西門(mén)子中國(guó)研究院信息安全專(zhuān)家   胡建鈞
            
  工業(yè)控制系統(tǒng)安全需求分析

    要研究工業(yè)控制系統(tǒng)信息安全問(wèn)題，首先要了解工業(yè)控制系統(tǒng)的安全需求，即我們要構(gòu)建一個(gè)怎樣的系統(tǒng)。信息安全工作需要有一個(gè)適度安全的原則，我們不可能無(wú)限度的投入資源、資金、人力來(lái)保障安全，因?yàn)榘踩雷o(hù)畢竟會(huì)給我們的生產(chǎn)帶來(lái)一些不便利性，會(huì)增加投資，那如何在滿(mǎn)足安全需求的同時(shí)，以最少的成本達(dá)到最大的保護(hù)，這是我們需求探討的內(nèi)容。

   從需求層面上來(lái)講，ICS的安全脆弱性首先體現(xiàn)在策略與流程上，企業(yè)普遍缺乏ICS的安全培訓(xùn)與意識(shí)培養(yǎng)，缺乏安全架構(gòu)與設(shè)計(jì)，缺乏根據(jù)安全策略制定的，正規(guī)、可備案的安全流程，缺乏ICS設(shè)備安全部署的實(shí)施指南，缺乏ICS的安全審計(jì)，缺乏針對(duì)ICS的業(yè)務(wù)連續(xù)性與災(zāi)難恢復(fù)計(jì)劃，缺乏針對(duì)ICS配置變更管理。工業(yè)信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，不僅涉及到技術(shù)、產(chǎn)品、系統(tǒng)，更取決于企業(yè)的安全管理的水平

   其次，體現(xiàn)在平臺(tái)上。長(zhǎng)期以來(lái)，信息安全不是工業(yè)控制系統(tǒng)的主要設(shè)計(jì)目標(biāo)，平臺(tái)配置、軟件、硬件的脆弱性及惡意軟件的脆弱性都顯而易見(jiàn)。

   再次，是ICS網(wǎng)絡(luò)的脆弱性。工業(yè)控制網(wǎng)絡(luò)越來(lái)越多地采用開(kāi)放、互聯(lián)技術(shù)，使得安全攻擊成為可能 ，主要體現(xiàn)在網(wǎng)絡(luò)配置、硬件、邊界、監(jiān)控與日志、通信的脆弱性以及無(wú)線(xiàn)連接的脆弱性。工業(yè)控制場(chǎng)景下的安全解決方案必須考慮所有層次的安全防護(hù)，基本上安全防火墻包括三個(gè)層面：一工廠(chǎng)安全，包括對(duì)未經(jīng)授權(quán)的人員阻止其訪(fǎng)問(wèn)、物理上防止對(duì)關(guān)鍵部件的訪(fǎng)問(wèn)；二工廠(chǎng)IT安全，包括采用防火墻等技術(shù)對(duì)辦公網(wǎng)與自動(dòng)化控制網(wǎng)絡(luò)之間的接口進(jìn)行控制，進(jìn)一步對(duì)自動(dòng)化控制網(wǎng)絡(luò)進(jìn)行分區(qū)與隔離，部署反病毒措施，并在軟件中采用白名單機(jī)制，定義維護(hù)與更新的流程；三訪(fǎng)問(wèn)控制，包括對(duì)自動(dòng)化控制設(shè)備與網(wǎng)絡(luò)操作員進(jìn)行認(rèn)證；在自動(dòng)化控制組件中集成訪(fǎng)問(wèn)控制機(jī)制。

   工業(yè)信息安全關(guān)鍵需求包括：開(kāi)展工業(yè)安全風(fēng)險(xiǎn)評(píng)估，建設(shè)全面的信息安全管理 ；實(shí)現(xiàn)安全域的劃分與隔離，網(wǎng)絡(luò)接口遵從清晰的安全規(guī)范；部署集成安全措施的保護(hù)基于PC的控制系統(tǒng)；保護(hù)ICS控制級(jí)，防御安全攻擊；實(shí)現(xiàn)對(duì)ICS通信的可感知與可控制。西門(mén)子工業(yè)安全理念涉及上述5個(gè)關(guān)鍵需求領(lǐng)域，覆蓋了工業(yè)控制系統(tǒng)的所有級(jí)別。

   工業(yè)信息安全解決方案：縱深防御

   了解了需求，對(duì)于解決方案我們建議建立工業(yè)網(wǎng)絡(luò)縱深防御。建設(shè)縱深防御體系需要幾個(gè)階段：第一階段：評(píng)估，即風(fēng)險(xiǎn)評(píng)估；第二階段：規(guī)劃，安全規(guī)劃；第三階段：執(zhí)行，即按照縱深防御理念構(gòu)建安全防護(hù)體系，包括網(wǎng)絡(luò)分區(qū)與隔離、訪(fǎng)問(wèn)控制、系統(tǒng)加固、補(bǔ)丁管理等；第四階段：改進(jìn)，即持續(xù)改進(jìn)的安全管理。

   西門(mén)子的縱深防御的安全架構(gòu)PROFINET Security包含多個(gè)層次：

   保證自動(dòng)化工廠(chǎng)的物理安全

   建立安全策略與流程

    進(jìn)行網(wǎng)絡(luò)分區(qū)與（控制單元間的）邊界防護(hù)

    建立安全的單元間通信

    系統(tǒng)加固與補(bǔ)丁管理

    惡意軟件的檢測(cè)與防護(hù)

    訪(fǎng)問(wèn)控制與賬號(hào)管理

   記錄設(shè)備訪(fǎng)問(wèn)日志，并進(jìn)行必要的審計(jì)

   簡(jiǎn)而言之，就是要確保只有絕對(duì)必要的人員才能在物理上接觸到關(guān)鍵工控系統(tǒng)，將工控設(shè)備在網(wǎng)絡(luò)上與其他不必要相聯(lián)的系統(tǒng)斷開(kāi)，維護(hù)防火墻的完整性，堅(jiān)持打上最新的軟件安全補(bǔ)丁，等等。

   西門(mén)子將向客戶(hù)提供全面的工業(yè)控制系統(tǒng)信息安全支持，包括產(chǎn)品、系統(tǒng)、解決方案，以及專(zhuān)業(yè)的咨詢(xún)服務(wù)。

   與此同時(shí)，西門(mén)子還在全球的重點(diǎn)國(guó)家建立了安全專(zhuān)家網(wǎng)絡(luò)。目前，西門(mén)子安全網(wǎng)絡(luò)的中心設(shè)立在德國(guó)，并在美國(guó)、中國(guó)、俄羅斯、法國(guó)建立了分支，并計(jì)劃在英國(guó)、印度設(shè)立另外兩個(gè)分支。西門(mén)子安全專(zhuān)家職責(zé)是第一時(shí)間掌握安全漏洞與網(wǎng)絡(luò)攻擊的相關(guān)信息，與本地客戶(hù)、工業(yè)合作伙伴、以及政府權(quán)威機(jī)構(gòu)密切合作，共同分析問(wèn)題，控制問(wèn)題的影響范圍，盡快提供相應(yīng)的解決方案。 

    摘自《自動(dòng)化博覽》2013年1期