瞄準(zhǔn)靶心聚準(zhǔn)焦點(diǎn)

  中國(guó)工業(yè)報(bào)：工控設(shè)備的停運(yùn)、損壞導(dǎo)致生產(chǎn)活動(dòng)中斷無(wú)疑是企業(yè)最為憂心的信息安全事故，企業(yè)應(yīng)該如何防止這種情況的發(fā)生？

  王斌：我們的建議是，讓企業(yè)關(guān)注的焦點(diǎn)回歸到工業(yè)信息安全威脅的“靶心”，即工控設(shè)備本身上來(lái)，設(shè)法提升工控產(chǎn)品自身的信息安全防護(hù)能力，從根源上消除工控產(chǎn)品的信息安全漏洞。

  具體的做法是，在不影響工控設(shè)備功能與性能的前提下，將信息安全的功能集成到每一個(gè)單體設(shè)備上。對(duì)于工業(yè)企業(yè)來(lái)說(shuō)，實(shí)現(xiàn)了這種設(shè)備級(jí)的信息安全防護(hù)，意味著已經(jīng)獲得了完整的多層次工業(yè)信息安全防護(hù)中最核心的部分功能；此后根據(jù)自身情況，在具備了相應(yīng)的條件和能力時(shí)，逐步完善系統(tǒng)級(jí)、管理級(jí)的輔助策略即可。

  這種“自下而上”的模式，初期因?yàn)椴恍枰~外采購(gòu)軟硬件設(shè)備，因此需要的投入少；工業(yè)企業(yè)只需要針對(duì)自身使用的工控設(shè)備進(jìn)行建設(shè)，實(shí)施的難度也不高；對(duì)工業(yè)企業(yè)內(nèi)部的技術(shù)人員的能力要求也不高。

  優(yōu)先部署設(shè)備級(jí)防護(hù)

  中國(guó)工業(yè)報(bào)：在提升信息安全水平方面，施耐德電氣對(duì)軌道交通行業(yè)、石化和煤化工行業(yè)用戶有什么建議？

  王斌：目前來(lái)說(shuō)不管是電力還是軌道交通或其他行業(yè)，更多的是采用系統(tǒng)級(jí)的防護(hù)方案，比如加一些防火墻，或網(wǎng)閘的產(chǎn)品來(lái)做系統(tǒng)級(jí)的隔離，還有就是把整個(gè)控制系統(tǒng)做分層、分級(jí)，將控制系統(tǒng)和信息系統(tǒng)分開(kāi)。有些行業(yè)雖然應(yīng)用了防火墻的產(chǎn)品，但是都是信息系統(tǒng)級(jí)的防火墻，而非工業(yè)級(jí)防火墻。而信息系統(tǒng)的防火墻應(yīng)用到工業(yè)控制系統(tǒng)里，則由于可靠性、實(shí)時(shí)性等因素和無(wú)法提供工業(yè)以太網(wǎng)協(xié)議解析等功能，因此并不適用。

  另一方面，控制系統(tǒng)是一個(gè)非常復(fù)雜的系統(tǒng)，其內(nèi)部由很多層級(jí)組成，系統(tǒng)內(nèi)任何一個(gè)接入點(diǎn)受到影響，就可能會(huì)引發(fā)整個(gè)系統(tǒng)內(nèi)所有設(shè)備全部癱瘓。但目前很多企業(yè)應(yīng)用的信息安全解決方案只是將控制系統(tǒng)看成一個(gè)大的網(wǎng)絡(luò)，在外圍做了防護(hù)，卻忽略了控制系統(tǒng)內(nèi)部多層級(jí)之間的防護(hù)與隔離，這樣的解決方案顯然是不完善的。

  針對(duì)不同行業(yè)安全防護(hù)的整改和提升，施耐德電氣的經(jīng)驗(yàn)可以概括為：在強(qiáng)調(diào)整體安全解決方案的設(shè)計(jì)的同時(shí)，企業(yè)也要注重實(shí)效性和緊迫性。從不同行業(yè)的信息安全實(shí)際出發(fā)，在不具備條件的情況下，可以自下而上的優(yōu)先部署設(shè)備級(jí)防護(hù)。當(dāng)各種條件成熟后，企業(yè)再進(jìn)一步實(shí)施設(shè)備級(jí)、系統(tǒng)級(jí)和管理級(jí)三級(jí)縱深防御體系，來(lái)提升整個(gè)企業(yè)信息安全的全面防護(hù)水平。

