定義,工廠信息安全邊界,工廠信息安全五層四區域的防護體系,
定義
對於工廠信息安全,還沒有一個公認、統一的定義,但是對於信息安全,已經有較為統一的認識。信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。其根本目的就是使內部信息不受外部威脅,因此信息通常要加密。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟體駐留,不能有非法操作。信息安全是指信息網路的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
工廠信息安全邊界
MES系統的防護相對特殊,既要直接採集來源於生產現場的數據,同工廠生產車間中的各項終端設備都會進行直接的數據互動,而且也要同上層的ERP系統進行通訊,因此MES系統在大多數企業中,為了方便與ERP系統之間的數據互動與員工訪問,通常會劃分在辦公網的安全防護體系中。但是,實際上由於MES系統能夠直接對工業控制系統進行訪問,因此,對於MES系統的防護應該提升其系統防護級別,將MES系統與辦公網進行隔離。
工廠信息安全五層四區域的防護體系
對於工廠信息安全,僅靠傳統的防毒軟體進行防護是遠遠不夠的。只有一套完善的網路體系架構,才能真正的對於工廠信息安全進行防禦。工廠信息安全的建設應該採用五層防禦體系進行構建,嚴格的對區域進行劃分。
第一道防線:商業(IT)防火牆
幾乎所有的企業都有這一層的防護。此層的目的是將內部網和Internet網分開,從而保護內部網免受非法用戶的侵入。入侵者必須首先穿越防火牆的安全防線,才能接觸目標計算機。通過此層的防禦,可以過濾掉絕大多數的網路攻擊。入侵者如果穿越防火牆,首先到達的就是辦公網路的DMZ區域。但是辦公網路的DMZ區域是不會涉及到工廠車間網路的任何伺服器,所以,對於工廠信息的安全起到了最初級的防護作用。
第二道防線:抵禦多種威脅的安全網關
安全網關的防護嚴格程度較第一道防線的防火牆的規則更加嚴格,並且夠提供從協定級過濾到套用級過濾。入侵者如果成功穿越防火牆後,想進入更加核心的區域,那么就必須花費更多的時間及精力來進行攻擊。
第三層防線:防病毒軟體
普通辦公用電腦的攻擊價值非常低,一般的入侵者不會對其進行攻擊,但是普通辦公電腦確實一個攻擊的平台,通過木馬程式進行控制,非法訪問一些伺服器,將普通辦公電腦當做一個跳板的作用。對於辦公電腦來說,經常的使用隨身碟等移動設備會造成無法通過網路傳播的病毒進行擴散。防毒軟體能夠監察計算機內的惡意程式,包括流行的各種病毒、木馬、蠕蟲和特洛伊木馬,保護企業和用戶計算機。
第四層:控制系統防火牆與IDS(IPS)系統
控制系統防火牆是專門針對工廠生產車間系統及網路部署的一道防火牆。此道防火牆會制定更加嚴格的規則,開放更加少的連線埠,避免入侵者從外部對工廠生產車間的網路及系統進行攻擊。
同時,在此層級上由於工廠生產車間的敏感性,為了有效的對網路環境進行監控,在靠近終端設備處同時部署IDS或IPS系統的探測器。IDS是Intrusion Detection System的縮寫,即入侵檢測系統,主要用於檢測病毒和網路異常通信,以便網路管理員採取相應措施。IDS入侵檢測系統能夠察覺黑客的入侵行為並且進行記錄和處理。由於當病毒爆發時,會占用大量的工業乙太網絡頻寬,使任務實時性執行出現闖題,IDS入侵檢測系統能夠及時檢測出這種非法的占用,記錄下病毒發出的連線,向上層管理計算機發出警告,同時它不影響整體網路的運行性能,非常適合工業乙太網的網路特點。
第五層:安全可靠的現場設備
上面的四層都是從外部因素進行防禦,做為工廠信息安全的基礎部件,現場設備應該進行內部的防禦。現場設備在選型時需要進行慎重的選擇,避免選擇一些功能系統不成熟的產品進行使用。如果已經選擇了一些比較老款的產品,企業需注意嚴格軟體升級、補丁安裝管理,嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟體升級、補丁安裝前要請專業技術機構進行安全評估和驗證。只有這樣,現場設備才能保障自身系統安全。
