信息安全對(duì)于保障企業(yè)關(guān)鍵業(yè)務(wù)的運(yùn)行非常重要,因此也越來(lái)越得到企業(yè)的重視。目前大部分的企業(yè)內(nèi)部都建立了信息安全的防護(hù)機(jī)制,尤其是在病毒防護(hù)上,眾多企業(yè)都異常的重視。但是,目前的病毒防護(hù)大部分企業(yè)都只注重辦公網(wǎng)的防護(hù),幾乎很少企業(yè)涉及到對(duì)于工業(yè)網(wǎng)絡(luò)的病毒防護(hù)。因?yàn)橥ǔN覀冋J(rèn)為,計(jì)算機(jī)病毒無(wú)法影響到工控機(jī)的運(yùn)行,因?yàn)榇蟛糠植《臼腔趙indows平臺(tái)運(yùn)行的。但是,在2010年震網(wǎng)(Stuxnet)病毒誕生改變了這一現(xiàn)實(shí)。這種復(fù)雜的電腦病毒將惡意軟件作為一種網(wǎng)絡(luò)武器來(lái)使用,通過(guò)USB和其他機(jī)制傳播,可以影響特定工業(yè)控制系統(tǒng)的運(yùn)行。
隨著工業(yè)自動(dòng)化程度的提高,在享受IT技術(shù)帶來(lái)的益處的同時(shí),針對(duì)工業(yè)控制網(wǎng)絡(luò)的安全威脅也在與日俱增,工控機(jī)所受威脅也越來(lái)越大。據(jù)國(guó)家信息安全漏洞庫(kù)公開(kāi)數(shù)據(jù)表明,2011年CNVD(China National Vulnerability Database)收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍,涉及西門(mén)子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。面對(duì)成倍增長(zhǎng)針對(duì)工業(yè)控制系統(tǒng)的病毒,未來(lái),工業(yè)網(wǎng)絡(luò)信息安全會(huì)面臨越來(lái)越多的挑戰(zhàn),工業(yè)網(wǎng)絡(luò)信息安全防護(hù)已經(jīng)到了刻不容緩的地步了。
一、Stuxnet病毒的新警示
導(dǎo)語(yǔ):截至到2010年10月,全球已有約45000個(gè)網(wǎng)絡(luò)感染Stuxnet“超級(jí)工廠病毒”。2011年CNVD(China National Vulnerability Database)收錄了100余個(gè)對(duì)我國(guó)影響廣泛的工業(yè)控制系統(tǒng)軟件安全漏洞,較2010年大幅增長(zhǎng)近10倍,涉及西門(mén)子、北京亞控和北京三維力控等國(guó)內(nèi)外知名工業(yè)控制系統(tǒng)制造商的產(chǎn)品。工廠車(chē)間信息安全面臨越來(lái)越多的挑戰(zhàn),加強(qiáng)工廠網(wǎng)絡(luò)信息安全的防護(hù)已經(jīng)刻不容緩。
Stuxnet是一種計(jì)算機(jī)蠕蟲(chóng)病毒,通過(guò)Windows操作系統(tǒng)此前不為人知的的漏洞感染計(jì)算機(jī),同時(shí)該病毒針對(duì)具有西門(mén)子WINCC平臺(tái)的控制系統(tǒng)以及Step7文件進(jìn)行攻擊,由于該病毒能夠修改WINCC平臺(tái)數(shù)據(jù)庫(kù)變量,在Step7程序中插入代碼以及功能塊,即能夠?qū)刂葡到y(tǒng)發(fā)動(dòng)攻擊,故部分專(zhuān)家定義Stuxnet為“超級(jí)工廠病毒”。這個(gè)病毒,目前已經(jīng)對(duì)伊朗國(guó)內(nèi)工業(yè)控制系統(tǒng)產(chǎn)生極大影響,截至到2010年10月,全球已有約45000個(gè)網(wǎng)絡(luò)被該蠕蟲(chóng)感染。西門(mén)子WINCC平臺(tái)在我國(guó)的多個(gè)重要行業(yè)應(yīng)用廣泛,被用來(lái)進(jìn)行鋼鐵、電力、能源、化工等重要行業(yè)的人機(jī)交互與監(jiān)控,一旦攻擊成功,則可能造成使用這些企業(yè)運(yùn)行異常,甚至造成商業(yè)資料失竊、停工停產(chǎn)等嚴(yán)重事故。
