今日頭條
官方微信
官方抖音
資訊頻道 
西門子中國研究院信息安全專家
胡建鈞
工業(yè)控制系統(tǒng)安全需求分析
要研究工業(yè)控制系統(tǒng)信息安全問題,首先要了解工業(yè)控制系統(tǒng)的安全需求,即我們要構(gòu)建一個(gè)怎樣的系統(tǒng)。信息安全工作需要有一個(gè)適度安全的原則,我們不可能無限度的投入資源、資金、人力來保障安全,因?yàn)榘踩雷o(hù)畢竟會給我們的生產(chǎn)帶來一些不便利性,會增加投資,那如何在滿足安全需求的同時(shí),以最少的成本達(dá)到最大的保護(hù),這是我們需求探討的內(nèi)容。
從需求層面上來講,ICS的安全脆弱性首先體現(xiàn)在策略與流程上,企業(yè)普遍缺乏ICS的安全培訓(xùn)與意識培養(yǎng),缺乏安全架構(gòu)與設(shè)計(jì),缺乏根據(jù)安全策略制定的,正規(guī)、可備案的安全流程,缺乏ICS設(shè)備安全部署的實(shí)施指南,缺乏ICS的安全審計(jì),缺乏針對ICS的業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃,缺乏針對ICS配置變更管理。工業(yè)信息安全是一個(gè)復(fù)雜的系統(tǒng)工程,不僅涉及到技術(shù)、產(chǎn)品、系統(tǒng),更取決于企業(yè)的安全管理的水平
其次,體現(xiàn)在平臺上。長期以來,信息安全不是工業(yè)控制系統(tǒng)的主要設(shè)計(jì)目標(biāo),平臺配置、軟件、硬件的脆弱性及惡意軟件的脆弱性都顯而易見。
再次,是ICS網(wǎng)絡(luò)的脆弱性。工業(yè)控制網(wǎng)絡(luò)越來越多地采用開放、互聯(lián)技術(shù),使得安全攻擊成為可能 ,主要體現(xiàn)在網(wǎng)絡(luò)配置、硬件、邊界、監(jiān)控與日志、通信的脆弱性以及無線連接的脆弱性。工業(yè)控制場景下的安全解決方案必須考慮所有層次的安全防護(hù),基本上安全防火墻包括三個(gè)層面:一工廠安全,包括對未經(jīng)授權(quán)的人員阻止其訪問、物理上防止對關(guān)鍵部件的訪問;二工廠IT安全,包括采用防火墻等技術(shù)對辦公網(wǎng)與自動化控制網(wǎng)絡(luò)之間的接口進(jìn)行控制,進(jìn)一步對自動化控制網(wǎng)絡(luò)進(jìn)行分區(qū)與隔離,部署反病毒措施,并在軟件中采用白名單機(jī)制,定義維護(hù)與更新的流程;三訪問控制,包括對自動化控制設(shè)備與網(wǎng)絡(luò)操作員進(jìn)行認(rèn)證;在自動化控制組件中集成訪問控制機(jī)制。
工業(yè)信息安全關(guān)鍵需求包括:開展工業(yè)安全風(fēng)險(xiǎn)評估,建設(shè)全面的信息安全管理 ;實(shí)現(xiàn)安全域的劃分與隔離,網(wǎng)絡(luò)接口遵從清晰的安全規(guī)范;部署集成安全措施的保護(hù)基于PC的控制系統(tǒng);保護(hù)ICS控制級,防御安全攻擊;實(shí)現(xiàn)對ICS通信的可感知與可控制。西門子工業(yè)安全理念涉及上述5個(gè)關(guān)鍵需求領(lǐng)域,覆蓋了工業(yè)控制系統(tǒng)的所有級別。
工業(yè)信息安全解決方案:縱深防御
了解了需求,對于解決方案我們建議建立工業(yè)網(wǎng)絡(luò)縱深防御。建設(shè)縱深防御體系需要幾個(gè)階段:第一階段:評估,即風(fēng)險(xiǎn)評估;第二階段:規(guī)劃,安全規(guī)劃;第三階段:執(zhí)行,即按照縱深防御理念構(gòu)建安全防護(hù)體系,包括網(wǎng)絡(luò)分區(qū)與隔離、訪問控制、系統(tǒng)加固、補(bǔ)丁管理等;第四階段:改進(jìn),即持續(xù)改進(jìn)的安全管理。
西門子的縱深防御的安全架構(gòu)PROFINET Security包含多個(gè)層次:
保證自動化工廠的物理安全
建立安全策略與流程
進(jìn)行網(wǎng)絡(luò)分區(qū)與(控制單元間的)邊界防護(hù)
建立安全的單元間通信
系統(tǒng)加固與補(bǔ)丁管理
惡意軟件的檢測與防護(hù)
訪問控制與賬號管理
記錄設(shè)備訪問日志,并進(jìn)行必要的審計(jì)
簡而言之,就是要確保只有絕對必要的人員才能在物理上接觸到關(guān)鍵工控系統(tǒng),將工控設(shè)備在網(wǎng)絡(luò)上與其他不必要相聯(lián)的系統(tǒng)斷開,維護(hù)防火墻的完整性,堅(jiān)持打上最新的軟件安全補(bǔ)丁,等等。
西門子將向客戶提供全面的工業(yè)控制系統(tǒng)信息安全支持,包括產(chǎn)品、系統(tǒng)、解決方案,以及專業(yè)的咨詢服務(wù)。
與此同時(shí),西門子還在全球的重點(diǎn)國家建立了安全專家網(wǎng)絡(luò)。目前,西門子安全網(wǎng)絡(luò)的中心設(shè)立在德國,并在美國、中國、俄羅斯、法國建立了分支,并計(jì)劃在英國、印度設(shè)立另外兩個(gè)分支。西門子安全專家職責(zé)是第一時(shí)間掌握安全漏洞與網(wǎng)絡(luò)攻擊的相關(guān)信息,與本地客戶、工業(yè)合作伙伴、以及政府權(quán)威機(jī)構(gòu)密切合作,共同分析問題,控制問題的影響范圍,盡快提供相應(yīng)的解決方案。
摘自《自動化博覽》2013年1期
北京市公安局海淀分局備案號:11010802023656號