国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　引言

為了符合工業控制系統信息安全標準要求和產品功能要求，工業控制系統供應商正在為工業控制系統產品開發信息安全軟件，以滿足當今主流市場工業用戶的迫切需求，從而達到其產品在市場的主導地位。由于工控信息安全事故頻發，工業控制系統供應商也在為其工控產品開發一些更好的、更深層次的信息安全軟件，同時，為工業用戶方便進行工業控制系統運作管理及其信息安全運作管理，工業控制系統供應商正努力應對并開發出相應的工業控制系統信息安全監控軟件。因此，在市場上開始涌現各種各樣工業控制系統供應商的信息安全監控軟件。

隨著網絡安全的快速推進，工業控制系統網絡安全作為網絡安全的重要組成部分，已經引起人們的高度關注，工業控制系統供應商在這方面也是短板，因此，傳統的信息安全產品供應商憑借其網絡安全專業優勢，正快速進入工業控制系統領域，為工業控制系統網絡開發出相應的信息安全產品和信息安全軟件。最初，這些信息安全產品供應商為滿足工業控制系統用戶信息安全要求，為工業控制系統安裝必要的網絡隔離設備，為用戶配置相應的監控軟件。其次，為擴展工業控制系統整個網絡的監控，他們與工業控制系統供應商展開合作，共同開發，既擴展原網絡隔離設備的監控，又整合工業控制系統供應商各個控制網絡各設備的部分事件、網絡報警記錄，使得工業控制系統整個網絡的監控成為可能。于是，工業安全監測審計平臺、工業安全管控平臺等軟件監控逐漸出現，從而滿足工業控制系統用戶的信息安全要求。

同時我們還應該看到，工業控制系統供應商為工業控制系統產品開發信息安全軟件，信息安全產品商為工業控制系統開發網絡隔離設備、工業安全監測審計平臺、工業安全管控平臺等軟件監控，這基本能夠滿足一般工業控制系統用戶的信息安全需求。然而，工業控制系統用戶的快速發展，大型的工業控制系統用戶不斷發展壯大，對于大型廠級的企業用戶或者集團公司級的用戶，需要對各個工廠工業控制系統信息安全進行有效管理，那么在廠級或集團級也需要這些信息安全信息。為此，一些專門從事企業資源計劃（ERP）管理軟件供應商也開始考慮如何在原有ERP軟件產品中增加這些工業控制系統信息安全信息， 于是，GRC（Governance, Risk and ComplianceManagement）企業管控、風險與符合性管理軟件正開始走進大眾的視野，也就是說，大型廠級集團級企業用戶的工業控制系統信息安全管理可以納入GRC企業管控、風險與符合性管理軟件平臺。
工業控制系統供應商、信息安全產品供應商、企業管控軟件供應商等通過相互合作，共同推進工業控制系統信息安全軟件與監控技術的發展，為工業控制系統用戶提供更多的信息安全管控選擇。其中，工業控制系統供應商、信息安全產品供應商的軟件與監控是必備配置，而企業管控軟件供應商的軟件與監控則要視企業自身規模和管理要求選擇配置。

下面將對工業控制系統信息安全軟件與監控架構進行介紹，對工業控制系統信息安全軟件與監控進行詳細分析，并對工業控制系統信息安全軟件與監控趨勢進行分析。

2　工業控制系統信息安全軟件與監控架構

工業控制系統信息安全軟件與監控架構按照ANSI/ISA-99.00.01企業分層模型，可繪制典型工業控制系統信息安全軟件與監控架構，示意圖如圖1所示。

圖1 典型工業控制系統信息安全軟件與監控架構示意圖

典型的工業控制系統包括現場設備層、現場控制層、過程監控層、制造執行系統層、企業管理層和外部網絡。那么，工業控制系統信息安全軟件與監控，需要考慮在現場設備層、現場控制層、過程監控層、制造執行系統層和企業管理層的部署。從圖1中可以看出，在現場設備層和現場控制層，工業控制系統供應商需要為其產品配置相應的工業控制系統信息安全軟件與監控；在過程監控層和制造執行系統層，工業控制系統供應商和信息安全產品供應商需要為各自產品配置相應的工業控制系統信息安全軟件與監控；在企業管理層，工業控制系統信息安全軟件與監控則由企業管控軟件供應商配置，當然，若企業規模較小，也可以由網絡信息安全產品供應商配置。

