您的位置:首頁(yè) > 資訊 > 叉車(chē)技術(shù) > 正文

工業(yè)信息安全認(rèn)知探討

2014-09-18 08:25 性質(zhì):轉(zhuǎn)載 作者:工廠(chǎng)工程 來(lái)源:工廠(chǎng)工程
免責(zé)聲明:中叉網(wǎng)(m.m21363.cn)尊重合法版權(quán),反對(duì)侵權(quán)盜版。(凡是我網(wǎng)所轉(zhuǎn)載之文章,文中所有文字內(nèi)容和圖片視頻之知識(shí)產(chǎn)權(quán)均系原作者和機(jī)構(gòu)所有。文章內(nèi)容觀(guān)點(diǎn),與本網(wǎng)無(wú)關(guān)。如有需要?jiǎng)h除,敬請(qǐng)來(lái)電商榷!)
技術(shù)的發(fā)展都會(huì)有兩面性,就比如企業(yè)在享受網(wǎng)絡(luò)互連所帶來(lái)的種種便利的同時(shí),不得不面對(duì)病毒、木馬、黑客等對(duì)系統(tǒng)帶來(lái)的威脅。而工業(yè)控...
  技術(shù)的發(fā)展都會(huì)有兩面性,就比如企業(yè)在享受網(wǎng)絡(luò)互連所帶來(lái)的種種便利的同時(shí),不得不面對(duì)病毒、木馬、黑客等對(duì)系統(tǒng)帶來(lái)的威脅。而工業(yè)控制領(lǐng)域也是如此,工控系統(tǒng)中通用協(xié)議和技術(shù)的廣泛應(yīng)用減弱了控制系統(tǒng)與外界的隔離,使系統(tǒng)的安全性時(shí)時(shí)遭受來(lái)自外界的考驗(yàn)。2011年發(fā)生的“震網(wǎng)”病毒事件揭開(kāi)了工業(yè)信息安全問(wèn)題的一角,近年來(lái)信息安全事件持續(xù)發(fā)酵。去年,國(guó)家發(fā)改委公布的《2013年國(guó)家信息安全專(zhuān)項(xiàng)有關(guān)事項(xiàng)的通知》中,強(qiáng)調(diào)工業(yè)控制系統(tǒng)信息安全是國(guó)家重點(diǎn)支持的四大領(lǐng)域之一,這也意味著打響工業(yè)信息安全的保衛(wèi)戰(zhàn)刻不容緩。
  如何選擇防御體系
  縱觀(guān)當(dāng)前行業(yè)的發(fā)展,工業(yè)客戶(hù)對(duì)于工業(yè)信息安全除了認(rèn)知方面的不足,往往還面臨人員缺失、制度形式化和生產(chǎn)與安全的矛盾沖突等一系列困境,而選用實(shí)際又實(shí)用的產(chǎn)品或解決方案,成為企業(yè)推進(jìn)工業(yè)信息安全前行的第一步。
  工業(yè)信息安全的實(shí)現(xiàn)是一個(gè)系統(tǒng)工程,多層次的防護(hù)是必要的策略?,F(xiàn)在,業(yè)界多數(shù)主流供應(yīng)商普遍采用的是“自上而下”的縱深防御體系,遵循安全計(jì)劃、網(wǎng)絡(luò)分隔、邊界保護(hù)、網(wǎng)段分離、設(shè)備加固以及監(jiān)視和更新6大步驟,側(cè)重于管理級(jí)、系統(tǒng)級(jí)安全功能的強(qiáng)化?!白陨隙隆钡慕鉀Q方案看似能實(shí)現(xiàn)企業(yè)信息安全,而在實(shí)施過(guò)程中卻存在很多缺陷。首先,優(yōu)先實(shí)現(xiàn)管理級(jí)、系統(tǒng)級(jí)的安全功能,需要企業(yè)投入大量資金進(jìn)行軟硬件設(shè)備的建設(shè),不是所有的客戶(hù)都有這樣的實(shí)力或意愿進(jìn)行投資。