今天,全球能效管理专家施耐德电气参加了由工控网主办的“2013年工业信息安全用户高峰论坛”。在会上,施耐德电气针对工业控制系统的信息安全挑战,提出了设备级、系统级和管理级的三级纵深防护体系,建议中国企业应及时提升设备级安全防护能力、自下而上逐步推进安全防护策略,从而有效地提升信息安全整体水平。本次论坛吸引逾200名来自行业用户和科研机构、设计院、控制系统厂商的听众,共同探讨中国工业信息安全的发展。
施耐德电气长期以来一直将提升工控系统信息安全作为产品设计和研发的关键指标,倡导为客户提供安全可靠的产品及应用并加以实践,也积累了大量中国工业信息安全建设的实践经验。针对中国工业信息安全的具体情况,施耐德电气发现中国行业客户普遍存在三大安全困境:人员缺失、制度形式化和生产与安全的矛盾冲突。中国行业客户在实施信息安全防御策略时需要更加重视解决方案的实用性和有效性。实践证明,现阶段加快提升设备级防护的安全水平,可以有效地减少企业对信息安全人员的专业能力和管理制度的过度依赖。
“工业信息安全需要整个行业各方协调、积极配合,并针对行业应用的实际情况做具体的分析和评估,帮助客户打造切实可行的安全解决方案。” 施耐德电气中国区高级副总裁、工业事业部负责人徐骏先生说,“作为工业控制领域领先者,施耐德电气一直致力于提升工业客户的生产运营安全能力。我们也积极参与到中国工业系统信息安全的具体实践中,为中国客户提供更加有效和全面的工业信息安全解决方案。”
施耐德电气PlantStruxture™协同自动化控制系统架构下的纵深防御安全解决方案,包括设备级、系统级和管理级三级纵深防护体系,涉及安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大安全防御步骤。其中,设备级防护侧重于提升每个设备的信息安全能力;系统级防护的目标是设计安全的控制系统架构,以增强控制系统的整体信息安全功能;管理级防护的作用是规范管理、完善安全策略,增强控制系统的信息安全功能。而其中设备级防护是施耐德深度防御安全解决方案三级纵深防护体系中的核心和基础。
“管理级防护会受到人的因素影响。比如人的素质、人的操作疏忽等等,都可能导致信息安全问题的发生。另外,本身存在信息安全隐患的设备级产品整合到系统中,也会导致‘带病上岗’的现象。”施耐德电气工业事业部工业信息安全技术总监王斌先生说,“通过将信息安全功能集成到设备本身,将大大提升工控系统的防护能力。尤其是对于那些不具备系统级防护和管理级防护能力的工控系统,我们更建议用户采用设备级防护,比如 PLC、以太网交换机和SCADA软件。”
施耐德电气设备级防护解决方案可以帮助企业将信息安全防护功能集成在控制设备上,以最大限度地提升工控系统的防护能力。设备级防护通过模板固件升级、软件信息安全辅助功能设置,帮助企业增强工控设备的信息安全防护能力;通过配置工业级管理型交换机、以太网环网升级等网络升级方案,以及采用“增强型”密码、关闭未用端口、端口地址绑定、网络风暴限制、组播过滤等一系列具体技术措施,可以极大地提升用户防范物理入侵能力,提升工控系统的可用性。这种以设备级防护为基础,自下而上逐步推进的安全防护整体解决方案,可以让企业摆脱传统安全解决方案中过于依赖管理政策、制度以及人员能力和操作规范等诸多不可控或不完备的条件限制。
施耐德电气一直致力于帮助中国所有客户不断提升其工业控制系统的安全性和可用性。2012年,施耐德电气莫迪康昆腾系列PLC信息安全解决方案通过了中国国家信息技术安全研究中心的权威检测,体现了施耐德电气在设备级安全防护解决方案的有效性。从2013年1月起,施耐德电气开始协助某国内大型电力集团,提升其下属企业的信息安全防护水平,通过实践,验证了施耐德电气深度安全防御解决方案的可行性和安全性。今后,施耐德电气将继续致力于为中国客户提供安全、可靠、完善的信息安全解决方案,为中国工业领域信息安全作出应有的贡献。