随着工业通信技术在制造业中的普及,信息网络的建设已经成为工业基础设施中必不可少的一环。信息通信带来的好处显而易见:整个工业系统具有统一、灵活的控制平台,能够为使用者提供简明快捷、高效的自动化及信息控制解决方案,从而提高生产率,并减少总成本支出。
然而与应用方便相之而来的www.cechina.cn,则是信息安全事件的频繁发生。如病毒的侵犯,让许多疏于防范的工业控制系统发生不同程度的损伤,给用户带来了很大程度的损失。
与传统的IT信息安全不同,工业基础设施中的信息安全主要存在于工业控制系统中。可能存在的安全事件可能会导致:系统性能下降,影响系统可用性;关键控制数据被篡改或丧失;失去控制,从而造成基础设施有不同程度的损坏,造成严重的经济损失,还有可能给环境带来污染,甚至造成人员伤亡。
2012年1月9日,西门子在北京召开“工业基础设施信息安全研讨会”,西门子中国研究院信息安全部的唐文博士与几位用户代表、西门子工程人员以及部分媒体代表一同就工业中常见的信息安全问题进行了探讨。
唐文博士介绍说,工业基础设施领域在享受IT技术带来的益处同时CONTROL ENGINEERING China版权所有,针对工业控制网络的安全威胁也在与日俱增,设备/软件/应用的互联使得攻击能够很容易地借助于TCP/IP网扩展到其他系统,而这其中,应用层的安全成为了工业控制系统(ICS)的关键。
当今应用层也在很大程度上采用TCP/IP协议,并广泛采用标准的商用操作系统、设备、中间件与各种应用,很多地方都提供各种无线网络的接入,这种方式使得越来越多的工业控制网络正由封闭、私有转向开放、互联。也就是说,现在大多数工业网络都已经不是封闭的网络系统了,而是一个与办公网络充分互联的集成化网络。
“进行信息安全防护首先应该是观念的转变。”唐文博士建议:基于工业基础设施的现状,人们应该有意识地去建立信息安全防护的措施。工厂内的自动化设备技术人员应该与IT部门共同担负起自动化网络的运营,通过自动化与IT技术的充分结合,建立综合全面的安全防范解决方案。
另外www.cechina.cn,安全解决方案应当充分考虑工业应用场景的特点www.cechina.cn,如通信的不间断性、保护系统与数据的完整性、对生产的实时监控等。
“工业信息安全的保证要建立在管理人员的策略与流程管理上,要培养有意识的安全培训,制定正规、可备的安全策略和流程,确立正确的安全架构和设计,还要建立安全审计、配置变更管理。”
在会议的最后,唐文博士也给出了西门子在工业信息安全方面的解决方案——建立工业网络纵深防御:
第一阶段是进行安全规划,就是进行安全需求分析、进行安全规划体系设计,然后运行安全规划体系。
第二阶段是风险评估,识别核心资产和价值,然后识别资产脆弱性、威胁和风险来源,量化分析威胁的影响和防范措施的成本。
第三阶段是网络分区与隔离www.cechina.cn,访问控制,系统加固、补丁管理等;第四阶段是持续改进的安全管理。
“工业信息安全不是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术以及产品等各方面的系统工程。”唐文博士表示,工业信息安全需要工控系统的管理方、运营方、集成商与组件提供商的共同参与、协同工作。“工业信息安全的防范不是一时之功,是一个动态过程,更需要所有的参与者在整个工业基础设施生命周期的各个阶段中持续实施、不断改进。”