如果以前不確定，那么參加了信息安全會(huì)議之后，現(xiàn)在你應(yīng)該足以相信，社會(huì)上確實(shí)有這樣一些人，他們不但沒(méi)有為所做的壞事對(duì)公司或個(gè)人造成傷害而愧疚，甚至幸災(zāi)樂(lè)禍。在信息安全的話題上，我們不得不要預(yù)防對(duì)工業(yè)控制和自動(dòng)化系統(tǒng)的威脅。

        關(guān)鍵的工業(yè)流程和基礎(chǔ)設(shè)施，諸如石油、化工、電力、交通、通信等，這些關(guān)系到國(guó)計(jì)民生的重要地方，隨時(shí)都面臨著安全威脅?；裟犴f爾（Honeywell）收購(gòu)美特利康（Matrikon）就明確顯示了過(guò)程控制供應(yīng)商和他們的用戶正在面臨這樣的威脅。請(qǐng)不要忘記發(fā)生在工業(yè)控制系統(tǒng)中最知名的攻擊：“震網(wǎng)”蠕蟲通過(guò)外圍設(shè)備U盤，侵入控制網(wǎng)絡(luò)，更改PLC中的程序和數(shù)據(jù)，對(duì)伊朗的核設(shè)施造成了嚴(yán)重的破壞。 

        蓄意的攻擊和意外的事故，輕者會(huì)造成設(shè)備的停機(jī)，重者會(huì)造成人員傷亡和環(huán)境破壞的后果。例如：聯(lián)合化工子公司山東新泰聯(lián)合化工有限公司在2011年11月19日所發(fā)生的安全事故，導(dǎo)致該子公司全面進(jìn)入停產(chǎn)狀態(tài)。已有14人死亡，5人受傷。2011年日本福島核能電廠發(fā)生的核輻射事故，洩漏出的放射量是遭到原子彈轟炸時(shí)廣島的一百六十八倍。我們還可以列舉很多這樣的例子，但對(duì)于普通公眾，不一定意識(shí)到問(wèn)題的嚴(yán)重性。

        網(wǎng)絡(luò)攻擊可能來(lái)自多種原因；黑客，職業(yè)罪犯，遭公司解雇或?qū)静粷M而離開的員工，企圖傷害公司信譽(yù)或盜竊公司機(jī)密的競(jìng)爭(zhēng)對(duì)手。攻擊有時(shí)候是明顯的，你能發(fā)現(xiàn)某些地方出了問(wèn)題，有時(shí)候是隱秘的，如某人潛入一臺(tái)控制器、PC或通信設(shè)備中，偷聽(tīng)會(huì)話，竊取數(shù)據(jù)，甚至進(jìn)行破壞操作。這種威脅比千年蟲的威脅要大的多，因?yàn)閅2K的背后沒(méi)有犯罪和政治動(dòng)機(jī)。

        IEC從2009年起發(fā)布IEC62443標(biāo)準(zhǔn)，標(biāo)準(zhǔn)的標(biāo)題是：工業(yè)通信網(wǎng)絡(luò)－網(wǎng)絡(luò)和系統(tǒng)的信息安全（Industrial communication networks – Network and system security）。該標(biāo)準(zhǔn)為系列標(biāo)準(zhǔn)，有些部分已經(jīng)完成發(fā)布，有些部分編寫工作正在進(jìn)行，今后會(huì)不斷推出。流程工業(yè)將是第一批采用這些標(biāo)準(zhǔn)的行業(yè)。據(jù)保守的估計(jì)，對(duì)大型分布式控制系統(tǒng)（DCS）實(shí)施信息安全比可編程控制器（PLC）系統(tǒng)要容易得多，因?yàn)樗鼈兌鄶?shù)部署在大型廠內(nèi)，且DCS系統(tǒng)的設(shè)計(jì)安裝要依據(jù)最佳工程實(shí)踐，有一致性的標(biāo)準(zhǔn)和驗(yàn)收流程。而多數(shù)安裝在工廠的PLC系統(tǒng)，則沒(méi)有統(tǒng)一的設(shè)計(jì)、規(guī)劃、實(shí)施和驗(yàn)收，因?yàn)橘?gòu)買金額相對(duì)較小，安裝和調(diào)試的管理相對(duì)簡(jiǎn)單粗狂，因此留下諸多隱患。

