隨著制造業(yè)轉(zhuǎn)型升級(jí)的不斷深化,工業(yè)化和信息化融合不斷加深,工業(yè)安全事故也越來(lái)越頻繁的發(fā)生,這是產(chǎn)業(yè)發(fā)展的必然結(jié)果,也是產(chǎn)業(yè)發(fā)展所必須要面臨的問(wèn)題。來(lái)自施耐德電氣中國(guó)的工業(yè)信息安全專家梁軍先生針對(duì)我國(guó)當(dāng)前的工業(yè)安全現(xiàn)狀做了深刻的分析,并提出最新的解決之道。
我國(guó)工業(yè)信息安全產(chǎn)業(yè)的短板
"針對(duì)當(dāng)前的信息安全現(xiàn)狀,我國(guó)需要從兩個(gè)層面提高信息安全水平,一個(gè)是意識(shí),另一個(gè)是技術(shù)。" 梁軍指出,隨著國(guó)際工業(yè)信息安全事件頻發(fā)和我國(guó)政府對(duì)信息安全的重視,目前很多企業(yè), 尤其是央企和國(guó)企的領(lǐng)導(dǎo)層已經(jīng)對(duì)信息安全有了深入的理解。但我們同時(shí)也看到, 這種意識(shí)的傳遞在真正負(fù)責(zé)系統(tǒng)運(yùn)維的基層員工層面還比較薄弱, 多數(shù)現(xiàn)場(chǎng)操作人員對(duì)信息安全并不真正理解, 或簡(jiǎn)單寄望于防火墻和隔離, 或干脆當(dāng)作一個(gè)檢查任務(wù)來(lái)應(yīng)付, 普遍缺乏風(fēng)險(xiǎn)意識(shí)和相關(guān)技能。再好的安全系統(tǒng)和技術(shù)保障, 離開人的重視, 都無(wú)法真正實(shí)現(xiàn)其作用。
"而技術(shù)層面,最需要解決的是安全和工業(yè)的結(jié)合。" 梁軍解釋道,現(xiàn)在搞安全的人大多不懂工業(yè);搞工業(yè)的人大多在安全方面不夠?qū)I(yè),這是目前工業(yè)信心安全領(lǐng)域的真是寫照。工業(yè)信息安全作為一個(gè)產(chǎn)業(yè)方向,未來(lái)將具有廣大的市場(chǎng),其最終將像IT領(lǐng)域的信息安全一樣趨于成熟,但今天整個(gè)產(chǎn)業(yè)除了存在上述問(wèn)題之外,還有很多短板需要補(bǔ)齊:
一是標(biāo)準(zhǔn)。我國(guó)的等級(jí)保護(hù)標(biāo)準(zhǔn)是基于IT系統(tǒng)設(shè)計(jì)的, 其在工業(yè)領(lǐng)域無(wú)法直接套用甚至有很多矛盾和沖突。其他推薦性標(biāo)準(zhǔn)更多是一些概括性的指導(dǎo), 結(jié)合不同行業(yè)如何落地并不清晰明確。由于缺乏參照, 企業(yè)用戶對(duì)安全廠商依照IT系統(tǒng)舶來(lái)的解決方案缺乏信任, 工控廠商對(duì)于工業(yè)產(chǎn)品和系統(tǒng)的安全設(shè)計(jì)也只能各自針對(duì)自己的不同理解來(lái)做, 甚至有的企業(yè)和廠商干脆就抱著等等看的心態(tài)。
二是投入的積極性。作為一個(gè)產(chǎn)業(yè), 企業(yè)必須要有利潤(rùn), 才能持續(xù)發(fā)展并不斷升級(jí)技術(shù)。 在目前供給側(cè)改革的經(jīng)濟(jì)形勢(shì)下, 企業(yè)用戶都要勒緊褲腰帶過(guò)日子, 其有限的資金更愿意投入在產(chǎn)業(yè)升級(jí)和其他能直接見效益或縮減成本的地方, 在信息安全上抱著僥幸心理,僅作一些規(guī)章制度上的措施。
施耐德電氣(中國(guó))工業(yè)信息安全專家梁軍先生
