scada系统信息安全风险防护措施——关于我国scada系统信息安全的研究与思考之三.pdfVIP

㈣恻嘲嬲镧{：oMPIJTER ．． 。№ El：IJnlTY _鹾堕!笠：坌釜Us §@国⑨国露醯值恩圜@凤险翰汐国国 ——关于我国SCADA系统信息安全的研究与思考之三 徐金伟 1 SCADA系统安全项目的建立和实施 定支持策略的规程，使策略能够被正确、充分地执 下面概括了建立和实施一个SCADA系统安全行。安全规程应该形成文档，进行检验并且定期更 项目的主要步骤和内容： 新，以适应策略和技术的改变。 1．1获得高级管理层的支持与参与 1．5定义和清查SCADA系统以及网络资产 对一个成功的SCADA系统安全项目来说，高 网络安全小组应该对SCADA系统中的应用 和计算机系统，包括网络进行识别和记录。重点 级管理层(包括管理IT和SCADA系统事务)的 支持和参与至关重要。 要放在系统上而非单纯的设备上，并且应当包括 1．2组建和训练一支跨领域的网络安全小组 跨领域的网络安全小组在评估和消除SCADA监控没备的系统。使用路由协议或拨号访问的设备 系统中的安全风险时，能够分享不同领域的知识和 也应该被记录。网络安全小组需要每年复查和更新 经验。该小组至少应该由下列成员组成：lT人员、 SCADA系统资产列表。 控制工程师、安全问题专家、管理人员。涉及的安 1．6执行风险和脆弱性评估 全知识和技能应该包括：网络体系结构和设计、安 应当对SCADA系统进行风险评估，根据评估 全过程和实践、安全基础设施设计和实施。网络安 结果按照潜在的风险级别将系统排序。对风险等级 全小组也应该包含控制系统的提供商。 高的系统做进一步详细的脆弱性评估，如果资源允 1．3定义权限和范围 许，也可以对风险等级较低的系统进行进一步评估。 网络安全小组应该建立公司策略，定义安全组 脆弱性评估有助于识别系统中存在的安全漏洞以及 织的指导权限和角色、职责、以及系统所有者和使 网络安全风险，这些安全漏洞和网络安全风险可能 用者的责任。 对系统的保密性、完整性，可用性以及数据安全产 1．4定义明确的SCADA系统策略和规程 生不利影响，也有助于找到减轻风险的解决办法。 策略和规程是每一个安全项El成功的根本。 脆弱性扫描工具由于具有潜在的破坏性，因此 SCADA系统策略和规程应该尽可能与现有的操在对生产不能中断的SCADA系统网络进行评估时 作／管理策略相结合。对于防范不断发展变化的 要谨慎使用。 安全威胁，策略和规程有助于保证安全防护的一致 1．7定义减轻风险的控制措施 性和时效性。当了解清楚各种系统的风险之后，网 对风险评估的结果应该进行详细的分析，综合 络安全小组应当检查现有的安全策略能否恰当地处 考虑风险发生的代价和消除该风险的成本，选择适 理SCADA系统的风险。如有必要，应该对现有的当的风险控制措施。 策略加以修订，或者产生新的策略。同时，需要制 1．8提供培训并提高安全意识 万方数据 SCA 安全意识是有效防范SCADA系统事故的关键 DA系统作为国家重要基础设施，其安全 部分．尤其对于社交工程威胁来．蜕更是如此。