工业基础设施信息安全的应对策略
——— 西门子召开工业基础设施信息安全研讨会
2012/1/10 11:40:08
随着开放、互联的现代网络技术的广泛应用,工厂信息化管理的普及以及数字化工厂兴起,我国工业基础设施领域正面临着来自信息安全领域的诸多挑战。2012年1月9日,西门子(中国)有限公司工业业务领域组织工业通讯领域相关技术人员以及行业用户,在北京召开以工业基础设施信息安全为主题的研讨会。
工业基础设施囊括了电力、石油与天然气、水利、工业制造及自动化、以及交通控制等重点行业,构成了我国国民经济、现代社会以及国家安全的重要基础。工业基础设施中关键应用或系统的故障将会会导致人员伤亡、严重的经济损失、基础设施被破坏、危及公众生活及国家安全、环境灾难等严重后果。
现代工业基础设施核心在于其控制网络。传统上,控制网络多为采用专用技术的封闭网络,面临的安全威胁不突出,因此各种控制系统、设备、应用的主要指标是可用性、功能、性能、(物理)安全性、实时性等,很少考虑信息安全的问题。但近年来,随着工业控制逐渐从封闭、孤立的系统走向互联(包括与传统IT系统互联),日益广泛地采用包括TCP/IP技术在内的开放技术。工业基础设施在享受开放、互联技术带来的进步与益处的同时,也面临越来越严重的安全威胁。近年来,随着越来越多的工业信息安全事件的出现,我国的工业基础设施正面临着前所未有的挑战。目前,工业基础设施面临的各种安全威胁包括:窃取数据、配方;破坏制造工厂;由于病毒、恶意软件等导致的工厂停产;操纵数据或应用软件;甚至对系统功能未经授权的访问等安全威胁。因此,针对工业控制系统的特点,研制并部署相应的工业安全解决方案,保障我国工业基础设施的安全运营,已成为迫在眉睫的需求。
与IT安全相比,工业信息安全有着其自身的特点,主要体现为安全防护的重点有所不同。IT安全一般针对的是办公自动化环境,需要首先保证机密性,其次才是完整性和可用性。而工业信息安全的防护的对象则是现场的PLC、RTU等控制设备,PROFINET、MMS、Modbus、IEC 60870-5、OPC等实时控制通信,以及DCS、SCADA等工业控制应用。因此,工业信息安全首先需要满足控制系统的高可用性的要求,其次才是完整性与机密性。但在工业应用多元化发展需求的强劲推动下,工业控制网络正逐步演变为开放系统,大规模采用IT技术,其集成化网络系统与IT网络基础设施充分互联,IT部门与自动化生产部门共同负责自动化网络运营。在这一大背景下,只充分考虑了工控系统特点的、综合全面的工业信息安全解决方案及服务才能满足工业基础设施领域日益强劲的安全需求。
根据近几年发生在能源、交通、水利与水处理以及制造行业的工业信息安全事件,西门子总结出我国工业基础设施安全关键需求包括:开展工业安全风险评估,建设全面的信息安全管理;实现安全域的划分与隔离,网络接口遵从清晰的安全规范;部署集成安全措施的保护基于PC的控制系统;建立保护ICS的控制级,防御安全攻击;最后实现对ICS通信的可感知与可控制。
针对目前我国工业基础设施信息安全方面的需求,西门子推出了工业信息安全纵深防御的解决方案。西门子中国研究院信息安全bu唐文博士建议,工业基础设施信息安全是一个复杂的系统工程,因此工业企业首先需要对企业的安全需求进行系统的分析,设计、制定相应的安全规划;并对对企业的工业控制系统进行风险评估,既要识别企业核心资产和价值,识别安全威胁和风险的来源,又要量化分析威胁的影响和防范措施的成本;在此基础上,部署相应的安全措施,包括对工业网络与办公网络进行网络分区与隔离,访问控制,系统加固,补丁管理等;最终,工控企业应当建立起可持续改进的安全管理体系,随着工控系统动态变化与各种安全威胁的动态演变,对工控系统信息安全管理体系进行持续分析、评估和改进等。唐文博士认为,目前纵深防御的工业安全理念覆盖了工业自动化控制系统的所有级别,是满足工业信息安全领域的关键需求的现实解决方案。
与此同时,国家对工业信息安全也日益重视。2011年工信部发布了《关于加强工业控制系统安全管理的通知》,明确了重点领域工业控制系统信息安全管理要求,并强调了“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,对连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理等等提出了明确要求。值得一提的是,西门子在工业信息安全领域的研究工作及其纵深防御的工业安全理念是符合工信部的管理要求的。
目前,人们对于工业信息安全的认识还处于起步阶段。笔者通过这次会议了解到,工业信息安全不只是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术、产品等各方面的系统工程,需要工控系统的管理方、运营方、集成商与组件供应商的共同参与,协同工作,并在整个工业基础设施生命周期的各个阶段中持续实施,不断改进才能保障我国工业基础设施的安全运营。目前,部署纵深防御是工业安全领域应对安全挑战的现实方法。