        為了防止網(wǎng)絡(luò)攻擊，信息安全項(xiàng)目需要一種有效和切實(shí)可行的機(jī)制，包括人員、規(guī)程和技術(shù)。我們不能指望多數(shù)制造商很快就對(duì)他們的自動(dòng)化系統(tǒng)實(shí)施網(wǎng)絡(luò)信息安全項(xiàng)目。對(duì)信息安全的理解和從成功的案例中學(xué)習(xí)也需要時(shí)間。重要的是我們不能有僥幸的想法，總認(rèn)為網(wǎng)絡(luò)信息安全的問(wèn)題不可能在我這里出現(xiàn)。我們需要積極地面對(duì)當(dāng)前的形勢(shì)，認(rèn)真研究和討論IEC62443標(biāo)準(zhǔn)，檢查工廠的自動(dòng)化系統(tǒng)，對(duì)工廠整體的運(yùn)行情況進(jìn)行評(píng)估，發(fā)現(xiàn)可能存在的隱含漏洞，和你的團(tuán)隊(duì)一起討論信息安全策略和解決方案，這不僅能提高工廠運(yùn)行的效率，而且隨時(shí)防止有一天可能出現(xiàn)的網(wǎng)絡(luò)攻擊，保護(hù)工廠的資產(chǎn)、人員和環(huán)境。

[DividePage:NextPage]

    我們高興地看到，很多自動(dòng)化供應(yīng)商已經(jīng)行動(dòng)起來(lái)，英維斯（Invensys）的團(tuán)隊(duì)就采取了下面的步驟實(shí)現(xiàn)信息安全：

        1. 研發(fā)－使用業(yè)內(nèi)最好的安全產(chǎn)品實(shí)現(xiàn)系統(tǒng)生命周期內(nèi)的信息安全。
        2. 測(cè)試－通過(guò)國(guó)家實(shí)驗(yàn)室項(xiàng)目，完成伍德泰克（Wurldtech）設(shè)備認(rèn)證和Invensys產(chǎn)品質(zhì)量安全規(guī)范測(cè)試。
        3. 執(zhí)行－使用工廠驗(yàn)收測(cè)試（FAT）和系統(tǒng)驗(yàn)收測(cè)試（SAT），實(shí)現(xiàn)信息安全的基準(zhǔn)測(cè)量。
        4. 支持－借助當(dāng)?shù)貓F(tuán)隊(duì)的幫助，為系統(tǒng)提供整個(gè)生命周期的信息安全支持。
        5. 改進(jìn)－使用最新和先進(jìn)的技術(shù)，對(duì)老系統(tǒng)進(jìn)行更新。 

        這個(gè)團(tuán)隊(duì)包括了Invensys負(fù)責(zé)信息安全的副總監(jiān)，安全部門經(jīng)理，安全咨詢經(jīng)理，控制系統(tǒng)安全項(xiàng)目經(jīng)理。為了配合團(tuán)隊(duì)操作，還成立了協(xié)同小組。協(xié)同小組包括了伍德技術(shù)公司（Wurldtech）、北美電氣可靠性公司（NERC）、邁克菲（McAfee）公司、國(guó)家實(shí)驗(yàn)室和殼牌（Shell）公司的成員。

        協(xié)同小組首先花一些時(shí)間確定每個(gè)成員的需求，找到成功需要的關(guān)鍵元素，哪些元素已經(jīng)有、哪些元素需要加。信任、信息共享和對(duì)彼此需求/工作量大小的理解是實(shí)施項(xiàng)目的基礎(chǔ)，因此需要建立很好的協(xié)同環(huán)境。這對(duì)有競(jìng)爭(zhēng)關(guān)系的部門非常重要。目標(biāo)是每個(gè)人都明確自己的工作內(nèi)容，并且需要不斷地更新。

        協(xié)同小組的第二個(gè)任務(wù)是與用戶組織建立固定的開放對(duì)話機(jī)制。小組用這種方式提供重要信息，得到參與者的理解，傾聽(tīng)參與者的建議，實(shí)現(xiàn)良性互動(dòng)。例如參與的用戶可以列出一張他們“最關(guān)心、最重要的10項(xiàng)內(nèi)容”的列表，提出他們最需要支持的方面。

（轉(zhuǎn)載）