1704018560
智能制造之路:数字化工厂 [:1704014190]
1704018561
智能制造之路:数字化工厂 7.7 工业信息安全
1704018562
1704018563
以太网连接一路延伸到现场级的现象越来越多。这为工厂自动化提供了许多好处。然而,在过去,生产过程是安全的,而现在,由于开放性使得来自外部和内部的攻击出现了。对于工业自动化系统来说,不间断的安全监测和安全集成是必不可少的。
1704018564
1704018565
随着数字化需求的日益增长,自动化的信息安全性变得越来越重要。工业信息安全是数字企业的核心要素,工业信息安全是数字化的一部分。
1704018566
1704018567
7.7.1 工业信息安全的防护理念
1704018568
1704018569
为了防止从内部和外部受到的网络攻击进而确保工厂能够被全面保护,工厂的各个层级都需要被保护(从工厂管理层到工厂的现场层;从访问控制到知识产权保护)。这就是为什么要采用全面的保护机制,即“纵深防御”的概念。这个概念是来自于ISA99 ISO/IEC 62443安全标准——针对于工业应用的领先安全标准。
1704018570
1704018571
“纵深防御”针对自动化系统提供了全面和深入的保护:一方面,用不同的、互补的保护机制应对各种威胁(全方位保护);另一方面,也给攻击者设置多重阻拦。
1704018572
1704018573
西门子工业信息安全理念包含工厂安全、网络安全和系统完整性3个重要部分(见图7-11)。
1704018574
1704018575
1704018576
1704018577
1704018578
图7-11 西门子工业信息安全理念
1704018579
1704018580
“纵深防御”所需的安全措施无缝地交织在一起,从而实现了对自动化系统完善的、可靠的保护。
1704018581
1704018582
7.7.2 工厂安全
1704018583
1704018584
工厂安全是防止未经授权的人使用一些特殊的方法来访问关键的物理设施。工厂安全现从使用密钥卡对传统的建筑物进行访问扩展到对敏感区域的访问。
1704018585
1704018586
1.物理访问保护
1704018587
1704018588
可归纳为如下类别:
1704018589
1704018590
1)制定相关措施和流程,防止未经授权的人员访问工厂。
1704018591
1704018592
2)不同的工艺段需要采用各自的物理隔离,并制定相应的访问权限。
1704018593
1704018594
3)自动化组件的关键零部件需要采用物理访问保护。例如,控制箱需要加锁。
1704018595
1704018596
使用物理访问保护措施会影响IT安全措施及其防护程度。例如:当一个人授权进入一个受保护的区域,就可以操作不属于其授权范围内的网络接口或自动化系统。
1704018597
1704018598
2.安全管理
1704018599
1704018600
安全管理策略和组织措施是工业信息安全的重要组成部分。组织措施和安全措施必须相辅相成。要达到保护的目标必须将这两种措施有机结合。
1704018601
1704018602
组织措施是建立一套完善的安全管理流程。
1704018603
1704018604
信息安全相关政策示例如下:
1704018605
1704018606
1)对于可接受的风险,制定统一的规定。
1704018607
1704018608
2)对于不寻常的活动和事件,制定上报机制。
1704018609