來(lái)源：網(wǎng)絡(luò) 2012-7-26 關(guān)鍵詞：自動(dòng)化 信息安全 工業(yè)過(guò)程測(cè)量 控制　　為保證能源和基礎(chǔ)設(shè)施行業(yè)控制系統(tǒng)的安全穩(wěn)定運(yùn)行，需要建立有針對(duì)性的安全防護(hù)體系。5月份，第11屆工業(yè)自動(dòng)化與標(biāo)準(zhǔn)化的研討會(huì)在北京舉行，會(huì)議探討了測(cè)控系統(tǒng)Security&Safety?！　?012.5.22~23在北京舉行了第11屆工業(yè)自動(dòng)化與標(biāo)準(zhǔn)化的研討會(huì)，主題是測(cè)控系統(tǒng)Security&Safety，其中功能安全在往屆研討會(huì)中已經(jīng)深入研討過(guò)。第10屆研討會(huì)上，伯鈉法就指出中國(guó)在TC65中的貢獻(xiàn)就有IECB1010-2的新項(xiàng)目，包含了控制系統(tǒng)的安全要求和相關(guān)測(cè)試等?！　≌鐑x綜所歐陽(yáng)勁松所長(zhǎng)所說(shuō)，工業(yè)領(lǐng)域的安全可分為三類，即功能安全(FunctionSafety)，物理安全(PhysicalSafety)和信息安全(Information Security)。作為信息安全，包含范圍很大，工業(yè)控制系統(tǒng)的信息安全只是其中的一部分。我們要在全面了解通用信息安全的同時(shí)，了解工業(yè)控制系統(tǒng)信息安全的個(gè)性要求。相關(guān)標(biāo)準(zhǔn)前者是ISO/IEC27000(27000為定義)，后者是IECB2443?！　⊥ㄓ眯畔踩娜齻€(gè)目標(biāo)依次為保密性、完整性和可用性，而工業(yè)控制系統(tǒng)信息安全的三個(gè)目標(biāo)優(yōu)先級(jí)服務(wù)則為可用性、完整性、保密性。IECB2443定名為“工業(yè)過(guò)程測(cè)量、控制和自動(dòng)化網(wǎng)絡(luò)與系統(tǒng)信息安全”，分4部分，即通用、信息安全程序、系統(tǒng)技術(shù)和部件技術(shù)，即涵蓄了對(duì)資產(chǎn)所有者(用戶業(yè)主)、系統(tǒng)集成商、部件制造商的要求。歐陽(yáng)勁松所長(zhǎng)還指出信息安全的評(píng)估和測(cè)試，事關(guān)國(guó)家安全，所以要把它放在國(guó)人的手中。類似于功能安全中SIL安全完整性等級(jí)，在IEC62443中引入信息安全保證等級(jí)(Security Assurance Level,SAL)的概念?？紤]全生命周期的安全性，及出目標(biāo)(target)SAL、設(shè)計(jì)(design)SAL、達(dá)到(achieved)SAL和能力(capability)SAL，進(jìn)行評(píng)估和測(cè)試。　　會(huì)上機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所副總工程師梅恪后由王玉敏代發(fā)言，詳細(xì)講解了“工業(yè)控制系統(tǒng)信息安全中國(guó)標(biāo)準(zhǔn)化發(fā)展思路，”指出2011年11月，在拉斯維加斯舉行的黑客大會(huì)上，演示了如何進(jìn)攻中國(guó)主要基礎(chǔ)行業(yè)正在使用的工控系統(tǒng)，并對(duì)信息安全領(lǐng)域情況、工業(yè)對(duì)信息安全的要求、標(biāo)準(zhǔn)化實(shí)施計(jì)劃、評(píng)估和驗(yàn)收進(jìn)行講解。