的系统进行通讯。任何试图渗透泡的行为都会导致泡破碎或破碎，这是一种轻易检测的情况。
在这个类比中，以下是几个观察点：

• 气泡 代表了工业控制系统（ICS）须要防御的安全界限，这个界限由限制物理和逻辑（网络）访问泡内设备的安全控制措施来实现。
  
• 气泡的破碎 反映了安全深度模型中的检测控制措施的结果，例如主机和网络入侵检测系统。
  
• 进入气泡的通道 由（物理）访问控制和安全的网络架构设计来实现，例如在气泡内部和外部网络之间实行的非军事区（DMZ）。
  

注意 在 融合工厂以太网（CPwE） 的背景下，气泡的内部将是制造区，外部是企业区，而通道则是 IDMZ（工业区划分区）。
安全气泡类比的焦点理念是，通过完全隔离全部已知为安全的敏感系统，避免它们与其他系统、用户和未知安全或意图的交互接触，这些系统可以保持其安全性和完备性。换句话说，通过从系统的原始状态开始，并验证和控制与该系统的每一次交互，即使系统本身无法自我防御，其安全性也可以得到维护。
隔离训练

绝对遵守气泡模型理论上可以保证任何系统在安全地区内的完备性和安全性。然而，在现实操作中，这大概成为一项困难的使命，尤其是当安全地区的规模增加时。为了使使命更加可管理，必须仔细确定哪些系统应该放置在安全地区（CPwE 定义的制造区）内，哪些系统应该放置在外部（企业区）。
作为一个经验法则，无法通过传统计谋（如打补丁和部署杀毒软件）进行掩护的系统应该放置在制造区。对于剩余的系统，须要确定将它们放置在企业区还是制造区是否会对工业控制系统（ICS）的可操作性或流经通道（IDMZ）的流量量产生不利影响。这将决定系统应该放置在制造区还是企业区：

考虑一个依赖于 制造执行系统（MES） 正常运作的工业控制系统（ICS）。MES 系统负责跟踪、处理和生产 ICS 所生产的产物。生产车间的员工每天都会与 MES 系统密切互动。MES 系统还跟踪生产车间运动的服从和状态，生成状态陈诉、预测分析和可追溯性陈诉，这些陈诉被本地生产办法和公司总部的人员使用。
在考虑将 MES 系统放置在哪里时，须要检察与 MES 系统的主要交互发生在哪里。以下是几个要点：

• 生产车间的操作员与 MES 系统的交互：
  假如大多数交互发生在生产车间的操作员和 MES 系统之间，并且这些交互是通过专用的 MES 操作终端进行的，那么将这些操作终端与 MES 系同一起放置在企业网络上是否合理？
  假如大多数交互是在 MES 系统与生产车间主动化和控制系统及设备之间进行的，那么 MES 系统应放置在制造区，与 MES 操作终端一同存在。
  
• 办公室人员与 MES 系统的交互：
  假如办公室人员的交互占主导职位，将 MES 系统放置在企业区大概更符合。无论做出什么决定，系统（例如制造执行系统）大概会与通道（IDMZ）进行定义的交互。
  假如决定将 MES 系统放置在制造区，则须要为办公室员工提供从系统获取陈诉的方式，并确保两者之间的通讯顺畅；假如系统放置在企业区，则须要为控制数据提供通向 MES 系统的方式。
  

总结：
进行这些隔离训练时，大概会发现它们既耗时又令人沮丧。有些系统很适合放置在某个地区，而有些系统则很难决定。根据经验，难以决定的系统往往由以下问题决定：假如我们失去地区之间的通道，生产是否能继承？换句话说，假如 IDMZ 出现故障或因企业区的漏洞须要关闭，选择将系统放置在某个地区是否会影响 ICS 和其过程的连续性。
回到正题：物理安全

应用物理安全。物理安全涵盖了防止或限制对工业控制系统（ICS）设备、系统和情况的物理访问的安全控制。这项运动应该是全面的，覆盖全部大概的进入角度。它应包括推荐的物理 IT 安全最佳实践以及针对 ICS 情况的控制措施。以下是针对工业控制系统、其地点办法及其周边地区的物理安全的一样平常建议：
1.位置、位置、位置：选择 ICS 办法的准确位置至关紧张。应避免选择已知的地震断层线附近以及飓风频发地区。还要明智地选择相近情况。监狱、机场或化学厂等大概会带来意外的干扰。
2.以安全为导向进行园林设计：过度生长的树木、过大的岩石和其他大型障碍物大概会妨碍对构筑及其周边地区的监控。保持现场周围 100 英尺的缓冲区，并设计园林景观以便摄像头和巡逻人员能够有效执行其职责。
合理尺寸和位置的天然障碍物，例如岩石，可以资助防御围栏防御的薄弱点，如墙壁、大门、窗户、门和围栏。在园林设计无法掩护构筑免受车辆侵害的情况下，应使用防撞障碍物，如防撞柱或柱子。

