谈工业信息安全:如何选择工控防御系统

时间:2022-03-16来源:佚名

技术的发展都会有两面性:给企业带来的种种便利的同时,也会带来病毒、木马、黑客等对系统带来的威胁。而工业控制领域也是如此,工控系统中通用协议和技术的广泛应用减弱了控制系统与外界的隔离,使系统的安全性时时遭受来自外界的考验。去年,国家发改委公布的《2013年国家信息安全专项有关事项的通知》中,强调工业控制系统信息安全是国家重点支持的四大领域之一,这也意味着打响工业信息安全的保卫战刻不容缓。

如何选择防御体系

纵观当前行业的发展,工业客户对于工业信息安全除了认知方面的不足,往往还面临人员缺失、制度形式化和生产与安全的矛盾冲突等一系列困境,而选用实际又实用的产品或解决方案,成为企业推进工业信息安全前行的第一步。

工业信息安全的实现是一个系统工程,多层次的防护是必要的策略。现在,业界多数主流供应商普遍采用的是“自上而下”的纵深防御体系,遵循安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大步骤,侧重于管理级、系统级安全功能的强化。“自上而下”的解决方案看似能实现企业信息安全,而在实施过程中却存在很多缺陷。首先,优先实现管理级、系统级的安全功能,需要企业投入大量资金进行软硬件设备的建设,不是所有的客户都有这样的实力或意愿进行投资。其次,对于本身存在信息安全缺陷的工控设备来说,“自上而下”的防护只是一些外围防护措施,并没有从根源上消除信息安全的隐患,相关工控设备还处在“带病上岗”状态。其三,通常工业企业使用的工控设备类型多、数量庞大,单纯依靠管理级、系统级的防护很难确保每一台单体设备的安全性。最后,企业现场的差异化,决定了管理级、系统级的信息安全解决方案定制化、私有化的程度非常高,不利于方案后续应用推广。所以“自上而下”实施信息安全防御策略解决方案,不能突出实用性和有效性。为此,市场上一种称之为“自下而上”的安全策略也应运而生。

“自下而上”的安全策略强调以设备级防护为基础,兼顾系统级和管理级防护。其中设备级防护侧重于提升每个设备的信息安全防护能力;系统级防护的目标是设计安全的控制系统架构,以增强控制系统的整体信息安全功能;管理级防护的作用则是规范管理、完善安全策略,增强控制系统的灾难恢复和数据备份等功能。“自下而上”的部署,其意义在于通过将信息安全功能集成到设备本身,实现“细胞级”安全,企业因此可以摆脱传统安全解决方案中对于管理政策、制度以及人员能力和操作规范等诸多不可控或不完备条件限制的过度依赖,减少投资,并能够在短期内迅速提升企业工控系统信息安全防护水平,并为逐步实施完整的纵深防御安全策略奠定基础。特别是对于当前那些数量众多,不具备系统级防护和管理级防护能力的工控系统,设备级防护就显得非常理想。在目前国内工控信息安全安全策略部署的成功案例还不多见的背景下,施耐德电气打造的“自下而上”三级纵深防护体系已经拥有了多个成功案例。

如何选择工控设备

根据设备级防护策略,工控系统中应用的PLC、以太网交换机和SCADA软件等工控设备都可以变身为捍卫信息安全的卫士。例如,通过模板固件升级、软件辅助功能设置来增强工控设备的信息安全防护能力,通过设置工业级管理型交换机的安全参数,如采用“增强型”密码、关闭未用端口、端口地址绑定、网络风暴限制、组播过滤等一系列具体技术措施、采用以太网环网提升网络的容错能力等方案,极大地提升工控系统防范物理入侵能力,提升工控系统的可用性。

从2011年工信部451号文件《关于加强工业控制系统信息安全管理的通知》中明确指出,有关的国家大型企业要慎重选择工业控制系统设备,到近期,国家相关主管部门针对国有大型企业工业控制设备选型的安全性要求日趋严格,并逐步出台相关政策法规,都可以窥见工控设备选型的重要性。

那么,对于工控设备应如何选择呢?