最后舉實(shí)例進(jìn)行識(shí)別危險(xiǎn)源、給出數(shù)據(jù)統(tǒng)國(guó)、劃分區(qū)域、劃分管道、提出要求、采取措施、工程進(jìn)行實(shí)施、考慮組織管理措施、人員能力指施、最后進(jìn)行安全態(tài)勢(shì)分析等項(xiàng)的說(shuō)明?！　?huì)上IEC/TC65新任秘書(shū)長(zhǎng)如迪 比利亞迪對(duì)信息安全的標(biāo)準(zhǔn)化工作進(jìn)行了全方面深入的講演，為我們標(biāo)準(zhǔn)化工作志到了促進(jìn)作用。歐洲電氣電子行業(yè)機(jī)構(gòu)、TüV南德意志大中華集團(tuán)對(duì)會(huì)議的有力支持也使用會(huì)議增色。會(huì)上還傳達(dá)了工信部協(xié)[2011]45號(hào)關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的文件精神，使大家對(duì)信息安全更加重視。　　二、具體講演和展示：　　會(huì)上除中國(guó)石化工程建設(shè)公司付總工程師林融屬于最終用戶講演的外，國(guó)內(nèi)外廠商十余家在兩天內(nèi)進(jìn)行了講解和演示，具體有菲尼克斯、ABB、CC-Link、霍尼韋爾、東土科技、多芬諾、施耐爾、西門子、貝加萊、E H、羅克韋爾、和利時(shí)等公司，他們提供了相關(guān)硬件、軟件和解決方案、工程經(jīng)驗(yàn)，都證明信息安全、功能安全、物理安全有著豐富的實(shí)踐經(jīng)驗(yàn)有待總結(jié)，市場(chǎng)廣闊、需求旺盛有待我們?nèi)ヒ龑?dǎo)，標(biāo)準(zhǔn)化工作更是適逢其時(shí)，順應(yīng)潮流?！　?huì)上羅克韋爾華镕以遠(yuǎn)程訪問(wèn)工業(yè)自動(dòng)化和控制系統(tǒng)為例解釋了縱渾防御策略，指出信息安全實(shí)施步驟有8步;　　1，使用標(biāo)準(zhǔn)企業(yè)遠(yuǎn)程訪問(wèn)方案，基于客戶機(jī)的形式，使用IP安保(IPsec)加密的虛擬個(gè)人網(wǎng)絡(luò)(VPN)技術(shù)，通過(guò)因特網(wǎng)安全地連接企業(yè)的邊界。VPN的建立需要對(duì)遠(yuǎn)程個(gè)人進(jìn)行遠(yuǎn)程難證撥入用戶服務(wù)(RADIUS)，這通常是由IT部門組織實(shí)施和管理?！　?，使用隔離區(qū)(DMZ)/防火墻中的訪問(wèn)控制列表(ACL)，限制遠(yuǎn)程伙伴通過(guò)Epsec到工廠現(xiàn)場(chǎng)的訪問(wèn)。通過(guò)隔離區(qū)連接到工廠現(xiàn)場(chǎng)，只能使用一種安全瀏覽器(HTTPS)?！　?，訪問(wèn)一個(gè)安全瀏覽器(HTTPS)門戶應(yīng)用，它運(yùn)行于隔離區(qū)/防火墻上。這要求再次登錄/驗(yàn)證?！　?，在遠(yuǎn)程客戶機(jī)和工廠的隔離區(qū)HTTPS使用遠(yuǎn)程終端會(huì)話(如遠(yuǎn)程單方協(xié)議)。　　5，利用在防火墻上的侵入保護(hù)和檢測(cè)系統(tǒng)(IPS/IDS)，檢查進(jìn)出遠(yuǎn)程訪問(wèn)服務(wù)器的數(shù)據(jù)流，防止攻擊和威脅，并適當(dāng)?shù)亟o予阻截。