其次,對(duì)于本身存在信息安全缺陷的工控設(shè)備來(lái)說(shuō),“自上而下”的防護(hù)只是一些外圍防護(hù)措施,并沒(méi)有從根源上消除信息安全的隱患,相關(guān)工控設(shè)備還處在“帶病上崗”狀態(tài)。其三,通常工業(yè)企業(yè)使用的工控設(shè)備類(lèi)型多、數(shù)量龐大,單純依靠管理級(jí)、系統(tǒng)級(jí)的防護(hù)很難確保每一臺(tái)單體設(shè)備的安全性。最后,企業(yè)現(xiàn)場(chǎng)的差異化,決定了管理級(jí)、系統(tǒng)級(jí)的信息安全解決方案定制化、私有化的程度非常高,不利于方案后續(xù)應(yīng)用推廣。所以“自上而下”實(shí)施信息安全防御策略解決方案,不能突出實(shí)用性和有效性。為此,市場(chǎng)上一種稱(chēng)之為“自下而上”的安全策略也應(yīng)運(yùn)而生。
  “自下而上”的安全策略強(qiáng)調(diào)以設(shè)備級(jí)防護(hù)為基礎(chǔ),兼顧系統(tǒng)級(jí)和管理級(jí)防護(hù)。其中設(shè)備級(jí)防護(hù)側(cè)重于提升每個(gè)設(shè)備的信息安全防護(hù)能力;系統(tǒng)級(jí)防護(hù)的目標(biāo)是設(shè)計(jì)安全的控制系統(tǒng)架構(gòu),以增強(qiáng)控制系統(tǒng)的整體信息安全功能;管理級(jí)防護(hù)的作用則是規(guī)范管理、完善安全策略,增強(qiáng)控制系統(tǒng)的災(zāi)難恢復(fù)和數(shù)據(jù)備份等功能?!白韵露稀钡牟渴?,其意義在于通過(guò)將信息安全功能集成到設(shè)備本身,實(shí)現(xiàn)“細(xì)胞級(jí)”安全,企業(yè)因此可以擺脫傳統(tǒng)安全解決方案中對(duì)于管理政策、制度以及人員能力和操作規(guī)范等諸多不可控或不完備條件限制的過(guò)度依賴(lài),減少投資,并能夠在短期內(nèi)迅速提升企業(yè)工控系統(tǒng)信息安全防護(hù)水平,并為逐步實(shí)施完整的縱深防御安全策略奠定基礎(chǔ)。特別是對(duì)于當(dāng)前那些數(shù)量眾多,不具備系統(tǒng)級(jí)防護(hù)和管理級(jí)防護(hù)能力的工控系統(tǒng),設(shè)備級(jí)防護(hù)就顯得非常理想。在目前國(guó)內(nèi)工控信息安全安全策略部署的成功案例還不多見(jiàn)的背景下,施耐德電氣打造的 “自下而上”三級(jí)縱深防護(hù)體系已經(jīng)擁有了多個(gè)成功案例。
  如何選擇工控設(shè)備
  根據(jù)設(shè)備級(jí)防護(hù)策略,工控系統(tǒng)中應(yīng)用的PLC、以太網(wǎng)交換機(jī)和SCADA軟件等工控設(shè)備都可以變身為捍衛(wèi)信息安全的衛(wèi)士。例如,通過(guò)模板固件升級(jí)、軟件輔助功能設(shè)置來(lái)增強(qiáng)工控設(shè)備的信息安全防護(hù)能力,通過(guò)設(shè)置工業(yè)級(jí)管理型交換機(jī)的安全參數(shù),如采用“增強(qiáng)型”密碼、關(guān)閉未用端口、端口地址綁定、網(wǎng)絡(luò)風(fēng)暴限制、組播過(guò)濾等一系列具體技術(shù)措施、采用以太網(wǎng)環(huán)網(wǎng)提升網(wǎng)絡(luò)的容錯(cuò)能力等方案,極大地提升工控系統(tǒng)防范物理入侵能力,提升工控系統(tǒng)的可用性。
