有价值的内容,转载,留作参考资料……
工业控制系统信息安全事数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。2010年发生的“震网”病毒事件,充分反映出工业控制系统信息安全面临着严峻的形势。与此同时,我国工业控制系统信息安全管理工作中仍存在不少问题,主要是对工业控制系统信息安全问题重视不够,管理制度不健全,相关标准规范缺失,技术防护措施不到位,安全防护能力和应急处置能力不高等,威胁着工业生产安全和社会正常运转。对此,各地区、各部门、各单位务必高度重视,增强风险意识、责任意识和紧迫感,切实加强工业控制系统信息安全管理。
加强工业控制系统信息安全管理的重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。关工业生产运行、国家经济安全和人民生命财产安全。
大家如何看待这些问题?
From:http://zone.wooyun.org/content/213
xsser (十根阳具有长短,世上人多心不齐) | 2012-05-13 15:02
"随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出" 我觉得这句话是关键
zeracker (玫瑰不叫玫瑰,芳香依旧!) | 2012-05-13 15:07
@xsser 我感觉太不安全了。太恐怖了 银行押钞车存在监控管理系统,我们的手机时时刻刻被监控着,恐怖。不敢看下去了。
horseluke (微碌) | 2012-05-13 21:21
其实之前也讨论过:http://zone.wooyun.org/content/106
但也许真正涉及工控生产的人并不多,以及可能的相关行规和气氛不同,所以没多少人提交也是不奇怪的。
xsser (十根阳具有长短,世上人多心不齐) | 2012-04-27 16:49
为毛我看到什么信息安全标准规范cissp之类的就想吐呢
太恶心了,我觉得这些东西太死板了,没有生命,天天忽悠老板往上忽悠有意思么?
shine (shield) | 2012-04-27 17:30
哈哈!标准都是限制思想自由的,都想一劳永逸嘛!
xsser (十根阳具有长短,世上人多心不齐) | 2012-04-27 17:31
@shine 精辟
_Evil (性趣是最好的老师.) | 2012-04-27 18:08
中国是什么地方呢?官腔.应试教育.拼爹,黑暗.........
horseluke (微碌) | 2012-04-27 22:47
安全不是都得要有些标准可循么?不过不知道这个标准是啥东西
kamatyo | 2012-04-28 07:33
标准一般都很粗啊,只有指导性质,同样遵循某个标准不同的人做的事可能很有区别,这是体现能力所在。
况且标准会根据实际修订,虽然往往滞后,但对规范群体行为很有裨益,极大提高整体效率。当然牛人应该为制定好的规范标准贡献力量。
kamatyo | 2012-04-28 07:36
我很少看到国内有完整的针对信息安全测试方面的标准,一方面这个真的很难写,另一方面可能牛人往往有lz的这种思想。但OWASP确实做了不少这样的事情。
p.z (卖了菜刀去换药) | 2012-04-28 10:16
所以说你还没悟道
xsser (十根阳具有长短,世上人多心不齐) | 2012-04-28 10:28
@kamatyo 从实际出发而不是从想象出发,就这一点很多人就没有做到,规范自然有他的好处和想表达的东西,第一个去归纳出来的人是值得敬佩的,但是互联网发展这么快,不能体会里面真正的思路和含义而照搬的人是可悲的
kamatyo | 2012-04-28 11:28
@xsser 恩,可能我们视角不同,在国企供职多年,充分感受到规范和标准对国企相关行业的重要性,面对这些行业的信息安全,在某些方面可能遵循比创新更重要些。
@p.z 我不知道何为道,从现状看,更多行业中,如传统行业,需要更好的规范去指导他们,这是亟需的。
我其实看到这些标准也头痛,例如等保,一千个人眼里有一千种等保,行业信息安全工作者们应该为建立行业信息安全标准规范而努力。
xsser (十根阳具有长短,世上人多心不齐) | 2012-04-28 11:43
@kamatyo 对的,可能是我互联网行业出身的缘故
horseluke (微碌) | 2012-04-28 12:43
@kamatyo 国企,或者更通用点讲,传统企业,貌似都存在有规范却不执行的问题吧?wooyun上存在的这类漏洞不少,搞到CNVD现在貌似都不收录地方类别的了。
horseluke (微碌) | 2012-04-28 13:51
也顺带问问@kamatyo 对此文的看法:2010-05-08 《刚刚写好的有关工业控制安全现状的一篇文章,希望大家能够一起来讨论工业控制系统安全这个话题》:http://bbs.cisps.org/viewtopic.php?p=163725
kamatyo | 2012-04-28 14:04
@horseluke 你说的和这篇文中提到的情况确实存在,包括重要大型企业。这里面跟现存制度有很大关系,包括部门之间的隔阂(工控系统管理部门往往不是信息安全管理部门,而且比信息部门地位高),这些比技术问题复杂多了。另一个问题就是不敢随意动,越不敢动越不动,安于现状,只要不出事就好,所以造成现在的局面,并且暂时很难打破。
工控系统很脆弱,如果不是物理隔离,老早被搞成马蜂窝了。也就是震网以后关注的人开始多了,所以威胁越来越大。
如果某关键行业的工控系统需要评估和加固,我估计除了国家队,没有哪个企业敢接这种活。
iucker | 2012-04-28 19:28
大家何必这么鄙视这个标准呢,这个标准可是养活了不少人呐,哈哈