深度剖析 | 工业控制系统的信息安全解决方案



2018年11月21日 | 产品安全

      

工厂A和工厂B正在争夺一笔巨额海外订单,这笔订单对双方都非常重要,可能直接影响今后在业界的地位。工厂B的老板悄悄找来了分管技术的副厂长,让他在厂里选两个技术最好的人,设法侵入工厂A的自动化生产系统,使其无力争夺当前这笔订单。

第一步:侵入无线网络

第二步:侵入工艺处理网络,干扰生产控制设备

最终,那笔海外订单被工厂B获得了,而工厂A的生产线也恢复了正常。他们一直不知道为什么会在那个关键时刻出现问题,曾怀疑是内部有人搞鬼,但察看了监控录像,并没有发现任何异常。

 

上述的场景,攻击者利用现场无线网络漏洞,对受攻击的厂商造成了极大的影响和损失,细思极恐,如今的工业控制系统(ICS)信息安全竟然如此脆弱。(戳这里,带你了解工控系统ICS的信息安全重要性。)

早期的工控系统和企业管理系统是封闭、隔离的。随着信息化与工业化交互融合,以及物联网技术的迅速发展,工控系统的环境变得更加开放、多变,其脆弱性随之暴露,传统工控系统的潜在安全性正遭受严重的挑战,潜在威胁极大。如今,工控安全正深刻地影响着工业控制网络产业的发展,也是智能制造顺利推进的前提保障。

因此,企业必须妥善保管并切实保护好其重要而敏感的业务数据。此外,必须保护其工业控制系统免受干扰,以维持生产过程的连续性和安全性。

但是,ICS 工作环境中应用的技术极其复杂,且多为根据客户的个性化需求量身定制的技术。它的作用并不仅是保护操作系统、应用程序和硬件组件。控制相关的基础设施基于专有技术建造,如SCADA 服务器、HMI 接口、PLC或DCS系统及多个管理控制子系统。因此,企业应保护好这些易于遭受安全威胁的系统,以确保正常运营、推进创新。

为确保自动化系统及基础设施安全可靠地运行,德国莱茵TÜV 将致力于为用户提供基于工业自动化与控制系统相关网络安全标准的评估、咨询和认证服务。服务范围涵盖产品、部件或系统的整个生命周期,设计规格、产品设计开发、系统实现、投入运行和维护等层面。

我们认为,系统安全可靠地运行基于三个基本要素:

1. 合格或获得认证的组件

2. 应用管理系统在整个生命周期内系统性地控制安全

3. 合格、称职的人员

 

“三”管齐下,为您的网络及工业控制系统保驾护航

基于工业自动化与控制系统相关网络安全标准,德国莱茵TÜV依据不同的安全标准服务客户。在网络信息安全方面,主要是工业自动化与控制系统网络安全标准IEC 62443,在功能安全方面,有IEC 61508、IEC61511、ISO 13489-1等标准,此外还有不同的安全等级要求。德国莱茵TÜV以专业、全面的服务,帮助客户在整个生命周期内系统性地控制安全,避免受到威胁。

德国莱茵TÜV 是一家产品和体系认证机构,基于IEC 62443拓展了认证服务范围,成为ISASecure EDSA 认证机构及获得认可的EDSA CRT 实验室,可一次测试获得欧洲和美国的信息安全认证。“功能与网络信息安全”测试标识适用于安全相关应用领域的电子/ 可编程电子产品。

同时,基于IEC 62443标准,即工业控制系统的信息安全标准,德国莱茵TÜV推出了信息安全工程师资质认证的课程。四天的培训中将主要针对控制系统组件如何实现信息安全等级(SL)来讲解,全面介绍所有标准中对产品信息安全等级的要求,还会着重分析薄弱环节、详细的信息安全产品开发和文档管理问题,以及所需的测试或评估过程。

TÜV莱茵信息安全工程师资质认证培训课程适合电力、能源、交通、水利、航空航天、金融、医疗等行业中负责工业自动化控制系统和网络组建开发的人员,如开发人员、测试人员、程序员、项目经理等。课程涵盖功能安全与信息安全、法律方面、信息安全等级的定义、信息安全生命周期、信息安全风险评估和威胁模型、信息安全规范要求、信息安全软件体系架构设计、信息安全工具、软件设计、模块实现、模块测试、安全指南等,系统且全面。

 

质者见质

赵斌 德国莱茵TÜV工业服务总经理

在TÜV莱茵近15年工作经验,目前主要负责TÜV莱茵在大中华区内的功能安全及信息安全培训、咨询、审核、认证等安全解决方案。
曾经参与多个涉及轨道交通、汽车电子、过程自动化、工厂自动化、电动扶梯安全控制等领域安全产品相关的功能安全及信息安全认证、咨询、评估等相关项目。