今日頭條
官方微信
官方抖音
資訊頻道 
西門子中國研究院信息安全專家
胡建鈞
工業(yè)控制系統(tǒng)安全需求分析
要研究工業(yè)控制系統(tǒng)信息安全問題,首先要了解工業(yè)控制系統(tǒng)的安全需求,即我們要構建一個怎樣的系統(tǒng)。信息安全工作需要有一個適度安全的原則,我們不可能無限度的投入資源、資金、人力來保障安全,因為安全防護畢竟會給我們的生產帶來一些不便利性,會增加投資,那如何在滿足安全需求的同時,以最少的成本達到最大的保護,這是我們需求探討的內容。
從需求層面上來講,ICS的安全脆弱性首先體現在策略與流程上,企業(yè)普遍缺乏ICS的安全培訓與意識培養(yǎng),缺乏安全架構與設計,缺乏根據安全策略制定的,正規(guī)、可備案的安全流程,缺乏ICS設備安全部署的實施指南,缺乏ICS的安全審計,缺乏針對ICS的業(yè)務連續(xù)性與災難恢復計劃,缺乏針對ICS配置變更管理。工業(yè)信息安全是一個復雜的系統(tǒng)工程,不僅涉及到技術、產品、系統(tǒng),更取決于企業(yè)的安全管理的水平
其次,體現在平臺上。長期以來,信息安全不是工業(yè)控制系統(tǒng)的主要設計目標,平臺配置、軟件、硬件的脆弱性及惡意軟件的脆弱性都顯而易見。
再次,是ICS網絡的脆弱性。工業(yè)控制網絡越來越多地采用開放、互聯技術,使得安全攻擊成為可能 ,主要體現在網絡配置、硬件、邊界、監(jiān)控與日志、通信的脆弱性以及無線連接的脆弱性。工業(yè)控制場景下的安全解決方案必須考慮所有層次的安全防護,基本上安全防火墻包括三個層面:一工廠安全,包括對未經授權的人員阻止其訪問、物理上防止對關鍵部件的訪問;二工廠IT安全,包括采用防火墻等技術對辦公網與自動化控制網絡之間的接口進行控制,進一步對自動化控制網絡進行分區(qū)與隔離,部署反病毒措施,并在軟件中采用白名單機制,定義維護與更新的流程;三訪問控制,包括對自動化控制設備與網絡操作員進行認證;在自動化控制組件中集成訪問控制機制。
工業(yè)信息安全關鍵需求包括:開展工業(yè)安全風險評估,建設全面的信息安全管理 ;實現安全域的劃分與隔離,網絡接口遵從清晰的安全規(guī)范;部署集成安全措施的保護基于PC的控制系統(tǒng);保護ICS控制級,防御安全攻擊;實現對ICS通信的可感知與可控制。西門子工業(yè)安全理念涉及上述5個關鍵需求領域,覆蓋了工業(yè)控制系統(tǒng)的所有級別。
工業(yè)信息安全解決方案:縱深防御
了解了需求,對于解決方案我們建議建立工業(yè)網絡縱深防御。建設縱深防御體系需要幾個階段:第一階段:評估,即風險評估;第二階段:規(guī)劃,安全規(guī)劃;第三階段:執(zhí)行,即按照縱深防御理念構建安全防護體系,包括網絡分區(qū)與隔離、訪問控制、系統(tǒng)加固、補丁管理等;第四階段:改進,即持續(xù)改進的安全管理。
西門子的縱深防御的安全架構PROFINET Security包含多個層次:
保證自動化工廠的物理安全
建立安全策略與流程
進行網絡分區(qū)與(控制單元間的)邊界防護
建立安全的單元間通信
系統(tǒng)加固與補丁管理
惡意軟件的檢測與防護
訪問控制與賬號管理
記錄設備訪問日志,并進行必要的審計
簡而言之,就是要確保只有絕對必要的人員才能在物理上接觸到關鍵工控系統(tǒng),將工控設備在網絡上與其他不必要相聯的系統(tǒng)斷開,維護防火墻的完整性,堅持打上最新的軟件安全補丁,等等。
西門子將向客戶提供全面的工業(yè)控制系統(tǒng)信息安全支持,包括產品、系統(tǒng)、解決方案,以及專業(yè)的咨詢服務。
與此同時,西門子還在全球的重點國家建立了安全專家網絡。目前,西門子安全網絡的中心設立在德國,并在美國、中國、俄羅斯、法國建立了分支,并計劃在英國、印度設立另外兩個分支。西門子安全專家職責是第一時間掌握安全漏洞與網絡攻擊的相關信息,與本地客戶、工業(yè)合作伙伴、以及政府權威機構密切合作,共同分析問題,控制問題的影響范圍,盡快提供相應的解決方案。
摘自《自動化博覽》2013年1期
北京市公安局海淀分局備案號:11010802023656號