今日頭條
官方微信
官方抖音
資訊頻道 1 引言
企業(yè)內(nèi)部系統(tǒng)分為信息技術(shù)和工業(yè)控制系統(tǒng)。信息技術(shù)包含ERP,SIS系統(tǒng),要求優(yōu)先級最高的是機(jī)密性。工業(yè)控制系統(tǒng)包括設(shè)備級產(chǎn)品、控制級產(chǎn)品和網(wǎng)絡(luò)級產(chǎn)品,包括SCADA軟件以及MES制造執(zhí)行系統(tǒng)。在工業(yè)控制系統(tǒng)里面,對于信息安全一個(gè)最重要的要求是可運(yùn)行性。雖然在企業(yè)內(nèi)部我們都在談信息安全,其實(shí)對于信息系統(tǒng)的信息安全要求和工業(yè)控制系統(tǒng)的信息安全要求是不一樣的。對于企業(yè)而言,我們不僅要關(guān)注解決方案的具體內(nèi)容,更要關(guān)注解決方案能否部署。如果在部署的過程中會給企業(yè)增加負(fù)擔(dān)或需要投入大量的成本,那么這種解決方案也許并不能滿足企業(yè)對信息安全的要求,甚至?xí)ζ髽I(yè)將來對信息安全的部署和整改帶來負(fù)面的影響。
2 當(dāng)前工控系統(tǒng)的信息安全形勢
2.1 工業(yè)控制系統(tǒng)分層,如圖1所示。
圖1 工業(yè)控制系統(tǒng)分層圖
2.2 工業(yè)控制系統(tǒng)面臨的威脅和缺陷
“震網(wǎng)病毒”事件發(fā)生以后,我們要做到的不是簡單的防護(hù),而是要做到最底層的防護(hù)。“兩化融合”和“物聯(lián)網(wǎng)”普及增加了“信息安全”風(fēng)險(xiǎn),越來越多的信息系統(tǒng)和工業(yè)控制系統(tǒng)進(jìn)行互通,最終增加了工業(yè)信息系統(tǒng)信息安全的風(fēng)險(xiǎn)。
(1) 主要的信息安全威脅
• 人為失誤;
• 黑客行為;
• 信息戰(zhàn);
• 自然災(zāi)害、意外事故;
• 病毒、惡意軟件;
• 通訊和協(xié)議的缺陷等。
(2) 主要的信息安全缺陷
• 操作系統(tǒng);
• 應(yīng)用軟件;
• 網(wǎng)絡(luò)組件;
• 硬件設(shè)備/控制設(shè)備等。
3 常見的信息安全解決方案——三層架構(gòu),二層防護(hù)
常見行業(yè)的信息安全防護(hù)都只做到系統(tǒng)級的加強(qiáng),缺點(diǎn)是信息安全漏洞和信息安全風(fēng)險(xiǎn)本身存在于上述的四類設(shè)備中。目前,我們只做到了系統(tǒng)級防護(hù),所以并沒有從根本上解決存在信息安全漏洞和風(fēng)險(xiǎn)的設(shè)備的信息安全問題。
3.1 軌道交通行業(yè)安全防護(hù)策略,如圖2所示。
圖2 軌道交通行業(yè)安全防護(hù)策略體系架構(gòu)圖
3.2 電力行業(yè)安全防護(hù)策略,如圖3所示。
圖3 電力行業(yè)安全防護(hù)策略體系架構(gòu)圖
4 信息安全部署面臨的挑戰(zhàn)
• 管理制度的落實(shí),制約于人的因素;
• 工控設(shè)備數(shù)量繁雜;
• 安全區(qū)域過大;
• 無法對運(yùn)行系統(tǒng)漏洞進(jìn)行測評;
• 工控設(shè)備帶病上崗;
• 技術(shù)人員能力要求較高;
• 企業(yè)投入過大。
5 施耐德電氣的信息安全解決方案
5.1 “自下而上”的三級防護(hù)體系,設(shè)備級防護(hù)是核心
施耐德電氣提出了專門的信息安全解決方案,更強(qiáng)調(diào)在信息安全的解決方案里,設(shè)備級的解決方案和防護(hù),在此基礎(chǔ)上輔助系統(tǒng)級的增強(qiáng)和管理級的軟件補(bǔ)充,由此搭建一個(gè)完整的信息安全解決方案和完善的信息安全防護(hù)體系。