在圖1中，每個設備都是作為一個端點來考慮，每個網絡都必須考慮。因此，工業控制系統信息安全軟件與監控必須考慮所有端點和所有網絡。早期，工業控制系統信息安全軟件與監控主要集中在各端點上，近幾年，控制網絡、信息網絡的軟件監控也逐步形成。

3　工業控制系統信息安全軟件與監控分析

為便于分析工業控制系統信息安全軟件與監控，本節按照現場設備層、現場控制層、過程監控層、制造執行系統層、企業管理層的劃分，對各層中出現的工業控制系統信息安全軟件與監控進行詳細分析。

3.1　現場設備層信息安全軟件與監控

在現場設備層，需要對總線型現場設備、無線設備和RTU進行一些信息安全軟件配置。

3.1.1　總線型現場設備

對于總線型現場設備，需要按照端點來保護。通常，這種端點保護包括以下兩個方面：

（1）現場設備補丁軟件；

（2）總線訪問控制軟件。（注：目前還在開發中）

3.1.2　無線設備

對于無線設備，需要按照端點來保護。通常這種端點保護包括以下幾個方面：

（1）無線設備補丁軟件；

（2）數據傳輸加密軟件協議WPA2；

（3）無線通信設備規范要求的軟件。

3.1.3　RTU

對于RTU，需要按照端點來保護。通常這種端點保護包括以下幾個方面：

（1）RTU補丁軟件；

（2）監視、控制與數據采集要求的軟件。（注：這點與下面提到的端點保護類似）

3.2　現場控制層信息安全軟件與監控

在現場控制層，需要對包括數據采集與監控系統（SCADA）、分散型控制系統（DCS）、安全儀表控制系統（SIS）、可編程邏輯控制系統（PLC）的控制器或控制站進行一些信息安全軟件配置。

對于每個控制器或控制站，均需要按照端點來保護。通常，這種端點保護包括以下幾個方面：

（1）補丁軟件

工業控制系統供應商應提供合格的相關補丁，包括產品用到的操作系統制造商和工業控制系統應用軟件的安全補丁。

（2）風暴保護

對于控制器和通信模塊，一旦出現網絡風暴，可以通過網絡過濾，阻止不支持的流量并保護各控制節點。

3.3　過程監控層信息安全軟件與監控

在過程監控層，需要對包括數據采集與監控系統（SCADA）、分散型控制系統（DCS）、安全儀表控制系統（SIS）、可編程邏輯控制器（PLC）的工程師站、操作站、OPC服務器、實時數據庫、監控中心等進行信息安全軟件與監控配置，可分為各端點保護和工業安全監測審計平臺。

