来源：网络 2012-7-26 关键词：自动化 信息安全 工业过程测量 控制　　为保证能源和基础设施行业控制系统的安全稳定运行，需要建立有针对性的安全防护体系。5月份，第11届工业自动化与标准化的研讨会在北京举行，会议探讨了测控系统Security&Safety。　　2012.5.22~23在北京举行了第11届工业自动化与标准化的研讨会，主题是测控系统Security&Safety，其中功能安全在往届研讨会中已经深入研讨过。第10届研讨会上，伯钠法就指出中国在TC65中的贡献就有IECB1010-2的新项目，包含了控制系统的安全要求和相关测试等。　　正如仪综所欧阳劲松所长所说，工业领域的安全可分为三类，即功能安全(FunctionSafety)，物理安全(PhysicalSafety)和信息安全(Information Security)。作为信息安全，包含范围很大，工业控制系统的信息安全只是其中的一部分。我们要在全面了解通用信息安全的同时，了解工业控制系统信息安全的个性要求。相关标准前者是ISO/IEC27000(27000为定义)，后者是IECB2443。　　通用信息安全的三个目标依次为保密性、完整性和可用性，而工业控制系统信息安全的三个目标优先级服务则为可用性、完整性、保密性。IECB2443定名为“工业过程测量、控制和自动化网络与系统信息安全”，分4部分，即通用、信息安全程序、系统技术和部件技术，即涵蓄了对资产所有者(用户业主)、系统集成商、部件制造商的要求。欧阳劲松所长还指出信息安全的评估和测试，事关国家安全，所以要把它放在国人的手中。类似于功能安全中SIL安全完整性等级，在IEC62443中引入信息安全保证等级(Security Assurance Level,SAL)的概念。考虑全生命周期的安全性，及出目标(target)SAL、设计(design)SAL、达到(achieved)SAL和能力(capability)SAL，进行评估和测试。　　会上机械工业仪器仪表综合技术经济研究所副总工程师梅恪后由王玉敏代发言，详细讲解了“工业控制系统信息安全中国标准化发展思路，”指出2011年11月，在拉斯维加斯举行的黑客大会上，演示了如何进攻中国主要基础行业正在使用的工控系统，并对信息安全领域情况、工业对信息安全的要求、标准化实施计划、评估和验收进行讲解。最后举实例进行识别危险源、给出数据统国、划分区域、划分管道、提出要求、采取措施、工程进行实施、考虑组织管理措施、人员能力指施、最后进行安全态势分析等项的说明。　　会上IEC/TC65新任秘书长如迪 比利亚迪对信息安全的标准化工作进行了全方面深入的讲演，为我们标准化工作志到了促进作用。欧洲电气电子行业机构、TüV南德意志大中华集团对会议的有力支持也使用会议增色。会上还传达了工信部协[2011]45号关于加强工业控制系统信息安全管理的文件精神，使大家对信息安全更加重视。　　二、具体讲演和展示：　　会上除中国石化工程建设公司付总工程师林融属于最终用户讲演的外，国内外厂商十余家在两天内进行了讲解和演示，具体有菲尼克斯、ABB、CC-Link、霍尼韦尔、东土科技、多芬诺、施耐尔、西门子、贝加莱、E H、罗克韦尔、和利时等公司，他们提供了相关硬件、软件和解决方案、工程经验，都证明信息安全、功能安全、物理安全有着丰富的实践经验有待总结，市场广阔、需求旺盛有待我们去引导，标准化工作更是适逢其时，顺应潮流。　　会上罗克韦尔华镕以远程访问工业自动化和控制系统为例解释了纵浑防御策略，指出信息安全实施步骤有8步;　　1，使用标准企业远程访问方案，基于客户机的形式，使用IP安保(IPsec)加密的虚拟个人网络(VPN)技术，通过因特网安全地连接企业的边界。VPN的建立需要对远程个人进行远程难证拨入用户服务(RADIUS)，这通常是由IT部门组织实施和管理。　　2，使用隔离区(DMZ)/防火墙中的访问控制列表(ACL)，限制远程伙伴通过Epsec到工厂现场的访问。通过隔离区连接到工厂现场，只能使用一种安全浏览器(HTTPS)。　　3，访问一个安全浏览器(HTTPS)门户应用，它运行于隔离区/防火墙上。这要求再次登录/验证。　　4，在远程客户机和工厂的隔离区HTTPS使用远程终端会话(如远程单方协议)。　　5，利用在防火墙上的侵入保护和检测系统(IPS/IDS)，检查进出远程访问服务器的数据流，防止攻击和威胁，并适当地给予阻截。这对防止来自远程访问设备穿越防火墙和影响远程访问服务器的病毒和其他威胁是非常重要的。　　6，允许远程用户执行招待终端会话，访问驻留在远程访问服务器中的自动化和控制应用。需要应用级的登录/验证。　　7，执行应用安保功能，对访问远程访问服务器的用户，限制其应用功能(诸如只读，非在线功能)。　　8，把远程访问服务器分配到不同的虚拟局域网(VLAN)，并且让所有在远程访问服务器到制造区域之间的数据流通过防火墙，对这个数据流使用侵入检测和保护服务，保护制造区域免受攻击、免受蠕虫和病毒的破坏。　　并指出1~5步骤与IT部门关系密切，4~8步骤与生产部门关系密切。会上，其它家也提出信息安全纵深防御的技术，如施耐德提出浓度防御方法为与关键步骤：安全计划、网络分隔、边界保护、网段分离、设备“淬火”、监视更新，并且介绍了ConneXium工业以太网防火墙。支持VPN等，还介绍了受保护的自动化系统如何防御威胁，做到“CyberSecurity”(网络安全)。　　北京东土科技股份有限公司薛百华就“测控网络安全与工业以太网”为题，详细介绍了该公司在工程实践中如何实现网络安全的经验和体会，指出测控网络的发展趋势：　　1、从局域网、城域网到广域网;　　2、各种测控网络互连成为趋势。指出物理层面临威胁，来自嵌入式智能装置的功能缺陷，没有设备认证防范能力，来自应用层软件及操作系统的漏洞、恶意代码等、POE面临的安全威胁，链路层的安全威胁(MAC泛洪变异)等等。　　介绍了工业以太网面对威胁解决策略，如ACL-MAC地址白名单认证;ACL-IP地址白名单认证;基于白名单的组插数据传输做到自学习和冻结组播地址表;查地认证的方式，做到加密认证确认报文;系统服务器认证模式(IEEE802.1x RADIUS);被IEEE802.1AE阻止的ShadowHosts模式;Linksec模型;受IEEE802.1AE保护的帧格式等。还对工业网络设备选择提出了建议：选择具有管理功能的工业以太网交换机;选择具有ACL访问控制列表的功能;选择具有组播控制的功能的交换机;选择具有本地认证功能;选择具有远程服务认证功能等。