南宁工控机之工控防御体系该怎么选择呢?
纵观当前行业的发展,工业客户对于工业信息安全除了认知方面的不足,往往还面临人员缺失、制度形式化和生产与安全的矛盾冲突等一系列困境,而选用实际又实用的产品或解决方案,成为企业推进工业信息安全前行的***步。
工业信息安全的实现是一个系统工程,多层次的防护是必要的策略。现在,业界多数主流供应商普遍采用的是“自上而下”的纵深防御体系,遵循安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大步骤,侧重于管理级、系统级安全功能的强化。“自上而下”的解决方案看似能实现企业信息安全,而在实施过程中却存在很多缺陷。首先,优先实现管理级、系统级的安全功能,需要企业投入大量资金进行软硬件设备的建设,不是所有的客户都有这样的实力或意愿进行投资。其次,对于本身存在信息安全缺陷的工控设备来说,“自上而下”的防护只是一些外围防护措施,并没有从根源上消除信息安全的隐患,相关工控设备还处在“带病上岗”状态。其三,通常工业企业使用的工控设备类型多、数量庞大,单纯依靠管理级、系统级的防护很难确保每一台单体设备的安全性。***,企业现场的差异化,决定了管理级、系统级的信息安全解决方案定制化、私有化的程度非常高,不利于方案后续应用推广。所以“自上而下”实施信息安全防御策略解决方案,不能突出实用性和有效性。为此,市场上一种称之为“自下而上”的安全策略也应运而生。
“自下而上”的安全策略强调以设备级防护为基础,兼顾系统级和管理级防护。其中设备级防护侧重于提升每个设备的信息安全防护能力;系统级防护的目标是设计安全的控制系统架构,以增强控制系统的整体信息安全功能;管理级防护的作用则是规范管理、完善安全策略,增强控制系统的灾难恢复和数据备份等功能。“自下而上”的部署,其意义在于通过将信息安全功能集成到设备本身,实现“细胞级”安全,企业因此可以摆脱传统安全解决方案中对于管理政策、制度以及人员能力和操作规范等诸多不可控或不完备条件限制的过度依赖,减少投资,并能够在短期内迅速提升企业工控系统信息安全防护水平,并为逐步实施完整的纵深防御安全策略奠定基础。特别是对于当前那些数量众多,不具备系统级防护和管理级防护能力的工控系统,设备级防护就显得非常理想。在目前国内工控信息安全安全策略部署的成功案例还不多见的背景下,施耐德电气打造的“自下而上”三级纵深防护体系已经拥有了多个成功案例。
根据设备级防护策略,工控系统中应用的plc、以太网交换机和SCADA软件等工控设备都可以变身为捍卫信息安全的卫士。例如,通过模板固件升级、软件辅助功能设置来增强工控设备的信息安全防护能力,通过设置工业级管理型交换机的安全参数,如采用“增强型”密码、关闭未用端口、端口地址绑定、网络风暴限制、组播过滤等一系列具体技术措施、采用以太网环网提升网络的容错能力等方案,极大地提升工控系统防范物理入侵能力,提升工控系统的可用性。
从文件《关于加强工业控制系统信息安全管理的通知》中明确指出,有关的国家大型企业要慎重选择工业控制系统设备,到近期,国家相关主管部门针对国有大型企业工业控制设备选型的安全性要求日趋严格,并逐步出台相关政策法规,都可以窥见工控设备选型的重要性。