以电力行业为例,能源局安监司提出PLC等工控设备的选用必须参照两条标准:

a)禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。

b)系统和设备经有资质的机构检测认定不存在信息安全漏洞和风险。

对应用于重要信息系统(等保定级3级以上)的设备,宜同时满足以上两条标准;对于应用于一般信息系统(等保定级2级)的设备,满足其中一条即可;对于整改的设备,应满足第二条标准。而目前市场上可以同时满足上述两个标准的只有施耐德电气UnityQuantumPLC。

实际上,在2012年,施耐德电气莫迪康昆腾系列PLC产品就通过了国家信息技术安全研究中心和中国电力科学研究院这两家国家权威测评机构的安全性检测,成为国内首家也是目前唯一通过并获得此类检测认可的PLC产品系列。2014年推向市场的新一代莫迪康M580ePLC产品,也通过了中国电力科学研究院的安全性检测,这表明施耐德电气已经让工业信息安全成为其PLC产品的一个核心功能。据悉,从2013年初起,施耐德电气提供给全球客户的所有工控产品都已经内置了信息安全防护功能,使工业企业不必依赖其它的安全防护措施就已获得了符合国际国内相关法规要求的、过硬的信息安全保障。而对于此前已经在应用的工控设备,该公司也可提供相应的服务,帮助工业企业获得同等的保障。

面对科技发展这把双刃剑,企业只有做出有效的应对决策才能在规避可能出现的风险,尽享技术进步的成果。对于工控企业而言,选择正确的安全策略和工控设备,无疑是有效提升信息安全防护水平、减少企业投入的重要方式。

    相关阅读

    城市亮化工程如何设计才能具有层次感?

    城市亮化工程 的主要目地是为夜间带来一体化照明,考虑基础的视觉识别规定,自然环境照明的光层级与光线总数的多少相关,假如空间中的自然环境照明比工作照明低许多 ,在工作...
    2022-10-11
    城市亮化工程如何设计才能具有层次感?

    城市道路照明工程主要有哪些?

    在城市建设中,道路照明 是必不可少的基础设施,也是城市夜景的重要组成部分。在某种程度上,它还反映了城市的经济实力,社会进步和现代化的标志。它为夜间在城市中的车辆和行...
    2022-07-12
    城市道路照明工程主要有哪些?

    安全出口指示标志灯为什么是绿色而不是红色?

    对于安全出口指示标志灯相信大家都不陌生,我们在日常生活中在任何公众场所的紧急疏散的安全出口都可以看到这个安全出口指示标志灯,大家有没有想过安全出口的指示标志为什么...
    2022-05-21
    安全出口指示标志灯为什么是绿色而不是红色?

    路灯照明合理的布置方式

    路灯的布置方式主要有单侧布置、双侧交错布置、双侧对称布置、中心对称布置、横向悬索布置五种形式,随着城市道路的不断拓宽,平交路口转弯半径越来越大,根据《城市道路亮化...
    2022-07-15

    泛光照明工程是什么?应用范围有哪些?

    很多人提及 泛光照明工程 会有一些生疏,不理解泛光照明包含哪些,也不知道 泛光照明工程 跟普通照明工程有哪些不一样。 实际上泛光照明工程便是归属于城市景观照明工程或环境...
    2022-10-17
    泛光照明工程是什么?应用范围有哪些?

    消防应急灯的寿命有多长?一般可以使用多长时间?

    对于消防应急灯的使用寿命相信很多人都想了解这个问题,因为消防应急灯安装了就不需要时时刻刻盯着,这需要定时检查就可以了,但是很多人都不知道消防应急灯的寿命有多长,不...
    2022-05-21
    消防应急灯的寿命有多长?一般可以使用多长时间?

    快投派智能无线投屏器,让无线互联更加简单便捷

    没有WiFi的情况下可以进行无线投屏吗? 长期使用投屏功能的人,或多或少都知道自己的手机可以通过【无线投屏】【屏幕镜像】功能,直接连接到智能电视或无线投屏器,下意识地认...
    2022-05-11
    快投派智能无线投屏器,让无线互联更加简单便捷

    广场照明的设计技巧

    广场照明设计 主要包括休闲广场、集会活动广场、商业广场的照明设计。 1)休闲广场。主要是为人们提供休息、社交和举行小型文化娱乐活动的地方,由于人们活动方式不同,有些区...
    2022-07-15

    网站栏目