Stuxnet病毒主要通過(guò)U盤(pán)和局域網(wǎng)進(jìn)行傳播,由于安裝SIMATIC WinCC系統(tǒng)的電腦一般會(huì)與互聯(lián)網(wǎng)物理隔絕,因此黑客特意強(qiáng)化了病毒的U盤(pán)傳播能力。如果企業(yè)沒(méi)有針對(duì)U盤(pán)等可移動(dòng)設(shè)備進(jìn)行嚴(yán)格管理,導(dǎo)致有人在局域網(wǎng)內(nèi)使用了帶毒U盤(pán),則整個(gè)網(wǎng)絡(luò)都會(huì)被感染。因此,為了保證工廠信息安全,避免類(lèi)似Stuxnet病毒的傳播,必須加強(qiáng)工廠信息安全體系及架構(gòu)的建設(shè)。
二、工廠信息安全的定義
導(dǎo)語(yǔ):工廠信息安全防護(hù)包括:保護(hù)在工廠車(chē)間中廣泛使用的如,工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過(guò)程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運(yùn)行安全,確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、中斷、修改和破壞,為企業(yè)正常生產(chǎn)提供信息服務(wù)。
對(duì)于工廠信息安全,目前還沒(méi)有一個(gè)公認(rèn)、統(tǒng)一的定義,但是目前對(duì)于信息安全,已經(jīng)有較為統(tǒng)一的認(rèn)識(shí)。信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,信息服務(wù)不中斷。信息安全主要包括以下五方面的內(nèi)容,即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使內(nèi)部信息不受外部威脅,因此信息通常要加密。為保障信息安全,要求有信息源認(rèn)證、訪問(wèn)控制,不能有非法軟件駐留,不能有非法操作。
工廠的信息安全就是應(yīng)該對(duì)工廠車(chē)間內(nèi)部的系統(tǒng)及終端設(shè)備進(jìn)行安全防護(hù)。根據(jù)工廠內(nèi)部所涉及的終端設(shè)備及系統(tǒng),e-works認(rèn)為工廠信息安全包括:保護(hù)在工廠車(chē)間中廣泛使用的如,工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控(SCADA)、分布式控制系統(tǒng)(DCS)、過(guò)程控制系統(tǒng)(PCS)、可編程邏輯控制器(PLC)等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運(yùn)行安全,確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)授權(quán)的訪問(wèn)、使用、泄露、中斷、修改和破壞,為企業(yè)正常生產(chǎn)提供信息服務(wù)。工廠信息安全涉及邊界如圖1所示。
MES系統(tǒng)的防護(hù)相對(duì)特殊,既要直接采集來(lái)源于生產(chǎn)現(xiàn)場(chǎng)的數(shù)據(jù),同工廠生產(chǎn)車(chē)間中的各項(xiàng)終端設(shè)備都會(huì)進(jìn)行直接的數(shù)據(jù)交互,而且也要同上層的ERP系統(tǒng)進(jìn)行通訊,因此MES系統(tǒng)在大多數(shù)企業(yè)中,為了方便與ERP系統(tǒng)之間的數(shù)據(jù)交互與員工訪問(wèn),通常會(huì)劃分在辦公網(wǎng)的安全防護(hù)體系中。但是,實(shí)際上由于MES系統(tǒng)能夠直接對(duì)工業(yè)控制系統(tǒng)進(jìn)行訪問(wèn),因此,對(duì)于MES系統(tǒng)的防護(hù)應(yīng)該提升其系統(tǒng)防護(hù)級(jí)別,將MES系統(tǒng)與辦公網(wǎng)進(jìn)行隔離。
