西門(mén)子中國研究院信息安全專(zhuān)家   胡建鈞
            
  工業(yè)控制系統安全需求分析

    要研究工業(yè)控制系統信息安全問(wèn)題，首先要了解工業(yè)控制系統的安全需求，即我們要構建一個(gè)怎樣的系統。信息安全工作需要有一個(gè)適度安全的原則，我們不可能無(wú)限度的投入資源、資金、人力來(lái)保障安全，因為安全防護畢竟會(huì )給我們的生產(chǎn)帶來(lái)一些不便利性，會(huì )增加投資，那如何在滿(mǎn)足安全需求的同時(shí)，以最少的成本達到最大的保護，這是我們需求探討的內容。

   從需求層面上來(lái)講，ICS的安全脆弱性首先體現在策略與流程上，企業(yè)普遍缺乏ICS的安全培訓與意識培養，缺乏安全架構與設計，缺乏根據安全策略制定的，正規、可備案的安全流程，缺乏ICS設備安全部署的實(shí)施指南，缺乏ICS的安全審計，缺乏針對ICS的業(yè)務(wù)連續性與災難恢復計劃，缺乏針對ICS配置變更管理。工業(yè)信息安全是一個(gè)復雜的系統工程，不僅涉及到技術(shù)、產(chǎn)品、系統，更取決于企業(yè)的安全管理的水平

   其次，體現在平臺上。長(cháng)期以來(lái)，信息安全不是工業(yè)控制系統的主要設計目標，平臺配置、軟件、硬件的脆弱性及惡意軟件的脆弱性都顯而易見(jiàn)。

   再次，是ICS網(wǎng)絡(luò )的脆弱性。工業(yè)控制網(wǎng)絡(luò )越來(lái)越多地采用開(kāi)放、互聯(lián)技術(shù)，使得安全攻擊成為可能 ，主要體現在網(wǎng)絡(luò )配置、硬件、邊界、監控與日志、通信的脆弱性以及無(wú)線(xiàn)連接的脆弱性。工業(yè)控制場(chǎng)景下的安全解決方案必須考慮所有層次的安全防護，基本上安全防火墻包括三個(gè)層面：一工廠(chǎng)安全，包括對未經(jīng)授權的人員阻止其訪(fǎng)問(wèn)、物理上防止對關(guān)鍵部件的訪(fǎng)問(wèn)；二工廠(chǎng)IT安全，包括采用防火墻等技術(shù)對辦公網(wǎng)與自動(dòng)化控制網(wǎng)絡(luò )之間的接口進(jìn)行控制，進(jìn)一步對自動(dòng)化控制網(wǎng)絡(luò )進(jìn)行分區與隔離，部署反病毒措施，并在軟件中采用白名單機制，定義維護與更新的流程；三訪(fǎng)問(wèn)控制，包括對自動(dòng)化控制設備與網(wǎng)絡(luò )操作員進(jìn)行認證；在自動(dòng)化控制組件中集成訪(fǎng)問(wèn)控制機制。

   工業(yè)信息安全關(guān)鍵需求包括：開(kāi)展工業(yè)安全風(fēng)險評估，建設全面的信息安全管理 ；實(shí)現安全域的劃分與隔離，網(wǎng)絡(luò )接口遵從清晰的安全規范；部署集成安全措施的保護基于PC的控制系統；保護ICS控制級，防御安全攻擊；實(shí)現對ICS通信的可感知與可控制。西門(mén)子工業(yè)安全理念涉及上述5個(gè)關(guān)鍵需求領(lǐng)域，覆蓋了工業(yè)控制系統的所有級別。

   工業(yè)信息安全解決方案：縱深防御

   了解了需求，對于解決方案我們建議建立工業(yè)網(wǎng)絡(luò )縱深防御。建設縱深防御體系需要幾個(gè)階段：第一階段：評估，即風(fēng)險評估；第二階段：規劃，安全規劃；第三階段：執行，即按照縱深防御理念構建安全防護體系，包括網(wǎng)絡(luò )分區與隔離、訪(fǎng)問(wèn)控制、系統加固、補丁管理等；第四階段：改進(jìn)，即持續改進(jìn)的安全管理。

   西門(mén)子的縱深防御的安全架構PROFINET Security包含多個(gè)層次：

   保證自動(dòng)化工廠(chǎng)的物理安全

   建立安全策略與流程

    進(jìn)行網(wǎng)絡(luò )分區與（控制單元間的）邊界防護

    建立安全的單元間通信

    系統加固與補丁管理

    惡意軟件的檢測與防護

    訪(fǎng)問(wèn)控制與賬號管理

   記錄設備訪(fǎng)問(wèn)日志，并進(jìn)行必要的審計

   簡(jiǎn)而言之，就是要確保只有絕對必要的人員才能在物理上接觸到關(guān)鍵工控系統，將工控設備在網(wǎng)絡(luò )上與其他不必要相聯(lián)的系統斷開(kāi)，維護防火墻的完整性，堅持打上最新的軟件安全補丁，等等。

   西門(mén)子將向客戶(hù)提供全面的工業(yè)控制系統信息安全支持，包括產(chǎn)品、系統、解決方案，以及專(zhuān)業(yè)的咨詢(xún)服務(wù)。

   與此同時(shí)，西門(mén)子還在全球的重點(diǎn)國家建立了安全專(zhuān)家網(wǎng)絡(luò )。目前，西門(mén)子安全網(wǎng)絡(luò )的中心設立在德國，并在美國、中國、俄羅斯、法國建立了分支，并計劃在英國、印度設立另外兩個(gè)分支。西門(mén)子安全專(zhuān)家職責是第一時(shí)間掌握安全漏洞與網(wǎng)絡(luò )攻擊的相關(guān)信息，與本地客戶(hù)、工業(yè)合作伙伴、以及政府權威機構密切合作，共同分析問(wèn)題，控制問(wèn)題的影響范圍，盡快提供相應的解決方案。 

    摘自《自動(dòng)化博覽》2013年1期