3.3.1　各端點保護

對于工程師站、操作站、服務器等，均需要按照端點來保護。通常，這種端點保護包括以下三個方面軟件：

（1）內置型軟件

·補丁和防病毒軟件

工業控制系統供應商應提供合格的相關補丁，包括產品用到的操作系統制造商和工業控制系統應用軟件的安全補丁，對此層各端點也是適用的。

防毒軟件進行定時查毒和殺毒，發揮入侵檢測和預防的作用，確保各端點的安全。目前常見的防毒軟件有McAfee、Symantec等。

·訪問與賬戶管理軟件

訪問與賬戶管理通常采用基于用戶、角色、位置的訪問與賬戶管理，也可基于對象和屬性等級進行訪問與賬戶管理。

·主機型防火墻軟件

基于主機的防火墻技術是部署在工作站或控制器的軟件解決方案，用于控制進出特定設備的流量。

·備份與恢復軟件

通過有效的災難性恢復，避免由于事故導致系統數據和應用數據的大量丟失。同時通過系統管理特點，可選擇全部備份與恢復、部分備份與恢復。

（2）基本型軟件

·審計跟蹤軟件

審計跟蹤（audit trail），是系統活動的流水記錄。該記錄按事件從始至終的途徑，順序檢查審計跟蹤記錄、審查和檢驗每個事件的環境及活動。審計跟蹤通過日志方式提供應負責任人員的活動證據以支持職能的實現。審計跟蹤記錄系統活動和用戶活動。系統活動包括操作系統和應用程序進程的活動；用戶活動包括用戶在操作系統中和應用程序中的活動。通過借助適當的工具和規程，審計跟蹤可以發現違反安全策略的活動、影響運行效率的問題以及程序中的錯誤。

通常，審計日志包含信息如操作的時間與日期、操作的節點、操作的用戶名稱、操作的類型、受操作影響的對象和屬性、涉及系統的其他信息。

·工作站、網絡和軟件監控軟件

工作站、網絡設備的正確運行直接影響到控制系統的運行和可靠性，通過連續監控這些設備，可以主動發現一些異常行為，優化系統的可用性。

·移動介質和設備信息安全軟件

移動介質和移動設備的使用，直接影響系統的安全。通過掃描和監控這些移動介質和設備，可以主動阻止對系統的攻擊。

（3）增強型軟件

·數字簽名軟件

系統可以為一些配置信息、報表或控制運用定義為某個用戶簽名，從而保證這些信息不會輕易修改。

·白名單軟件

通過白名單策略，在用戶端和服務器端阻止未批準的軟件運行。

·高級訪問控制軟件

為方便后期維修支持，提供高級訪問控制，實現安全遠程訪問。

3.3.2　工控審計與監測平臺

工控審計與監測平臺是一款專門針對工業控制系統的審計和威脅監測平臺。其主要功能包括：

（1）檢測針對工業控制協議的網絡攻擊、工控協議畸形報文、用戶異常操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播，并實時報警。

（2）支持對工控系統通訊記錄的回溯，便于后續的事故調查。

（3）與工業控制系統供應商進行整合，提取其設備運行日志信息。

工控審計與監測平臺與下面講到的管控平臺是獨立運作且信息共享的關系。一方面，監測審計平臺為管控平臺提供日志及分析數據，助其更好的監管全網系統與安全設備。另一方面，管控平臺也為監測審計平臺更好地運行提供監控助力，保證其運行穩定、數據真實可信。

工控審計與監測平臺已開始出現并投入使用，其典型工控審計與監測平臺信息示意圖如圖2所示。

圖2 典型工控審計與監測平臺信息示意圖

3.4　制造執行系統（MES）層信息安全軟件與監控

在制造執行系統（MES）層，需要對包括工廠信息管理系統（PIMS）、先進控制系統（APC）、歷史數據庫、計劃排產、倉儲管理等進行信息安全軟件與監控配置，通?？煞譃楦鞫它c保護和工業安全管控平臺。

3.4.1　各端點保護

對于服務器等，均需要按照端點來保護。通常，這種端點保護軟件與第3.3節提到的各端點保護軟件類似，在此不再展開分析。

3.4.2　工業安全管控平臺

工業安全管控平臺是一種對工業控制生產網和管理網中部署的系統和工控安全設備進行監控、配置和運維的產品。主要通過行為審計、事件追蹤、日志管理和安全域管理等功能，感知和分析網絡中的安全風險態勢，提升網絡安全事件的預判能力，以便于及時遏制可能的威脅。

