施耐德電氣(中國)有限公司 王斌
企業內部系統分為信息技術和工業控制系統。信息技術包含ERP,SIS系統,要求優先級最高的是機密性。工業控制系統包括設備級產品、控制級產品和網絡級產品,包括SCADA軟件以及MES制造執行系統。在工業控制系統里面,對于信息安全一個最重要的要求是可運行性。雖然在企業內部我們都在談信息安全,其實對于信息系統的信息安全要求和工業控制系統的信息安全要求是不一樣的。對于企業而言,我們不僅要關注解決方案的具體內容,更要關注解決方案能否部署。如果在部署的過程中會給企業增加負擔或需要投入大量的成本,那么這種解決方案也許并不能滿足企業對信息安全的要求,甚至會對企業將來對信息安全的部署和整改帶來負面的影響。
圖1 工業控制系統分層圖
“震網病毒”事件發生以后,我們要做到的不是簡單的防護,而是要做到最底層的防護?!皟苫诤稀焙汀拔锫摼W”普及增加了“信息安全”風險,越來越多的信息系統和工業控制系統進行互通,最終增加了工業信息系統信息安全的風險。
(1) 主要的信息安全威脅
? 人為失誤;
? 黑客行為;
? 信息戰;
? 自然災害、意外事故;
? 病毒、惡意軟件;
? 通訊和協議的缺陷等。
(2) 主要的信息安全缺陷
? 操作系統;
? 應用軟件;
? 網絡組件;
? 硬件設備/控制設備等。
常見行業的信息安全防護都只做到系統級的加強,缺點是信息安全漏洞和信息安全風險本身存在于上述的四類設備中。目前,我們只做到了系統級防護,所以并沒有從根本上解決存在信息安全漏洞和風險的設備的信息安全問題。
圖2 軌道交通行業安全防護策略體系架構圖
圖3 電力行業安全防護策略體系架構圖
? 管理制度的落實,制約于人的因素;
? 工控設備數量繁雜;
? 安全區域過大;
? 無法對運行系統漏洞進行測評;
? 工控設備帶病上崗;
? 技術人員能力要求較高;
? 企業投入過大。
施耐德電氣提出了專門的信息安全解決方案,更強調在信息安全的解決方案里,設備級的解決方案和防護,在此基礎上輔助系統級的增強和管理級的軟件補充,由此搭建一個完整的信息安全解決方案和完善的信息安全防護體系。
(1)方案說明
提升每個單體設備的信息安全能力。
(2)設備類型
? PLC;
? 以太網交換機;
? SCADA軟件;
? 操作系統;
? 現場儀表;
? 執行機構。
(3)設備級解決方案
? 唯一一家通過國際和國內相關認證的廠家;
? 唯一一家通過國內權威信息安全測評部門的檢測;
? 唯一一家經過信息安全規?;渴鸬膶嶋H驗證;
? 唯一一家信息安全解決方案全國規?;茝V的企業;
? 唯一通過現場驗證和行業主管部門審核的解決方案文檔;
? 2013年起銷售的PLC產品符合國際和國家信息安全要求。
(1)方案說明
修改控制系統架構,增強控制系統的信息安全功能。
(2)防護策略
? 安全計劃;
? 網絡分隔;
? 邊界保護;
? 網段分離;
? 安全設置;
? ……
(3)方案方法
? 全網絡評估,發現潛在的弱點;
? 修改網絡架構,避免網絡風險;
? 完善安全設置和安全規則;
? 建立應急處理措施。
(1)方案說明
? 規范管理;
? 完善安全策略;
? 增強控制系統的信息安全功能。
(2)方案方法
? 完善管理制度;
? 建立完善的IDS/IPS體系;
? 建立完善的資產管理系統;
? 建立和完善監控和日志體系;
? 完善軟件更新體系及變更追蹤;
? 安全策略管理和執行功能;
? 建立完善的數據備份和災難恢復。
從2012年開始,施耐德的控制類產品就已經具備了信息安全的基本的防護管理。所以企業在購買施耐德電氣的產品時,不需要針對設備做任何防護,既具備了基本的防護管理,設備組成系統后,也就具備了基本的信息安全防護能力。對于企業而言,我們可以減少企業在部署信息安全解決方案時的投資,如果企業在沒有能力部署系統級或管理級解決方案時,由于我們的設備級產品具備了基本的防護管理,這樣,企業就不用投入大量的人力和物力,就可以使企業的控制器滿足基本的防護要求,信息安全解決方案就很容易實現了。另一方面,由于施耐德電氣的控制類產品已經具備了基本的防護控制能力,不要求企業內部的技術人員再具備相應的能力和技術,也不會增加維護的工作量,不會給企業增加負擔。這就是施耐德電氣倡導的從設備級開始,輔助系統級、管理級搭建整個信息安全防護體系的解決方案。