为了确保国家经济安全,加强工业控制系统信息安全,工信部于2011年9月下发了(工信部协〔2011〕451号)《关于加强工业控制系统信息安全管理的通知》。通知指出工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域,用于控制生产设备的运行,一旦工业控制系统信息安全出现漏洞,将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展,特别是信息化与工业化深度融合以及物联网的快速发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,以各种方式与互联网等公共网络连接,病毒、木马等威胁正在向工业控制系统扩散,工业控制系统信息安全问题日益突出。
为了提高工业控制系统及其工业通信网络的信息安全性,国际电工委员会从技术和管理两个方面制定了IEC 62443 “用于工业过程测量和控制的网络与系统信息安全”国际标准,标准规定工业控制系统分成5层,每层都要采取信息安全防护措施,以构成多层分布式纵深防御体系架构,在第5(企业)层,工厂企业防火墙用于保护整个企业防御Internet的安全威胁;在第3/4 (监控) 层,管理层到控制系统的具有DMZ隔离区的防火墙用于保护整个控制系统;在第1/2(现场设备)层,分布式安全组件则用于保护诸如PLC或DCS等关键设备。
根据上述信息安全标准的概念,德国菲尼克斯电气公司研发了FL MGUARD工业信息安全组件,该组件可以使用在这种分布式架构中,它们保护部分系统网络、每一个生产单元或一个单独的自动化设备。FL MGUARD平台是一个独立的系统,该平台可以直接集成到连接至工业网络的工业计算机,若有需要,也可以PCI卡的形式完成集成。工业信息安全组件基于硬件的安全协议的实现既不需要修改计算机的配置,也不需要定期进行软件升级,相对于被保护系统所使用的处理机和操作系统,它是完全独立的系统,绝不会对系统产生负面影响。
由于采用的分布式安全系统架构是为每个工业系统的中央计算机、控制计算机或生产机器人分配一个其自身的工业信息安全组件,因而它具有独立的安全等级,并特地配置了访问权和其它方面的中央管理功能。工业信息安全组件使用被其保护的计算机相同的IP地址,因而它不会被入侵者识别,使它很难被发现,从而避免了随之而来的攻击。同时,该组件配置了基于Kaspersky Lab技术的病毒扫描器,用于监视数据源以识别协议中的病毒(如HTTP、SMTP和FTP),使得工业自动化系统能够全面防御DOS、DDOS以及网络病毒的攻击。
目前,一些国家正在进行进攻性和防御性两种网络战争系统的研究。我国应当防患未然,从战略高度考虑,按照国际标准严格要求工厂企业在信息安全建设之初,即根据业务发展的需要,明确风险状况与安全需求、确立企业信息安全架构的蓝图及建设路线图,根据实际情况和需要选择相应的安全功能组件。从技术上实施系统的安全防护,工厂企业应设置多道安全防线,提高系统的入侵检测能力、事件反应能力和快速恢复能力,形成综合的、立体的网络安全技术防护体系,使得重点领域工业控制系统信息安全走向纵深防御阶段。