為了確保國家經(jīng)濟(jì)安全,加強(qiáng)工業(yè)控制系統(tǒng)信息安全,工信部于2011年9月下發(fā)了(工信部協(xié)〔2011〕451號(hào))《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》。通知指出工業(yè)控制系統(tǒng)廣泛運(yùn)用于工業(yè)、能源、交通、水利以及市政等領(lǐng)域,用于控制生產(chǎn)設(shè)備的運(yùn)行,一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞,將對(duì)工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患。隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的發(fā)展,特別是信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的快速發(fā)展,工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件,以各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接,病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散,工業(yè)控制系統(tǒng)信息安全問題日益突出。
為了提高工業(yè)控制系統(tǒng)及其工業(yè)通信網(wǎng)絡(luò)的信息安全性,國際電工委員會(huì)從技術(shù)和管理兩個(gè)方面制定了IEC 62443 “用于工業(yè)過程測(cè)量和控制的網(wǎng)絡(luò)與系統(tǒng)信息安全”國際標(biāo)準(zhǔn),標(biāo)準(zhǔn)規(guī)定工業(yè)控制系統(tǒng)分成5層CONTROL ENGINEERING China版權(quán)所有,每層都要采取信息安全防護(hù)措施,以構(gòu)成多層分布式縱深防御體系架構(gòu),在第5(企業(yè))層CONTROL ENGINEERING China版權(quán)所有,工廠企業(yè)防火墻用于保護(hù)整個(gè)企業(yè)防御Internet的安全威脅;在第3/4 (監(jiān)控) 層CONTROL ENGINEERING China版權(quán)所有,管理層到控制系統(tǒng)的具有DMZ隔離區(qū)的防火墻用于保護(hù)整個(gè)控制系統(tǒng);在第1/2(現(xiàn)場(chǎng)設(shè)備)層CONTROL ENGINEERING China版權(quán)所有,分布式安全組件則用于保護(hù)諸如PLC或DCS等關(guān)鍵設(shè)備。
根據(jù)上述信息安全標(biāo)準(zhǔn)的概念,德國菲尼克斯電氣公司研發(fā)了FL MGUARD工業(yè)信息安全組件,該組件可以使用在這種分布式架構(gòu)中控制工程網(wǎng)版權(quán)所有,它們保護(hù)部分系統(tǒng)網(wǎng)絡(luò)、每一個(gè)生產(chǎn)單元或一個(gè)單獨(dú)的自動(dòng)化設(shè)備。FL MGUARD平臺(tái)是一個(gè)獨(dú)立的系統(tǒng),該平臺(tái)可以直接集成到連接至工業(yè)網(wǎng)絡(luò)的工業(yè)計(jì)算機(jī),若有需要,也可以PCI卡的形式完成集成。工業(yè)信息安全組件基于硬件的安全協(xié)議的實(shí)現(xiàn)既不需要修改計(jì)算機(jī)的配置,也不需要定期進(jìn)行軟件升級(jí),相對(duì)于被保護(hù)系統(tǒng)所使用的處理機(jī)和操作系統(tǒng)CONTROL ENGINEERING China版權(quán)所有,它是完全獨(dú)立的系統(tǒng)www.cechina.cn,絕不會(huì)對(duì)系統(tǒng)產(chǎn)生負(fù)面影響。
由于采用的分布式安全系統(tǒng)架構(gòu)是為每個(gè)工業(yè)系統(tǒng)的中央計(jì)算機(jī)、控制計(jì)算機(jī)或生產(chǎn)機(jī)器人分配一個(gè)其自身的工業(yè)信息安全組件,因而它具有獨(dú)立的安全等級(jí),并特地配置了訪問權(quán)和其它方面的中央管理功能。工業(yè)信息安全組件使用被其保護(hù)的計(jì)算機(jī)相同的IP地址CONTROL ENGINEERING China版權(quán)所有,因而它不會(huì)被入侵者識(shí)別,使它很難被發(fā)現(xiàn),從而避免了隨之而來的攻擊。同時(shí),該組件配置了基于Kaspersky Lab技術(shù)的病毒掃描器,用于監(jiān)視數(shù)據(jù)源以識(shí)別協(xié)議中的病毒(如HTTP、SMTP和FTP),使得工業(yè)自動(dòng)化系統(tǒng)能夠全面防御DOS、DDOS以及網(wǎng)絡(luò)病毒的攻擊。
目前,一些國家正在進(jìn)行進(jìn)攻性和防御性兩種網(wǎng)絡(luò)戰(zhàn)爭系統(tǒng)的研究。我國應(yīng)當(dāng)防患未然,從戰(zhàn)略高度考慮,按照國際標(biāo)準(zhǔn)嚴(yán)格要求工廠企業(yè)在信息安全建設(shè)之初,即根據(jù)業(yè)務(wù)發(fā)展的需要,明確風(fēng)險(xiǎn)狀況與安全需求、確立企業(yè)信息安全架構(gòu)的藍(lán)圖及建設(shè)路線圖,根據(jù)實(shí)際情況和需要選擇相應(yīng)的安全功能組件。從技術(shù)上實(shí)施系統(tǒng)的安全防護(hù),工廠企業(yè)應(yīng)設(shè)置多道安全防線,提高系統(tǒng)的入侵檢測(cè)能力、事件反應(yīng)能力和快速恢復(fù)能力,形成綜合的、立體的網(wǎng)絡(luò)安全技術(shù)防護(hù)體系,使得重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全走向縱深防御階段。