制造业细分行业众多、企业数量庞大,各个公司的管理水平及技术实力差别也大相径庭,安全防护难点和盲点均位列各个领域前茅。从2012年全球各个行业成为网络安全目标的份额来看,制造业占比为24%,位居各行业之首,成为安全威胁的“新宠”。
工业控制系统的使用范围不仅仅限于制造业,在矿产、公用事业、航空航天行业中的使用也相当广泛。据不完全统计,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化作业,工业控制系统已是国家安全战略的重要组成部分。
随着企业内外网对接、信息系统与客户及供应商的联结、设备自动化的水平上升,企业的信息网络变得更加的开放与智能化。以智能精密机床为例,其系统的通讯方面已经配备了微机上才具备的USB接口与网线接口,未来的生产指令与调度程序将统一通过中央控制系统的方式加以推送,生产任务的建立、更换、取消也将更加智能。然而开放与智能带来的副作用就是安全威胁。有别于传统的安全威胁,如果工业控制成为了攻击的目标导致系统无法正常工作或损坏,那么将不仅仅限于虚拟化的信息层面,而直接影响人员的生命安全。事实上,国外此类事件的发生已经造成了严重的后果。
工业控制系统需要进行横向分层、纵向分域、区域分等级进行安全防护。横向分层用来区分管理信息系统,每层系统有不同的信息系统管理需求,纵向分域用来分离各个不同的生产执行业务线,而区域分等级将根据资产与生产过程的核心等级逐级建立层层严格防护屏障,一旦产生了安全威胁能够将威胁控制在最小层面,防止其向其它层面扩散,最大程度上保证整体工业生产系统的安全与稳定。
通常横向分层分为计划管理层、制造执行层、工业控制层。计划管理层一般包括了以ERP为核心的管理信息系统。制造执行层处于工业控制层与计划管理层之间,主要负责生产管理和调度执行,通过制造执行层管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化,实现对工艺的过程监视与控制。工业控制层是直接面向生产的终端层,由自动化控制组件和实时数据采集、监测的过程控制组件共同构成,完成具体的加工作业、检测和操控作业、作业管理等功能。
根据业界专业观点,工控系统的三层横向分层中需要对层与层之间的数据交换和信息处理进行防护,催生了工控系统的两层防护体系。首先是计划管理层与制造执行层之间进行的防护,避免这两层系统通讯交换带来的威胁,具体表现形式为避免非授权访问和滥用、对操作失误篡改数据及抵赖行为的可控制、可追溯性、避免终端违规操作、及时发现非法入侵行为、过滤恶意代码。其次是制造执行层与工业控制层之间的安全防护,通过部署工业安全防火墙的方式能够避免从计划管理层未经授权的指令或者有害代码,完成区域隔离、通信管控、实时报警等重要功能。
相对于其他行业信息安全防护,工控安全防护在实时性、可靠性及安全性方面的需求等级更高,要求也更加严格。一旦发生了安全威胁,需要在最短的时间内进行发现、矫正或者停止作业,防止危害进一步向其他系统或者层级渗透,同时能够第一时间发出警报供安全管理人员和生产执行人员知晓,及时采取行动应对特殊事件。基于工控安全的特点,需要通过四类产品对此领域安全进行全面防护:网关类安全产品、异常检测类产品、安全管理类产品、日志审批类产,而这四类产品均需对于工业安全进行针对性的调整和优化才能保证整体的安全。
工控安全在设计及应用方面具有其特殊性,例如工业管理系统中通常不会采用TCP/IP或者IPX这样的常用协议,而采用系统间或者生产厂商自建的专门协议,这类协议的建立一方面是生产厂商对于自身商业利益产品闭环的考虑,另一方面是出于对安全的考虑。在传统协议上传播的安全威胁难以对专用协议产生影响,但随着威胁程度不断加剧,攻击水平不断提高,而专用协议由于没有被公开环境所熟识并加以监督完善而存在更多安全隐患,对于安全厂商的发现和控制难度进一步加剧。因此,网络监控除了在传统协议层面上推行,各种各样的专用协议也需要纳入分析管控的范围,并对其中的数据进行深入精确的判别。
同时由于工业控制将极有可能出现在极端情况下,温度、湿度的适应能力、电磁防护能力等在普通环境下极少检测的指标,在这一领域却会显得异常重要。这些要求对厂商的技术实力提出了新的挑战,也成为未来产品发展的方向所在。
深圳祈飞科技在网络安全硬件平台给予了极大的关注,投入了大量的资源进行相关的研发工作。如今,祈飞科技自主研发生产的网络安全产品性能卓越、稳定,尤其适用于工控行业的各种极端恶劣环境。目前祈飞科技在网络安全平台市场占有较大份额,产品和服务得到大量客户的认可和信赖。
楼主最近还看过