自動化企業(yè)布局信息安全

　　工業(yè)控制系統(tǒng)作為自動化領域的心臟，關系著工業(yè)安全健康穩(wěn)定可持續(xù)的生產運營。近年來國內外發(fā)生了多起由于工控系統(tǒng)安全問題而造成的生產安全事故，為整改工業(yè)生產控制系統(tǒng)安全敲響了警鐘。工信部在前段時間下發(fā)了《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》要求各級政府和大型企業(yè)切實加強工業(yè)控制系統(tǒng)安全管理。

　　在我國，工業(yè)基礎設施囊括了電力、石油與天然氣、水利、工業(yè)制造及自動化、以及交通控制等重點行業(yè)，構成了我國國民經(jīng)濟、現(xiàn)代社會以及國家安全的重要基礎。工業(yè)基礎設施中關鍵應用或系統(tǒng)的故障將會會導致人員傷亡、嚴重的經(jīng)濟損失、基礎設施被破壞、危及公眾生活及國家安全、環(huán)境災難等嚴重后果。

　　在計算機和網(wǎng)絡技術日新月異的今天，信息化與工業(yè)化的深度融合以及物聯(lián)網(wǎng)的快速發(fā)展的環(huán)境下，工業(yè)控制系統(tǒng)產品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴散，工業(yè)控制系統(tǒng)信息安全面臨著嚴峻的形勢。我國由此也展開了一場構筑安全、穩(wěn)定的工業(yè)信息安全自上而下的保衛(wèi)戰(zhàn)。

　　搶占市場制高點

　　最早在國內將發(fā)起信息化安全的企業(yè)當屬西門子工業(yè)業(yè)務領域。針對目前我國工業(yè)基礎設施信息安全方面的市場需求，結合西門子在工業(yè)業(yè)務領域的產品和技術，面向工業(yè)基礎設施領域推出了工業(yè)信息安全縱深防御的解決方案。建議企業(yè)首先對企業(yè)的安全需求進行系統(tǒng)的分析，設計、制定相應的安全規(guī)劃;對企業(yè)的工業(yè)控制系統(tǒng)進行風險評估，識別企業(yè)核心資產和價值，安全威脅和風險的來源，量化分析威脅的影響和防范措施的成本;在此基礎上，部署相應的安全措施，包括對工業(yè)網(wǎng)絡與辦公網(wǎng)絡進行網(wǎng)絡分區(qū)與隔離，訪問控制，系統(tǒng)加固，補丁管理等;最后，工控企業(yè)應建立可持續(xù)改進的安全管理體系，隨著工控系統(tǒng)動態(tài)變化與各種安全威脅的動態(tài)演變，對工控系統(tǒng)信息安全管理體系進行持續(xù)分析、評估和改進等。目前縱深防御的工業(yè)安全理念覆蓋了工業(yè)自動化控制系統(tǒng)的所有級別，是滿足工業(yè)信息安全領域的關鍵需求的現(xiàn)實解決方案。

　　2014年3月，西門子工業(yè)信息安全實驗室揭幕，這是國內第一家由企業(yè)建立的工業(yè)信息安全實驗室。實驗室具備技術展示、創(chuàng)新研發(fā)和安全測試等功能。在國家部委和相關安全機構的指導下，該實驗室將協(xié)助客戶提高其工業(yè)控制系統(tǒng)的信息安全水平。

　　與此同時，西門子工業(yè)業(yè)務領域與Intel Security邁克菲公司計劃深化雙方的合作伙伴關系，以加強和擴充工業(yè)信息安全產品線，聯(lián)手幫助工業(yè)客戶抵御不斷加劇的全球網(wǎng)絡安全威脅。雙方將充分利用各自強大的信息安全產品組合優(yōu)勢，并在始于2011年的合作關系基礎上進一步加強和深化合作。

　　近年來，石油石化、核電、電廠等高風險行業(yè)的危險事故頻發(fā)，互聯(lián)網(wǎng)信息安全問題也不斷被爆出，如何使產品在整個生命周期都能滿足安全完整性等級和功能安全性要求，保證信息安全，已成為業(yè)內的關注重點。

