用户中心

资讯 > 人物访谈

如何补齐我国信息安全产业的短板?

作者:王泽红,CEC编辑2016.07.12阅读 9470

  随着制造业转型升级的不断深化,工业化和信息化融合不断加深,工业安全事故也越来越频繁的发生,这是产业发展的必然结果,也是产业发展所必须要面临的问题。来自施耐德电气中国的工业信息安全专家梁军先生针对我国当前的工业安全现状做了深刻的分析,并提出最新的解决之道。

  我国工业信息安全产业的短板
  "针对当前的信息安全现状www.cechina.cn,我国需要从两个层面提高信息安全水平,一个是意识,另一个是技术。" 梁军指出,随着国际工业信息安全事件频发和我国政府对信息安全的重视,目前很多企业, 尤其是央企和国企的领导层已经对信息安全有了深入的理解。但我们同时也看到, 这种意识的传递在真正负责系统运维的基层员工层面还比较薄弱, 多数现场操作人员对信息安全并不真正理解, 或简单寄望于防火墙和隔离, 或干脆当作一个检查任务来应付, 普遍缺乏风险意识和相关技能。再好的安全系统和技术保障, 离开人的重视, 都无法真正实现其作用。
  "而技术层面,最需要解决的是安全和工业的结合。" 梁军解释道,现在搞安全的人大多不懂工业;搞工业的人大多在安全方面不够专业,这是目前工业信心安全领域的真是写照。工业信息安全作为一个产业方向,未来将具有广大的市场,其最终将像IT领域的信息安全一样趋于成熟,但今天整个产业除了存在上述问题之外,还有很多短板需要补齐:
  一是标准。我国的等级保护标准是基于IT系统设计的, 其在工业领域无法直接套用甚至有很多矛盾和冲突。其他推荐性标准更多是一些概括性的指导, 结合不同行业如何落地并不清晰明确。由于缺乏参照, 企业用户对安全厂商依照IT系统舶来的解决方案缺乏信任, 工控厂商对于工业产品和系统的安全设计也只能各自针对自己的不同理解来做, 甚至有的企业和厂商干脆就抱着等等看的心态。
  二是投入的积极性。作为一个产业, 企业必须要有利润, 才能持续发展并不断升级技术。 在目前供给侧改革的经济形势下, 企业用户都要勒紧裤腰带过日子, 其有限的资金更愿意投入在产业升级和其他能直接见效益或缩减成本的地方, 在信息安全上抱着侥幸心理,仅作一些规章制度上的措施。