其主要功能有：

（1）統一的安全設備及信息資產管理；

（2）全網網絡及安全設備態勢監視、整體安全感知；

（3）閉環流程的事件處理管控。

工業安全管控平臺已開始出現并投入使用，其典型工業安全管控平臺示意圖如圖3所示。

圖3 某系統工業安全管控平臺示意圖

3.5　企業管理層信息安全軟件與監控

在企業管理層，需要對包括財務管理、銷售管理、人事管理、供應鏈管理等進行信息安全軟件與監控配置，這些均需信息技術部門負責。由于工業安全管控平臺并不能完全滿足大型廠級集團級企業用戶對工業控制系統信息安全管理的需求，這時它們可以接入GRC企業管控平臺。因此，在這層的信息安全軟件與監控配置，一般可分為工業安全管控平臺和GRC企業管控平臺。

3.5.1　工業安全管控平臺

通常，這種工業安全管控平臺軟件與第3.4節提到的工業安全管控平臺軟件相同，在此不再展開分析。

3.5.2　GRC企業管控平臺

GRC（Governance, Risk and ComplianceManagement）的概念在國內才剛剛興起，但其在國外已經發展相當長時間。GRC以美國安然、法國興業銀行等一系列反面教材為觸發點，以《薩班斯法案》（Sarbanes-Oxley Act ，簡稱SOX法案）為源泉，貫穿企業治理、風險管理和合規經營等各方面。隨著企業的發展，以整體管控、戰略執行為目標，實現企業管控、風險規避、戰略績效、業務流程管理及包括質量、安全、環境等在內各種符合性管理，服務于管理層和決策層的GRC管控系統被認為是企業在日益復雜的競爭環境下賴以生存和發展的必然和有效選擇 。

中國經濟快速增長帶動中國企業不斷做大、做強，并邁出國門，但在擴張并走向世界的過程中，中國企業逐漸暴露出低效率低績效、管控能力薄弱、不合規不透明等諸多管控問題，不少企業也因此遭受了重大損失，GRC正是很好解決這些問題的管理方法與工具。

（1）GRC完整定義

GRC是在企業的各經營業務之上，以戰略為中心，以流程管理為基礎，通過績效管理和風險內控管理措施，對各項經營管理過程進行管理和控制，保障戰略和經營目標達成的管理方法和工具的總稱。GRC涉及以下三個組成部分：

·Governance（治理/管控）：建立完整的制度安排和治理框架，公平對待各利益相干者，制定公司戰略目標和政策，監督績效，遵從法律及制度規定，透明和披露經營狀況，對各項經營管理過程本身進一步進行管理和監督。

·Risk Management（風險管理）：對所有業務和法規風險進行結構化的識別、評估、緩解、監視和控制。

·Compliance Management（符合性管理）：通過內部控制管理機制和體系，確保各項制度和法規得以遵從、政策得以貫徹、各項經營和管理目標得以有效達成。

（2）GRC治理模型

GRC管控的主要目的是保障基于企業管控和治理的戰略執行，因此企業治理是一個結果，更是一個手段。而對齊戰略目標，以業務運營為基礎，注重業務執行與監控，關注防范風險與合規，并引入績效考核的企業管控閉環（如圖4所示）保證了企業管控的有效性，也保證了企業治理的持續性。

圖4 企業管控閉環模型圖

（3）GRC與工業控制系統信息安全

針對快速崛起與發展的中國企業來說，GRC是用于改善企業做強、做大過程中所面對突出管理問題（如經營績效、集團管控、合規透明）的管理方法體系和工具集合。

GRC管控軟件是一個集成化的解決方案，其大致可以包含決策支持（集團管控、董事會治理、領導交辦、領導駕駛艙、辦公平臺、決策系統等）、戰略績效管理（業務戰略體系、全面預算管理、平衡計分卡、戰略監控、戰略報告、績效管理、人力資源管理、報告管理等）、流程管理（業務流程管理、流程績效、工作任務管理、協同管理等）、風險管理（風險管理、審計管理、合同管理、安全管理、質量管理等）、合規管理（SOX合規、行業合規、內控系統等）、信息安全管理（信息安全合規、信息安全風險管理、訪問控制管理、信息安全服務、安全與目錄管理、策略管理等）及展現（門戶、與其它業務系統的集成等）等幾大類。通常，GRC的集合視圖如圖5所示。