　　作為一家從電氣連接專家到工業(yè)自動化整體方案提供商菲尼克斯電氣，近年來在市場表現(xiàn)頗為搶眼。菲尼克斯除了擁有EN、IEC各種滿足工業(yè)設備安全控制設備，為了在軟件市場有所為，今年收購了德國科維軟件公司，聯(lián)合KW-soft打造“軟硬兼修，安穩(wěn)操控”的安全控制系統(tǒng)解決方案。德國科維軟件成立與1982年，已經(jīng)向全球用戶提供了300多種PLC系統(tǒng)解決方案。憑借其在軟件領域多年市場經(jīng)驗，現(xiàn)如今能夠為自動化設備提供技術支持包括：IEC解決方案(PLC運行內核和編程系統(tǒng));Safety解決方案(基于IEC61508的安全PLC運行內核及編程系統(tǒng));PROFINT解決方案(Profinet實時以太網(wǎng)協(xié)議棧和從站芯片)。除此之外，菲尼克斯本地化的支持與服務能力的提升，增強了其在工業(yè)控制系統(tǒng)信息安全領域的競爭優(yōu)勢。

　　過程安全的市場持續(xù)增長，ABB認為減少生產過程的風險同時保證能源的高效利用是企業(yè)的最佳選擇。ABB在安全領域擁有超過30年的經(jīng)驗，其在1979年向挪威北海鉆井平臺提供了第一套安全控制系統(tǒng)以來，在安全控制系統(tǒng)開發(fā)及應用方面也在不斷的創(chuàng)新。1984年推出了世界上第一套ESD系統(tǒng)safeguard，1995年世界最大的平臺北海troll A采用了ABB的ESD，在2007年世界上最大的SIS臺灣臺中RexChip采用800XA。ABB在30年里向市場推出了覆蓋所有主流框架的安全系統(tǒng)，包括一重化、雙重化、三重化和四重化結構，既有獨立式也有集成式。ABB最為經(jīng)典的過程控制系統(tǒng)800xA通過一體化的集成將客戶價值的整合成為可能，其差異化的結構和差異化的執(zhí)行保證了集成系統(tǒng)能夠無干擾的運行。

　　信息安全市場除了傳統(tǒng)的自動化企業(yè)在其解決方案上不斷完善，同時涌現(xiàn)了專業(yè)化信息安全技術公司。青島多芬諾信息安全技術有限公司是一家工業(yè)安全產品制造商，專業(yè)提供工業(yè)網(wǎng)絡安全和SCADA安全產品。其推出的工業(yè)安全解決方案是一個獨特的硬件和軟件的安全系統(tǒng)，可以保護用戶的工業(yè)控制系統(tǒng)不會遭到攻擊與破壞，遵循以區(qū)域及管道保護網(wǎng)絡為核心的通訊原則，并采用集中安全管理監(jiān)控的管理方式，對企業(yè)內控制系統(tǒng)進行深入分析，實施全面、有針對性的防護策略，實現(xiàn)工業(yè)網(wǎng)絡安全防護的三大目標：區(qū)域隔離、通信管控和實時報警，保障工業(yè)控制網(wǎng)絡遠離各種內部威脅和外部攻擊。其安全解決方案主要應用在石油天然氣、核電廠、水廠、化工、醫(yī)藥、公用事業(yè)以及制造商等。

　　作為工控控制系統(tǒng)中的重要計算平臺，研祥自主研發(fā)的產品擁有BIOS全部源代碼，安全防護技術一直得到客戶的信賴，為增強工業(yè)產品安全性的二次開發(fā)提供了良好的平臺。整機產品的硬盤斷電保護、硬盤自毀、固件級一鍵還原等技術，亦可為突發(fā)事件中的數(shù)據(jù)，進行有效保護和容災備份。可此可見，不論是從控制系統(tǒng)本身還是與控制系統(tǒng)關聯(lián)的產品在構建安全的生產環(huán)境中具有十分重要的作用。在信息安全市場機遇面前，企業(yè)承擔的不僅僅責任，甚至通過以提供信息安全的服務能力進而增強企業(yè)的核心競爭力，以此搶占市場。

