工業(yè)控制系統信息安全防護體系探究論文

　　1當前信息安全挑戰

　　工業(yè)以太網(wǎng)技術(shù)由于開(kāi)放、靈活、高效、透明、標準化等特點(diǎn)，越來(lái)越多的在工控控制系統中得到廣泛應用。隨著(zhù)“兩化融合”和物聯(lián)網(wǎng)的普及，越來(lái)越多的信息技術(shù)應用到了工業(yè)領(lǐng)域。目前，超過(guò)80%涉及國計民生的關(guān)鍵基礎設施依靠工業(yè)控制系統來(lái)實(shí)現自動(dòng)化控制作業(yè)，如：電力、水力、石化、交通運輸、航空航天等工業(yè)控制系統的安全也直接關(guān)系到國家的戰略安全。2010年10月發(fā)生在伊朗核電站的“震網(wǎng)”（Stuxnet）病毒，為工業(yè)控制系統的信息安全敲響了警鐘。最近幾年，針對工業(yè)控制系統的信息安全攻擊事件成百倍的增長(cháng)，引發(fā)了國家相關(guān)管理部門(mén)和企業(yè)用戶(hù)的高度重視。今年國家發(fā)改委公布的《2013年國家信息安全專(zhuān)項有關(guān)事項的通知》中，強調工業(yè)控制系統信息安全是國家重點(diǎn)支持的四大領(lǐng)域之一。2011年工信部451號文件《關(guān)于加強工業(yè)控制系統信息安全管理的通知》中更明確指出，有關(guān)國家大型企業(yè)要慎重選擇工業(yè)控制系統設備，確保產(chǎn)品安全可控�，F在，國內大型企業(yè)都把工業(yè)控制系統安全防護建設提上了日程。如何應對工業(yè)控制系統的信息安全，是我們在新形勢下面臨的迫在眉睫需要解決的現實(shí)問(wèn)題。

　　2企業(yè)信息安全現狀

　　目前，雖然國家和行業(yè)主管部門(mén)、國內企業(yè)集團等都開(kāi)始重視工業(yè)控制系統的信息安全問(wèn)題，并開(kāi)始研究相應的對策，但還面臨很多現實(shí)問(wèn)題：

　�。�1）信息安全專(zhuān)責的缺失：國內信息安全專(zhuān)門(mén)型人才比較缺失，很多企業(yè)甚至沒(méi)有專(zhuān)門(mén)負責信息安全的專(zhuān)員；

　�。�2）制度形式化：規范的管理制度作為工業(yè)控制系統信息安全的第一道“防火墻”，可以有效的防范最基礎的安全隱患，可是很多企業(yè)的管理制度并沒(méi)有真正落到實(shí)處，導致威脅工控系統信息安全的隱患長(cháng)驅直入、如入無(wú)人之境進(jìn)入企業(yè)系統內；

　�。�3）安全生產(chǎn)的矛盾現狀：保證工業(yè)企業(yè)安全生產(chǎn)和正常運營(yíng)是企業(yè)的首要目標，而信息安全的解決方案部署又會(huì )影響到企業(yè)的正常運營(yíng)。因此，部分企業(yè)消極應對信息安全的部署。

　　3常見(jiàn)的信息安全解決方案

　　面對工業(yè)控制系統的信息安全現狀，很多信息安全解決方案提供商提出了各自的安全策略，強調的是“自上而下”、注重“監管”和“隔離”的安全策略。由于企業(yè)內部產(chǎn)品、設備或資產(chǎn)繁多，產(chǎn)品供應商較多，“監管”系統無(wú)法“監視和管理”企業(yè)內部龐大的設備或資產(chǎn)，導致部分系統依然存在信息安全隱患。同時(shí)，這些解決方案部署時(shí)又面臨投資比較大，定制化程度比較高等缺點(diǎn)。有的企業(yè)通過(guò)在企業(yè)系統內部部署“橫向分層、縱向分域、區域分等級”的安全策略，構建“三層架構，二層防護”的安全體系。這些解決方案又面臨著(zhù)“安全區域”較大，無(wú)法避免系統內部設備自身“帶病上崗”的現象發(fā)生。如何在企業(yè)內部高效部署信息安全解決方案，同時(shí)又不影響系統的正常運行，不增加企業(yè)的負擔，同時(shí)又不增加將來(lái)企業(yè)維護人員的工作量，降低對維護人員的能力等的過(guò)渡依賴(lài)，是企業(yè)部署信息安全解決方案時(shí)面臨的現實(shí)問(wèn)題。

　　4符合國情的信息安全解決方案

　　針對這種現狀，施耐德電氣將原來(lái)“從上到下”的防御策略逐步完善為符合中國客戶(hù)實(shí)際應用的、倡導以設備級防護優(yōu)先，兼顧系統級和管理級防護的“自下而上”的三級縱深防御策略。其中，設備級防護是整個(gè)安全防護策略的核心和基礎。

