南寧工控機之工控防御體系該怎么選擇呢?
縱觀當前行業(yè)的發(fā)展,工業(yè)客戶對于工業(yè)信息安全除了認知方面的不足,往往還面臨人員缺失、制度形式化和生產與安全的矛盾沖突等一系列困境,而選用實際又實用的產品或解決方案,成為企業(yè)推進工業(yè)信息安全前行的***步。
工業(yè)信息安全的實現(xiàn)是一個系統(tǒng)工程,多層次的防護是必要的策略。現(xiàn)在,業(yè)界多數(shù)主流供應商普遍采用的是“自上而下”的縱深防御體系,遵循安全計劃、網(wǎng)絡分隔、邊界保護、網(wǎng)段分離、設備加固以及監(jiān)視和更新6大步驟,側重于管理級、系統(tǒng)級安全功能的強化。“自上而下”的解決方案看似能實現(xiàn)企業(yè)信息安全,而在實施過程中卻存在很多缺陷。首先,優(yōu)先實現(xiàn)管理級、系統(tǒng)級的安全功能,需要企業(yè)投入大量資金進行軟硬件設備的建設,不是所有的客戶都有這樣的實力或意愿進行投資。其次,對于本身存在信息安全缺陷的工控設備來說,“自上而下”的防護只是一些外圍防護措施,并沒有從根源上消除信息安全的隱患,相關工控設備還處在“帶病上崗”狀態(tài)。其三,通常工業(yè)企業(yè)使用的工控設備類型多、數(shù)量龐大,單純依靠管理級、系統(tǒng)級的防護很難確保每一臺單體設備的安全性。***,企業(yè)現(xiàn)場的差異化,決定了管理級、系統(tǒng)級的信息安全解決方案定制化、私有化的程度非常高,不利于方案后續(xù)應用推廣。所以“自上而下”實施信息安全防御策略解決方案,不能突出實用性和有效性。為此,市場上一種稱之為“自下而上”的安全策略也應運而生。
“自下而上”的安全策略強調以設備級防護為基礎,兼顧系統(tǒng)級和管理級防護。其中設備級防護側重于提升每個設備的信息安全防護能力;系統(tǒng)級防護的目標是設計安全的控制系統(tǒng)架構,以增強控制系統(tǒng)的整體信息安全功能;管理級防護的作用則是規(guī)范管理、完善安全策略,增強控制系統(tǒng)的災難恢復和數(shù)據(jù)備份等功能。“自下而上”的部署,其意義在于通過將信息安全功能集成到設備本身,實現(xiàn)“細胞級”安全,企業(yè)因此可以擺脫傳統(tǒng)安全解決方案中對于管理政策、制度以及人員能力和操作規(guī)范等諸多不可控或不完備條件限制的過度依賴,減少投資,并能夠在短期內迅速提升企業(yè)工控系統(tǒng)信息安全防護水平,并為逐步實施完整的縱深防御安全策略奠定基礎。特別是對于當前那些數(shù)量眾多,不具備系統(tǒng)級防護和管理級防護能力的工控系統(tǒng),設備級防護就顯得非常理想。在目前國內工控信息安全安全策略部署的成功案例還不多見的背景下,施耐德電氣打造的“自下而上”三級縱深防護體系已經擁有了多個成功案例。
根據(jù)設備級防護策略,工控系統(tǒng)中應用的plc、以太網(wǎng)交換機和SCADA軟件等工控設備都可以變身為捍衛(wèi)信息安全的衛(wèi)士。例如,通過模板固件升級、軟件輔助功能設置來增強工控設備的信息安全防護能力,通過設置工業(yè)級管理型交換機的安全參數(shù),如采用“增強型”密碼、關閉未用端口、端口地址綁定、網(wǎng)絡風暴限制、組播過濾等一系列具體技術措施、采用以太網(wǎng)環(huán)網(wǎng)提升網(wǎng)絡的容錯能力等方案,極大地提升工控系統(tǒng)防范物理入侵能力,提升工控系統(tǒng)的可用性。
從文件《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》中明確指出,有關的國家大型企業(yè)要慎重選擇工業(yè)控制系統(tǒng)設備,到近期,國家相關主管部門針對國有大型企業(yè)工業(yè)控制設備選型的安全性要求日趨嚴格,并逐步出臺相關政策法規(guī),都可以窺見工控設備選型的重要性。