　　健全體系，標準護航

　　事實上，企業(yè)對于信息安全并非毫無意識。筆者在采訪中通過與石化行業(yè)的專家的交流了解到，少數(shù)的大型企業(yè)在過程控制系統(tǒng)中采訪了安全防護措施，通過使用安全隔離模塊，防止外界病毒等入侵控制系統(tǒng)。還有大多數(shù)企業(yè)未采取安全隔離措施，主要原因在于其價格因素。

　　工業(yè)控制系統(tǒng)安全隱患來源較為廣泛。操作系統(tǒng)的安全漏洞，殺毒團建安裝及升級，U盤，光盤導致的病毒傳播，工業(yè)控制系統(tǒng)控制終端、服務器、網(wǎng)絡設備故障沒有及時發(fā)現(xiàn)而響應延遲的問題，設備維修時筆記本電腦的隨便接入問題等。

　　“兩化融合”給工控系統(tǒng)信息安全帶來的風險。工業(yè)控制系統(tǒng)最早和企業(yè)管理系統(tǒng)是隔離的。但近年來為了實現(xiàn)實時的數(shù)據(jù)采集與生產控制，滿足“兩化融合”的需求和管理的方便，通過邏輯隔離的方式，使工業(yè)控制系統(tǒng)和企業(yè)管理系統(tǒng)可以直接進行通信，而企業(yè)管理系統(tǒng)一般直接連接Internet。在這種情況下，工業(yè)控制系統(tǒng)接入的范圍不僅擴展到了企業(yè)網(wǎng)，而且面臨著來自Internet的威脅。

　　同時，企業(yè)為了實現(xiàn)管理與控制的一體化，提高企業(yè)信息化合綜合自動化水平，實現(xiàn)生產和管理的高效率、高效益，引入了生產執(zhí)行系統(tǒng)MES ，對工業(yè)控制系統(tǒng)和管理信息系統(tǒng)進行了集成，管理信息網(wǎng)絡與生產控制網(wǎng)絡之間實現(xiàn)了數(shù)據(jù)交換。導致生產控制系統(tǒng)不再是一個獨立運行的系統(tǒng)，而要與管理系統(tǒng)甚至互聯(lián)網(wǎng)進行互通、互聯(lián)。

　　當工業(yè)控制系統(tǒng)向工業(yè)以太網(wǎng)結構發(fā)展，開放性越來越強。基于TCP/IP以太網(wǎng)通訊的OPC技術在該領域得到廣泛應用。在工業(yè)控制系統(tǒng)中，由于工業(yè)系統(tǒng)集成和使用的便利性，大量使用了工業(yè)以太環(huán)網(wǎng)和OPC通信協(xié)議進行了工業(yè)控制系統(tǒng)的集成; PC服務器和終端產品的大量使用，操作系統(tǒng)和數(shù)據(jù)庫也大量的使用了通用系統(tǒng)，很容易遭到來自企業(yè)管理網(wǎng)或互聯(lián)網(wǎng)的病毒、木馬、黑客的攻擊。

　　因此，在信息安全危機四伏的情形下，根據(jù)我國工業(yè)自動化的現(xiàn)狀，為建立一個安全、穩(wěn)定的生產安全環(huán)境。為保障工業(yè)控制系統(tǒng)的信息安全，專家認為下一步工作重點在于，需要有關政府部門發(fā)布相關法令法規(guī)，引起各行業(yè)足夠的重視，并規(guī)范行業(yè)實踐。工業(yè)控制系統(tǒng)涉及眾多行業(yè)，例如石化、電力、核電等。各行業(yè)的具體管理要求和系統(tǒng)設備工作環(huán)境不盡相同。因此，要深入研究我國工業(yè)控制系統(tǒng)的行業(yè)特點和需求，有針對性地制定相關行業(yè)信息安全保障應用行規(guī)。同時，以工業(yè)自動化標準化機構為先導，聯(lián)合相關組織機構，研究我國工業(yè)信息安全標準體系，積極開展工業(yè)控制系統(tǒng)信息安全評估標準的制定工作，健全工業(yè)信息安全評估認證機制，建立有效的工業(yè)控制系統(tǒng)信息安全應急系統(tǒng)，形成我國自主的工業(yè)控制系統(tǒng)信息安全產業(yè)和管理體系。

（轉載）