普度模型
工控系統(tǒng)的信息安全問題��,在各層上都面臨著來(lái)自不同方面的威脅,企業(yè)網(wǎng)的管理信息層面臨來(lái)自互聯(lián)網(wǎng)的攻擊,也有企業(yè)內(nèi)部惡意的攻擊通過企業(yè)網(wǎng)進(jìn)入工控網(wǎng)�����,一直到現(xiàn)場(chǎng)網(wǎng)絡(luò);在控制層有系統(tǒng)管理人員非法操作�����,最嚴(yán)重的要屬第三方運(yùn)維人員的對(duì)現(xiàn)場(chǎng)設(shè)備的操作;還有遠(yuǎn)程撥號(hào)的攻擊��,有部分現(xiàn)場(chǎng)還有野外搭線的威脅����。
國(guó)際NIST SP800-82《工業(yè)控制系統(tǒng)安全指南》中已經(jīng)詳細(xì)描述了各種威脅來(lái)源,也從策略程序�、平臺(tái)及網(wǎng)絡(luò)等方面講述了可能的風(fēng)險(xiǎn)和脆弱性。
當(dāng)然不同行業(yè)面臨的威脅和風(fēng)險(xiǎn)重點(diǎn)不同��,比如軍工行業(yè)主要強(qiáng)調(diào)工控網(wǎng)和涉密網(wǎng)連接時(shí)的信息保密;石化強(qiáng)調(diào)DCS系統(tǒng)生產(chǎn)的連續(xù)和非異常;電力強(qiáng)調(diào)SCADA調(diào)度系統(tǒng)的不中斷等等����。
總體上,明晰面臨的風(fēng)險(xiǎn)才能進(jìn)行有針對(duì)性的防護(hù)���。信息安全防護(hù)的整體架構(gòu)性必須要跟工業(yè)自動(dòng)化體系保持一致����,方可成為同一體系�����,因此在GT/T 26335-2010工業(yè)企業(yè)信息化集成系統(tǒng)規(guī)范中提到了工業(yè)企業(yè)信息化集成總體架構(gòu)���。
無(wú)論是從普度模型還是工業(yè)企業(yè)信息化集成架構(gòu)圖中都可以看出�,防護(hù)必須全方位考慮�����。例如��,早在2005年���,電力系統(tǒng)的二次防護(hù)方案中就提出了“縱向隔離�����、橫向分區(qū)”的概念�����。
雖然工業(yè)4.0已經(jīng)非常明確工業(yè)系統(tǒng)將會(huì)互聯(lián)網(wǎng)���、物聯(lián)網(wǎng)化�����,但距離現(xiàn)在各行業(yè)的實(shí)際情況還有一段時(shí)間���,但由于事關(guān)生產(chǎn)就無(wú)小事,不能輕舉妄動(dòng)�。作為信息安全建設(shè)方,要深入研究工業(yè)網(wǎng)絡(luò)中使用的協(xié)議�,以實(shí)現(xiàn)對(duì)工業(yè)網(wǎng)絡(luò)的異常監(jiān)測(cè)和防護(hù),下表中列出部分通訊協(xié)議:
自動(dòng)化系統(tǒng)建設(shè)方�,則要深入借鑒信息安全的攻防知識(shí)、產(chǎn)品體系�。
信息安全產(chǎn)品體系
工業(yè)控制系統(tǒng)信息安全關(guān)系國(guó)計(jì)民生,尤其是在當(dāng)前國(guó)際形勢(shì)嚴(yán)竣的情況下���,小至一名從事自動(dòng)化安全�����、信息安全工作的個(gè)人���,大到一個(gè)企業(yè)�����,都應(yīng)本著“本主創(chuàng)新、自主掌控”的原則��,響應(yīng)我們國(guó)家網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組提出的“向著網(wǎng)絡(luò)基礎(chǔ)設(shè)施基本普及�、自主創(chuàng)新能力增強(qiáng)、信息經(jīng)濟(jì)全面發(fā)展����、網(wǎng)絡(luò)安全保障有力的”目標(biāo)不斷前進(jìn)。
