一、工业控制系统信息安全现状
工业控制系统的原始设计是以高可靠性, 高实时性,高控制性为目标进行设计和安装的,其中影响系统安全性最大隐患莫过于内部和外部干扰。但随着计算网络技术在工业控制系统普及和发展,工业控制系统包括(DCS、PLC、TCS、SCADA)系统网络已经普及到工业产业的所有领域,其工控系统信息安全威胁所造成的危害呈现隐蔽性高、危害性大乃至会影响到国家安全的特点。
由于历史的原因,具有计算机网络特征的工业控制信息系统在设计时并未将整体系统的信息安全防护进行重点设计,以至于形成了所谓亡羊补牢的局面。但是如何补牢,却是摆在我们面前的重要课题。
当我们从信息安全视角去审视我们工控系统的时候,我们会感到一种威胁和恐惧,这种威胁和恐惧是基于我们在互连网上所受到威胁和伤害的连锁反映。道高一尺,魔高一丈用于信息安全领域是再恰当不过的了。
二、工控系统信息安全研究的内容1.背景及意义:工控系统信息安全,从世界范围看, 作为信息产业发展的领导者,美国很早就十分重视工控系统的信息处安全。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的信息安全。而美国国家标准与技术研究院、能源局则分别发布了《工业控制系统安全指南》(SP800-82 2013年推出最新修订版本)[NIST]、《改进SCADA网络安全的21项措施》等相关的工控系统的信息安全建设标准指南或最佳实践文档。同时其国内的传统信息安全厂商赛门铁克、MCAFEE、思科以及传统工控厂商罗克韦尔、通用电气以及一些新兴的专业工控安全厂商在工控系统的安全防护及产品服务提供方面也都展开了深入研究、实践及产业化工作,并总体上处于领先的地位。
在欧洲则以德国西门子、法国施耐德电气为代表的工业控制系统提供商为主;而工控系统的信息化、智能化以及所带来安全问题的解决离不开工控厂商的支持,自然西门子等企业的市场和技术优势也将奠定未来很长一段时间内在工控安全领域的领先地位。
在专业的工控系统信息安全厂商方面,加拿大Tofino(多芬诺)公司曾以其业内著名的工控系统防火墙成为业内领先的工控系统信息安全的专业厂商,其产品在石化等多个行业应用广泛。科诺康公司(Codenomicon)则以其用于漏洞发现的fuzzing 测试工具而在工控系统安全领域拥有重要的地位。
在国内: 自从工信部451号文发布之后,国内各行各业都对工控系统安全的认识达到了一个新的高度。电力、石化、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。国家标准相关的组织TC260、TC124等标准组也已经启动了相应标准的研究制定工作。
在工控系统信息安全领域,上海三零卫士、中科网威、匡恩网络、中京科技、艾科网信等一批致力于工控系统信息安全设备国内提供商,在设备研发上作出了巨大的努力。国内的相关组织和行业机构也正在为工控系统信息安全制定相应的规则。
在国内相关行业中,供电及发电行业由于其行业的特点和重要性,在工控系统信息安全领域起步早,且已经形成初步体系。在石油、化工、钢铁、煤矿、公共事业中的铁路、地铁、供水、供气、供热等涉及工控系统的行业却起步晚,或者说有很少有相关工控信息安全产品应用。
在上述这些行业中,工控系统信息安全的重要性是不言而喻的。同时其行业的特点、重要性、网络互联的规模、信息共享的需要又造成了行业间工控系统信息安全应用的不平衡。
目前,随着国内信息安全已经上升到国家战略,各行业的工控系统信息安全管理及安全设备升级或部署已经提到日程,大规模工控系统信息安全设备的行业应用已经开始。在这个时候,我们对工控系统信息安全构架进行研究和讨论是具有非常现实意义。
2.工控系统信息安全需要解决的问题
我们必须分析一下工控系统信息安全与管理网信息安全的实际对比,见下表:工控、管理系统信息安全对比。
工控、管理系统信息安全对照表
管理系统信息安全
工控系统信息安全
内容要点
重要程度
内容要点
重要程度
病毒查杀
重要√、中等、一般
病毒查杀
重要√、中等、一般
边界防护
重要√、中等、一般
边界防护
重要√、中等、一般
数据安全
重要√、中等、一般
数据安全
重要、中等、一般√
漏洞扫描
重要、中等√、一般
漏洞扫描
重要√、中等、一般
防抵赖
重要√、中等、一般
防抵赖
重要、中等√、一般
设备准入
重要、中√等、一般
设备准入
重要√、中等、一般
网络状态
重要、中等√、一般
网络状态
重要√、中等、一般
端口控制
重要、中等√、一般
端口控制
重要√、中等、一般
协议解析
重要、中等、一般√
协议解析
重要√、中等、一般
从上述对照表中,我们可以看出双方都属于重要的有病毒查杀、边界防护;属于工控系统信息安全重要项的还有:漏洞扫描、设备准入、网络状态、端口控制和协议解析。其中,边界防护构成工控系统信息安全的整体框架, 病毒查杀、设备准入、漏洞扫描、网络状态、端口控制、协议解析属于工控系统信息安全的深层防御范畴。我们工控系统信息安全主要就是要围绕着属于信息安全的重要性的内容进行构建。
(1)计算机及网络设备运行状态
工控系统计算机其网络运行状态的监控是工控系统信息安全的重要组成部分,也是工控系统信息安全的基础。其中包括计算机及网络设备的资产管理、设备通讯状态的显示报警等。
(2)工控系统信息安全的边界防护
工控系统信息安全边界防护是以“安全分区、网络专用、横向隔离、纵向认证”十六字方针为总体原则,划分为生产控制大区、管理信息大区。在生产大区中可分为控制区(安全I区)和非控制区(安全II区)。
想知道后面说了什么吗?点击“阅读原文”观看全部文章内容
版权声明:
本文系“电力信息化在线”独家稿件,版权所有,原创文章谢绝转载。
——电力信息化创新战略联盟
推荐阅读:
干货丨关于组织征订 2017 年度《电力信息化用户参考》杂志的通知
本文来自大风号,仅代表大风号自媒体观点。
