随着自动化技术与网络信息技术在工业领域的不断融合,网络信息安全问题正成为困扰广大工业用户的一个新课题。在这样的背景下,如何有效地实现工业网络信息安全?
在最终用户的系统中,目前工厂的主要安全威胁仍来自于对物理设备的入侵,因此在工厂内加强厂级安全策略尤为重要,主要是确保隔离区的安全,不仅禁止已获得授权的员工入侵,也禁止任何未经授权的员工的操作。然而,每个用户的应用不尽相同,因此需要分别评估各自的安全风险并找出其系统中的最大隐患,以便基于这些因素来构建信息安全策略。
如果对工业网络信息安全造成威胁处理不当,控制系统直接连接到互联网,SCADA软件系统受到工厂员工或承包商计算机中的恶意软件攻击,由于员工失误带来的网络故障从而影响整个控制系统的可用性,都是比较典型的情况。
针对对工业网络信息安全问题,最常见的解决方案是采用DMZ策略,即安全隔离区策略。这对连接工厂控制层和管理层的MES来说,特别有效。通过DMZ安全隔离区共享数据可以保证数据通讯不会直接在企业层和工厂控制层之间发生。也可以在安全隔离区的两侧来布置防火墙以阻止未授权的访问。如果安全隔离区计算机被采用,这会把工厂生产隔离开,以阻止可能的潜在隐患。
在用户工业网络信息安全方面,施耐德电气的远程SCADA系统解决方案主张使用系统的手段来解决广域分布系统的信息安全问题。施耐德通过系统技术说明(System Technical Notes),来帮助客户选择安全的架构体系。信息安全解决方案与产品的结合,可以为客户提供全面深入的安全防御服务。施耐德的产品研发中心运用处理程序来提高产品稳健性和安全性。同时与美国国土安全部下属工业控制系统网络应急响应小组(ICS-CERT)以及国际安全研究团体紧密协作,以确保对潜在的安全威胁做出预先识别和快速响应。
施耐德电气的远程SCADA系统产品的特点在于SCADAPack E系列RTUs使用的AGA12-2遥测协议加密;ClearSCADA企业SCADA软件以及SCADAPack E系列RTUs的DNP3安全认证;Accutech无线仪表仪器的认证。施耐德电气远程SCADA系统仪器安全由一个综合可靠的安全模式的支持,该模式包括了ClearSCADA企业SCADA软件,防火墙和以太网交换机的使用。
为保障工业网络信息安全,用户可以与IT系统供应商、控制系统供应商协作来共同解决安全问题。IT供应商和IT公司应对信息安全问题多年,对于技术、威胁和部署方法十分熟悉,能够确保企业、网络和计算机数据的安全,但IT供应商通常不了解工控系统客户对于所需的系统集成性和可靠性的敏感程度。最好的办法就是各部门协作,集合掌握技术、了解环境、了解潜在隐患及其解决办法的人员,从而确保系统的可用性和集成性。
针对中国用户在工业网络信息安全方面的情况,施耐德建议在供应商和行业专家的协助下,最终用户需要在现场处理这些风险,以确保采取正确的行动从而降低风险。最终用户用于应对信息安全的资源有限,所以集中资源、降低风险十分重要。许多情况下,除了控制系统中单个要素的安全问题之外,还必须考虑到现场规范、培训以及物理安全等因素。