　　4.1設備級防護

　　企業(yè)內部的系統從管理層、制造執行層到工業(yè)控制層都是由不同的資產(chǎn)或者設備組成的，如果每個(gè)單體資產(chǎn)或者設備符合信息安全要求，做到防范基本的信息安全隱患。這些資產(chǎn)或者設備集成到企業(yè)系統中就可以避免“帶病上崗”的現象，作為信息安全防護體系的最后一道“防火墻”可以有效的防范針對這些設備或資產(chǎn)的各種安全威脅。施耐德電氣作為一家具有高度社會(huì )責任感的企業(yè)，積極推進(jìn)構建安全、可靠的工業(yè)控制系統信息安全，率先在工業(yè)控制設備集成信息安全防護體系：

　�。�1）集成信息安全防護體系的昆騰PLC產(chǎn)品率先通過(guò)了國家權威信息安全測評機構的雙重產(chǎn)品安全性檢測，成為首家也是目前唯一通過(guò)并獲得此類(lèi)檢測認可的PLC產(chǎn)品。在企業(yè)內已經(jīng)運行的昆騰PLC可以通過(guò)升級固件的方式達到信息安全要求，大大的減少了企業(yè)在部署信息安全過(guò)程中的資金投入，還可以減少對技術(shù)人員技能的要求；

　�。�2）SCADAPack控制器內嵌的增強型安全性套件：IEEE1711加密和IEC62351認證以及時(shí)標等安全功能，最大化系統的安全性，確保遠程通信鏈路不被惡意或其他通信網(wǎng)絡(luò )干擾破壞，有效的提升了信息安全功能；

　�。�3）針對所有的控制系統還可以采用軟件安全屬性的輔助設置功能，如增加訪(fǎng)問(wèn)控制功能、增加審計和日志信息、增加用戶(hù)認證和操作、采用增強型密碼等措施，增強和加固工業(yè)控制系統的信息安全功能。

　　4.2系統級防護

　　主要是通過(guò)優(yōu)化和重建系統架構，提升控制系統網(wǎng)絡(luò )的可靠性和可用性，保證企業(yè)系統的“橫向”、“縱向”、“區域”間數據交互的安全性。

　�。�1）施耐德電氣的ConneXium系列工業(yè)級以太網(wǎng)交換機的MAC的地址綁定、VLAN區域劃分、數據包過(guò)濾、減少網(wǎng)絡(luò )風(fēng)暴等影響保證了工業(yè)控制系統網(wǎng)絡(luò )的可靠性和安全性；

　�。�2）ConneXium系列工業(yè)級防火墻產(chǎn)品可實(shí)現針對通用網(wǎng)絡(luò )服務(wù)、OPC通訊服務(wù)的安全防護之外，還可實(shí)現所有工業(yè)以太網(wǎng)協(xié)議的協(xié)議包解析，有效的防范了威脅工業(yè)控制系統的安全隱患。同時(shí)，軟件內置的針對施耐德電氣所有PLC系列的安全策略組件以及模板模式大大增強了產(chǎn)品的可用性。

　　4.3管理級防護

　　主要是通過(guò)規范規章制度、完善用戶(hù)授權、角色、職責和行為的界定，避免潛在威脅的影響，減緩系統影響產(chǎn)生的后果。完善入侵檢測和防護系統，完善審計和日志信息，并加強管理。有效的提升控制系統的整體信息安全水平。今年，施耐德電氣作為第一家與中國電力集團就工業(yè)控制系統信息安全合作的企業(yè)，成功的將三級縱深防御體系應用于其下屬企業(yè)的信息安全整改具體實(shí)踐中，取得良好效果并獲得用戶(hù)認可。作為工業(yè)控制系統信息安全解決方案提供商領(lǐng)先者，施耐德電氣一直致力于為客戶(hù)提供安全、可靠的信息安全解決方案，并在國家相關(guān)管理部門(mén)的指導下，積極倡導并提升自身產(chǎn)品的安全功能，并協(xié)助中國客戶(hù)進(jìn)一步提升工業(yè)控制領(lǐng)域的信息安全防護水平，確保國家關(guān)鍵基礎設施和重點(diǎn)工業(yè)領(lǐng)域的信息安全�！�

【工業(yè)控制系統信息安全防護體系探究論文】相關(guān)文章：

計算機信息安全技術(shù)及防護探究論文10-02

電子信息的安全防護工作探究論文10-16

廣播發(fā)送平臺信息安全防護體系探討論文10-19

計算機網(wǎng)絡(luò )信息管理及安全防護探究論文06-09

關(guān)于工業(yè)自動(dòng)化中直接數字控制系統探究論文06-16

電力企業(yè)安全培訓管理體系探究論文08-31

智能電網(wǎng)信息安全防護建設初探論文10-16

數字檔案信息安全管理原則探究論文08-16

淺談?dòng)嬎銠C信息安全技術(shù)及防護措施論文10-26

中職學(xué)校信息安全技術(shù)教育現狀探究的論文05-04