7月8日消息，對于如何保護工業自動化和控制系統（IACS）而言，沒有簡單的秘訣，這是有充分理由的。這是因為安全性是風險管理的問題。每個IACS都會根據其所面臨的威脅，這些威脅的可能性，系統中的固有漏洞以及如果要破壞系統的后果給組織帶來不同的風險。此外，擁有和運營IACS的每個組織對風險的承受能力也不同。IEC最新發布IEC62443-3-2，以規范工業自動化系統、包括SIS系統的信息安全設計。

工業自動化和控制系統的網絡安全

在工業行業大多數工廠都無法應對網絡安全威脅。根據最近的IEC技術報告，其中一個關鍵問題是，這些工廠防范網絡威脅僅僅只能從IT（信息技術）的角度來構建安全系統。負責安全的部門通常會忽略能源、制造、醫療保健或運輸等行業中，系統連接現場設備的增長加速了曾經是IT和運營技術（OT）各個領域的融合。從網絡安全角度來看，挑戰在于，與業務系統不同，工業自動化和控制系統（IACS）實際上旨在簡化從不同網絡的訪問。這是因為工業環境必須應對各種風險。

IT安全同等地集中于保護數據的機密性、完整性和可用性，即所謂的“ C-I-A三合會”。但是，在OT領域，可用性至關重要。OT環境的優先重點是健康和安全以及保護環境。在緊急情況下，為了能夠保護人員或最大程度地減少自然災害的影響，因此至關重要的是，操作員必須及時獲得準確的信息，并能夠迅速采取適當的措施，例如切斷電源或停止運行某些設備。

用于監視工業設施中的電網以及工廠和機械的自動化系統通常依靠“默默無聞的安全性”，這反映了根深蒂固的心態，即由于沒人知道或關心其通信系統或數據，所以他們不需要保護它。但是，如今自動化系統現在可以擁有廣泛的通信網絡，越來越多的通信網絡直接或間接地到達數千個設施，而日益增加的威脅（故意的和無意的）則可能對人和設備造成嚴重傷害。

因此，對于這些流程工業自動化系統，適當和有效的安全措施的改進變得非常困難。例如，在IT領域，入侵檢測和防御系統（IDPS）處于防御惡意軟件的第一線。IDPS通常是竊聽網絡流量的軟件應用程序。根據其配置方式，IDPS可以執行從舉報入侵到采取旨在防止或減輕違規影響的措施之類的一切。 自動化系統面臨的挑戰是如何區分正常數據和可能造成危害的潛在入侵數據。

國際標準基于全球最佳實踐為許多挑戰提供了解決方案。例如，IEC 62443旨在保持OT系統運行。它可以應用于任何工業環境，包括關鍵的基礎設施，例如電力公司、石油化工廠、核電廠，以及衛生和運輸領域。

康吉森主機安全防護系統產品解決方案

主機安全防護系統是康吉森自主研發的一款針對工業主機（如操作員站、工程師站、MES服務器等）的主動防護系統。它結合工業控制系統業務連續性、可靠性、穩定性的要求，以及工業控制系統軟件和設備更新頻率、通信和數據的特點，采用基于“白名單”的防護機制，有效阻止病毒木馬、惡意程序對工控主機的入侵和破壞；對工控主機系統薄弱環節進行安全加固，提升工業主機自身防御能力；對接入工控主機的移存儲設備使用進行權限管控和操作審計，徹底杜絕工控主機內、外的安全隱患。

康吉森主機安全防護系統已在多領域的工控主機上進行了部署與應用，其防護效果與兼容性也得到各用戶單位的高度認可。目前已應用的行業包括：核工業、汽車制造、石油石化、煤炭化工、軌道交通、電力發電、市政、煙草等。

康吉森主機安全防護系統產品架構主要分為內核層、服務層、管理與展示層三部分。

圖1 主機安全防護系統產品架構

內核層：通過系統內核驅動，完成白名單策略匹配、外設控制、告警消息處理、軟件實時跟蹤、自身防護等操作請求及安全策略的執行、分析、處理。

服務層：該層作為內核層與展示層的支撐橋梁，保存了系統內核層數據和告警等信息，同時為前端展示提供數據訪問接口。

管理與展示層：提供友好操作管理界面，為管理人員提供統一的策略配置、告警展示、日志管理及平臺管理等。

責任編輯：gt