圖1工廠信息安全邊界
工廠信息安全中最為基礎(chǔ)的部分就是工業(yè)以太網(wǎng),所以工業(yè)以太網(wǎng)網(wǎng)絡(luò)首先得必須保證7*24*365天的可用性,必須能夠不間斷的可操作,能夠確保系統(tǒng)的可訪問(wèn)性,數(shù)據(jù)能夠?qū)崟r(shí)進(jìn)行傳輸,需要有完備的保護(hù)方案。工業(yè)以太網(wǎng)與普通辦公網(wǎng)具體區(qū)別如下表所示:
| 辦公網(wǎng) | 工業(yè)以太網(wǎng) | |
| 可靠性 | 容忍偶然故障 能接受在現(xiàn)場(chǎng)進(jìn)行測(cè)試 |
不能容忍停機(jī) 期待進(jìn)行徹底的QA測(cè)試 |
| 風(fēng)險(xiǎn)影響 | 數(shù)據(jù)丟失 | 危及生產(chǎn)、設(shè)備、人的安全 |
| 性能 | 高流通量 能接受高延時(shí)和抖動(dòng) |
接受中等流通量 高度關(guān)切大延時(shí) |
| 恢復(fù) | 能接受較長(zhǎng)時(shí)間恢復(fù) | 故障后要求快速恢復(fù)/切換 |
| 風(fēng)險(xiǎn)管理 | 通過(guò)再引導(dǎo)恢復(fù) 功能安全 |
必要的容錯(cuò)措施 期待明細(xì)的危險(xiǎn)分析 |
| 均一性 | 通常為同機(jī)種環(huán)境(如操作系統(tǒng)、應(yīng)用、硬件) | 異種機(jī)環(huán)境(如操作系統(tǒng)、界面、硬件、品牌) |
| 安全性 | 大多情況現(xiàn)場(chǎng)不夠安全 同一現(xiàn)場(chǎng)Internet之間很好分隔 關(guān)注中央服務(wù)器的安全 |
嚴(yán)密的物理安全性 MIS網(wǎng)絡(luò)與工廠網(wǎng)絡(luò)隔離 關(guān)注邊界控制設(shè)備穩(wěn)定性 |
表1 工業(yè)以太網(wǎng)與普通辦公網(wǎng)對(duì)比
工廠信息安全的所帶來(lái)的風(fēng)險(xiǎn)十分廣泛,大致的威脅級(jí)別可以分為:未授權(quán)訪問(wèn)、數(shù)據(jù)竊取、數(shù)據(jù)篡改、病毒破壞工廠導(dǎo)致停產(chǎn)、破壞工廠導(dǎo)致事故。
1. 未授權(quán)訪問(wèn)
未授權(quán)訪問(wèn)是指,未經(jīng)授權(quán)使用網(wǎng)絡(luò)或未授權(quán)訪問(wèn)網(wǎng)絡(luò)資源、文件的一種行為。主要包括非法進(jìn)入系統(tǒng)或網(wǎng)絡(luò)后進(jìn)行操作的行為。
2.數(shù)據(jù)竊取
通過(guò)未授權(quán)的訪問(wèn)、網(wǎng)絡(luò)監(jiān)聽(tīng)等非法手段獲取到有價(jià)值的信息或數(shù)據(jù)。
3. 數(shù)據(jù)篡改
據(jù)篡改即是對(duì)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行修改、增加或刪除,造成數(shù)據(jù)破壞。
4.破壞工廠導(dǎo)致停產(chǎn)
通過(guò)病毒或其他攻擊手段對(duì)包括PLC、DCS在內(nèi)的工業(yè)控制系統(tǒng)進(jìn)行攻擊,導(dǎo)致其無(wú)法正常工作從而影響企業(yè)的正常生產(chǎn)。
5. 破壞工廠導(dǎo)致事故
通過(guò)破壞工業(yè)控制系統(tǒng)的正常運(yùn)作,導(dǎo)致控制無(wú)法正常讀取諸如溫度、轉(zhuǎn)速等及時(shí)信息導(dǎo)致控制系統(tǒng)發(fā)出錯(cuò)誤指令而導(dǎo)致的工廠事故。