施耐德电气(中国)工业信息安全专家梁军先生

  5大策略补齐信息安全的短板
  "工业与互联网的结合本质上是信息化和智能化,简单粗暴地隔离做信息孤岛的方式将不再适用,真正提升安全性还需要多个层面的措施:
  一是安全可靠的加密。目前绝大多数工业协议都是明文且开放的, 这主要是在信息安全风险出现前工业领域的发展所致。另外包括关键文件的存储, 程序的保护等方面都缺少加密措施。这部分未来主要将通过主流工控厂家及其产品合力推进工业行业的标准来实现。目前一些第三方加密辅件面临兼容性和对工业系统自身效率、可靠性保障等问题。
  二是完善的通信监测和入侵检测。工业系统的特点是对可靠性要求极高, 几乎不能允许误判而影响自身系统的运行和通信, 这意味着在使用防火墙等保护设备时只能采用最小原则的保护设置。对于大量模糊或疑似的行为不能采用先阻断再由用户判断的策略。这样必须要能够对全网的通信进行有效监测, 对可疑的入侵行为及时报警, 由用户来进行处理。
  三是结合工业设备的安全策略。过多的串行接入类保护设备往往面临兼容性问题、维护成本和额外投入、对系统响应造成的延迟、设备数量增加造成潜在故障点增多等问题, 而旁路的审计监测类设备只能起到预警作用www.cechina.cn, 因此工业信息安全最终还是要依靠工业设备自身的健壮性和安全功能。鉴于工业设备的种类繁多, 安全性各有不同, 在未来很长一段时间内, 工业系统的安全性设计和策略还需要结合每个系统和设备的实际情况进行定制化。同时对于系统中的设备要定期进行安全补丁的升级。建议以工业厂商和系统集成商为主, 安全厂商和安全产品为辅的设计思路, 由工业端来确保设计的合理性和对原系统的影响。
  四是有效迅速的应急处理机制。过往安全事件说明, 严重性和故障时间往往是成正比的, 很多安全事件的灾难性后果都是在问题发生后, 现场的操作人员无法迅速恢复系统运行致使连锁型反应发生, 而用户无能为力。在目前的技术条件下, 完全杜绝安全事件发生仍然是不可能的。系统的备份和快速恢复能力, 优秀的应急处理机制和现场人员的意识能力尤为重要。它可以最大限度地降低甚至避免安全事件损失。
  五是管理手段与技术相结合。单纯的管理手段受制于长期的执行效率、人员意识和能力, 而技术手段在现有工业系统环境下也有很多无法覆盖的短板。同时好的技术方案也需要人的介入与执行。针对每个工业系统不同的自动化和信息化水平, 技术手段为主, 管理手段为辅, 两者结合互补的安全策略设计才能切实有效提到整体的安全性。
  "其他常规的安全防护、审计和反病毒等措施在IT领域已经非常成熟, 工业领域可以借鉴CONTROL ENGINEERING China版权所有,"梁军介绍道。
  施家工业信息安全体系
  "以上所述是相对于国家整体层面对信息安全的针对性分析和解决方法,而对于用户层面,主要有两方面的内容:一是用户迫切希望能够迅速提高自己在工业信息安全上的知识和能力, 了解自身工业系统的安全风险。最可怕的问题往往是不知道问题在哪里, 想要做些什么却无从下手; 二是如何在部署信息安全措施时最大限度降低对原有系统的影响和兼容性问题。很多用户表示过相应的担心, 怕跑了几年都无故障运行的系统在安全升级后反而出问题," 梁军指出。
  "施耐德电气在2010年便成立了专门的工业信息安全部门,且拥有经过认证的专业实验室进行相关研究, 并引入一批安全专家控制工程网版权所有, 结合施耐德电气数十年的工业经验, 以IEC62443为标准, 建立了自己的一整套工业信息安全体系,"梁军介绍道。
  首先施耐德电气为用户提供专业的现场风险评估, 涵盖设备、网络、系统结构甚至应用和程序等工业系统的所有方面。除系统本身外,还协助客户进行管理手段和其安全策略的审核, 实现全方位的风险判断和合理化建议, 让客户能够全面了解问题,做到有的放矢。施耐德电气基于工业应用的评估与国家对照等标准的安全功能审查和安全厂商的漏洞挖掘技术,形成了很好的功能互补。同时施耐德电气还提供标准化的课程和培训, 切实帮助客户提高了信息安全知识和能力。
  在解决方案层面, 施耐德电气首先推出了世界范围内首款基于IPSEC加密通信的PLC, 从根本上解决通信明文的脆弱性问题, 同时该款PLC通过了Achilles最高级别认证, 其健壮性也达到了同类产品的领先水平, 我们的DCS系统也获得了EDSA认证。在工业终端设备层面,施耐德电气提供了领先的安全性保障。
  同时施耐德电气与微软、赛门铁克、多芬诺等国际知名IT/安全巨头合作, 建立了涵盖"边界保护"、"子网隔离"、"入侵检测"、"网络和设备状态监测"、"安全策略管理平台"、"安全审计"、"反病毒"、"集中备份"等全维度的,由预防到预警再到恢复的系统解决方案。"由于工业系统在不同行业甚至不同系统都存在巨大的差异, 因此施耐德电气的信息安全解决方案并没有统一的架构或模板。我们会针对每个具体系统进行分析, 组合不同维度的不同工具来为用户提供定制化的安全方案。同时考虑到对项目实施的影响控制工程网版权所有, 施耐德电气的信息安全实施通常都是与客户的工业系统升级改造、日常维护相结合, 在优化客户成本和投入的同时, 避免反复停机。"梁军总结道。

版权声明:版权归控制工程网所有,转载请注明出处!
联系厂商

通过本站与本文涉及的厂商 施耐德电气(中国)有限公司 联系,本站注册会员请登录后填写更便捷。 登录注册

  • 您的姓名:
  • 单位名称:
  • 联系电话:
  • 电子邮件:
  • 我想得到贵公司详细的技术资料
  • 我想得到贵公司的价格信息
  • 我想让贵公司销售人员和我联系
  • 我想让贵公司技术支持人员和我联系
其他意向:

频道推荐

关于我们

控制工程网 & CONTROL ENGINEERING China 全球工业控制、自动化和仪器仪表领域的先锋媒体

CE全球

联系我们

商务及广告合作
任小姐(北京)                 夏小姐(上海)
电话:010-82053688      电话:18616877918
rendongxue@cechina.cn      xiashuxian@cechina.cn
新闻投稿:王小姐

关注我们的微信

关于我们 | 网站地图 | 联系我们
© 2003-2018    经营许可编号:京ICP证120335号
公安机关备案号:110102002318  服务热线:010-82053688