圖5 GRC的集合視圖

工業控制系統信息安全，作為信息安全管理的重要組成部分，基于定義商業影響、理解常規和運作風險、流程化處理等方面考慮，在GRC管控平臺信息安全管理模塊中，提供以下解決方案：

· 建立信息安全策略和標準；

· 檢測和響應攻擊；

· 識別和更正信息安全缺陷；

· 執行風險評估和監控。

通過以上解決方案，實現降低整個信息安全風險，盡可能降低由信息安全事件和符合性帶來的成本開銷，以及精簡識別、測量和監控信息安全流程。

一般地，GRC企業管控平臺中關于信息安全管理的主要內容包括以下幾點：

· 信息安全問題管理；

· 信息安全與策略程序管理；

· 信息安全常規管理；

· 信息安全控制保障；

· 信息安全漏洞程序；

· 信息安全事件管理；
· 信息安全運作與違規管理；

· 信息安全風險管理；

· 外設部件互連（PCI）管理。

GRC企業管控平臺中信息安全管理的監控畫面有多種，取決于用戶信息安全管理的需求。 GRC-信息安全風險管理示意圖如圖6所示。

圖6 GRC-信息安全風險管理示意圖

 （4）GRC產品供應商

· 國外GRC服務廠商及解決方案

國外GRC市場中處于引領者地位的主要有Axentis、BWise、MetricStream、OpenPages、Thomson Reuters、Oracle等。這些GRC廠商通過持續更新，提升GRC理念和技術產品水平，贏得越來越廣泛的市場和越來越龐大的客戶群體；這些廠商不僅在其技術實力方面占有絕對領先地位，而且通過理念研究和戰略指導等也正在塑造其GRC領導者的角色。

國外GRC市場中僅隨其后開始向引領地位沖擊的主要有Archer、Cura、Mega、Methodware、 Protiviti、Strategic Thought等。在過去兩年，這些廠商GRC理念與產品取得大幅改善，他們逐漸向世界領先企業提供GRC各個領域的優秀解決方案和產品；雖然理念水平、技術平臺及市場占有率等還沒有達到領導者的地位，但他們仍然會在繁雜的GRC市場中繼續保持強勁的競爭地位。

國外GRC市場中還有SAI Global、SAP、Trintech、Aline、IDS Scheer、CA、Compliance360、DoubleCheck、Neohapsis、List Group、Optial、Sword Achiever、Trintech、Xactium等參與者。這些廠商對于GRC理念的研究大多基于自己原有解決方案，GRC產品也限定在其本身產品線相關的某GRC領域。雖然目前他們的解決方案還不夠全面，市場份額還不夠大，但其長期積累的客戶群體和強大的技術實力也將幫助他們在GRC市場中快速成長。

· 國內GRC服務廠商及解決方案

國內對于GRC理論和實踐的研究相對較晚，國內廠商的管理經驗和客戶積累與國外也存在一定差距，所以國內GRC管控軟件提供商的GRC解決方案大多是基于原有解決方案的擴展，而很少有形成涉及GRC領域全方位的解決方案集合。目前國內提供GRC領域服務的廠商主要有慧點科技、用友、博科資訊、炎黃盈動、第一會達等。

4 工業控制系統信息安全軟件與監控趨勢
工業控制系統信息安全已然引起工業控制系統用戶密切關注，工業控制系統信息安全軟件與監控是工業控制系統信息安全必不可少的環節。在工業現代化快速發展的今天，工業控制系統信息安全軟件與監控顯得尤為重要，工業控制系統供應商、網絡信息安全產品供應商、企業管控軟件供應商、工業控制系統用戶都必須認真對待工業控制系統信息安全軟件與監控。

