新时代下如何保障工业信息安全
由于信息安全呈现出的重要性和复杂性,工业信息安全已成为企业、政府机构关注的重要问题,甚至上升为国家战略。企业管理网与工业控制网的防护功能都很弱或者甚至几乎没有隔离功能,工控系统的安全隐患问题日益严峻。系统中任何一点受到攻击都有可能导致整个系统的瘫痪。面对这种新局面,我们是如何保障工业信息安全的呢?下面介绍几点众诚智库给出的应对措施。
众诚智库认为:“纵深防御”策略是提高工业控制系统信息安全的最佳选择。建立“纵深防御”的最有效方法是将网络划分为不同的安全区,在安全区之间按照一定规则安装防火墙。众诚智库认为按照“纵深防御”原则工业控制系统信息安全的实现宏观上应做如下调控:工业系统网络结构及安全区域的划分从总体结构上来讲,工业系统网络可分为三个层次:企业管理层、数据采集信息层和控制层。每一个不同的安全漏洞都会导致不同的后果,所以将它们单独隔离防护十分必要。对于额外有要求的部分,可在主安全区进一步划分子区。这样一旦发生信息安全事故,就能大大提高工厂生产安全运行的可靠性,同时降低由此带来的其他风险及清除费用。将企业系统结构划分成不同的区域可以帮助企业有效地建立“纵深防御”策略。众诚智库本着纵深防御原则在工业控制系统信息安全方面采取如下措施:
1、企业管理层和数据采集监控层之间的安全防护。在企业管理层和数据采集监控层之间加入防火墙,一方面加强了网络的区域划分,更重要的是它只允许两个网络之间合法的数据交换,阻挡企业管理层对数采监控层的未经授权的非法访问,同时也防止了管理层网络的病毒感染扩散到数据采集网络。考虑到企业管理层一般采用通用以太网,对通讯速率和带宽要求较高等因素,建议使用常规的IT防火墙来实现安全防护。
2、数据采集监控层和控制层之间的安全防护。在数据采集监控层和控制层之间应安装专业的工业防火墙,解决OPC通讯采用动态端口带来的安全防护瓶颈问题,阻止病毒和任何其它的非法访问,这样来自防护区域内的病毒感染就不能扩散到其他网络,提升了网络区域划分能力的同时,也从本质上保证了网络通讯安全。
3、保护关键控制器。对关键的控制器的保护应使用专业的工业防火墙。一方面对防火墙进行规则组态时只允许制造商专有协议通过,阻挡来自操作站的任何非法访问;另一方面可以对网络通讯流量进行管控,可以指定只有某个专有操作站才能访问指定的控制器;第三方面可以管控局部网络的通讯速率,防止控制器遭受网络风暴及其它攻击的影响,从而可避免控制器死机。
4、隔离工程师站,考虑到工程师站和APC节点在项目实施阶段通常需要接入第三方设备,而且是在整个控制系统运行的情况下实施,因此受到病毒攻击和入侵的概率很大,存在较高的安全隐患。在工程师站和 APC 先控站前端增加工业防火墙,可以将工程师站和 APC 节点单独隔离,防止病毒扩散,以保证网络的通讯安全。
5、和第三方控制系统之间的安全防护,使用工业防火墙将 SIS 安全仪表系统等第三方控制系统和网络进行隔离。
工业控制系统信息安全问题已迫在眉睫,以上是众诚智库针对企业流程工业的特点,同时结合工业控制系统网络结构和安全需求,提出的工业控制系统信息安全的纵深防御策略。它将工业系统网络划分为不同的安全区域,在区域之间执行管道通信,从而通过管控管道中的通信内容,来实现全方位地保障工业控制系统信息安全。