工业基础设施囊括了电力、石油与天然气、水利、工业制造及自动化、以及交通控制等重点行业,构成了我国国民经济、现代社会以及国家安全的重要基础。工业基础设施中关键应用或系统的故障将会会导致人员伤亡、严重的经济损失、基础设施被破坏、危及公众生活及国家安全、环境灾难等严重后果。
现代工业基础设施核心在于其控制网络。传统上,控制网络多为采用专用技术的封闭网络,面临的安全威胁不突出,因此各种控制系统、设备、应用的主要指标是可用性、功能、性能、(物理)安全性、实时性等,很少考虑信息安全的问题。但近年来,随着工业控制逐渐从封闭、孤立的系统走向互联(包括与传统IT系统互联),日益广泛地采用包括TCP/IP技术在内的开放技术。工业基础设施在享受开放、互联技术带来的进步与益处的同时,也面临越来越严重的安全威胁。近年来,随着越来越多的工业信息安全事件的出现,我国的工业基础设施正面临着前所未有的挑战。目前,工业基础设施面临的各种安全威胁包括:窃取数据、配方;破坏制造工厂;由于病毒、恶意软件等导致的工厂停产;操纵数据或应用软件;甚至对系统功能未经授权的访问等安全威胁。因此,针对工业控制系统的特点,研制并部署相应的工业安全解决方案,保障我国工业基础设施的安全运营,已成为迫在眉睫的需求。
与IT安全相比,工业信息安全有着其自身的特点,主要体现为安全防护的重点有所不同。IT安全一般针对的是办公自动化环境,需要首先保证机密性,其次才是完整性和可用性。而工业信息安全的防护的对象则是现场的PLC、RTU等控制设备,PROFINET、MMS、Modbus、IEC 60870-5、OPC等实时控制通信,以及DCS、SCADA等工业控制应用。因此,工业信息安全首先需要满足控制系统的高可用性的要求,其次才是完整性与机密性。但在工业应用多元化发展需求的强劲推动下,工业控制网络正逐步演变为开放系统,大规模采用IT技术,其集成化网络系统与IT网络基础设施充分互联,IT部门与自动化生产部门共同负责自动化网络运营。在这一大背景下,只充分考虑了工控系统特点的、综合全面的工业信息安全解决方案及服务才能满足工业基础设施领域日益强劲的安全需求。
根据近几年发生在能源、交通、水利与水处理以及制造行业的工业信息安全事件,西门子总结出我国工业基础设施安全关键需求包括:开展工业安全风险评估,建设全面的信息安全管理;实现安全域的划分与隔离,网络接口遵从清晰的安全规范;部署集成安全措施的保护基于PC的控制系统;建立保护ICS的控制级,防御安全攻击;最后实现对ICS通信的可感知与可控制。
针对目前我国工业基础设施信息安全方面的需求,西门子推出了工业信息安全纵深防御的解决方案。西门子中国研究院信息安全bu唐文博士建议,工业基础设施信息安全是一个复杂的系统工程,因此工业企业首先需要对企业的安全需求进行系统的分析,设计、制定相应的安全规划;并对对企业的工业控制系统进行风险评估,既要识别企业核心资产和价值,识别安全威胁和风险的来源,又要量化分析威胁的影响和防范措施的成本;在此基础上,部署相应的安全措施,包括对工业网络与办公网络进行网络分区与隔离,访问控制,系统加固,补丁管理等;最终,工控企业应当建立起可持续改进的安全管理体系,随着工控系统动态变化与各种安全威胁的动态演变,对工控系统信息安全管理体系进行持续分析、评估和改进等。唐文博士认为,目前纵深防御的工业安全理念覆盖了工业自动化控制系统的所有级别,是满足工业信息安全领域的关键需求的现实解决方案。
与此同时,国家对工业信息安全也日益重视。2011年工信部发布了《关于加强工业控制系统安全管理的通知》,明确了重点领域工业控制系统信息安全管理要求,并强调了“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,对连接管理、组网管理、配置管理、设备选择与升级管理、数据管理、应急管理等等提出了明确要求。值得一提的是,西门子在工业信息安全领域的研究工作及其纵深防御的工业安全理念是符合工信部的管理要求的。
目前,人们对于工业信息安全的认识还处于起步阶段。笔者通过这次会议了解到,工业信息安全不只是一个单纯的技术问题,而是一个从意识培养开始,涉及到管理、流程、架构、技术、产品等各方面的系统工程,需要工控系统的管理方、运营方、集成商与组件供应商的共同参与,协同工作,并在整个工业基础设施生命周期的各个阶段中持续实施,不断改进才能保障我国工业基础设施的安全运营。目前,部署纵深防御是工业安全领域应对安全挑战的现实方法。
图为基础设施信息安全研讨会会场一角
投诉建议
提交
查看更多评论
其他资讯
未来十年, 化工企业应如何提高资源效率及减少运营中的碳足迹?
2023年制造业“开门红”,抢滩大湾区市场锁定DMP工博会
2023钢铁展洽会4月全新起航 将在日照触发更多商机
物联之星五大榜单揭榜!中国物联网Top100企业名单都有谁-IOTE 物联网展
新讯与肇庆移动圆满举办“党建和创”共建活动暨战略合作签约仪式