钢铁企业工控系统信息安全风险防范.pdfVIP

64 信息安全与通信保密-2014．06 行业应用 ·IndustryApplications 钢铁企业工控系统信息安全风险防范 本刊编辑部 1．面临的工控信息安全隐患 协调。一般来说，四级系统根据市 防范，需要遵循钢铁生产的行业特 要做好钢铁企业的工控系统信 场需求形成综合的生产和管理计划， 点，切实结合生产现状和管理现状 。 息安全，就要知道钢铁企业有哪些 三级系统根据这些计划产生详细的 依据控制系统风险分析及排序的结 重要的业务、重要数据、系统中断 生产排序和最优调度安排，最后启 果，充分考虑风险防范的成本投入， 会带来哪些影响、危害，应当怎么 动生产设备完成全部的生产过程， 有效利用技术措施与管理措施 ，针 保护和为什么这样保护。而首当其 同时，生产过程的实际信息汇总到 对风险防范的难易程度，采用分步 冲的问题是了解钢铁企业的业务情 三级系统，反馈到四级系统，形成 实施的原则完成整体的风险防范。 况，因为 目前的信息安全工作说到 信息的交互。各个层级之间根据具 风险防范需要根据当前控制系统信 底是服务于企业的业务，只有我们 体情况采取中间件进行信息交流。 息安全风险控制的水准，结合总体 知道要重点保护哪些重要业务，才 结合实践，我们看到大多数钢 信息安全发展的目标，建议从信息 能在业务流程中发现重要信息资产 铁企业控制系统信息安全风险主要 安全风险控制能力与质量两个考核 并采取相应的措施加 以保护。 包括策略和规范、平 台以及 网络 3 维度按照三步走的方式进行。 钢铁企业生产环境 的控制网 个方面。具体风险举例如下：不恰 第一阶段 控制系统信息安全加 络通常采用同一网段的以太网通讯 当的工业控制系统信息安全政策； 固阶段。这一阶段的风险防范以控 连接，任何连接到网络 内的PC或 人员信息安全培训不足；不恰当的 制系统为核心，着重进行人员意识 操作站都能访 问网络 中的PLC， 信息安全体系和设计；没有为工控 培训以及技术体系的加固工作，对 对 PLC进行操作甚至破坏 PLC的 系统信息安全政策开发具体的或文 识别出的高风险问题进行控制，处 组态程序，造成PLC的控制单元 件化的安全程序；缺少工控系统安 置的重点在于技术与操作层面，以 失灵或是现场设备停机乃至损毁。 全审计机制；未针对工控系统建立 解决最为紧迫的问题。 目前控制网络中无任何隔离防护设 起补丁管理机制；缺乏有效的物理 第二阶段 控制系统信息安全体 备，如果操作站感染病毒，病毒将 访 问控制；多网卡连接网络；薄弱 系建设阶段。这一阶段的风险防范 会轻易蔓延至整个网络，可能会导 的网络安全架构 ；网络设备密码长 以信息安全管理体系为核心，着重 致整个 网络数据堵塞或操作站丧失 期未更改；关键网络设备没有冗余 进行控制系统信息安全管理体系建 操作能力，某些针对工业协议 (如 措施；控制网络 内部没有安全监控 设工作 ，对识别出的中高风险问题 ModbusTCP)的病毒还可能会导致 设备；无线客户端与接入点间认证 进行控制，处置的重点在于管理层 PLC控制单元死机，完全丧失控制 措施不足等。 面，以解决中长期的信息安全问题。 能力 。 当然，不同的钢铁企业