工业控制系统信息安全防护体系探究

时间:2022-01-20 02:51:15

工业控制系统信息安全防护体系探究

1当前信息安全挑战

工业以太网技术由于开放、灵活、高效、透明、标准化等特点,越来越多的在工控控制系统中得到广泛应用。随着“两化融合”和物联网的普及,越来越多的信息技术应用到了工业领域。目前,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化控制作业,如:电力、水力、石化、交通运输、航空航天等工业控制系统的安全也直接关系到国家的战略安全。2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒,为工业控制系统的信息安全敲响了警钟。最近几年,针对工业控制系统的信息安全攻击事件成百倍的增长,引发了国家相关管理部门和企业用户的高度重视。今年国家发改委公布的《2013年国家信息安全专项有关事项的通知》中,强调工业控制系统信息安全是国家重点支持的四大领域之一。2011年工信部451号文件《关于加强工业控制系统信息安全管理的通知》中更明确指出,有关国家大型企业要慎重选择工业控制系统设备,确保产品安全可控。现在,国内大型企业都把工业控制系统安全防护建设提上了日程。如何应对工业控制系统的信息安全,是我们在新形势下面临的迫在眉睫需要解决的现实问题。

2企业信息安全现状

目前,虽然国家和行业主管部门、国内企业集团等都开始重视工业控制系统的信息安全问题,并开始研究相应的对策,但还面临很多现实问题:(1)信息安全专责的缺失:国内信息安全专门型人才比较缺失,很多企业甚至没有专门负责信息安全的专员;(2)制度形式化:规范的管理制度作为工业控制系统信息安全的第一道“防火墙”,可以有效的防范最基础的安全隐患,可是很多企业的管理制度并没有真正落到实处,导致威胁工控系统信息安全的隐患长驱直入、如入无人之境进入企业系统内;(3)安全生产的矛盾现状:保证工业企业安全生产和正常运营是企业的首要目标,而信息安全的解决方案部署又会影响到企业的正常运营。因此,部分企业消极应对信息安全的部署。

3常见的信息安全解决方案

面对工业控制系统的信息安全现状,很多信息安全解决方案提供商提出了各自的安全策略,强调的是“自上而下”、注重“监管”和“隔离”的安全策略。由于企业内部产品、设备或资产繁多,产品供应商较多,“监管”系统无法“监视和管理”企业内部庞大的设备或资产,导致部分系统依然存在信息安全隐患。同时,这些解决方案部署时又面临投资比较大,定制化程度比较高等缺点。有的企业通过在企业系统内部部署“横向分层、纵向分域、区域分等级”的安全策略,构建“三层架构,二层防护”的安全体系。这些解决方案又面临着“安全区域”较大,无法避免系统内部设备自身“带病上岗”的现象发生。如何在企业内部高效部署信息安全解决方案,同时又不影响系统的正常运行,不增加企业的负担,同时又不增加将来企业维护人员的工作量,降低对维护人员的能力等的过渡依赖,是企业部署信息安全解决方案时面临的现实问题。

4符合国情的信息安全解决方案

针对这种现状,施耐德电气将原来“从上到下”的防御策略逐步完善为符合中国客户实际应用的、倡导以设备级防护优先,兼顾系统级和管理级防护的“自下而上”的三级纵深防御策略。其中,设备级防护是整个安全防护策略的核心和基础。

4.1设备级防护

企业内部的系统从管理层、制造执行层到工业控制层都是由不同的资产或者设备组成的,如果每个单体资产或者设备符合信息安全要求,做到防范基本的信息安全隐患。这些资产或者设备集成到企业系统中就可以避免“带病上岗”的现象,作为信息安全防护体系的最后一道“防火墙”可以有效的防范针对这些设备或资产的各种安全威胁。施耐德电气作为一家具有高度社会责任感的企业,积极推进构建安全、可靠的工业控制系统信息安全,率先在工业控制设备集成信息安全防护体系:(1)集成信息安全防护体系的昆腾PLC产品率先通过了国家权威信息安全测评机构的双重产品安全性检测,成为首家也是目前唯一通过并获得此类检测认可的PLC产品。在企业内已经运行的昆腾PLC可以通过升级固件的方式达到信息安全要求,大大的减少了企业在部署信息安全过程中的资金投入,还可以减少对技术人员技能的要求;(2)SCADAPack控制器内嵌的增强型安全性套件:IEEE1711加密和IEC62351认证以及时标等安全功能,最大化系统的安全性,确保远程通信链路不被恶意或其他通信网络干扰破坏,有效的提升了信息安全功能;(3)针对所有的控制系统还可以采用软件安全属性的辅助设置功能,如增加访问控制功能、增加审计和日志信息、增加用户认证和操作、采用增强型密码等措施,增强和加固工业控制系统的信息安全功能。

4.2系统级防护

主要是通过优化和重建系统架构,提升控制系统网络的可靠性和可用性,保证企业系统的“横向”、“纵向”、“区域”间数据交互的安全性。(1)施耐德电气的ConneXium系列工业级以太网交换机的MAC的地址绑定、VLAN区域划分、数据包过滤、减少网络风暴等影响保证了工业控制系统网络的可靠性和安全性;(2)ConneXium系列工业级防火墙产品可实现针对通用网络服务、OPC通讯服务的安全防护之外,还可实现所有工业以太网协议的协议包解析,有效的防范了威胁工业控制系统的安全隐患。同时,软件内置的针对施耐德电气所有PLC系列的安全策略组件以及模板模式大大增强了产品的可用性。

4.3管理级防护

主要是通过规范规章制度、完善用户授权、角色、职责和行为的界定,避免潜在威胁的影响,减缓系统影响产生的后果。完善入侵检测和防护系统,完善审计和日志信息,并加强管理。有效的提升控制系统的整体信息安全水平。今年,施耐德电气作为第一家与中国电力集团就工业控制系统信息安全合作的企业,成功的将三级纵深防御体系应用于其下属企业的信息安全整改具体实践中,取得良好效果并获得用户认可。作为工业控制系统信息安全解决方案提供商领先者,施耐德电气一直致力于为客户提供安全、可靠的信息安全解决方案,并在国家相关管理部门的指导下,积极倡导并提升自身产品的安全功能,并协助中国客户进一步提升工业控制领域的信息安全防护水平,确保国家关键基础设施和重点工业领域的信息安全。”