由于信息安全呈現(xiàn)出的重要性和復(fù)雜性,工業(yè)信息安全已成為企業(yè)、政府機(jī)構(gòu)關(guān)注的重要問題拨与,甚至上升為國家戰(zhàn)略哩治。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱或者甚至幾乎沒有隔離功能秃踩,工控系統(tǒng)的安全隱患問題日益嚴(yán)峻。系統(tǒng)中任何一點(diǎn)受到攻擊都有可能導(dǎo)致整個系統(tǒng)的癱瘓业筏。面對這種新局面憔杨,我們是如何保障工業(yè)信息安全的呢?下面介紹幾點(diǎn)眾誠智庫給出的應(yīng)對措施驾孔。
眾誠智庫認(rèn)為:“縱深防御”策略是提高工業(yè)控制系統(tǒng)信息安全的最佳選擇芍秆。建立“縱深防御”的最有效方法是將網(wǎng)絡(luò)劃分為不同的安全區(qū),在安全區(qū)之間按照一定規(guī)則安裝防火墻翠勉。眾誠智庫認(rèn)為按照“縱深防御”原則工業(yè)控制系統(tǒng)信息安全的實(shí)現(xiàn)宏觀上應(yīng)做如下調(diào)控:工業(yè)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)及安全區(qū)域的劃分從總體結(jié)構(gòu)上來講妖啥,工業(yè)系統(tǒng)網(wǎng)絡(luò)可分為三個層次:企業(yè)管理層、數(shù)據(jù)采集信息層和控制層对碌。每一個不同的安全漏洞都會導(dǎo)致不同的后果荆虱,所以將它們單獨(dú)隔離防護(hù)十分必要。對于額外有要求的部分朽们,可在主安全區(qū)進(jìn)一步劃分子區(qū)怀读。這樣一旦發(fā)生信息安全事故,就能大大提高工廠生產(chǎn)安全運(yùn)行的可靠性骑脱,同時降低由此帶來的其他風(fēng)險及清除費(fèi)用菜枷。將企業(yè)系統(tǒng)結(jié)構(gòu)劃分成不同的區(qū)域可以幫助企業(yè)有效地建立“縱深防御”策略。眾誠智庫本著縱深防御原則在工業(yè)控制系統(tǒng)信息安全方面采取如下措施:
1叁丧、企業(yè)管理層和數(shù)據(jù)采集監(jiān)控層之間的安全防護(hù)啤誊。在企業(yè)管理層和數(shù)據(jù)采集監(jiān)控層之間加入防火墻,一方面加強(qiáng)了網(wǎng)絡(luò)的區(qū)域劃分拥娄,更重要的是它只允許兩個網(wǎng)絡(luò)之間合法的數(shù)據(jù)交換蚊锹,阻擋企業(yè)管理層對數(shù)采監(jiān)控層的未經(jīng)授權(quán)的非法訪問,同時也防止了管理層網(wǎng)絡(luò)的病毒感染擴(kuò)散到數(shù)據(jù)采集網(wǎng)絡(luò)稚瘾∧道ィ考慮到企業(yè)管理層一般采用通用以太網(wǎng),對通訊速率和帶寬要求較高等因素摊欠,建議使用常規(guī)的IT防火墻來實(shí)現(xiàn)安全防護(hù)丢烘。
2、數(shù)據(jù)采集監(jiān)控層和控制層之間的安全防護(hù)些椒。在數(shù)據(jù)采集監(jiān)控層和控制層之間應(yīng)安裝專業(yè)的工業(yè)防火墻铅协,解決OPC通訊采用動態(tài)端口帶來的安全防護(hù)瓶頸問題,阻止病毒和任何其它的非法訪問摊沉,這樣來自防護(hù)區(qū)域內(nèi)的病毒感染就不能擴(kuò)散到其他網(wǎng)絡(luò)狐史,提升了網(wǎng)絡(luò)區(qū)域劃分能力的同時,也從本質(zhì)上保證了網(wǎng)絡(luò)通訊安全。
3骏全、保護(hù)關(guān)鍵控制器苍柏。對關(guān)鍵的控制器的保護(hù)應(yīng)使用專業(yè)的工業(yè)防火墻。一方面對防火墻進(jìn)行規(guī)則組態(tài)時只允許制造商專有協(xié)議通過姜贡,阻擋來自操作站的任何非法訪問试吁;另一方面可以對網(wǎng)絡(luò)通訊流量進(jìn)行管控,可以指定只有某個專有操作站才能訪問指定的控制器楼咳;第三方面可以管控局部網(wǎng)絡(luò)的通訊速率熄捍,防止控制器遭受網(wǎng)絡(luò)風(fēng)暴及其它攻擊的影響,從而可避免控制器死機(jī)母怜。
4余耽、隔離工程師站,考慮到工程師站和APC節(jié)點(diǎn)在項(xiàng)目實(shí)施階段通常需要接入第三方設(shè)備苹熏,而且是在整個控制系統(tǒng)運(yùn)行的情況下實(shí)施碟贾,因此受到病毒攻擊和入侵的概率很大,存在較高的安全隱患轨域。在工程師站和 APC 先控站前端增加工業(yè)防火墻袱耽,可以將工程師站和 APC 節(jié)點(diǎn)單獨(dú)隔離,防止病毒擴(kuò)散干发,以保證網(wǎng)絡(luò)的通訊安全朱巨。
5、和第三方控制系統(tǒng)之間的安全防護(hù)枉长,使用工業(yè)防火墻將 SIS 安全儀表系統(tǒng)等第三方控制系統(tǒng)和網(wǎng)絡(luò)進(jìn)行隔離蔬崩。
工業(yè)控制系統(tǒng)信息安全問題已迫在眉睫,以上是眾誠智庫針對企業(yè)流程工業(yè)的特點(diǎn)搀暑,同時結(jié)合工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和安全需求,提出的工業(yè)控制系統(tǒng)信息安全的縱深防御策略跨琳。它將工業(yè)系統(tǒng)網(wǎng)絡(luò)劃分為不同的安全區(qū)域自点,在區(qū)域之間執(zhí)行管道通信,從而通過管控管道中的通信內(nèi)容脉让,來實(shí)現(xiàn)全方位地保障工業(yè)控制系統(tǒng)信息安全桂敛。