  從2011年工信部451號(hào)文件《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》中明確指出,有關(guān)的國(guó)家大型企業(yè)要慎重選擇工業(yè)控制系統(tǒng)設(shè)備,到近期,國(guó)家相關(guān)主管部門(mén)針對(duì)國(guó)有大型企業(yè)工業(yè)控制設(shè)備選型的安全性要求日趨嚴(yán)格,并逐步出臺(tái)相關(guān)政策法規(guī),都可以窺見(jiàn)工控設(shè)備選型的重要性。
  那么,對(duì)于工控設(shè)備應(yīng)如何選擇呢?
  以電力行業(yè)為例,能源局安監(jiān)司提出PLC等工控設(shè)備的選用必須參照兩條標(biāo)準(zhǔn):
  a)禁止選用經(jīng)國(guó)家相關(guān)管理部門(mén)檢測(cè)認(rèn)定并經(jīng)國(guó)家能源局通報(bào)存在漏洞和風(fēng)險(xiǎn)的系統(tǒng)及設(shè)備。
  b)系統(tǒng)和設(shè)備經(jīng)有資質(zhì)的機(jī)構(gòu)檢測(cè)認(rèn)定不存在信息安全漏洞和風(fēng)險(xiǎn)。
  對(duì)應(yīng)用于重要信息系統(tǒng)(等保定級(jí)3級(jí)以上)的設(shè)備,宜同時(shí)滿(mǎn)足以上兩條標(biāo)準(zhǔn);對(duì)于應(yīng)用于一般信息系統(tǒng)(等保定級(jí)2級(jí))的設(shè)備,滿(mǎn)足其中一條即可;對(duì)于整改的設(shè)備,應(yīng)滿(mǎn)足第二條標(biāo)準(zhǔn)。而目前市場(chǎng)上可以同時(shí)滿(mǎn)足上述兩個(gè)標(biāo)準(zhǔn)的只有施耐德電氣UnityQuantumPLC。
  實(shí)際上,在 2012年,施耐德電氣莫迪康昆騰系列PLC產(chǎn)品就通過(guò)了國(guó)家信息技術(shù)安全研究中心和中國(guó)電力科學(xué)研究院這兩家國(guó)家權(quán)威測(cè)評(píng)機(jī)構(gòu)的安全性檢測(cè),成為國(guó)內(nèi)首家也是目前唯一通過(guò)并獲得此類(lèi)檢測(cè)認(rèn)可的PLC產(chǎn)品系列。2014年推向市場(chǎng)的新一代莫迪康M580ePLC產(chǎn)品,也通過(guò)了中國(guó)電力科學(xué)研究院的安全性檢測(cè),這表明施耐德電氣已經(jīng)讓工業(yè)信息安全成為其PLC產(chǎn)品的一個(gè)核心功能。據(jù)悉,從2013年初起,施耐德電氣提供給全球客戶(hù)的所有工控產(chǎn)品都已經(jīng)內(nèi)置了信息安全防護(hù)功能,使工業(yè)企業(yè)不必依賴(lài)其它的安全防護(hù)措施就已獲得了符合國(guó)際國(guó)內(nèi)相關(guān)法規(guī)要求的、過(guò)硬的信息安全保障。而對(duì)于此前已經(jīng)在應(yīng)用的工控設(shè)備,該公司也可提供相應(yīng)的服務(wù),幫助工業(yè)企業(yè)獲得同等的保障。
  面對(duì)科技發(fā)展這把雙刃劍,企業(yè)只有做出有效的應(yīng)對(duì)決策才能在規(guī)避可能出現(xiàn)的風(fēng)險(xiǎn),盡享技術(shù)進(jìn)步的成果。對(duì)于工控企業(yè)而言,選擇正確的安全策略和工控設(shè)備,無(wú)疑是有效提升信息安全防護(hù)水平、減少企業(yè)投入的重要方式。

網(wǎng)友評(píng)論
文明上網(wǎng),理性發(fā)言,拒絕廣告

相關(guān)資訊

熱點(diǎn)資訊

關(guān)注官方微信

手機(jī)掃碼看新聞