2024年谈工业信息安全如何选择工控防御系统工控信息安全VIP免费

谈工业信息安全:如何选择工控防御系统工控信息安全技术的发展都会有两面性。给企业带来的种种便利的同时，也会带来病毒、木马、黑客等对系统带来的威胁。而工业控制领域也是如此，工控系统中通用协议和技术的广泛应用减弱了控制系统与外界的隔离，使系统的安全性时时遭受来自外界的考验。去年，国家发改委公布的《20XX年国家信息安全专项有关事项的通知》中，强调工业控制系统信息安全是国家重点支持的四大领域之一，这也意味着打响工业信息安全的保卫战刻不容缓。如何选择防御体系纵观当前行业的发展，工业客户对于工业信息安全除了认知方面的不足，往往还面临人员缺失、制度形式化和生产与安全的矛盾冲突等一系列困境，而选用实际又实用的产品或解决方案，成为企业推进工业信息安全前行的第一步。工业信息安全的实现是一个系统工程，多层次的防护是必要的策略。现在，业界多数主流供应商普遍采用的是“自上而下”的纵深防御体系，遵循安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大步骤，侧重于管理级、系统级安全功能的强化。“自上而下”的解决方案看似能实现企业信息安全，而在实施过程中却存在很多缺陷。首先，优先实现管理级、系统级的安全功能，需要企业投入大量资金进行软硬件设备的建设，不是所有的客户都有这样的实力或意愿进行投资。其次，对于本身存在信息安全缺陷的工控设备来说，“自上而下”的防护只是一些外围防护措施，并没有从根源上消除信息安全的隐患，相关工控设备还处在“带病上岗”状态。其三，通常工业企业使用的工控设备类型多、数量庞大，单纯依靠管理级、系统级的防护很难确保每一台单体设备的安全性。最后，企业现场的差异化，决定了管理级、系统级的信息安全解决方案定制化、私有化的程度非常高，不利于方案后续应用推广。所以“自上而下”实施信息安全防御策略解决方案，不第1页共3页能突出实用性和有效性。为此，市场上一种称之为“自下而上”的安全策略也应运而生。“自下而上”的安全策略强调以设备级防护为基础，兼顾系统级和管理级防护。其中设备级防护侧重于提升每个设备的信息安全防护能力；系统级防护的目标是设计安全的控制系统架构，以增强控制系统的整体信息安全功能；管理级防护的作用则是规范管理、完善安全策略，增强控制系统的灾难恢复和数据备份等功能。“自下而上”的部署，其意义在于通过将信息安全功能集成到设备本身，实现“细胞级”安全，企业因此可以摆脱传统安全解决方案中对于管理政策、制度以及人员能力和操作规范等诸多不可控或不完备条件限制的过度依赖，减少投资，并能够在短期内迅速提升企业工控系统信息安全防护水平，并为逐步实施完整的纵深防御安全策略奠定基础。特别是对于当前那些数量众多，不具备系统级防护和管理级防护能力的工控系统，设备级防护就显得非常理想。在目前国内工控信息安全安全策略部署的成功案例还不多见的背景下，施耐德电气打造的“自下而上”三级纵深防护体系已经拥有了多个成功案例。如何选择工控设备根据设备级防护策略，工控系统中应用的plc、以太网交换机和scada软件等工控设备都可以变身为捍卫信息安全的卫士。例如，通过模板固件升级、软件辅助功能设置来增强工控设备的信息安全防护能力，通过设置工业级管理型交换机的安全参数，如采用“增强型”密码、关闭未用端口、端口地址绑定、网络风暴限制、组播过滤等一系列具体技术措施、采用以太网环网提升网络的容错能力等方案，极大地提升工控系统防范物理入侵能力，提升工控系统的可用性。从20XX年工信部451号文件《关于加强工业控制系统信息安全管理的通知》中明确指出，有关的国家大型企业要慎重选择工业控制系统设备，到近期，国家相关主管部门针对国有大型企业工业控制设备选型的安全性要求日趋严格，并逐步出台相关政策法规，都可以窥见工控设备选型的重要性。那么，对于工控设备应如何选择呢。第2页共3页以电力行业为例，能源局安监司提出plc等工控设备的选用必须参照两条标准：a）禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。b）系统和设备经有资质的机构检测认定不...