施耐德电气(中国)有限公司 工业事业部最终用户业务部自动化技术支持中心经理 陈小淙

   随着工业控制系统向网络化、智能化发展，工业以太网等技术的应用使得工业控制系统从传统的封闭系统演变到开放的系统，工业控制系统的信息安全问题也日益突出。

   工业过程控制系统信息安全现状

   从当前中国信息安全工业行业现状来说，中国工业控制系统信息安全研究起步较晚，对病毒、网络攻击等信息安全威胁重视不足，安全防范手段不到位，安全保障机制缺失，工业控制系统信息安全标准不健全。

   从最终用户的角度来说，对于工业过程控制系统信息安全问题的认识和防范也存在严重的不足，表现为：没有足够的信息安全职位安置及培训，不安全的边界防火墙，计算机及软件的补丁不充分，集团网络及工厂网络分离不充分，口令强度不够，不必要的第三方产品设备，企业信息安全的文档不充分。

   信息安全威胁的来源及类型

   安全威胁可以来自外部和内部 ，攻击者包括: 员工、 激进分子/政府/勒索团伙、‘脚本小子’、 研究者 。攻击原因 也多种多样：如兴趣、勒索/报复、商业间谍、国家间谍、意外等。

   常见的攻击手段和漏洞包括：逻辑炸弹、拒绝服务、缓冲溢出、后门、口令攻击、‘中间人’攻击、重放攻击、网络钓鱼、Rootkits、DNS / Bootp / 服务扮演、Web 跨站脚本攻击 – XSS、Web 目录遍历、IP地址欺骗、MAC地址欺骗等。

   实现工业过程控制系统信息安全的建议

   实现工业控制系统信息安全需要多方的共同努力，作为供应商需要设计或提供具有信息安全特性的产品或解决方案，确保他们能使客户遵守相应的信息安全标准，并给用户提供实施安全的指导建议及方法。

   另外很重要的一方面是最终用户需要制定信息安全制度 (组织架构的信息安全性保证)，指定相应的责任人(人员的信息安全保证)，并确保遵守相应的信息安全标准。

   实现信息安全不仅仅与产品相关，是涉及人员、制度、系统架构、产品等多方面的问题。

   实现工业过程控制系统信息安全需要多层保护，如信息安全计划、 网络分离，纵深防御是实现工业控制系统信息安全的最佳方法。纵深防御包括安全计划、网络分隔、边界保护、网段分离、设备加固、监视与更新六大关键步骤。

   施耐德电气的信息安全解决方案

   作为产品供应商，为保护用户的工业控制系统信息安全，首先，施耐德建立了专门信息安全指导及漏洞信息的发布站点来为用户提供相关信息，包括对于安全指导的白皮书、产品安全漏洞数据（漏洞清单、缓解/解决方案、补丁及固件更新、信息安全漏洞报告）、信息安全新闻、产品发布及更新等。

   其次，施耐德致力于为用户提供安全的产品，目前新产品的开发都将依据工业信息安全标准，如Achilles 认证和ISA安全认证。对于没有信息安全设计特性的老产品，我们建议用户应用ConneXium Tofino防火墙保护。施耐德提供的安全网络基础设备有ConneXium 系列产品 ，包括Connexium Eagle 及 Tofino 防火墙。

   此外，施耐德还建立了信息安全认证实验室，以对相关产品进行认证。施耐德还提供评估及设计服务，可以确认客户系统中存在漏洞，根据确认的漏洞及威胁评估系统的风险，并为客户提供建议，如架构、设备加固、培训、处理等。

   施耐德还与安全评估的领导者、主要的安全标准提供者Wurldtech及SiS积极合作，共同帮助客户应对工业工控系统信息安全问题。

   摘自《自动化博览》2013年1期