企业信息安全防护体系
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇企业信息安全防护体系范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
企业信息安全防护体系范文第1篇
关键词:电力企业;信息网网络安全;层次式防护体系
中图分类号:TN915.08
网络信息安全的问题主要包括了网络系统的硬件、软件及其系统中重要数据受到保护,受突发或者恶意的因素而遭到破坏、更改、泄露,系统能够正常地运行,网络服务不中断等诸多方面。企业要想做好信息网网络安全就需要构建一个层次式防护体系,这个防护体系能够有效的解决企业信息网网络安全所面临的各种问题,给企业一个良好的网络环境。
1 信息网络安全层次式防护体系的防护模式
结合电力企业的实际情况,按照层次式防护体系的防护模式,可将电力企业的网络信息安全分为七大模块,分别是入侵检测、环境与硬件、防火墙、VPN(虚拟专用网)、隐患扫描、病毒防范、PKI(公开密钥基础设施)。
1.1 环境与硬件、防火墙
环境与硬件以及防火墙为层次防护模式的第一、二层,是对系统安全要求比较高的电网运行与安全稳定的控制,还包含了电网调度自动化、继电保护等实时网络,使用防火墙隔离网关设备来连接信息网络,这样就可以获取实时的系统数据,不过这样仍有一个小的缺陷,就是不可能直接或间接的修改实时系统的数据,所有需要采用硬件防火墙互联的信息网络与实时网络之间在物理网络层的隔离,这样就能从根本上防护非法用户的入侵。
另外,也可在信息网的Internet接入口处安装防火墙,这种防火墙主要防止来自外部的攻击,而且企业内各机构之间的仍有全面的安全防火墙,目前几乎所有的电力企业信息网大都建立了这两层防护措施。不过防火墙对于一些利用合法通道而展开的网络内部攻击显得无能为力。因此,尽管开发防火墙能够初步具备入侵的检查功能,但是防火墙作为网关,很容易就成为网络防护发展的颈瓶,不适合做过多的扩展研究。因此,还需要和层次式防护的第三层入侵检测等相关工具联合起来运用,这样就能提高整个网络的安全。
1.2 入侵检测(IDS)
整个防护体系的第三层防护便是入侵检测,入侵检测不属于网络访问控制设备,对通讯流量没有任何限制,采用的是一种通过实时监视网络资源(系统日志、网络数据包、文件和用户获得的状态行为),主动分析和寻找入侵行为的迹象,属于一种动态的安全防护技术。一旦被检测到入侵情况就会立即进行日志、安全控制操作以及警告等操作,给网络系统提供内、外部攻击以及一些失误进行安全防护。像CA公司的eTrustIntrusionDetection程序就是通过自动检测网络数据流中潜在的入侵、攻击和滥用方式等,为网络系统提供了先进的网络保护功能。同时还能在服务器及相关业务受到影响时,按照预先定义好的策略采取相应的措施。
1.3 隐患扫描
防护体系的第四层防护便是隐患扫描,隐患扫描是一个全自动化的网络安全评估软件,它以黑客的视角对被检测的系统进行是否承受攻击性的安全漏洞以及隐患扫描,同时还能够查到可能危及网络或系统安全的弱点,从而提出相应的维修措施,提交详细的风险评估报告。最可观的地方在于它能够先于黑客发现并弥补漏洞,从而防患于未然,能够预防在安全检查中暴露出存在网络系统中的安全隐患,然后配合有效的修改措施,将网络系统中运行的风险降至最低。
隐患扫描系统的主要应用在不同的场合和时宜,第一,对信息网作出定期的网络安全自我检测和评估。网络管理员能够定期的进行网络安全检查服务,以最大可能限度的消除安全隐患,尽可能的发现漏洞然后进行修补,从而优化资源、提高网络的运行效率;第二,网络建设以及网络改造前后的安全规划以及成效检测。配备隐患扫描系统能够方便的进行安全规划评估和成效检测;第三,网络安全隐患突发后的分析。网络安全隐患突发后可以通过扫描系统确定网络被攻击的漏洞所在,然后帮助修补漏洞,能够提供尽可能多的资料来方便调查攻击的来源。第四,重大网络安全事件发生前的准备,重大网络安全事件发生以前,扫描系统能够及时的帮用户找出网络中存在的漏洞,并及时将其修补。
1.4 虚拟专用网(VPN)
防护体系的第五层就是虚拟专用网,其主要为电力企业上下级网络和外出人员访问企业网络时提供一条安全、廉价的互联方式,再加上防火墙和IDS的联动关系,这就使得VPN的网络安全性大大的得到保障,VPN的网络安全性也就得到了保证。不过,目前虽然实现VPN的网络技术和方式比较多,但不是所有的VPN均可以保证公用网络平台传输数据的安全性和专用性。一般情况下是在非面向连接的公用IP网络上建立一个具有逻辑的、点对点的连接方式,这种方式称之为建立隧道。随后就可以利用加密技术对隧道传输的数据进行加密,这样就能保证数据只能被发送给指定的接收者,这样极大的保证了数据的隐私性。
