今日頭條
官方微信
官方抖音
資訊頻道 
彭瑜 中國自動化學會理事
目前保證信息安全的5個實際步驟
保證ICS/SACADA的信息安全,要根據不同的情況制定相應的措施。不過只要按以下5個實際步驟,不論系統的規模大小,都可以為信息安全打下堅實的基礎,達到基準的要求。也符合一些政府機構、國際標準組織所頒布的信息安全的指南、規范和標準,如ISA/IEC、ICS-CERT等。這5個實際步驟是:
列出我們最擔心的信息安全問題,然后進行風險評估,按優先等級排序,并制定受到攻擊時的預案。
制定全面廣泛的信息安全計劃。
按所制定的信息安全計劃切實執行,決不“偷工減料”。
制定維護、修改和升級的制度。
建立信息安全不可能一勞永逸的觀念,不斷改善。
信息安全問題排序和風險分析
首先要認識到,不可能防止所有正在發生的破壞信息安全的攻擊。這就是為什么絕大多數信息安全專家推薦我們要做風險評估的原因所在。
為此需要先列出本單位ICS/SCADA系統可能發生的信息安全問題的各種事件,然后按這些事件可能引發危害的嚴重性排序。把會產生最壞后果的事件列為最高的優先處理級,評估其風險,做出預案,設計防范措施,而且要考慮一旦不能完全防護,必需采取什么措施和步驟將其影響減至最小,并且考慮如何快速恢復的辦法。
信息安全事件應包括來自外部和內部的攻擊,惡意和無意的攻擊,考慮系統和軟件的漏洞。
信息安全問題排隊和風險分析都需要反復推敲和認證,避免小題大做或聳人聽聞,以求恰如其分,不過度防護。
全面廣泛地制定信息安全計劃
在制定信息安全計劃時,應該勾畫出最廣泛的可能提供的各種選項,然后按已經列出的信息安全問題清單中風險等級最高事件,以此作為重點選用哪些防范措施的依據。
所列出的選擇范圍應該包括:本單位的信息安全策略和有關步驟;物理信息安全;網絡信息安全;設備信息安全;計算機信息安全。
(1)本單位的信息安全策略和有關步驟:特別是在對本單位職工有關信息安全的一貫行為制定規范時常常會碰到許多實際限制,于是信息安全策略就是考慮出發點和決定取舍的終止點。
(2)網絡信息安全:為了讓所有有關的人員和應用能順利地對網絡進行存取,而又讓一切無關的人員和應用被網絡拒之門外,必須建立一種按不同的物理區間和就地功能劃分區域的以太網基礎結構。良好的網絡設計,選擇合適的工業交換機、無線設備和路由器,使網絡具有利用虛擬局域網(VLAN)、子網和第3層網的路由能力。整個網絡要增加工業信息安全設備,包括各分區之間也必須有信息安全層。
(3)物理信息安全:主要是指所有信息安全監控用的攝像頭和傳感器,都必須納入為ICS/SCADA設置的以太網內,由這個以太網提供電源和信號。
(4)設備信息安全:目前處于設備層的自動化設備,有的已經具備了信息安全的功能,但大多數尚不具備信息安全的功能。所以應該考慮的是保護控制柜的信息安全功能,暫且不要考慮設備之間信息安全功能的不協調問題。
(5)計算機信息安全:最基本的要求是運用知名信息安全防護公司提供的防病毒軟件;將應用軟件限定在所必需的范圍內,即只安裝非用不可的應用軟件,絕不允許安裝其它無關的應用軟件;嚴格執行公司的信息安全策略和措施;對所有要進入ICS/SCADA系統的USB、DVD以及網絡流量進行掃描;自動下載新定義的病毒;定期對每一個系統進行檢查,以保證其功能正常。
北京市公安局海淀分局備案號:11010802023656號