- 相關(guān)推薦
工業(yè)控制系統(tǒng)信息安全防護體系探究論文
1當(dāng)前信息安全挑戰(zhàn)
工業(yè)以太網(wǎng)技術(shù)由于開放、靈活、高效、透明、標(biāo)準(zhǔn)化等特點,越來越多的在工控控制系統(tǒng)中得到廣泛應(yīng)用。隨著“兩化融合”和物聯(lián)網(wǎng)的普及,越來越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。目前,超過80%涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化控制作業(yè),如:電力、水力、石化、交通運輸、航空航天等工業(yè)控制系統(tǒng)的安全也直接關(guān)系到國家的戰(zhàn)略安全。2010年10月發(fā)生在伊朗核電站的“震網(wǎng)”(Stuxnet)病毒,為工業(yè)控制系統(tǒng)的信息安全敲響了警鐘。最近幾年,針對工業(yè)控制系統(tǒng)的信息安全攻擊事件成百倍的增長,引發(fā)了國家相關(guān)管理部門和企業(yè)用戶的高度重視。今年國家發(fā)改委公布的《2013年國家信息安全專項有關(guān)事項的通知》中,強調(diào)工業(yè)控制系統(tǒng)信息安全是國家重點支持的四大領(lǐng)域之一。2011年工信部451號文件《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》中更明確指出,有關(guān)國家大型企業(yè)要慎重選擇工業(yè)控制系統(tǒng)設(shè)備,確保產(chǎn)品安全可控。現(xiàn)在,國內(nèi)大型企業(yè)都把工業(yè)控制系統(tǒng)安全防護建設(shè)提上了日程。如何應(yīng)對工業(yè)控制系統(tǒng)的信息安全,是我們在新形勢下面臨的迫在眉睫需要解決的現(xiàn)實問題。
2企業(yè)信息安全現(xiàn)狀
目前,雖然國家和行業(yè)主管部門、國內(nèi)企業(yè)集團等都開始重視工業(yè)控制系統(tǒng)的信息安全問題,并開始研究相應(yīng)的對策,但還面臨很多現(xiàn)實問題:
(1)信息安全專責(zé)的缺失:國內(nèi)信息安全專門型人才比較缺失,很多企業(yè)甚至沒有專門負責(zé)信息安全的專員;
(2)制度形式化:規(guī)范的管理制度作為工業(yè)控制系統(tǒng)信息安全的第一道“防火墻”,可以有效的防范最基礎(chǔ)的安全隱患,可是很多企業(yè)的管理制度并沒有真正落到實處,導(dǎo)致威脅工控系統(tǒng)信息安全的隱患長驅(qū)直入、如入無人之境進入企業(yè)系統(tǒng)內(nèi);
(3)安全生產(chǎn)的矛盾現(xiàn)狀:保證工業(yè)企業(yè)安全生產(chǎn)和正常運營是企業(yè)的首要目標(biāo),而信息安全的解決方案部署又會影響到企業(yè)的正常運營。因此,部分企業(yè)消極應(yīng)對信息安全的部署。
3常見的信息安全解決方案
面對工業(yè)控制系統(tǒng)的信息安全現(xiàn)狀,很多信息安全解決方案提供商提出了各自的安全策略,強調(diào)的是“自上而下”、注重“監(jiān)管”和“隔離”的安全策略。由于企業(yè)內(nèi)部產(chǎn)品、設(shè)備或資產(chǎn)繁多,產(chǎn)品供應(yīng)商較多,“監(jiān)管”系統(tǒng)無法“監(jiān)視和管理”企業(yè)內(nèi)部龐大的設(shè)備或資產(chǎn),導(dǎo)致部分系統(tǒng)依然存在信息安全隱患。同時,這些解決方案部署時又面臨投資比較大,定制化程度比較高等缺點。有的企業(yè)通過在企業(yè)系統(tǒng)內(nèi)部部署“橫向分層、縱向分域、區(qū)域分等級”的安全策略,構(gòu)建“三層架構(gòu),二層防護”的安全體系。這些解決方案又面臨著“安全區(qū)域”較大,無法避免系統(tǒng)內(nèi)部設(shè)備自身“帶病上崗”的現(xiàn)象發(fā)生。如何在企業(yè)內(nèi)部高效部署信息安全解決方案,同時又不影響系統(tǒng)的正常運行,不增加企業(yè)的負擔(dān),同時又不增加將來企業(yè)維護人員的工作量,降低對維護人員的能力等的過渡依賴,是企業(yè)部署信息安全解決方案時面臨的現(xiàn)實問題。
4符合國情的信息安全解決方案