  相關(guān)鏈接：企業(yè)應(yīng)該如何選擇信息安全防御方案？

  對(duì)于工業(yè)控制系統(tǒng)而言，主要涉及四類設(shè)備——控制設(shè)備、通訊組件、應(yīng)用軟件和操作系統(tǒng)。這四類設(shè)備都各自存在著信息安全的風(fēng)險(xiǎn)和漏洞，最終會(huì)導(dǎo)致整個(gè)工業(yè)控制系統(tǒng)存在信息安全的風(fēng)險(xiǎn)。那么企業(yè)應(yīng)該如何對(duì)設(shè)備級(jí)進(jìn)行防護(hù)？施耐德電氣工業(yè)信息安全技術(shù)總監(jiān)王斌對(duì)記者坦言，施耐德電氣提倡增加每一個(gè)單體設(shè)備的信息安全防護(hù)能力，當(dāng)這些小設(shè)備放到一起組成一個(gè)大系統(tǒng)的時(shí)候，這個(gè)大系統(tǒng)就具備了信息安全防護(hù)的最基本的能力。

  從2013年初起，施耐德電氣提供給客戶的所有工控產(chǎn)品都已經(jīng)具備了信息安全的功能，工業(yè)企業(yè)使用這樣的工控產(chǎn)品，不必依賴其它的保護(hù)措施就已經(jīng)獲得了符合國(guó)際國(guó)內(nèi)相關(guān)法規(guī)要求的、過(guò)硬的信息安全保障。最近，施耐德電氣全球首款ePAC產(chǎn)品——莫迪康M580(ModiconM580)通過(guò)了中國(guó)電力科學(xué)研究院的信息技術(shù)產(chǎn)品安全性檢測(cè)，這是繼2012年施耐德電氣莫迪康昆騰PLC產(chǎn)品成功獲得國(guó)家權(quán)威信息安全測(cè)評(píng)機(jī)構(gòu)的安全性認(rèn)證之后，旗下的最新PLC產(chǎn)品再次獲得權(quán)威檢測(cè)機(jī)構(gòu)的認(rèn)可。另一方面，對(duì)于此前已經(jīng)在應(yīng)用的工控設(shè)備，施耐德電氣也可提供相應(yīng)的服務(wù)，幫助工業(yè)企業(yè)獲得同等的保障。

  對(duì)于降低這種危害發(fā)生的概率，施耐德電氣也有很多的解決方案。比如對(duì)于控制類產(chǎn)品，在控制系統(tǒng)發(fā)生失效后，產(chǎn)品內(nèi)置的故障狀態(tài)預(yù)置功能，可以讓所有受控的設(shè)備全部處于安全狀態(tài)，不會(huì)對(duì)系統(tǒng)產(chǎn)生更大規(guī)模的次生災(zāi)害。如果事故發(fā)生了，產(chǎn)品完善的故障診斷、帶電插拔等維護(hù)特性又可以大大縮短系統(tǒng)恢復(fù)的時(shí)間。

  據(jù)了解，所有的工業(yè)控制系統(tǒng)都不是獨(dú)立的信息孤島，它們之間會(huì)組成一個(gè)大的系統(tǒng)，通過(guò)網(wǎng)絡(luò)連接在一起。對(duì)此，王斌表示，企業(yè)需要不斷增強(qiáng)整個(gè)控制系統(tǒng)的系統(tǒng)架構(gòu)的信息安全防護(hù)功能。如施耐德電氣可以提供通訊組件設(shè)備中所需完善的以太網(wǎng)交換機(jī)、防火墻等的專門產(chǎn)品，來(lái)增強(qiáng)整個(gè)信息安全的系統(tǒng)級(jí)信息安全的功能。為了減少發(fā)生的概率，施耐德電氣也有很多解決方案，從前期的全網(wǎng)絡(luò)評(píng)估，發(fā)現(xiàn)潛在的弱點(diǎn)，到網(wǎng)絡(luò)分隔，邊界保護(hù)，網(wǎng)段分離等。通過(guò)修改網(wǎng)絡(luò)架構(gòu)，來(lái)減少網(wǎng)絡(luò)風(fēng)險(xiǎn)。

  王斌介紹說(shuō)，施耐德電氣除了可以提供設(shè)備級(jí)、系統(tǒng)級(jí)和管理級(jí)的防御方案外，還可以提供完善的信息安全服務(wù)。目前，在施耐德電氣的官方網(wǎng)站上，公開(kāi)了施耐德所有的信息安全的解決方案，上面有一些詳細(xì)的信息安全部署方案和完善的手冊(cè)，可以免費(fèi)下載。施耐德電氣對(duì)于信息安全的防護(hù)來(lái)說(shuō)，從前期的評(píng)估到解決方案的設(shè)計(jì)到集成到最后培訓(xùn)等各個(gè)方面，都可以提供完善的解決方案。