網絡信息安全的概念是關於保護網絡基礎設施本身;保護用於建立和管理網絡功能的網絡協議。這些關鍵概念用於解決方案的所有級別和領域。這些步驟幫助用戶保護IACS網絡和IACS應用程序免受各種攻擊。以下是信息安全基準的關鍵領域:
●基礎設施架構——網絡基礎設施接入的信息安全管理;
●交換基礎設施-網絡接入和第2層設計考慮;
●路由基礎設施——保護網絡第三層路由功能,防止攻擊或誤用;●設備的彈性和生存性——保護網絡的靈活性和可用性;
●網絡遙測-監控和分析網絡行為和狀態,並識別和響應問題和攻擊。
這些實踐可以應用於不同的層、區域和相關的網絡架構。
二、IACS網絡設備的保護
此概念描述了保護關鍵IACS端點設備本身的實踐,尤其是控制器和計算機。因為這些設備在IACS扮演著重要的角色,所以應該特別註意它們的信息安全。這些概念包括以下內容:
●物理安全——該層限制授權人員進入區域、控制屏幕、IACS設備、電纜、控制室等位置,並跟蹤訪客和合作夥伴;
●計算機加固——這包括補丁管理和防病毒軟件,以及刪除不使用的應用程序、協議和服務的能力;
應用信息安全——這包括認證、授權和審計軟件,如IACS軟件。
●控制器強化——這裏指的是處理變更管理和限制訪問。
三。單位/區域IACS網絡的信息安全
適用於單位/區域的關鍵信息安全概念包括以下部分:
●接入單元/區域網絡基礎設施的端口信息安全、密碼維護和管理;●冗余和禁用不必要的服務;
●網絡系統信息登錄,使用簡單網絡管理協議(SNMP)和網絡信息監控;
●限制廣播信息區域、虛擬局域網(VLAN)和網絡協議類型;●計算機和控制器的加固。
第四,制造業IACS網絡的信息安全
制造區域的設計考慮和實施應在早期進行討論,尤其是關鍵單元/區域。此外,應用這些考慮因素,制造領域的關鍵信息安全考慮因素包括:
●路由架構最佳實踐,涵蓋路由協議成員、路由信息保護、路由狀態變化記錄;
●網絡和信息安全監控;
●服務器信息安全涵蓋端點信息安全;
● FactoryTalk應用信息安全。
動詞 (verb的縮寫)隔離區和IACS防火墻
非軍事區和工廠防火墻是保護IACS網絡和IACS應用的基本措施。結合防火墻和隔離區的概念是IACS網絡信息安全的關鍵深度防禦方法。非軍事區和工廠防火墻的設計和實施指南的主要特性和功能包括以下幾個方面:
●部署工廠防火墻,管理企業和制造區域之間的信息流。工廠防火墻提供以下功能:
-通過指定的信息安全層在網絡區域之間建立的通信模式,例如建立DMZ;
-檢查不同區域之間的所有通信狀態包,如果上面允許的話;
-當試圖從壹個區域到另壹個區域訪問資源時,例如試圖從企業級訪問DMZ的服務時,強制用戶驗證;
入侵保護服務(IPS)檢查區域之間的通信流,旨在識別和防止各種潛在的攻擊。
●可以安全地享受不同區域之間的DMZ中的數據和服務。