SCADA 系統如何運作?
確保 SCADA 通訊系統的安全是阻止針對製造和關鍵基礎設施運作的網路攻擊的全球優先事項。 需要專門的網路安全來防止依賴工業自動化系統的基本社會功能受到干擾,包括食品和飲料生產以及重要服務,包括:
- 水
- 污水
- 電源生產/分配
- 石油和天然氣生產
- 公共交通(航空公司,交通燈,大眾運輸)
斯卡達世代
SCADA 系統可分為四個主要代,包括:
- 第一代:第一代 SCADA 系統是與其他網路隔離的獨立裝置,通常在大型主機或小型電腦上運作。 他們可以執行基本的數據採集,並提供有限的數據處理能力。
- 第二代:第二代 SCADA 系統透過區域網路 (LAN) 連接,並包含人機介面 (HMI) 以提高可用性。 他們還升級了上一代的數據處理和控制功能。
- 第三代:第三代 SCADA 系統消除了氣隙,連接到企業廣域網路 (WAN) 並透過網際網路協定進行通訊。 這些變更可讓遠端存取和集中控制分散式遠端站台。
- 第四代:第四代SCADA包括與物聯網(物聯網裝置)的整合以及基於雲端的SCADA的使用。 這允許更廣泛的數據收集,並提供對收集的數據執行高級分析所需的可擴展性。
SCADA 系統的組件
SCADA 系統包括與物理世界互動的感測器和致動器到集中式監控和控制系統的所有內容。
主要元件包括:
- 現場儀器:現場儀器與物理世界接口,包括傳感器和致動器。
- 遠端終端機單元 (RTU):RTU 是現場儀器與 SCADA 系統之間的連結,傳送資料並接收它們在現場儀器上執行的指令。
- 可編程邏輯控制器 (PLC):PLC 是專業、高度可靠的工業電腦,可支援 OT 環境中的自動化流程。
- 通訊基礎設施: SCADA 系統使用 Modbus 和 DNP3 等協定透過網路進行連接。
- 中央監控和控制站:此解決方案處理和存儲數據,並結合 HMI,以允許操作員監控和控制流程。
SCADA 系統架構:5 個級別
普杜參考模型將 SCADA 系統分為五個層級:
- 物理流程(等級 0):等級 0 由感測器和致動器組成,並執行原始數據收集和基本控制。
- 智慧裝置(1級): 1級包括RTU和PLC。 它從現場裝置獲取數據並執行控制演算法來即時管理它們。
- 控制系統(等級 2):等級 2 包括集中式 SCADA 系統和人機介面。 彙總和分析資料,使操作員能夠監控和控制 SCADA 系統。
- 製造作業系統(等級 3):第 3 級結合了生產和營運數據的高級管理。 它包括數據歷史記錄和製造執行系統(MES)。
- 商業物流系統(等級 4):第 4 級專注於製造的業務相關方面,通常使用企業資源規劃(ERP)解決方案。
SCADA 安全性
SCADA 安全性在製造和關鍵基礎架構中很重要,因為這些系統負責監控和管理關鍵流程。 對製造業的網路攻擊可能會造成營運中斷或對員工造成身體傷害。 對關鍵基礎設施的攻擊可能會破壞對重要服務的訪問權限,例如水和電力。
SCADA 安全是一項複雜的挑戰,因為許多裝置都是遺留系統,包含許多脆弱性。 這些系統越來越多地連接到 IT 網絡,但缺乏必要的修補程式和安全系統來保護它們免受潛在的利用。 因此,可以存取這些環境的網路威脅參與者有可能輕鬆干擾關鍵作業。
保護 ICS 環境免受網路威脅的主要提示
保護工業控制系統 (ICS) 環境和 SCADA 免受網路攻擊的一些 OT 安全 最佳實踐包括:
- 執行風險評估:定期風險評估對於保持 SCADA 風險風險的能見度至關重要。 雖然直接修補對於某些系統可能不是一種選擇,但組織可能能夠實施其他控制來管理已識別的脆弱性。
- 分段網路: OT網路應與IT網路分段。 這使攻擊者更難存取並可能惡意利用關鍵系統。
- 實作存取控制: 應使用零信任存取控制和強大的按鈕身份驗證(MFA)來限制對關鍵系統的存取。 這些應該由了解 OT 網路協定的系統來實現。
- 監控活動:應定期監控 SCADA 系統,是否有潛在的威脅。 組織應具有特定於 OT 的事件回應策略,以解決潛在事件。
- 使用威脅情資:威脅情資可以深入了解目前影響 OT 系統的威脅活動。 監控相關威脅情報來源可以使組織主動防範新出現的威脅。
適用於 ICS 環境的 Check Point 安全解決方案
ICS 環境具有嚴格的可用性要求,並面臨獨特的安全威脅和挑戰。 Check Point 提供可以理解並保護常見 OT 協定的ICS 安全解決方案。 透過註冊免費演示以了解有關增強 SCADA 安全性的更多資訊。
反映意見