從工業控制系統市場發展和市場出現的來自不同工業控制系統信息安全軟件與監控來看，工業控制系統信息安全軟件與監控產品正逐步走向規范化、集成化和產品更完善的趨勢。

4.1　信息安全軟件與監控規范化

工業控制系統信息安全事件的頻繁發生以及其導致的嚴重后果，必然引起各國政府和相關工業控制系統用戶的高度重視，如何有效推進工業控制系統信息安全，加強管理工業控制系統信息安全，應用軟件與監控產品是大勢所趨。那么，這必將對軟件與監控產品提出規范化的要求。

正如前文所述，工業控制系統供應商、信息安全產品供應商和企業管控軟件供應商都在努力開發這些工業控制系統信息安全軟件與監控產品，目前市場上的軟件與監控產品種類繁多，對于工業控制系統用戶而言，如何正確選擇配置是關鍵，因此，市場上也需要更加規范化的要求。顯然，工業控制系統信息安全軟件與監控產品規范化是必然的大趨勢。

4.2　信息安全軟件與監控集成化

由于工業控制系統中的產品和網絡多種多樣，工業控制系統供應商會為其工控產品開發自身設備的軟件與監控，信息安全產品供應商會為其網絡產品開發自身設備的軟件與監控，那么，工控產品和網絡產品信息安全軟件與監控只有做好集成，才可以統一集成至企業管控軟件供應商的監控平臺。因此，工業控制系統信息安全軟件與監控必須集成設計。

同時，工業控制系統信息安全軟件與監控是由工業控制系統供應商、信息安全產品供應商和企業管控軟件供應商各自開發設計，如何將這些軟件與監控整合在一起，這是對工業控制系統信息安全有效管理提出的要求，也是工業控制系統用戶提出的要求。

4.3　信息安全軟件與監控更完善

從上面幾節介紹可以看出，目前出現的工業控制系統信息安全軟件與監控還在起步階段，隨著工業控制系統信息安全技術的深入開發，其軟件與監控將走向更完善。

（1）信息安全技術軟件更完善

工業控制系統信息安全技術有很多種類，目前市場上出現的工業控制系統信息安全技術軟件還是比較有限的。因此，工業控制系統信息安全軟件將有待于進一步推進和完善。

（2）信息安全監控更完善目前，工業控制系統信息安全監控市場紛繁復雜，需要工業控制系統供應商、網絡信息安全產品供應商和企業管控軟件供應商各自開放并兼容設計，努力建立一個統一的信息安全監控，為工業控制系統用戶節約時間、人力和物力，實現工業控制系統信息安全的集中監控。因此，工業控制系統信息安全監控需要工業控制系統供應商、信息安全產品供應商和企業管控軟件供應商通力合作，并不斷走向完善。

5 結語

通過上述工業控制系統信息安全軟件和監控分析可知，工業控制系統信息安全軟件和監控已逐漸形成，在整個工業控制系統信息安全方案部署中，是不可缺少的部分。只有認真而系統地學習和運用這些軟件與監控，才能有效解決工業控制系統信息安全事件頻發，保證工業控制系統正常運行，為國民經濟建設和發展保駕護航。

同時，我們也應該看到，工業控制系統信息安全軟件和監控部署還剛剛起步。隨著工業控制系統不斷發展和廣泛運用，其信息安全軟件和監控必將快速推進。因此，我們應對工業控制系統信息安全軟件和監控統籌兼顧，積極運用和部署，真正做好工業控制系統信息安全建設。

作者簡介

肖建榮（1969-），男，高級工程師，現就職于巴斯夫（中國）有限公司，從事工業自動化儀表的工程設計、調試、運行維護工作，先后完成多個國內、國際項目的工程設計、調試工作。

參考文獻：

[1] http://www.smartdot.com / [EB / OL].

[2] https://new.abb.com / control-systems / system-800xa / cyber-security [EB / OL].

摘自《工業控制系統信息安全專刊（第五輯）》