1.5 PKI(公开密钥基础设施)
PKI作为防护体系的第六层具有一个广泛的接收标准,用来保护用户的应用和数据安全,许多安全应用的安全标准通过PKI都有了适应的安全标准。CA公司的eTrustPKI是个比较普遍的基础设施,具有许多独特的特点,如能够优化企业内部的部署、简化管理、其扩展性比较好、有可选择的相关硬件支持。
1.6 对病毒的防范
对病毒的防范是防护体系最后一层,其广泛的定义在于防范恶意代码、包括蠕虫、密码、逻辑炸弹以及其他未经许可的软件,防范病毒系统对网关、邮件系统、文件服务器等进行病毒防范,这就要求病毒防范系统做到对病毒代码的及时更新,并保持对病毒的查杀能力。同时,当防病毒与防火墙一起联动时,病毒防护系统会自动通知防火墙进行相关修改。
2 对层次式安全防护体系的规范管理
层次式安全防护体系的构建是一个复杂的系统工程,包含了人力、技术、以及操作等几大要素,在整个防护体系的运行中,最重要是需要规范操作人员的各种专业技术操作,需要建立一道信息安全管理制度来防止安全防护系统在运行过程中因为内部人员出现差错而导致的各种网络漏洞和安全隐患,其中建立规范的管理制度应考虑以下几点:第一,建立对应的事故预防和应急处理方案,每天都要例行检查备案;第二,制定严格的防护系统运行操作制度,对网络设备、存储设备以及服务器等重要部件的运行操作制定标准的操作制度,相关工作人员都必须参与进去;第三,强化对工作人员的安全教育和培训,做好及时的安全工作;第四,建立日志式的管理制度,对每位用户的操作和行为都以日志的形式记载在案,并进行及时的跟踪调查和审计工作。
3 结束语
网络安全防护是一个动态的系统工程,构建网络安全防护体系能够有效保护电力企业信息网的安全,其中采取层次式安全防护体系,更是有效的将各个层次安全构建有机的结合在一起,从而提高了整个网络的安全性。
参考文献:
[1]党林.电力企业信息系统数据的安全保护措施分析[J].电子技术与软件工程,2013(17).
[2]李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化,2012(04).
企业信息安全防护体系范文第2篇
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSLVPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSLVPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4结束语
企业信息安全防护体系范文第3篇
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
企业信息安全防护体系范文第4篇
关键词:信息安全;信息安全防护;安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)22-5346-02
随着网络信息系统在各行各业得到广泛应用,企业单位办公自动化程度越来越高,许多企业开始利用信息化手段来提升自身管理水平,增加竞争力。企业内部用户之间实现了“互联互通 ,资源共享”,极大地提高了企业单位的办事效率和工作效率。但部分企业却忽视了整个系统的安全和保密工作,使得系统处于危险之中,而一旦网络被人攻破,企业机密的数据、资料可能会被盗取、网络可能会被破坏,给企业带来难以预测的损失。因此,企业网络安全的建设必须提上日程,并加以有效防范。
1 企业信息安全防护策略
企业网络所面临的安全威胁既可能来自企业网内部,又可能来自企业网外部。所有的入侵攻击都是从用户终端上发起的,往往利用被攻击系统的漏洞肆意进行破坏。企业网络面临的威胁主要有系统漏洞或后门、计算机病毒感染、恶意攻击和非法入侵、管理失误等。
企业信息安全从本质上讲就是企业网络信息安全,必须充分了解系统的安全隐患所在,构建科学信息安全防护系统架构,同时提高管理人员的技术水平,落实严格的管理制度 ,使得网络信息能够安全运行,企业信息安全防护策略如图1所示。
2 硬件安全