下表為工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)在風(fēng)險(xiǎn)源上的區(qū)別。
| 未授權(quán)訪問(wèn) | 數(shù)據(jù)竊取 | 數(shù)據(jù)篡改 | 破壞導(dǎo)致停產(chǎn) | 破壞導(dǎo)致事故 | |
| 辦公網(wǎng)絡(luò) | 需要防護(hù) | 需要防護(hù) | 需要防護(hù) | 一般不會(huì) | 一般不會(huì) |
| 工業(yè)網(wǎng)絡(luò) | 需要防護(hù) | 需要防護(hù) | 需要防護(hù) | 需要防護(hù) | 需要防護(hù) |
三、工廠信息安全五層四區(qū)域的防護(hù)體系
導(dǎo)語(yǔ):對(duì)于工廠信息安全,僅靠傳統(tǒng)的殺毒軟件進(jìn)行防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。只有一套完善的網(wǎng)絡(luò)體系架構(gòu),才能真正的對(duì)于工廠信息安全進(jìn)行防御。工廠信息安全的建設(shè)應(yīng)該采用五層的防御體系進(jìn)行構(gòu)建,嚴(yán)格的對(duì)區(qū)域進(jìn)行劃分。工廠信息安全五層主要是指:商業(yè)(IT)防火墻層次、安全網(wǎng)關(guān)層次、防病毒軟件層次、控制系統(tǒng)防火墻與IDS(IPS)系統(tǒng)層次、現(xiàn)場(chǎng)設(shè)備五層次的防護(hù)。
對(duì)于工廠信息安全,僅靠傳統(tǒng)的殺毒軟件進(jìn)行防護(hù)是遠(yuǎn)遠(yuǎn)不夠的。只有一套完善的網(wǎng)絡(luò)體系架構(gòu),才能真正的對(duì)于工廠信息安全進(jìn)行防御。工廠信息安全的建設(shè)應(yīng)該采用五層防御體系進(jìn)行構(gòu)建,嚴(yán)格的對(duì)區(qū)域進(jìn)行劃分。
第一道防線:商業(yè)(IT)防火墻
目前幾乎所有的企業(yè)都有這一層的防護(hù)。此層的目的是將內(nèi)部網(wǎng)和Internet網(wǎng)分開(kāi),從而保護(hù)內(nèi)部網(wǎng)免受非法用戶(hù)的侵入。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。通過(guò)此層的防御,可以過(guò)濾掉絕大多數(shù)的網(wǎng)絡(luò)攻擊。入侵者如果穿越防火墻,首先到達(dá)的就是辦公網(wǎng)絡(luò)的DMZ區(qū)域。但是辦公網(wǎng)絡(luò)的DMZ區(qū)域是不會(huì)涉及到工廠車(chē)間網(wǎng)絡(luò)的任何服務(wù)器,所以,對(duì)于工廠信息的安全起到了最初級(jí)的防護(hù)作用。
第二道防線:抵御多種威脅的安全網(wǎng)關(guān)
安全網(wǎng)關(guān)的防護(hù)嚴(yán)格程度較第一道防線的防火墻的規(guī)則更加嚴(yán)格,并且夠提供從協(xié)議級(jí)過(guò)濾到應(yīng)用級(jí)過(guò)濾。入侵者如果成功穿越防火墻后,想進(jìn)入更加核心的區(qū)域,那么就必須花費(fèi)更多的時(shí)間及精力來(lái)進(jìn)行攻擊。
第三層防線:防病毒軟件
普通辦公用電腦的攻擊價(jià)值非常低,一般的入侵者不會(huì)對(duì)其進(jìn)行攻擊,但是普通辦公電腦確實(shí)一個(gè)攻擊的平臺(tái),通過(guò)木馬程序進(jìn)行控制,非法訪問(wèn)一些服務(wù)器,將普通辦公電腦當(dāng)做一個(gè)跳板的作用。對(duì)于辦公電腦來(lái)說(shuō),經(jīng)常的使用U盤(pán)等移動(dòng)設(shè)備會(huì)造成無(wú)法通過(guò)網(wǎng)絡(luò)傳播的病毒進(jìn)行擴(kuò)散。防毒軟件能夠監(jiān)察計(jì)算機(jī)內(nèi)的惡意程式,包括流行的各種病毒、木馬、蠕蟲(chóng)和特洛伊木馬,保護(hù)企業(yè)和用戶(hù)計(jì)算機(jī)。
