工業控制系統信息安全防護體系探究論文

工業控制系統信息安全防護體系探究論文

　　1當前信息安全挑戰

　　工業以太網技術由于開放、靈活、高效、透明、標準化等特點，越來越多的在工控控制系統中得到廣泛應用。隨著“兩化融合”和物聯網的普及，越來越多的信息技術應用到了工業領域。目前，超過80%涉及國計民生的關鍵基礎設施依靠工業控制系統來實現自動化控制作業，如：電力、水力、石化、交通運輸、航空航天等工業控制系統的安全也直接關系到國家的戰略安全。2010年10月發生在伊朗核電站的“震網”（Stuxnet）病毒，為工業控制系統的信息安全敲響了警鐘。最近幾年，針對工業控制系統的信息安全攻擊事件成百倍的增長，引發了國家相關管理部門和企業用戶的高度重視。今年國家發改委公布的《2013年國家信息安全專項有關事項的通知》中，強調工業控制系統信息安全是國家重點支持的四大領域之一。2011年工信部451號文件《關于加強工業控制系統信息安全管理的通知》中更明確指出，有關國家大型企業要慎重選擇工業控制系統設備，確保產品安全可控。現在，國內大型企業都把工業控制系統安全防護建設提上了日程。如何應對工業控制系統的信息安全，是我們在新形勢下面臨的迫在眉睫需要解決的現實問題。

　　2企業信息安全現狀

　　目前，雖然國家和行業主管部門、國內企業集團等都開始重視工業控制系統的信息安全問題，并開始研究相應的對策，但還面臨很多現實問題：

　　（1）信息安全專責的缺失：國內信息安全專門型人才比較缺失，很多企業甚至沒有專門負責信息安全的專員；

　　（2）制度形式化：規范的管理制度作為工業控制系統信息安全的第一道“防火墻”，可以有效的防范最基礎的安全隱患，可是很多企業的管理制度并沒有真正落到實處，導致威脅工控系統信息安全的隱患長驅直入、如入無人之境進入企業系統內；

　　（3）安全生產的矛盾現狀：保證工業企業安全生產和正常運營是企業的首要目標，而信息安全的解決方案部署又會影響到企業的正常運營。因此，部分企業消極應對信息安全的部署。

　　3常見的信息安全解決方案

　　面對工業控制系統的信息安全現狀，很多信息安全解決方案提供商提出了各自的安全策略，強調的是“自上而下”、注重“監管”和“隔離”的安全策略。由于企業內部產品、設備或資產繁多，產品供應商較多，“監管”系統無法“監視和管理”企業內部龐大的設備或資產，導致部分系統依然存在信息安全隱患。同時，這些解決方案部署時又面臨投資比較大，定制化程度比較高等缺點。有的企業通過在企業系統內部部署“橫向分層、縱向分域、區域分等級”的安全策略，構建“三層架構，二層防護”的安全體系。這些解決方案又面臨著“安全區域”較大，無法避免系統內部設備自身“帶病上崗”的現象發生。如何在企業內部高效部署信息安全解決方案，同時又不影響系統的正常運行，不增加企業的負擔，同時又不增加將來企業維護人員的工作量，降低對維護人員的能力等的過渡依賴，是企業部署信息安全解決方案時面臨的現實問題。

　　4符合國情的信息安全解決方案

　　針對這種現狀，施耐德電氣將原來“從上到下”的防御策略逐步完善為符合中國客戶實際應用的、倡導以設備級防護優先，兼顧系統級和管理級防護的“自下而上”的三級縱深防御策略。其中，設備級防護是整個安全防護策略的核心和基礎。

　　4.1設備級防護

　　企業內部的系統從管理層、制造執行層到工業控制層都是由不同的資產或者設備組成的，如果每個單體資產或者設備符合信息安全要求，做到防范基本的信息安全隱患。這些資產或者設備集成到企業系統中就可以避免“帶病上崗”的現象，作為信息安全防護體系的最后一道“防火墻”可以有效的防范針對這些設備或資產的各種安全威脅。施耐德電氣作為一家具有高度社會責任感的企業，積極推進構建安全、可靠的工業控制系統信息安全，率先在工業控制設備集成信息安全防護體系：

　　（1）集成信息安全防護體系的昆騰PLC產品率先通過了國家權威信息安全測評機構的雙重產品安全性檢測，成為首家也是目前唯一通過并獲得此類檢測認可的PLC產品。在企業內已經運行的昆騰PLC可以通過升級固件的方式達到信息安全要求，大大的減少了企業在部署信息安全過程中的資金投入，還可以減少對技術人員技能的要求；

　　（2）SCADAPack控制器內嵌的增強型安全性套件：IEEE1711加密和IEC62351認證以及時標等安全功能，最大化系統的安全性，確保遠程通信鏈路不被惡意或其他通信網絡干擾破壞，有效的提升了信息安全功能；

　　（3）針對所有的控制系統還可以采用軟件安全屬性的輔助設置功能，如增加訪問控制功能、增加審計和日志信息、增加用戶認證和操作、采用增強型密碼等措施，增強和加固工業控制系統的信息安全功能。

　　4.2系統級防護

　　主要是通過優化和重建系統架構，提升控制系統網絡的可靠性和可用性，保證企業系統的“橫向”、“縱向”、“區域”間數據交互的安全性。

　　（1）施耐德電氣的ConneXium系列工業級以太網交換機的MAC的地址綁定、VLAN區域劃分、數據包過濾、減少網絡風暴等影響保證了工業控制系統網絡的可靠性和安全性；

　　（2）ConneXium系列工業級防火墻產品可實現針對通用網絡服務、OPC通訊服務的安全防護之外，還可實現所有工業以太網協議的協議包解析，有效的防范了威脅工業控制系統的安全隱患。同時，軟件內置的針對施耐德電氣所有PLC系列的安全策略組件以及模板模式大大增強了產品的可用性。

　　4.3管理級防護

　　主要是通過規范規章制度、完善用戶授權、角色、職責和行為的界定，避免潛在威脅的影響，減緩系統影響產生的后果。完善入侵檢測和防護系統，完善審計和日志信息，并加強管理。有效的提升控制系統的整體信息安全水平。今年，施耐德電氣作為第一家與中國電力集團就工業控制系統信息安全合作的企業，成功的將三級縱深防御體系應用于其下屬企業的信息安全整改具體實踐中，取得良好效果并獲得用戶認可。作為工業控制系統信息安全解決方案提供商領先者，施耐德電氣一直致力于為客戶提供安全、可靠的信息安全解決方案，并在國家相關管理部門的指導下，積極倡導并提升自身產品的安全功能，并協助中國客戶進一步提升工業控制領域的信息安全防護水平，確保國家關鍵基礎設施和重點工業領域的信息安全。”

【工業控制系統信息安全防護體系探究論文】相關文章：

計算機信息安全技術及防護探究論文10-02

電子信息的安全防護工作探究論文10-16

廣播發送平臺信息安全防護體系探討論文10-19

計算機網絡信息管理及安全防護探究論文06-09

關于工業自動化中直接數字控制系統探究論文06-16

電力企業安全培訓管理體系探究論文08-31

智能電網信息安全防護建設初探論文10-16

數字檔案信息安全管理原則探究論文08-16

淺談計算機信息安全技術及防護措施論文10-26

中職學校信息安全技術教育現狀探究的論文05-04