企业网硬件实体是指实施信息收集、传输、存储和分发的计算机及其外部设备和网络部件。对硬件安全我们应采取以下相应措施:1)尽可能购买国产网络设备,从根源上防止由于后门造成的威胁;2)使用低辐射计算机设备、屏蔽双绞线或光纤等传输介质,把设备的信息辐射抑制到最低限度,这是防止计算机辐射泄密的根本措施;3)加强对网络记录媒体的保护和管理。如对关键的记录媒体要有防拷贝和信息加密措施,对废弃的光盘、硬盘和存储介质要有专人销毁等,废弃纸质就地销毁等;4)定期对实体进行安全检测和监控监测。特别是对文件服务器、光缆(或电缆)、收发器、终端及其它外设进行保密检查,防止非法侵入。
3 信息安全技术
企业信息的安全必须有安全技术做保障。目前可以采用的安全技术主要有:
3.1 安全隔离技术
安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。
3.2 防火墙技术
防火墙通过过滤不安全的服务,可以极大地提高网络安全和减少子网中主机的风险;它可以提供对系统的访问控制,如允许从外部访问某些主机,同时禁止访问另外的主机;阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS;防火墙可以记录和统计通过它的网络通讯,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;防火墙提供制定和执行网络安全策略的手段,它可对企业内部网实现集中的安全管理,它定义的安全规则可运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。
3.3 入侵检测技术
入侵检测技术作为一种主动防护技术,可以在攻击发生时记录攻击者的行为,发出报警,必要时还可以追踪攻击者。它既可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络,提高信息安全基础结构的完整性,被认为是防火墙之后的第二道安全闸门,它在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护,最大幅度地保障系统安全。它在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。
3.4 终端准入防御技术
终端准入防御(EAD,Endpoint Admission Defense)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
3.5 灾难恢复策略
灾难恢复作为一个重要的企业信息安全管理体系中的一个重要补救措施,在整个企业信息安全管理体系中有着举足轻重的作用。业界广泛的经验和教训说明,灾难恢复的成功在于企业中经过良好训练和预演的人在自己的角色上实施预先计划的策略,即灾难恢复计划。只有制定快速有效地进行数据恢复的策略,才能应对每一种可能出现的数据损坏事故。
3.6 其他信息安全技术
当然,信息安全技术还有很多,如防御病毒技术、数字签名技术、加密和解密技术、VLAN技术、访问控制技术等,这些都可以在一定程序上增加网络的安全性。
4 安全管理
网络安全管理是企业管理中一个难点,很多信息化企业并不十分看重网络安全,直到重要数据丢失产生重大损失才追悔莫及,因此首先在思想上充分重视信息安全,不能抱有一丝侥幸心理。对于安全管理采取的措施主要有:确定每个管理者对用户授予的权限、制订机房管理制度、建立系统维护制度、实行多人负责制度、实行有限任期制度、建立人员雇用和解聘制度、实行职责分离制度、建立事件及风险管理中心等。
这些要通过对公司全体员工进行教育培训,强化规范操作,重要数据作好及时备份 ,从系统的角度促进全体团队认真执行 ,以达到网络的保障。
5 人员安全意识
企业信息安全队伍建设要以领导干部和人员为重点,积极开展面向企业各层面的保密教育,不断提高全体员工的信息安全素质。采取的措施主要有:开展领导干部信息安全教育、开展人员保密教育、开展全员保密宣传教育、推进员工分层次信息安全培训等。
6 小结
针对目前企业信息安全面临的诸多问题,提出基于硬件安全、信息安全技术、安全管理和人员培训的企业信息安全整体防护策略。企业信息安全防护是一个系统工程,必须全方位、科学地合理安排和落实,才能有效地保护企业的信息安全。
参考文献:
[1] 曹国飞.企业网信息化建设保密技术研究[J].科技传播,2010(9):229.
[2] 王梅,刘永涛.企业信息安全(保密)培训的几点思考[J].中国市场,2010,35(9):117-118.
[3] 赵晓.企业信息安全防护体系建设[J].科技创新导报,2010,34:255.
