施耐德电气(中国)有限公司 王斌
企业内部系统分为信息技术和工业控制系统。信息技术包含ERP,SIS系统,要求优先级最高的是机密性。工业控制系统包括设备级产品、控制级产品和网络级产品,包括SCADA软件以及MES制造执行系统。在工业控制系统里面,对于信息安全一个最重要的要求是可运行性。虽然在企业内部我们都在谈信息安全,其实对于信息系统的信息安全要求和工业控制系统的信息安全要求是不一样的。对于企业而言,我们不仅要关注解决方案的具体内容,更要关注解决方案能否部署。如果在部署的过程中会给企业增加负担或需要投入大量的成本,那么这种解决方案也许并不能满足企业对信息安全的要求,甚至会对企业将来对信息安全的部署和整改带来负面的影响。
图1 工业控制系统分层图
“震网病毒”事件发生以后,我们要做到的不是简单的防护,而是要做到最底层的防护。“两化融合”和“物联网”普及增加了“信息安全”风险,越来越多的信息系统和工业控制系统进行互通,最终增加了工业信息系统信息安全的风险。
(1) 主要的信息安全威胁
• 人为失误;
• 黑客行为;
• 信息战;
• 自然灾害、意外事故;
• 病毒、恶意软件;
• 通讯和协议的缺陷等。
(2) 主要的信息安全缺陷
• 操作系统;
• 应用软件;
• 网络组件;
• 硬件设备/控制设备等。
常见行业的信息安全防护都只做到系统级的加强,缺点是信息安全漏洞和信息安全风险本身存在于上述的四类设备中。目前,我们只做到了系统级防护,所以并没有从根本上解决存在信息安全漏洞和风险的设备的信息安全问题。
图2 轨道交通行业安全防护策略体系架构图
图3 电力行业安全防护策略体系架构图
• 管理制度的落实,制约于人的因素;
• 工控设备数量繁杂;
• 安全区域过大;
• 无法对运行系统漏洞进行测评;
• 工控设备带病上岗;
• 技术人员能力要求较高;
• 企业投入过大。
施耐德电气提出了专门的信息安全解决方案,更强调在信息安全的解决方案里,设备级的解决方案和防护,在此基础上辅助系统级的增强和管理级的软件补充,由此搭建一个完整的信息安全解决方案和完善的信息安全防护体系。
(1)方案说明
提升每个单体设备的信息安全能力。
(2)设备类型
• PLC;
• 以太网交换机;
• SCADA软件;
• 操作系统;
• 现场仪表;
• 执行机构。
(3)设备级解决方案
• 唯一一家通过国际和国内相关认证的厂家;
• 唯一一家通过国内权威信息安全测评部门的检测;
• 唯一一家经过信息安全规模化部署的实际验证;
• 唯一一家信息安全解决方案全国规模化推广的企业;
• 唯一通过现场验证和行业主管部门审核的解决方案文档;
• 2013年起销售的PLC产品符合国际和国家信息安全要求。
(1)方案说明
修改控制系统架构,增强控制系统的信息安全功能。
(2)防护策略
• 安全计划;
• 网络分隔;
• 边界保护;
• 网段分离;
• 安全设置;
• ……
(3)方案方法
• 全网络评估,发现潜在的弱点;
• 修改网络架构,避免网络风险;
• 完善安全设置和安全规则;
• 建立应急处理措施。
(1)方案说明
• 规范管理;
• 完善安全策略;
• 增强控制系统的信息安全功能。
(2)方案方法
• 完善管理制度;
• 建立完善的IDS/IPS体系;
• 建立完善的资产管理系统;
• 建立和完善监控和日志体系;
• 完善软件更新体系及变更追踪;
• 安全策略管理和执行功能;
• 建立完善的数据备份和灾难恢复。
从2012年开始,施耐德的控制类产品就已经具备了信息安全的基本的防护管理。所以企业在购买施耐德电气的产品时,不需要针对设备做任何防护,既具备了基本的防护管理,设备组成系统后,也就具备了基本的信息安全防护能力。对于企业而言,我们可以减少企业在部署信息安全解决方案时的投资,如果企业在没有能力部署系统级或管理级解决方案时,由于我们的设备级产品具备了基本的防护管理,这样,企业就不用投入大量的人力和物力,就可以使企业的控制器满足基本的防护要求,信息安全解决方案就很容易实现了。另一方面,由于施耐德电气的控制类产品已经具备了基本的防护控制能力,不要求企业内部的技术人员再具备相应的能力和技术,也不会增加维护的工作量,不会给企业增加负担。这就是施耐德电气倡导的从设备级开始,辅助系统级、管理级搭建整个信息安全防护体系的解决方案。