电力行业是应用信息技术较早和较有深度的行业之一,电力系统的规划设计、基建、发电、输电、供电等各环节均有信息技术的应用,包括生产过程自动化和管理信息化。在过去十年间,关键基础设施面临的网络攻击不断增多,从而使网络安全上升为工业自动化和控制系统用户及厂商关注的焦点。而电力行业的信息安全问题也已受到政府主管部门及电力企业的更多关注,从美国发电站遭遇网络攻击、伊朗核电站遭“震网”病毒攻击到近期的“棱镜门”事件,都为电力行业信息安全敲响了警钟。
目前电力信息安全整改的三大障碍
电力行业作为最早应用信息技术的行业之一,对信息安全的要求也相对其他行业更为严格、管理也更规范,但总体仍处于较低水平。目前,电力行业信息安全整改工作主要面临三个问题。
其一是信息安全专责缺失。也就是懂工业控制系统的信息安全人员的缺失。就电力企业来说,目前很多企业没有专门负责工业控制系统信息安全的人员。信息安全整改将面临企业内部人员、部门协调不力以及人员能力不足等问题。
其二是企业内部的信息安全管理制度还有待完善。“我走访过一些电力企业,有的企业管理制度非常完善,但是没有真正落到实处。比如门禁制度执行不严,‘刷脸’现象时有发生。” 施耐德电气工业事业部工业信息安全技术总监王斌先生说,“有的企业这种管理制度是很完善的,反而会对信息安全的评估和整改带来一些麻烦。我们为电力企业做信息安全评估和整改时,企业为了减少风险,不会让我们接触现场的控制系统。我们无法对控制系统做有效的信息安全评估和测试,也就无法提供相应的整改措施。这是管理制度和信息安全的一个冲突,也是缺失的一个方面。”
其三是生产与安全的矛盾。在对企业整个工业控制系统做信息安全整改和实施时,有可能会给企业的连续生产带来一定风险。
施耐德工业信息安全“秘技”
施耐德电气针对工业控制系统的信息安全挑战,提出了设备级、系统级和管理级的三级纵深防御体系,建议中国企业应及时提升设备级安全防护能力、兼顾系统级和管理级防护,“自下而上”逐步推进安全防护策略,从而有效地提升信息安全整体水平。
施耐德电气PlantStruxture™协同自动化控制系统架构下的纵深防御信息安全解决方案,包括设备级、系统级和管理级的三级纵深防护体系。涉及安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大安全防御步骤。其中,设备级防护侧重于提升每个设备的信息安全能力;系统级防护的目标是设计安全的控制系统架构,以提升控制系统的整体信息安全功能;管理级防护的作用是规范管理、完善安全策略,增强控制系统的信息安全功能。而其中设备级防护是施耐德电气三级纵深防御信息安全解决方案的核心和基础。
“管理级防护会受到人为因素的影响。人的素质及操作疏忽都可能导致信息安全问题的发生。另外,将本身存在信息安全隐患的设备级产品整合到系统中,也会导致‘带病上岗’的现象。”王斌先生说,“通过将信息安全功能集成到设备本身,将大大提升工控系统的防护能力。尤其是对于那些不具备系统级防护和管理级防护能力的工控系统,我们更建议用户采用设备级防护,比如 PLC、以太网交换机和SCADA软件等。”
施耐德电气设备级防护解决方案可以帮助企业将信息安全防护功能集成在控制设备上,以最少的资金及人员投入来最大限度地提升工控系统的安全防护能力。设备级防护不仅可以通过模板固件升级、软件安全辅助功能设置,帮助企业增强工控设备的信息安全防护能力;还可以通过选择工业级管理型交换机,采用“增强型”密码、关闭未使用端口、端口地址绑定、网络风暴限制、组播过滤、环网冗余等一系列具体技术措施,来极大地提升用户防范物理入侵的能力,增强工控系统的可用性、可靠性和安全性。这种以设备级防护为基础,“自下而上”逐步推进的安全防护整体解决方案,可以让企业摆脱传统安全解决方案中过于依赖管理政策、制度以及人员能力和操作规范等诸多不可控因素或不完备设施的条件限制。
构筑安全 构建未来
“工业信息安全需要整个行业各方协调、积极配合,并针对行业应用的实际情况做具体的分析和评估,帮助客户打造切实可行的安全解决方案。” 施耐德电气中国区高级副总裁、工业事业部负责人徐骏先生说,“作为工业控制领域领先者,施耐德电气一直致力于提升工业客户的生产运营安全能力。我们也积极参与到中国工业系统信息安全的具体实践中,为中国客户提供更加有效和全面的工业信息安全解决方案。”
2012年,施耐德电气莫迪康昆腾系列PLC信息安全解决方案通过了中国国家信息技术安全研究中心的权威检测,体现了施耐德电气设备级安全防护解决方案的有效性。从2013年1月起,施耐德电气开始协助国内某大型电力集团,提升其下属企业的信息安全防护水平,通过实践,验证了施耐德电气深度安全防御解决方案的可行性和安全性。今后,施耐德电气将继续致力于为中国客户提供安全、可靠、完善的信息安全解决方案,为中国工业领域信息安全作出应有的贡献。