5.2 設(shè)備級解決方案
(1)方案說明
提升每個(gè)單體設(shè)備的信息安全能力。
(2)設(shè)備類型
• PLC;
• 以太網(wǎng)交換機(jī);
• SCADA軟件;
• 操作系統(tǒng);
• 現(xiàn)場儀表;
• 執(zhí)行機(jī)構(gòu)。
(3)設(shè)備級解決方案
• 唯一一家通過國際和國內(nèi)相關(guān)認(rèn)證的廠家;
• 唯一一家通過國內(nèi)權(quán)威信息安全測評部門的檢測;
• 唯一一家經(jīng)過信息安全規(guī)模化部署的實(shí)際驗(yàn)證;
• 唯一一家信息安全解決方案全國規(guī)模化推廣的企業(yè);
• 唯一通過現(xiàn)場驗(yàn)證和行業(yè)主管部門審核的解決方案文檔;
• 2013年起銷售的PLC產(chǎn)品符合國際和國家信息安全要求。
5.3 系統(tǒng)級解決方案
(1)方案說明
修改控制系統(tǒng)架構(gòu),增強(qiáng)控制系統(tǒng)的信息安全功能。
(2)防護(hù)策略
• 安全計(jì)劃;
• 網(wǎng)絡(luò)分隔;
• 邊界保護(hù);
• 網(wǎng)段分離;
• 安全設(shè)置;
• ……
(3)方案方法
• 全網(wǎng)絡(luò)評估,發(fā)現(xiàn)潛在的弱點(diǎn);
• 修改網(wǎng)絡(luò)架構(gòu),避免網(wǎng)絡(luò)風(fēng)險(xiǎn);
• 完善安全設(shè)置和安全規(guī)則;
• 建立應(yīng)急處理措施。
5.4 管理級解決方案
(1)方案說明
• 規(guī)范管理;
• 完善安全策略;
• 增強(qiáng)控制系統(tǒng)的信息安全功能。
(2)方案方法
• 完善管理制度;
• 建立完善的IDS/IPS體系;
• 建立完善的資產(chǎn)管理系統(tǒng);
• 建立和完善監(jiān)控和日志體系;
• 完善軟件更新體系及變更追蹤;
• 安全策略管理和執(zhí)行功能;
• 建立完善的數(shù)據(jù)備份和災(zāi)難恢復(fù)。
6 完善的信息安全解決方案
從2012年開始,施耐德的控制類產(chǎn)品就已經(jīng)具備了信息安全的基本的防護(hù)管理。所以企業(yè)在購買施耐德電氣的產(chǎn)品時(shí),不需要針對設(shè)備做任何防護(hù),既具備了基本的防護(hù)管理,設(shè)備組成系統(tǒng)后,也就具備了基本的信息安全防護(hù)能力。對于企業(yè)而言,我們可以減少企業(yè)在部署信息安全解決方案時(shí)的投資,如果企業(yè)在沒有能力部署系統(tǒng)級或管理級解決方案時(shí),由于我們的設(shè)備級產(chǎn)品具備了基本的防護(hù)管理,這樣,企業(yè)就不用投入大量的人力和物力,就可以使企業(yè)的控制器滿足基本的防護(hù)要求,信息安全解決方案就很容易實(shí)現(xiàn)了。另一方面,由于施耐德電氣的控制類產(chǎn)品已經(jīng)具備了基本的防護(hù)控制能力,不要求企業(yè)內(nèi)部的技術(shù)人員再具備相應(yīng)的能力和技術(shù),也不會增加維護(hù)的工作量,不會給企業(yè)增加負(fù)擔(dān)。這就是施耐德電氣倡導(dǎo)的從設(shè)備級開始,輔助系統(tǒng)級、管理級搭建整個(gè)信息安全防護(hù)體系的解決方案。
摘自《自動化博覽》2014年8月
北京市公安局海淀分局備案號:11010802023656號