普度模型
工控系統(tǒng)的信息安全問題��,在各層上都面臨著來自不同方面的威脅,企業(yè)網(wǎng)的管理信息層面臨來自互聯(lián)網(wǎng)的攻擊�,也有企業(yè)內(nèi)部惡意的攻擊通過企業(yè)網(wǎng)進入工控網(wǎng)��,一直到現(xiàn)場網(wǎng)絡(luò);在控制層有系統(tǒng)管理人員非法操作�����,最嚴(yán)重的要屬第三方運維人員的對現(xiàn)場設(shè)備的操作;還有遠程撥號的攻擊���,有部分現(xiàn)場還有野外搭線的威脅��。
國際NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》中已經(jīng)詳細(xì)描述了各種威脅來源�����,也從策略程序�、平臺及網(wǎng)絡(luò)等方面講述了可能的風(fēng)險和脆弱性��。
當(dāng)然不同行業(yè)面臨的威脅和風(fēng)險重點不同��,比如軍工行業(yè)主要強調(diào)工控網(wǎng)和涉密網(wǎng)連接時的信息保密;石化強調(diào)DCS系統(tǒng)生產(chǎn)的連續(xù)和非異常;電力強調(diào)SCADA調(diào)度系統(tǒng)的不中斷等等�。
總體上,明晰面臨的風(fēng)險才能進行有針對性的防護���。信息安全防護的整體架構(gòu)性必須要跟工業(yè)自動化體系保持一致����,方可成為同一體系����,因此在GT/T 26335-2010工業(yè)企業(yè)信息化集成系統(tǒng)規(guī)范中提到了工業(yè)企業(yè)信息化集成總體架構(gòu)。
無論是從普度模型還是工業(yè)企業(yè)信息化集成架構(gòu)圖中都可以看出��,防護必須全方位考慮�。例如���,早在2005年,電力系統(tǒng)的二次防護方案中就提出了“縱向隔離�����、橫向分區(qū)”的概念��。
雖然工業(yè)4.0已經(jīng)非常明確工業(yè)系統(tǒng)將會互聯(lián)網(wǎng)�、物聯(lián)網(wǎng)化,但距離現(xiàn)在各行業(yè)的實際情況還有一段時間�����,但由于事關(guān)生產(chǎn)就無小事��,不能輕舉妄動�����。作為信息安全建設(shè)方����,要深入研究工業(yè)網(wǎng)絡(luò)中使用的協(xié)議,以實現(xiàn)對工業(yè)網(wǎng)絡(luò)的異常監(jiān)測和防護,下表中列出部分通訊協(xié)議:
自動化系統(tǒng)建設(shè)方��,則要深入借鑒信息安全的攻防知識�、產(chǎn)品體系。
信息安全產(chǎn)品體系
工業(yè)控制系統(tǒng)信息安全關(guān)系國計民生��,尤其是在當(dāng)前國際形勢嚴(yán)竣的情況下����,小至一名從事自動化安全�����、信息安全工作的個人�����,大到一個企業(yè)�����,都應(yīng)本著“本主創(chuàng)新����、自主掌控”的原則,響應(yīng)我們國家網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組提出的“向著網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本普及、自主創(chuàng)新能力增強�����、信息經(jīng)濟全面發(fā)展���、網(wǎng)絡(luò)安全保障有力的”目標(biāo)不斷前進�。
