设为首页 | 加入收藏
> 栏目导航
热门排行
您的位置:主页 > 新闻中心 > 新闻中心

工业控制系统安全防护产品测试概述


发布日期:2021-07-16 15:14   来源:未知   阅读:

  工业控制系统安全防护产品测试是在专业测试环境中,具备专业测试能力的技术人员使用被认可的测试设备工具,在严格设计的测试流程内对被测样品进行的产品功能、性能、信息安全、可靠性、兼容性、质量等方面的检测验证过程,其目的是通过有针对性的产品测试工作,验证产品安全防护技术能力的符合性,并评估产品在工业控制系统中可能引入的脆弱性等威胁。

  当前工业企业的现场生产员工多数网络安全意识薄弱,缺少系统性网络安全培训,同时在很多工业企业的生产车间、实验室、办公环境中的主机、工业控制系统、上位机等未设置鉴别保护策略,且网络之间未做隔离,甚至在无特殊业务要求下可以通过外网访问,增加了企业的安全风险,产生了内忧外患的局面。另外,专有的工业控制设备通信协议或规约,在设计时通常只强调通信的实时性及可用性,对安全性普遍考虑不足,比如缺少足够强度的认证、加密、授权等,尤其是基于 IP 的工业控制协议、工业控制系统中的无线通信协议,更容易遭受第三者的窃听及欺骗性攻击。

  因此,工业控制系统网络安全体系建设势在必行,而工业控制系统安全防护产品的建设与部署又是体系的基础。工业控制系统安全防护产品的建设与部署,除了传统 IT 系统网络安全防护需求外,还有对其稳定性、可靠性、实时性、兼容适配性的较高要求,这就对工业控制系统安全防护产品测试提出了更特殊的要求。

  1. 工业控制系统安全防护产品部署环境一般为工业生产现场,由于环境复杂、网络条件有限、现场设备多而杂,导致对工业控制系统安全防护产品建设部署有所限制。

  2. 工业控制系统对业务连续性、通信实时性、运行稳定性的要求较高,需要充分考虑安全防护产品引入中、引入后可能造成的业务中断、通信时延等风险。

  3. 工业控制系统技术架构具有多样性,工控设备、工业协议、工业软件的品牌、类型复杂多变,工业控制系统安全防护产品需要具备各类非标准兼容能力。

  通过有针对性的专业的工业控制系统安全防护产品测试,可以有效解决上述工业控制系统网络安全体系建设过程中的痛点。部分典型特性需求简述如下:

  1. 通过产品质量可靠性测试,包括高低温、振动、防尘防水、电磁辐射、盐雾等测试,验证工业控制系统安全防护产品是否可以在恶劣物理条件的工控现场环境下进行可靠运行。

  2. 通过产品安全性、性能测试,验证安全产品无木马、无病毒、无安全漏洞、不会引入新的脆弱性,且通过专业的性能测试,量化评估工业控制系统安全防护产品对网络时延、业务连续性的影响。

  3. 通过构建工控仿真环境、构建各类非标准化体系,对工业控制系统安全防护产品兼容性进行测试,严格验证工业控制系统安全防护产品对工控设备、工业协议、工业软件、工业数据库的兼容性,确保其安全防护的有效性,规避工业控制系统安全防护产品未经测试直接部署到工业环境中的各类风险。

  我国大多数工业控制系统的建设阶段未进行网络安全规划,工业控制系统安全防护产品建设与部署多为后续添加,需要根据系统现有情况开展工业控制系统安全防护产品选型、二次开发、适配、上线部署、试运行、正式运行等工作。这就使得工业控制系统安全防护产品在部署至运行的全生命周期各阶段均存在 共性需求少、特性需求多 的情况,因此工业控制系统安全防护产品在不同工控领域的稳定可靠性、防护有效性受到质疑。

  专业的全生命周期测试管理工作可以协助工业控制系统安全防护产品作出针对性的改进,测试验证结果为工业控制系统安全防护产品的有效性大幅度增信,减少工业控制系统安全防护产品建设部署过程的摩擦。测试工作主要包括以下阶段:

  3. 工业控制系统安全防护产品部署上线. 工业控制系统安全防护产品运行维护审计测试。

  工业控制系统建设运营单位在构建工业控制系统安全防护体系或购买工业控制系统安全防护产品时,由于工控系统特殊性,对市场上的各类工业控制系统安全防护产品功能、性能、质量等方面是否满足建设需求,且无法准确量化,难以建立合理的工业控制系统安全防护产品采购技术标准,为工业控制系统安全防护体系建设埋下隐患。工业企业通过独立第三方的工业控制系统安全防护产品选型测试工作,可以得到可信可靠的量化测评结果,从而选择建设满足需求的工业控制系统安全防护产品。工业控制系统安全防护产品选型测试包含如下主要工作:

  1. 工业控制系统安全防护体系建设需求对接,根据特性化需求,按产品类型、业务用途的不同,分别编制特性化选型测试大纲、测试方案、测试计划。

  2. 工业控制系统安全防护产品选型测试的组织与执行,测试技术方面严格按照测试大纲内的测试需求进行测试验证工作,而测试管理方面则需要保证各工业控制系统安全防护产品测试的一致性、独立性。

  3. 工业控制系统安全防护产品选型测试结果量化分析,根据工业控制系统安全防护体系建设需求的重点,对测试结果进行量化分析,出具测试报告以及量化分析报告。

  工业控制系统安全防护产品部署需要系统停产配合,因此,工业控制系统安全防护产品上线成本较高,必须通过测试技术、方法、流程进行验证测试。通过在不同场景、不同网络结构中进行的针对性测试,提前发现并规避安全隐患的发生,保障工业控制系统安全防护产品上线后系统整体运行的稳定。主要包含如下工作:

  1. 工业控制系统安全防护产品防护策略有效性测试,各类工业控制系统安全防护产品的防护策略是其发挥防护能力的根本,因此,需要根据工控系统安全需求进行防护策略有效性测试评估:

  2. 工业控制系统安全防护产品业务连通性测试,工控系统最重要的是业务连续性及通信实时性,必须在上线正式运行前进行业务通信连通性、性能测试,主要包括:

  3. 工业控制系统安全防护产品验收测试报告汇编,在验收测试过程中,工控现场实际环境与实验室仿真环境相比具有较高不确定性,各类工业控制系统安全防护产品上线后可能给工控系统引入脆弱性等风险,因此需要进行严格的轮次验收测试,并编制测试报告汇编,保证逐步有效规避脆弱性等风险。

  马斯克:电动皮卡「可能失败」;英特尔欲 300 亿美元收购格罗方德;V 社发 Steam 掌机,399 美元起

  美容护理品牌「inFace」获数千万元Pre-A轮融资,瞄准年轻人的抗初老需求

  摩根士丹利:特斯拉或将涉足飞行汽车市场 ; 贴身衣物品牌“NEIWAI内外”完成1亿美元D轮融资;东京奥运会开幕式现场观众或再减

  雷军登上福布斯中国最佳CEO榜首,互联网大佬缺位;福特汽车或彻底终止印度业务;消息称字节进军外卖

  向日葵发布4G工业级远控硬件方舟Q2Pro,“孤岛”型设备远程运维更方便www.fx2v.cn