一般来说,公司的IT部门人员了解信息安全相关知识,但并不了解过程控制系统。而且传统IT环境和工控系统环境之间存在着一些关键不同,例如,控制系统通常需要每周7天,每天24小时的长期运行。因此控制系统的特殊功能要求可能使原本合格的安全技术变得没有效果。所以,简单地将IT安全技术配置到工控系统中并不是高效可行的解决方案。
国际行业标准ANSI/ISA-99明确指出目前工业控制领域普遍认可的安全防御措施要求如表1所示。即将具有相同功能和安全要求的控制设备划分到同一区域,区域之间执行管道通信,通过控制区域间管道中的通信内容来确保“工业4.0”控制系统信息安全。
“纵深防御”策略严格遵循ANSI/ISA-99标准,是提高“工业4.0”控制系统信息安全的较佳选择。建立“纵深防御”的有效方法是采用ANSI/ISA-99.02.01和IEC-63443标准的区级防护,将网络划分为不同的安全区,在安全区之间按照一定规则安装防火墙。
建立“纵深防御”策略的两个主要目标。
(1)即使在某一点发生网络安全事故,也能保证装置或工厂的正常安全稳定运行。对于现代计算机网络,我们认为可怕的是病毒的急速扩散,它会瞬间令整个网络瘫痪。该防护目标在于当工业网络的某个局部存在病毒感染或者其它不安全因素时,不会向其它设备或网络扩散,从而保证装置或工厂的安全稳定运行。
(2)工厂操作人员能够及时准确地确认故障点,并排除问题。怎样能够及时发现网络中存在的感染及其他问题,准确找到故障的发生点,是维护控制系统信息安全的前提。
来源:网络