工厂的信息安全就是应该对工厂车间内部的系统及终端设备进行安全防护。根据工厂内部所涉及的终端设备及系统,e-works认为包括保护在工厂车间中广泛使用的,如工业乙太网、数据採集与监控(SCADA)、分散式控制系统(DCS)、过程控制系统(PCS)、可程式逻辑控制器(PLC)等网路设备及工业控制系统的运行安全,确保工业乙太网及工业系统不被未经授权的访问、使用、泄露、中断、修改和破坏,为企业正常生产提供信息服务。
定义
对于工厂信息安全,还没有一个公认、统一的定义,但是对于信息安全,已经有较为统一的认识。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软体驻留,不能有非法操作。信息安全是指信息网路的硬体、软体及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
工厂信息安全边界
MES系统的防护相对特殊,既要直接採集来源于生产现场的数据,同工厂生产车间中的各项终端设备都会进行直接的数据互动,而且也要同上层的ERP系统进行通讯,因此MES系统在大多数企业中,为了方便与ERP系统之间的数据互动与员工访问,通常会划分在办公网的安全防护体系中。但是,实际上由于MES系统能够直接对工业控制系统进行访问,因此,对于MES系统的防护应该提升其系统防护级别,将MES系统与办公网进行隔离。
工厂信息安全五层四区域的防护体系
对于工厂信息安全,仅靠传统的防毒软体进行防护是远远不够的。只有一套完善的网路体系架构,才能真正的对于工厂信息安全进行防御。工厂信息安全的建设应该採用五层防御体系进行构建,严格的对区域进行划分。
第一道防线:商业(IT)防火墙
几乎所有的企业都有这一层的防护。此层的目的是将内部网和Internet网分开,从而保护内部网免受非法用户的侵入。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。通过此层的防御,可以过滤掉绝大多数的网路攻击。入侵者如果穿越防火墙,首先到达的就是办公网路的DMZ区域。但是办公网路的DMZ区域是不会涉及到工厂车间网路的任何伺服器,所以,对于工厂信息的安全起到了最初级的防护作用。
第二道防线:抵御多种威胁的安全网关
安全网关的防护严格程度较第一道防线的防火墙的规则更加严格,并且够提供从协定级过滤到套用级过滤。入侵者如果成功穿越防火墙后,想进入更加核心的区域,那幺就必须花费更多的时间及精力来进行攻击。
第三层防线:防病毒软体
普通办公用电脑的攻击价值非常低,一般的入侵者不会对其进行攻击,但是普通办公电脑确实一个攻击的平台,通过木马程式进行控制,非法访问一些伺服器,将普通办公电脑当做一个跳板的作用。对于办公电脑来说,经常的使用随身碟等移动设备会造成无法通过网路传播的病毒进行扩散。防毒软体能够监察计算机内的恶意程式,包括流行的各种病毒、木马、蠕虫和特洛伊木马,保护企业和用户计算机。
第四层:控制系统防火墙与IDS(IPS)系统
控制系统防火墙是专门针对工厂生产车间系统及网路部署的一道防火墙。此道防火墙会制定更加严格的规则,开放更加少的连线埠,避免入侵者从外部对工厂生产车间的网路及系统进行攻击。
同时,在此层级上由于工厂生产车间的敏感性,为了有效的对网路环境进行监控,在靠近终端设备处同时部署IDS或IPS系统的探测器。IDS是Intrusion Detection System的缩写,即入侵检测系统,主要用于检测病毒和网路异常通信,以便网路管理员採取相应措施。IDS入侵检测系统能够察觉黑客的入侵行为并且进行记录和处理。由于当病毒爆发时,会占用大量的工业乙太网络频宽,使任务实时性执行出现闯题,IDS入侵检测系统能够及时检测出这种非法的占用,记录下病毒发出的连线,向上层管理计算机发出警告,同时它不影响整体网路的运行性能,非常适合工业乙太网的网路特点。
第五层:安全可靠的现场设备
上面的四层都是从外部因素进行防御,做为工厂信息安全的基础部件,现场设备应该进行内部的防御。现场设备在选型时需要进行慎重的选择,避免选择一些功能系统不成熟的产品进行使用。如果已经选择了一些比较老款的产品,企业需注意严格软体升级、补丁安装管理,严防病毒、木马等恶意代码侵入。关键工业控制系统软体升级、补丁安装前要请专业技术机构进行安全评估和验证。只有这样,现场设备才能保障自身系统安全。