這對(duì)防止來(lái)自遠(yuǎn)程訪問(wèn)設(shè)備穿越防火墻和影響遠(yuǎn)程訪問(wèn)服務(wù)器的病毒和其他威脅是非常重要的。　　6，允許遠(yuǎn)程用戶執(zhí)行招待終端會(huì)話，訪問(wèn)駐留在遠(yuǎn)程訪問(wèn)服務(wù)器中的自動(dòng)化和控制應(yīng)用。需要應(yīng)用級(jí)的登錄/驗(yàn)證?！　?，執(zhí)行應(yīng)用安保功能，對(duì)訪問(wèn)遠(yuǎn)程訪問(wèn)服務(wù)器的用戶，限制其應(yīng)用功能(諸如只讀，非在線功能)?！　?，把遠(yuǎn)程訪問(wèn)服務(wù)器分配到不同的虛擬局域網(wǎng)(VLAN)，并且讓所有在遠(yuǎn)程訪問(wèn)服務(wù)器到制造區(qū)域之間的數(shù)據(jù)流通過(guò)防火墻，對(duì)這個(gè)數(shù)據(jù)流使用侵入檢測(cè)和保護(hù)服務(wù)，保護(hù)制造區(qū)域免受攻擊、免受蠕蟲(chóng)和病毒的破壞?！　〔⒅赋?~5步驟與IT部門關(guān)系密切，4~8步驟與生產(chǎn)部門關(guān)系密切。會(huì)上，其它家也提出信息安全縱深防御的技術(shù)，如施耐德提出濃度防御方法為與關(guān)鍵步驟：安全計(jì)劃、網(wǎng)絡(luò)分隔、邊界保護(hù)、網(wǎng)段分離、設(shè)備“淬火”、監(jiān)視更新，并且介紹了ConneXium工業(yè)以太網(wǎng)防火墻。支持VPN等，還介紹了受保護(hù)的自動(dòng)化系統(tǒng)如何防御威脅，做到“CyberSecurity”(網(wǎng)絡(luò)安全)?！　”本〇|土科技股份有限公司薛百華就“測(cè)控網(wǎng)絡(luò)安全與工業(yè)以太網(wǎng)”為題，詳細(xì)介紹了該公司在工程實(shí)踐中如何實(shí)現(xiàn)網(wǎng)絡(luò)安全的經(jīng)驗(yàn)和體會(huì)，指出測(cè)控網(wǎng)絡(luò)的發(fā)展趨勢(shì)：　　1、從局域網(wǎng)、城域網(wǎng)到廣域網(wǎng);　　2、各種測(cè)控網(wǎng)絡(luò)互連成為趨勢(shì)。指出物理層面臨威脅，來(lái)自嵌入式智能裝置的功能缺陷，沒(méi)有設(shè)備認(rèn)證防范能力，來(lái)自應(yīng)用層軟件及操作系統(tǒng)的漏洞、惡意代碼等、POE面臨的安全威脅，鏈路層的安全威脅(MAC泛洪變異)等等。　　介紹了工業(yè)以太網(wǎng)面對(duì)威脅解決策略，如ACL-MAC地址白名單認(rèn)證;ACL-IP地址白名單認(rèn)證;基于白名單的組插數(shù)據(jù)傳輸做到自學(xué)習(xí)和凍結(jié)組播地址表;查地認(rèn)證的方式，做到加密認(rèn)證確認(rèn)報(bào)文;系統(tǒng)服務(wù)器認(rèn)證模式(IEEE802.1x RADIUS);被IEEE802.1AE阻止的ShadowHosts模式;Linksec模型;受IEEE802.1AE保護(hù)的幀格式等。還對(duì)工業(yè)網(wǎng)絡(luò)設(shè)備選擇提出了建議：選擇具有管理功能的工業(yè)以太網(wǎng)交換機(jī);選擇具有ACL訪問(wèn)控制列表的功能;選擇具有組播控制的功能的交換機(jī);選擇具有本地認(rèn)證功能;選擇具有遠(yuǎn)程服務(wù)認(rèn)證功能等。