3.围栏：围栏作为外围防御的第一道防线。围绕办法设置至少 6-7 英尺高的围栏或墙壁，可以有效制止随意的入侵者进入办法。高度达到 8 英尺或更高的围栏则能制止即使是最果断的入侵者。
4.车辆和人员收支口：通过配备有可伸缩防撞柱的值守保安站来控制对办法的访问。员工通过刷卡站和/或暗码通行进入大门。访客需在保安处登记，并按照访问政策进行处理。

5.爆炸物检测计划：对于特别敏感或大概成为目标的生产办法，应该让门卫使用镜子检查车辆底部是否有爆炸物，或者提供便携式爆炸物嗅探设备。
6.办法监控：应在办法内外以及周围外围防线安装监控摄像头，使用 IP 摄像头或闭路电视（CCTV）系统。特别注意办法的全部收支口以及每个访问点。抱负的做法是联合使用运动检测设备、低光摄像头、云台摄像头和标准固定摄像头。录像应保存到异地，并按照预定时间保留。除了视频监控外，配备警犬的保安应定期巡查办法及其周围地区，以发现任何异常情况。
7.限制办法收支口：通过设立一个主要入口和一个用于配送或运输的后入口来控制构筑物的访问。
8.墙壁：对于外部墙壁，厚达一英尺或更厚的混凝土墙是对抗恶劣天气、入侵者和爆炸装置的廉价而有效的屏障。为了提供更好的安全性，墙壁可以加装 Kevlar 层。对于掩护敏感地区（如数据中央、服务器室或工艺区）的内部墙壁，应从地面延伸至天花板，以防止入侵者通过掉落的天花板爬过墙壁。

9.窗户：我们在建造生产办法，而不是办公楼，因此应尽量避免使用窗户，因为窗户是构筑物外部防御中的一个薄弱点。唯一的破例大概是苏息室或行政地区。以下范例的玻璃提供额外掩护，每种都有其独特的特点和适用性：

• 热强化玻璃：通过加热和快速冷却处理提高强度。
  
• 全钢化玻璃：颠末特别处理以提高强度和耐冲击性。
  
• 热处理钢化玻璃：在钢化玻璃的根本上进一步处理，以增加热稳定性。
  
• 夹层玻璃：由两层或多层玻璃与中心的塑料层粘合而成，提供更好的抗冲击性和安全性。
  
• 钢丝玻璃：含有钢丝网的玻璃，能够提高抗冲击性。
  

10.将防火门设置为仅限出口：对于消防规范要求的出口，安装外侧没有把手的门。当这些门被打开时，应发出响亮的警报，并触发安全指挥中央的相应。
11.生产地区的访问安全：严格控制对 ICS 办法生产地区的访问。生产地区的入口应锁定，仅允许授权人员通过刷卡和/或生物辨认设备进入。全部承包商和访客必须始终由员工陪伴。
12.IT根本办法设备的访问安全：严格控制对 IT 设备存放地区的访问，例如服务器室、数据中央或网络设备（如主配线架 MDF、配线架 IDF 和中心配线柜）。在服务器室和数据中央的入口处安装刷卡读卡器或暗码锁。使用特别钥匙锁定 MDF 和 IDF 柜，或将 MDF/IDF 放在一个安全地区内。
13.敏感 ICS 设备：通过将敏感的 ICS 设备（如 PLCs、工业计算机/服务器和网络设备）放置在可锁定的面板或可安全地区（如锁定的工程办公室）内来确保其安全。物理访问这些 ICS 设备大概会轻易获取其中的数据或干扰其正常功能。将这些设备放置在安全地区内可以掩护它们免受故意和意外的损害。

14.物理端口安全：为了防止未经授权的计算机、互换机、接入点或计算机外设（如 U 盘）被插入，全部物理端口都应进行安全防护。对于未使用的互换机端口和备用网卡端口，可以使用端口封堵器。

为了保持电缆固定到位，可以使用端口锁定装置（port lock-ins）。

USB 端口可以使用阻塞装置（blocking device）进行封堵。

加强焦点安全层

• 多重身份验证: 进入 ICS 办法最安全部分的人员将至少颠末三次身份验证，包括以下几个阶段：
  
  
  
  • 门卫处: 在进入办法的主要入口时进行身份验证。
    
  • 员工入口: 这是最严格的控制层，通常不允许尾随进入。为了加强控制，可以使用以下两种方式之一：
    
    
    
    • 全高转门: 假如有人试图在已验证用户后偷偷进入，门会轻轻向反方向旋转。
      
    • 气闸门: 由两个单独的门和中心的气闸构成。只有一个门可以打开，并且须要对两个门进行身份验证。
      
    
    
  • 内部分: 这是分隔一样平常地区与生产地区的门，以及各个受限地区的门，如服务器房间门或主控制室入口。
    
  
  
• 监控出口: 监控构筑的入口和出口，不仅是主要办法，还包括办法中的更敏感地区。这有助于跟踪人员的运动，并能资助发现设备的丢失，还能在紧急情况下协助疏散。
  
• 冗余公用办法: 数据中央须要两个公用办法泉源，例如电力、水、语音和数据。电力泉源应追溯到两个独立的变电站，水源应毗连到两个不同的主水管。管线应地下铺设，并从构筑物的不同地区进入，水管与其他公用办法分开。
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。