第四層:控制系統(tǒng)防火墻與IDS(IPS)系統(tǒng)
控制系統(tǒng)防火墻是專(zhuān)門(mén)針對(duì)工廠生產(chǎn)車(chē)間系統(tǒng)及網(wǎng)絡(luò)部署的一道防火墻。此道防火墻會(huì)制定更加嚴(yán)格的規(guī)則,開(kāi)放更加少的端口,避免入侵者從外部對(duì)工廠生產(chǎn)車(chē)間的網(wǎng)絡(luò)及系統(tǒng)進(jìn)行攻擊。
同時(shí),在此層級(jí)上由于工廠生產(chǎn)車(chē)間的敏感性,為了有效的對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控,在靠近終端設(shè)備處同時(shí)部署IDS或IPS系統(tǒng)的探測(cè)器。IDS是Intrusion Detection System的縮寫(xiě),即入侵檢測(cè)系統(tǒng),主要用于檢測(cè)病毒和網(wǎng)絡(luò)異常通信,以便網(wǎng)絡(luò)管理員采取相應(yīng)措施。IDS入侵檢測(cè)系統(tǒng)能夠察覺(jué)黑客的入侵行為并且進(jìn)行記錄和處理。由于當(dāng)病毒爆發(fā)時(shí),會(huì)占用大量的工業(yè)以太網(wǎng)絡(luò)帶寬,使任務(wù)實(shí)時(shí)性執(zhí)行出現(xiàn)闖題,IDS入侵檢測(cè)系統(tǒng)能夠及時(shí)檢測(cè)出這種非法的占用,記錄下病毒發(fā)出的連接,向上層管理計(jì)算機(jī)發(fā)出警告,同時(shí)它不影響整體網(wǎng)絡(luò)的運(yùn)行性能,非常適合工業(yè)以太網(wǎng)的網(wǎng)絡(luò)特點(diǎn)。
圖2IDS部署示意圖
IPS(入侵防御系統(tǒng))設(shè)備串接于路由器與防火墻,利用IPS能夠快速終結(jié)DDOS、未知的蠕蟲(chóng)、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)阻塞,實(shí)現(xiàn)對(duì)工業(yè)以太網(wǎng)的防護(hù),同時(shí)它能保護(hù)防火墻和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊。IPS會(huì)在此類(lèi)網(wǎng)絡(luò)攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信,在網(wǎng)絡(luò)中起到防御的作用。IPS將檢查入網(wǎng)的數(shù)據(jù)包,確定這種數(shù)據(jù)包的真正用途,然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。這種技術(shù)從源頭控制了對(duì)工業(yè)以太網(wǎng)的惡意攻擊。具體部署參考圖4。
圖3 IPS入侵防御系統(tǒng)
通過(guò)部署入侵檢測(cè)系統(tǒng)及入侵防御系統(tǒng)后,工廠信息安全的防護(hù)體系基本趨于完善。能夠?qū)^大多數(shù)病毒及攻擊進(jìn)行有效的防護(hù)。
第五層:安全可靠的現(xiàn)場(chǎng)設(shè)備
上面的四層都是從外部因素進(jìn)行防御,做為工廠信息安全的基礎(chǔ)部件,現(xiàn)場(chǎng)設(shè)備應(yīng)該進(jìn)行內(nèi)部的防御。現(xiàn)場(chǎng)設(shè)備在選型時(shí)需要進(jìn)行慎重的選擇,避免選擇一些功能系統(tǒng)不成熟的產(chǎn)品進(jìn)行使用。如果已經(jīng)選擇了一些比較老款的產(chǎn)品,企業(yè)需注意嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理,嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請(qǐng)專(zhuān)業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證。只有這樣,現(xiàn)場(chǎng)設(shè)備才能保障自身系統(tǒng)安全。
