工業(yè)控制系統(tǒng)信息安全防護體系探究論文

　　1當前信息安全挑戰(zhàn)

　　工業(yè)以太網(wǎng)技術(shù)由于開放、靈活、高效、透明、標準化等特點，越來越多的在工控控制系統(tǒng)中得到廣泛應(yīng)用。隨著“兩化融合”和物聯(lián)網(wǎng)的普及，越來越多的信息技術(shù)應(yīng)用到了工業(yè)領(lǐng)域。目前，超過80%涉及國計民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實現(xiàn)自動化控制作業(yè)，如：電力、水力、石化、交通運輸、航空航天等工業(yè)控制系統(tǒng)的安全也直接關(guān)系到國家的戰(zhàn)略安全。2010年10月發(fā)生在伊朗核電站的“震網(wǎng)”（Stuxnet）病毒，為工業(yè)控制系統(tǒng)的信息安全敲響了警鐘。最近幾年，針對工業(yè)控制系統(tǒng)的信息安全攻擊事件成百倍的增長，引發(fā)了國家相關(guān)管理部門和企業(yè)用戶的高度重視。今年國家發(fā)改委公布的《2013年國家信息安全專項有關(guān)事項的通知》中，強調(diào)工業(yè)控制系統(tǒng)信息安全是國家重點支持的四大領(lǐng)域之一。2011年工信部451號文件《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》中更明確指出，有關(guān)國家大型企業(yè)要慎重選擇工業(yè)控制系統(tǒng)設(shè)備，確保產(chǎn)品安全可控�，F(xiàn)在，國內(nèi)大型企業(yè)都把工業(yè)控制系統(tǒng)安全防護建設(shè)提上了日程。如何應(yīng)對工業(yè)控制系統(tǒng)的信息安全，是我們在新形勢下面臨的迫在眉睫需要解決的現(xiàn)實問題。

　　2企業(yè)信息安全現(xiàn)狀

　　目前，雖然國家和行業(yè)主管部門、國內(nèi)企業(yè)集團等都開始重視工業(yè)控制系統(tǒng)的信息安全問題，并開始研究相應(yīng)的對策，但還面臨很多現(xiàn)實問題：

　　（1）信息安全專責的缺失：國內(nèi)信息安全專門型人才比較缺失，很多企業(yè)甚至沒有專門負責信息安全的專員；

　�。�2）制度形式化：規(guī)范的管理制度作為工業(yè)控制系統(tǒng)信息安全的第一道“防火墻”，可以有效的防范最基礎(chǔ)的安全隱患，可是很多企業(yè)的管理制度并沒有真正落到實處，導致威脅工控系統(tǒng)信息安全的隱患長驅(qū)直入、如入無人之境進入企業(yè)系統(tǒng)內(nèi)；

　�。�3）安全生產(chǎn)的矛盾現(xiàn)狀：保證工業(yè)企業(yè)安全生產(chǎn)和正常運營是企業(yè)的首要目標，而信息安全的解決方案部署又會影響到企業(yè)的正常運營。因此，部分企業(yè)消極應(yīng)對信息安全的部署。

　　3常見的信息安全解決方案

　　面對工業(yè)控制系統(tǒng)的信息安全現(xiàn)狀，很多信息安全解決方案提供商提出了各自的安全策略，強調(diào)的是“自上而下”、注重“監(jiān)管”和“隔離”的安全策略。由于企業(yè)內(nèi)部產(chǎn)品、設(shè)備或資產(chǎn)繁多，產(chǎn)品供應(yīng)商較多，“監(jiān)管”系統(tǒng)無法“監(jiān)視和管理”企業(yè)內(nèi)部龐大的設(shè)備或資產(chǎn)，導致部分系統(tǒng)依然存在信息安全隱患。同時，這些解決方案部署時又面臨投資比較大，定制化程度比較高等缺點。有的企業(yè)通過在企業(yè)系統(tǒng)內(nèi)部部署“橫向分層、縱向分域、區(qū)域分等級”的安全策略，構(gòu)建“三層架構(gòu)，二層防護”的安全體系。這些解決方案又面臨著“安全區(qū)域”較大，無法避免系統(tǒng)內(nèi)部設(shè)備自身“帶病上崗”的現(xiàn)象發(fā)生。如何在企業(yè)內(nèi)部高效部署信息安全解決方案，同時又不影響系統(tǒng)的正常運行，不增加企業(yè)的負擔，同時又不增加將來企業(yè)維護人員的工作量，降低對維護人員的能力等的過渡依賴，是企業(yè)部署信息安全解決方案時面臨的現(xiàn)實問題。

　　4符合國情的信息安全解決方案

　　針對這種現(xiàn)狀，施耐德電氣將原來“從上到下”的防御策略逐步完善為符合中國客戶實際應(yīng)用的、倡導以設(shè)備級防護優(yōu)先，兼顧系統(tǒng)級和管理級防護的“自下而上”的三級縱深防御策略。其中，設(shè)備級防護是整個安全防護策略的核心和基礎(chǔ)。