企业信息安全防护体系范文第5篇
工业以太网技术由于开放、灵活、高效、透明、标准化等特点,越来越多的在工控控制系统中得到广泛应用。随着“两化融合”和物联网的普及,越来越多的信息技术应用到了工业领域。目前,超过80%涉及国计民生的关键基础设施依靠工业控制系统来实现自动化控制作业,如:电力、水力、石化、交通运输、航空航天等工业控制系统的安全也直接关系到国家的战略安全。2010年10月发生在伊朗核电站的“震网”(Stuxnet)病毒,为工业控制系统的信息安全敲响了警钟。最近几年,针对工业控制系统的信息安全攻击事件成百倍的增长,引发了国家相关管理部门和企业用户的高度重视。今年国家发改委公布的《2013年国家信息安全专项有关事项的通知》中,强调工业控制系统信息安全是国家重点支持的四大领域之一。2011年工信部451号文件《关于加强工业控制系统信息安全管理的通知》中更明确指出,有关国家大型企业要慎重选择工业控制系统设备,确保产品安全可控。现在,国内大型企业都把工业控制系统安全防护建设提上了日程。如何应对工业控制系统的信息安全,是我们在新形势下面临的迫在眉睫需要解决的现实问题。
2企业信息安全现状
目前,虽然国家和行业主管部门、国内企业集团等都开始重视工业控制系统的信息安全问题,并开始研究相应的对策,但还面临很多现实问题:(1)信息安全专责的缺失:国内信息安全专门型人才比较缺失,很多企业甚至没有专门负责信息安全的专员;(2)制度形式化:规范的管理制度作为工业控制系统信息安全的第一道“防火墙”,可以有效的防范最基础的安全隐患,可是很多企业的管理制度并没有真正落到实处,导致威胁工控系统信息安全的隐患长驱直入、如入无人之境进入企业系统内;(3)安全生产的矛盾现状:保证工业企业安全生产和正常运营是企业的首要目标,而信息安全的解决方案部署又会影响到企业的正常运营。因此,部分企业消极应对信息安全的部署。
3常见的信息安全解决方案
面对工业控制系统的信息安全现状,很多信息安全解决方案提供商提出了各自的安全策略,强调的是“自上而下”、注重“监管”和“隔离”的安全策略。由于企业内部产品、设备或资产繁多,产品供应商较多,“监管”系统无法“监视和管理”企业内部庞大的设备或资产,导致部分系统依然存在信息安全隐患。同时,这些解决方案部署时又面临投资比较大,定制化程度比较高等缺点。有的企业通过在企业系统内部部署“横向分层、纵向分域、区域分等级”的安全策略,构建“三层架构,二层防护”的安全体系。这些解决方案又面临着“安全区域”较大,无法避免系统内部设备自身“带病上岗”的现象发生。如何在企业内部高效部署信息安全解决方案,同时又不影响系统的正常运行,不增加企业的负担,同时又不增加将来企业维护人员的工作量,降低对维护人员的能力等的过渡依赖,是企业部署信息安全解决方案时面临的现实问题。
4符合国情的信息安全解决方案
针对这种现状,施耐德电气将原来“从上到下”的防御策略逐步完善为符合中国客户实际应用的、倡导以设备级防护优先,兼顾系统级和管理级防护的“自下而上”的三级纵深防御策略。其中,设备级防护是整个安全防护策略的核心和基础。
4.1设备级防护
企业内部的系统从管理层、制造执行层到工业控制层都是由不同的资产或者设备组成的,如果每个单体资产或者设备符合信息安全要求,做到防范基本的信息安全隐患。这些资产或者设备集成到企业系统中就可以避免“带病上岗”的现象,作为信息安全防护体系的最后一道“防火墙”可以有效的防范针对这些设备或资产的各种安全威胁。施耐德电气作为一家具有高度社会责任感的企业,积极推进构建安全、可靠的工业控制系统信息安全,率先在工业控制设备集成信息安全防护体系:(1)集成信息安全防护体系的昆腾PLC产品率先通过了国家权威信息安全测评机构的双重产品安全性检测,成为首家也是目前唯一通过并获得此类检测认可的PLC产品。在企业内已经运行的昆腾PLC可以通过升级固件的方式达到信息安全要求,大大的减少了企业在部署信息安全过程中的资金投入,还可以减少对技术人员技能的要求;(2)SCADAPack控制器内嵌的增强型安全性套件:IEEE1711加密和IEC62351认证以及时标等安全功能,最大化系统的安全性,确保远程通信链路不被恶意或其他通信网络干扰破坏,有效的提升了信息安全功能;(3)针对所有的控制系统还可以采用软件安全属性的辅助设置功能,如增加访问控制功能、增加审计和日志信息、增加用户认证和操作、采用增强型密码等措施,增强和加固工业控制系统的信息安全功能。
4.2系统级防护
主要是通过优化和重建系统架构,提升控制系统网络的可靠性和可用性,保证企业系统的“横向”、“纵向”、“区域”间数据交互的安全性。(1)施耐德电气的ConneXium系列工业级以太网交换机的MAC的地址绑定、VLAN区域划分、数据包过滤、减少网络风暴等影响保证了工业控制系统网络的可靠性和安全性;(2)ConneXium系列工业级防火墙产品可实现针对通用网络服务、OPC通讯服务的安全防护之外,还可实现所有工业以太网协议的协议包解析,有效的防范了威胁工业控制系统的安全隐患。同时,软件内置的针对施耐德电气所有PLC系列的安全策略组件以及模板模式大大增强了产品的可用性。