圖4 工廠信息安全網(wǎng)絡(luò)架構(gòu)
四區(qū)域的劃分是按照業(yè)務(wù)職能和安全需求的不同,對(duì)網(wǎng)絡(luò)進(jìn)行劃分,起到隔離、避免病毒任意擴(kuò)散的作用。制造業(yè)企業(yè)的工業(yè)網(wǎng)絡(luò)可以按照以下幾個(gè)區(qū)域進(jìn)行劃分:
區(qū)域一:辦公網(wǎng)DMZ區(qū)域
DMZ是英文“demilitarized zone”的縮寫(xiě),中文名稱(chēng)為“隔離區(qū)”,也稱(chēng)“非軍事化區(qū)”。它是為了解決安裝防火墻后外部網(wǎng)絡(luò)不能訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)器的問(wèn)題,而設(shè)立的一個(gè)非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū),這個(gè)緩沖區(qū)位于企業(yè)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的小網(wǎng)絡(luò)區(qū)域內(nèi),在這個(gè)小網(wǎng)絡(luò)區(qū)域內(nèi)可以放置一些必須公開(kāi)的服務(wù)器設(shè)施,如企業(yè)Web服務(wù)器、FTP服務(wù)器和論壇等。另一方面,通過(guò)這樣一個(gè)DMZ區(qū)域,更加有效地保護(hù)了內(nèi)部網(wǎng)絡(luò),因?yàn)檫@種網(wǎng)絡(luò)部署,比起一般的防火墻方案,對(duì)攻擊者來(lái)說(shuō)就多了一道關(guān)卡。
區(qū)域二:辦公網(wǎng)絡(luò)區(qū)域
在此區(qū)域中主要是為普通的辦公PC以及不對(duì)外開(kāi)放的企業(yè)信息系統(tǒng),如ERP、PDM等系統(tǒng)服務(wù)器的區(qū)域。對(duì)于攻擊者來(lái)說(shuō),從Internet網(wǎng)是無(wú)法直接訪問(wèn)到此區(qū)域的電腦及服務(wù)器的。
區(qū)域三:工業(yè)網(wǎng)絡(luò)的DMZ區(qū)域
在此區(qū)域中主要存放包括MES系統(tǒng)、工業(yè)以太網(wǎng)IDS系統(tǒng)服務(wù)器。此區(qū)域主要是滿(mǎn)足ICS管理與監(jiān)控需要的需要,還能將實(shí)時(shí)采集到的終端數(shù)據(jù)提供給辦公網(wǎng)絡(luò)區(qū)域的人員進(jìn)行訪問(wèn)。
區(qū)域四:滿(mǎn)足自動(dòng)化作業(yè)需要的控制區(qū)域
此區(qū)域中主要滿(mǎn)足自動(dòng)化設(shè)備,如可編程邏輯控制器(PLC)、遠(yuǎn)程終端(RTU)、智能電子設(shè)備(IED)在內(nèi)的各種采集器與上層系統(tǒng)(如MES系統(tǒng))之間的數(shù)據(jù)傳遞。
通過(guò)五層四區(qū)域的防護(hù)體系的搭建,基本能夠保證工廠信息安全,也能夠滿(mǎn)足各區(qū)域人員對(duì)于信息的需求。
四、工廠信息安全防護(hù)體系的實(shí)施