　　4.1設(shè)備級防護

　　企業(yè)內(nèi)部的系統(tǒng)從管理層、制造執(zhí)行層到工業(yè)控制層都是由不同的資產(chǎn)或者設(shè)備組成的，如果每個單體資產(chǎn)或者設(shè)備符合信息安全要求，做到防范基本的信息安全隱患。這些資產(chǎn)或者設(shè)備集成到企業(yè)系統(tǒng)中就可以避免“帶病上崗”的現(xiàn)象，作為信息安全防護體系的最后一道“防火墻”可以有效的防范針對這些設(shè)備或資產(chǎn)的各種安全威脅。施耐德電氣作為一家具有高度社會責任感的企業(yè)，積極推進構(gòu)建安全、可靠的工業(yè)控制系統(tǒng)信息安全，率先在工業(yè)控制設(shè)備集成信息安全防護體系：

　�。�1）集成信息安全防護體系的昆騰PLC產(chǎn)品率先通過了國家權(quán)威信息安全測評機構(gòu)的雙重產(chǎn)品安全性檢測，成為首家也是目前唯一通過并獲得此類檢測認可的PLC產(chǎn)品。在企業(yè)內(nèi)已經(jīng)運行的昆騰PLC可以通過升級固件的方式達到信息安全要求，大大的減少了企業(yè)在部署信息安全過程中的資金投入，還可以減少對技術(shù)人員技能的要求；

　　（2）SCADAPack控制器內(nèi)嵌的增強型安全性套件：IEEE1711加密和IEC62351認證以及時標等安全功能，最大化系統(tǒng)的安全性，確保遠程通信鏈路不被惡意或其他通信網(wǎng)絡(luò)干擾破壞，有效的提升了信息安全功能；

　�。�3）針對所有的控制系統(tǒng)還可以采用軟件安全屬性的輔助設(shè)置功能，如增加訪問控制功能、增加審計和日志信息、增加用戶認證和操作、采用增強型密碼等措施，增強和加固工業(yè)控制系統(tǒng)的信息安全功能。

　　4.2系統(tǒng)級防護

　　主要是通過優(yōu)化和重建系統(tǒng)架構(gòu)，提升控制系統(tǒng)網(wǎng)絡(luò)的可靠性和可用性，保證企業(yè)系統(tǒng)的“橫向”、“縱向”、“區(qū)域”間數(shù)據(jù)交互的安全性。

　�。�1）施耐德電氣的ConneXium系列工業(yè)級以太網(wǎng)交換機的MAC的地址綁定、VLAN區(qū)域劃分、數(shù)據(jù)包過濾、減少網(wǎng)絡(luò)風暴等影響保證了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的可靠性和安全性；

　�。�2）ConneXium系列工業(yè)級防火墻產(chǎn)品可實現(xiàn)針對通用網(wǎng)絡(luò)服務(wù)、OPC通訊服務(wù)的安全防護之外，還可實現(xiàn)所有工業(yè)以太網(wǎng)協(xié)議的協(xié)議包解析，有效的防范了威脅工業(yè)控制系統(tǒng)的安全隱患。同時，軟件內(nèi)置的針對施耐德電氣所有PLC系列的安全策略組件以及模板模式大大增強了產(chǎn)品的可用性。

　　4.3管理級防護

　　主要是通過規(guī)范規(guī)章制度、完善用戶授權(quán)、角色、職責和行為的界定，避免潛在威脅的影響，減緩系統(tǒng)影響產(chǎn)生的后果。完善入侵檢測和防護系統(tǒng)，完善審計和日志信息，并加強管理。有效的提升控制系統(tǒng)的整體信息安全水平。今年，施耐德電氣作為第一家與中國電力集團就工業(yè)控制系統(tǒng)信息安全合作的企業(yè)，成功的將三級縱深防御體系應(yīng)用于其下屬企業(yè)的信息安全整改具體實踐中，取得良好效果并獲得用戶認可。作為工業(yè)控制系統(tǒng)信息安全解決方案提供商領(lǐng)先者，施耐德電氣一直致力于為客戶提供安全、可靠的信息安全解決方案，并在國家相關(guān)管理部門的指導下，積極倡導并提升自身產(chǎn)品的安全功能，并協(xié)助中國客戶進一步提升工業(yè)控制領(lǐng)域的信息安全防護水平，確保國家關(guān)鍵基礎(chǔ)設(shè)施和重點工業(yè)領(lǐng)域的信息安全。”

【工業(yè)控制系統(tǒng)信息安全防護體系探究論文】相關(guān)文章：

計算機信息安全技術(shù)及防護探究論文10-02

電子信息的安全防護工作探究論文10-16

廣播發(fā)送平臺信息安全防護體系探討論文10-19

計算機網(wǎng)絡(luò)信息管理及安全防護探究論文06-09

關(guān)于工業(yè)自動化中直接數(shù)字控制系統(tǒng)探究論文06-16

電力企業(yè)安全培訓管理體系探究論文08-31

智能電網(wǎng)信息安全防護建設(shè)初探論文10-16

數(shù)字檔案信息安全管理原則探究論文08-16

淺談計算機信息安全技術(shù)及防護措施論文10-26

中職學校信息安全技術(shù)教育現(xiàn)狀探究的論文05-04