針對這種現(xiàn)狀,施耐德電氣將原來“從上到下”的防御策略逐步完善為符合中國客戶實際應(yīng)用的、倡導(dǎo)以設(shè)備級防護優(yōu)先,兼顧系統(tǒng)級和管理級防護的“自下而上”的三級縱深防御策略。其中,設(shè)備級防護是整個安全防護策略的核心和基礎(chǔ)。
4.1設(shè)備級防護
企業(yè)內(nèi)部的系統(tǒng)從管理層、制造執(zhí)行層到工業(yè)控制層都是由不同的資產(chǎn)或者設(shè)備組成的,如果每個單體資產(chǎn)或者設(shè)備符合信息安全要求,做到防范基本的信息安全隱患。這些資產(chǎn)或者設(shè)備集成到企業(yè)系統(tǒng)中就可以避免“帶病上崗”的現(xiàn)象,作為信息安全防護體系的最后一道“防火墻”可以有效的防范針對這些設(shè)備或資產(chǎn)的各種安全威脅。施耐德電氣作為一家具有高度社會責(zé)任感的企業(yè),積極推進構(gòu)建安全、可靠的工業(yè)控制系統(tǒng)信息安全,率先在工業(yè)控制設(shè)備集成信息安全防護體系:
(1)集成信息安全防護體系的昆騰PLC產(chǎn)品率先通過了國家權(quán)威信息安全測評機構(gòu)的雙重產(chǎn)品安全性檢測,成為首家也是目前唯一通過并獲得此類檢測認可的PLC產(chǎn)品。在企業(yè)內(nèi)已經(jīng)運行的昆騰PLC可以通過升級固件的方式達到信息安全要求,大大的減少了企業(yè)在部署信息安全過程中的資金投入,還可以減少對技術(shù)人員技能的要求;
(2)SCADAPack控制器內(nèi)嵌的增強型安全性套件:IEEE1711加密和IEC62351認證以及時標(biāo)等安全功能,最大化系統(tǒng)的安全性,確保遠程通信鏈路不被惡意或其他通信網(wǎng)絡(luò)干擾破壞,有效的提升了信息安全功能;
(3)針對所有的控制系統(tǒng)還可以采用軟件安全屬性的輔助設(shè)置功能,如增加訪問控制功能、增加審計和日志信息、增加用戶認證和操作、采用增強型密碼等措施,增強和加固工業(yè)控制系統(tǒng)的信息安全功能。
4.2系統(tǒng)級防護
主要是通過優(yōu)化和重建系統(tǒng)架構(gòu),提升控制系統(tǒng)網(wǎng)絡(luò)的可靠性和可用性,保證企業(yè)系統(tǒng)的“橫向”、“縱向”、“區(qū)域”間數(shù)據(jù)交互的安全性。
(1)施耐德電氣的ConneXium系列工業(yè)級以太網(wǎng)交換機的MAC的地址綁定、VLAN區(qū)域劃分、數(shù)據(jù)包過濾、減少網(wǎng)絡(luò)風(fēng)暴等影響保證了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的可靠性和安全性;
(2)ConneXium系列工業(yè)級防火墻產(chǎn)品可實現(xiàn)針對通用網(wǎng)絡(luò)服務(wù)、OPC通訊服務(wù)的安全防護之外,還可實現(xiàn)所有工業(yè)以太網(wǎng)協(xié)議的協(xié)議包解析,有效的防范了威脅工業(yè)控制系統(tǒng)的安全隱患。同時,軟件內(nèi)置的針對施耐德電氣所有PLC系列的安全策略組件以及模板模式大大增強了產(chǎn)品的可用性。
4.3管理級防護
主要是通過規(guī)范規(guī)章制度、完善用戶授權(quán)、角色、職責(zé)和行為的界定,避免潛在威脅的影響,減緩系統(tǒng)影響產(chǎn)生的后果。完善入侵檢測和防護系統(tǒng),完善審計和日志信息,并加強管理。有效的提升控制系統(tǒng)的整體信息安全水平。今年,施耐德電氣作為第一家與中國電力集團就工業(yè)控制系統(tǒng)信息安全合作的企業(yè),成功的將三級縱深防御體系應(yīng)用于其下屬企業(yè)的信息安全整改具體實踐中,取得良好效果并獲得用戶認可。作為工業(yè)控制系統(tǒng)信息安全解決方案提供商領(lǐng)先者,施耐德電氣一直致力于為客戶提供安全、可靠的信息安全解決方案,并在國家相關(guān)管理部門的指導(dǎo)下,積極倡導(dǎo)并提升自身產(chǎn)品的安全功能,并協(xié)助中國客戶進一步提升工業(yè)控制領(lǐng)域的信息安全防護水平,確保國家關(guān)鍵基礎(chǔ)設(shè)施和重點工業(yè)領(lǐng)域的信息安全。”
【工業(yè)控制系統(tǒng)信息安全防護體系探究論文】相關(guān)文章:
電子信息的安全防護工作探究論文10-16
計算機網(wǎng)絡(luò)信息管理及安全防護探究論文06-09
關(guān)于工業(yè)自動化中直接數(shù)字控制系統(tǒng)探究論文06-16
電力企業(yè)安全培訓(xùn)管理體系探究論文08-31