技术的发展都会有两面性,就比如企业在享受网络互连所带来的种种便利的同时CONTROL ENGINEERING China版权所有,不得不面对病毒、木马、黑客等对系统带来的威胁。而工业控制领域也是如此,工控系统中通用协议和技术的广泛应用减弱了控制系统与外界的隔离,使系统的安全性时时遭受来自外界的考验。2011年发生的“震网”病毒事件揭开了工业信息安全问题的一角,近年来信息安全事件持续发酵。去年,国家发改委公布的《2013年国家信息安全专项有关事项的通知》中,强调工业控制系统信息安全是国家重点支持的四大领域之一,这也意味着打响工业信息安全的保卫战刻不容缓。
如何选择防御体系
纵观当前行业的发展,工业客户对于工业信息安全除了认知方面的不足,往往还面临人员缺失、制度形式化和生产与安全的矛盾冲突等一系列困境,而选用实际又实用的产品或解决方案,成为企业推进工业信息安全前行的第一步。
工业信息安全的实现是一个系统工程,多层次的防护是必要的策略。现在,业界多数主流供应商普遍采用的是“自上而下”的纵深防御体系,遵循安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大步骤,侧重于管理级、系统级安全功能的强化。“自上而下”的解决方案看似能实现企业信息安全,而在实施过程中却存在很多缺陷。首先,优先实现管理级、系统级的安全功能,需要企业投入大量资金进行软硬件设备的建设,不是所有的客户都有这样的实力或意愿进行投资。其次控制工程网版权所有,对于本身存在信息安全缺陷的工控设备来说,“自上而下”的防护只是一些外围防护措施,并没有从根源上消除信息安全的隐患,相关工控设备还处在“带病上岗”状态。其三,通常工业企业使用的工控设备类型多、数量庞大CONTROL ENGINEERING China版权所有,单纯依靠管理级、系统级的防护很难确保每一台单体设备的安全性。最后,企业现场的差异化,决定了管理级、系统级的信息安全解决方案定制化、私有化的程度非常高,不利于方案后续应用推广。所以“自上而下”实施信息安全防御策略解决方案,不能突出实用性和有效性。为此,市场上一种称之为“自下而上”的安全策略也应运而生。
“自下而上”的安全策略强调以设备级防护为基础,兼顾系统级和管理级防护。其中设备级防护侧重于提升每个设备的信息安全防护能力;系统级防护的目标是设计安全的控制系统架构,以增强控制系统的整体信息安全功能;管理级防护的作用则是规范管理、完善安全策略,增强控制系统的灾难恢复和数据备份等功能。“自下而上”的部署,其意义在于通过将信息安全功能集成到设备本身,实现“细胞级”安全,企业因此可以摆脱传统安全解决方案中对于管理政策、制度以及人员能力和操作规范等诸多不可控或不完备条件限制的过度依赖,减少投资,并能够在短期内迅速提升企业工控系统信息安全防护水平,并为逐步实施完整的纵深防御安全策略奠定基础。特别是对于当前那些数量众多,不具备系统级防护和管理级防护能力的工控系统,设备级防护就显得非常理想。在目前国内工控信息安全安全策略部署的成功案例还不多见的背景下,施耐德电气打造的 “自下而上”三级纵深防护体系已经拥有了多个成功案例。
如何选择工控设备
根据设备级防护策略,工控系统中应用的PLC、以太网交换机和SCADA软件等工控设备都可以变身为捍卫信息安全的卫士。例如,通过模板固件升级、软件辅助功能设置来增强工控设备的信息安全防护能力,通过设置工业级管理型交换机的安全参数,如采用“增强型”密码、关闭未用端口、端口地址绑定、网络风暴限制、组播过滤等一系列具体技术措施、采用以太网环网提升网络的容错能力等方案,极大地提升工控系统防范物理入侵能力,提升工控系统的可用性。
从2011年工信部451号文件《关于加强工业控制系统信息安全管理的通知》中明确指出,有关的国家大型企业要慎重选择工业控制系统设备,到近期,国家相关主管部门针对国有大型企业工业控制设备选型的安全性要求日趋严格,并逐步出台相关政策法规,都可以窥见工控设备选型的重要性。
那么,对于工控设备应如何选择呢?
以电力行业为例,能源局安监司提出PLC等工控设备的选用必须参照两条标准:
a)禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。
b)系统和设备经有资质的机构检测认定不存在信息安全漏洞和风险。
对应用于重要信息系统(等保定级3级以上)的设备,宜同时满足以上两条标准;对于应用于一般信息系统(等保定级2级)的设备,满足其中一条即可;对于整改的设备,应满足第二条标准。而目前市场上可以同时满足上述两个标准的只有施耐德电气UnityQuantumPLC。
实际上,在 2012年控制工程网版权所有,施耐德电气莫迪康昆腾系列PLC产品就通过了国家信息技术安全研究中心和中国电力科学研究院这两家国家权威测评机构的安全性检测,成为国内首家也是目前唯一通过并获得此类检测认可的PLC产品系列。2014年推向市场的新一代莫迪康M580ePLC产品,也通过了中国电力科学研究院的安全性检测,这表明施耐德电气已经让工业信息安全成为其PLC产品的一个核心功能。据悉,从2013年初起www.cechina.cn,施耐德电气提供给全球客户的所有工控产品都已经内置了信息安全防护功能,使工业企业不必依赖其它的安全防护措施就已获得了符合国际国内相关法规要求的、过硬的信息安全保障。而对于此前已经在应用的工控设备,该公司也可提供相应的服务,帮助工业企业获得同等的保障。
面对科技发展这把双刃剑,企业只有做出有效的应对决策才能在规避可能出现的风险,尽享技术进步的成果。对于工控企业而言,选择正确的安全策略和工控设备,无疑是有效提升信息安全防护水平、减少企业投入的重要方式。