今日頭條
官方微信
官方抖音
資訊頻道 
彭瑜 中國自動化學(xué)會理事
目前保證信息安全的5個實際步驟
保證ICS/SACADA的信息安全,要根據(jù)不同的情況制定相應(yīng)的措施。不過只要按以下5個實際步驟,不論系統(tǒng)的規(guī)模大小,都可以為信息安全打下堅實的基礎(chǔ),達到基準的要求。也符合一些政府機構(gòu)、國際標準組織所頒布的信息安全的指南、規(guī)范和標準,如ISA/IEC、ICS-CERT等。這5個實際步驟是:
列出我們最擔心的信息安全問題,然后進行風險評估,按優(yōu)先等級排序,并制定受到攻擊時的預(yù)案。
制定全面廣泛的信息安全計劃。
按所制定的信息安全計劃切實執(zhí)行,決不“偷工減料”。
制定維護、修改和升級的制度。
建立信息安全不可能一勞永逸的觀念,不斷改善。
信息安全問題排序和風險分析
首先要認識到,不可能防止所有正在發(fā)生的破壞信息安全的攻擊。這就是為什么絕大多數(shù)信息安全專家推薦我們要做風險評估的原因所在。
為此需要先列出本單位ICS/SCADA系統(tǒng)可能發(fā)生的信息安全問題的各種事件,然后按這些事件可能引發(fā)危害的嚴重性排序。把會產(chǎn)生最壞后果的事件列為最高的優(yōu)先處理級,評估其風險,做出預(yù)案,設(shè)計防范措施,而且要考慮一旦不能完全防護,必需采取什么措施和步驟將其影響減至最小,并且考慮如何快速恢復(fù)的辦法。
信息安全事件應(yīng)包括來自外部和內(nèi)部的攻擊,惡意和無意的攻擊,考慮系統(tǒng)和軟件的漏洞。
信息安全問題排隊和風險分析都需要反復(fù)推敲和認證,避免小題大做或聳人聽聞,以求恰如其分,不過度防護。
全面廣泛地制定信息安全計劃
在制定信息安全計劃時,應(yīng)該勾畫出最廣泛的可能提供的各種選項,然后按已經(jīng)列出的信息安全問題清單中風險等級最高事件,以此作為重點選用哪些防范措施的依據(jù)。
所列出的選擇范圍應(yīng)該包括:本單位的信息安全策略和有關(guān)步驟;物理信息安全;網(wǎng)絡(luò)信息安全;設(shè)備信息安全;計算機信息安全。
(1)本單位的信息安全策略和有關(guān)步驟:特別是在對本單位職工有關(guān)信息安全的一貫行為制定規(guī)范時常常會碰到許多實際限制,于是信息安全策略就是考慮出發(fā)點和決定取舍的終止點。
(2)網(wǎng)絡(luò)信息安全:為了讓所有有關(guān)的人員和應(yīng)用能順利地對網(wǎng)絡(luò)進行存取,而又讓一切無關(guān)的人員和應(yīng)用被網(wǎng)絡(luò)拒之門外,必須建立一種按不同的物理區(qū)間和就地功能劃分區(qū)域的以太網(wǎng)基礎(chǔ)結(jié)構(gòu)。良好的網(wǎng)絡(luò)設(shè)計,選擇合適的工業(yè)交換機、無線設(shè)備和路由器,使網(wǎng)絡(luò)具有利用虛擬局域網(wǎng)(VLAN)、子網(wǎng)和第3層網(wǎng)的路由能力。整個網(wǎng)絡(luò)要增加工業(yè)信息安全設(shè)備,包括各分區(qū)之間也必須有信息安全層。
(3)物理信息安全:主要是指所有信息安全監(jiān)控用的攝像頭和傳感器,都必須納入為ICS/SCADA設(shè)置的以太網(wǎng)內(nèi),由這個以太網(wǎng)提供電源和信號。
(4)設(shè)備信息安全:目前處于設(shè)備層的自動化設(shè)備,有的已經(jīng)具備了信息安全的功能,但大多數(shù)尚不具備信息安全的功能。所以應(yīng)該考慮的是保護控制柜的信息安全功能,暫且不要考慮設(shè)備之間信息安全功能的不協(xié)調(diào)問題。
(5)計算機信息安全:最基本的要求是運用知名信息安全防護公司提供的防病毒軟件;將應(yīng)用軟件限定在所必需的范圍內(nèi),即只安裝非用不可的應(yīng)用軟件,絕不允許安裝其它無關(guān)的應(yīng)用軟件;嚴格執(zhí)行公司的信息安全策略和措施;對所有要進入ICS/SCADA系統(tǒng)的USB、DVD以及網(wǎng)絡(luò)流量進行掃描;自動下載新定義的病毒;定期對每一個系統(tǒng)進行檢查,以保證其功能正常。
北京市公安局海淀分局備案號:11010802023656號