導(dǎo)語(yǔ):工廠信息安全雖然重要,但是不同行業(yè)的企業(yè)對(duì)于工廠信息安全的防護(hù)程度還是有所區(qū)別的。對(duì)于包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國(guó)計(jì)民生緊密相關(guān)的領(lǐng)域應(yīng)該重點(diǎn)防護(hù)。對(duì)于非重點(diǎn)行業(yè)的企業(yè)來(lái)說(shuō),也盡量將辦公網(wǎng)與工業(yè)以太網(wǎng)分開(kāi)進(jìn)行部署。
每種類(lèi)型的企業(yè)對(duì)于工廠信息安全的防護(hù)要求也有所不同,根據(jù)不同類(lèi)型企業(yè), 采用的防護(hù)級(jí)別也有所不同。對(duì)于包括核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國(guó)計(jì)民生緊密相關(guān)的領(lǐng)域應(yīng)該重點(diǎn)防護(hù)。
重點(diǎn)防護(hù)領(lǐng)域的企業(yè)在防護(hù)時(shí)應(yīng)該主動(dòng)進(jìn)行防護(hù)措施,包括完善網(wǎng)絡(luò)架構(gòu),采取工業(yè)網(wǎng)絡(luò)獨(dú)立運(yùn)行,并且有備份網(wǎng)絡(luò)鏈路的措施。另外,慎重選擇工業(yè)控制系統(tǒng)設(shè)備;嚴(yán)格軟件升級(jí)、補(bǔ)丁安裝管理,嚴(yán)防病毒、木馬等惡意代碼侵入。關(guān)鍵工業(yè)控制系統(tǒng)軟件升級(jí)、補(bǔ)丁安裝前要請(qǐng)專(zhuān)業(yè)技術(shù)機(jī)構(gòu)進(jìn)行安全評(píng)估和驗(yàn)證;采用雙網(wǎng)絡(luò)架構(gòu),有備份鏈路;有專(zhuān)業(yè)人員進(jìn)行維護(hù);有針對(duì)工業(yè)以太網(wǎng)安全防護(hù)的系統(tǒng)及安全措施。
對(duì)于非重點(diǎn)行業(yè)的企業(yè)來(lái)說(shuō),也盡量將辦公網(wǎng)與工業(yè)以太網(wǎng)分開(kāi)進(jìn)行部署。因?yàn)槟壳霸诠S內(nèi)使用自動(dòng)化程度較高的數(shù)控機(jī)床的企業(yè)越來(lái)越多,而DNC系統(tǒng)的普及也對(duì)網(wǎng)絡(luò)要求也越來(lái)越高,一旦網(wǎng)絡(luò)出現(xiàn)故障就會(huì)導(dǎo)致程序無(wú)法傳輸而影響生產(chǎn),而且由于數(shù)控機(jī)床也會(huì)采用基于WINDOWS平臺(tái)的數(shù)控系統(tǒng),因此會(huì)受到網(wǎng)絡(luò)病毒的攻擊。因此獨(dú)立開(kāi)辦公網(wǎng)與工業(yè)以太網(wǎng)是非常有必要的。如果能在網(wǎng)絡(luò)中部署IDS入侵檢測(cè)系統(tǒng),是有利于避免因?yàn)榫W(wǎng)絡(luò)病毒而導(dǎo)致的工廠停工的事件發(fā)生。
表3 不同行業(yè)防御部署重點(diǎn)
小結(jié)
工廠信息安全問(wèn)題是項(xiàng)系統(tǒng)工程,不能單純依靠和過(guò)分依賴(lài)某一種防護(hù)技術(shù),任何安全措施都會(huì)有不足,各種安全措施能夠提高系統(tǒng)安全性,不可能保證系統(tǒng)絕對(duì)安全。信息安全問(wèn)題是伴隨人類(lèi)社會(huì)信息化的進(jìn)程產(chǎn)生和發(fā)展的,必將會(huì)長(zhǎng)期存在下去。這就要求我們時(shí)刻不能放松思想,爭(zhēng)取在第一時(shí)間發(fā)現(xiàn)問(wèn)題,并能夠完善地解決問(wèn)題,盡可能將損失降到最小。
轉(zhuǎn)載請(qǐng)注明出處:拓步ERP資訊網(wǎng)http://m.hanmeixuan.com/
本文標(biāo)題:信息時(shí)代工廠信息安全
本文網(wǎng)址:http://m.hanmeixuan.com/html/consultation/1083952335.html
相關(guān)文章