5大策略補(bǔ)齊信息安全的短板
"工業(yè)與互聯(lián)網(wǎng)的結(jié)合本質(zhì)上是信息化和智能化,簡(jiǎn)單粗暴地隔離做信息孤島的方式將不再適用,真正提升安全性還需要多個(gè)層面的措施:
一是安全可靠的加密。目前絕大多數(shù)工業(yè)協(xié)議都是明文且開放的, 這主要是在信息安全風(fēng)險(xiǎn)出現(xiàn)前工業(yè)領(lǐng)域的發(fā)展所致。另外包括關(guān)鍵文件的存儲(chǔ), 程序的保護(hù)等方面都缺少加密措施。這部分未來(lái)主要將通過(guò)主流工控廠家及其產(chǎn)品合力推進(jìn)工業(yè)行業(yè)的標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)。目前一些第三方加密輔件面臨兼容性和對(duì)工業(yè)系統(tǒng)自身效率、可靠性保障等問(wèn)題。
二是完善的通信監(jiān)測(cè)和入侵檢測(cè)。工業(yè)系統(tǒng)的特點(diǎn)是對(duì)可靠性要求極高, 幾乎不能允許誤判而影響自身系統(tǒng)的運(yùn)行和通信, 這意味著在使用防火墻等保護(hù)設(shè)備時(shí)只能采用最小原則的保護(hù)設(shè)置。對(duì)于大量模糊或疑似的行為不能采用先阻斷再由用戶判斷的策略。這樣必須要能夠?qū)θW(wǎng)的通信進(jìn)行有效監(jiān)測(cè), 對(duì)可疑的入侵行為及時(shí)報(bào)警, 由用戶來(lái)進(jìn)行處理。
三是結(jié)合工業(yè)設(shè)備的安全策略。過(guò)多的串行接入類保護(hù)設(shè)備往往面臨兼容性問(wèn)題、維護(hù)成本和額外投入、對(duì)系統(tǒng)響應(yīng)造成的延遲、設(shè)備數(shù)量增加造成潛在故障點(diǎn)增多等問(wèn)題, 而旁路的審計(jì)監(jiān)測(cè)類設(shè)備只能起到預(yù)警作用, 因此工業(yè)信息安全最終還是要依靠工業(yè)設(shè)備自身的健壯性和安全功能。鑒于工業(yè)設(shè)備的種類繁多, 安全性各有不同, 在未來(lái)很長(zhǎng)一段時(shí)間內(nèi), 工業(yè)系統(tǒng)的安全性設(shè)計(jì)和策略還需要結(jié)合每個(gè)系統(tǒng)和設(shè)備的實(shí)際情況進(jìn)行定制化。同時(shí)對(duì)于系統(tǒng)中的設(shè)備要定期進(jìn)行安全補(bǔ)丁的升級(jí)。建議以工業(yè)廠商和系統(tǒng)集成商為主, 安全廠商和安全產(chǎn)品為輔的設(shè)計(jì)思路, 由工業(yè)端來(lái)確保設(shè)計(jì)的合理性和對(duì)原系統(tǒng)的影響。
四是有效迅速的應(yīng)急處理機(jī)制。過(guò)往安全事件說(shuō)明, 嚴(yán)重性和故障時(shí)間往往是成正比的, 很多安全事件的災(zāi)難性后果都是在問(wèn)題發(fā)生后, 現(xiàn)場(chǎng)的操作人員無(wú)法迅速恢復(fù)系統(tǒng)運(yùn)行致使連鎖型反應(yīng)發(fā)生, 而用戶無(wú)能為力。在目前的技術(shù)條件下, 完全杜絕安全事件發(fā)生仍然是不可能的。系統(tǒng)的備份和快速恢復(fù)能力, 優(yōu)秀的應(yīng)急處理機(jī)制和現(xiàn)場(chǎng)人員的意識(shí)能力尤為重要。它可以最大限度地降低甚至避免安全事件損失。
五是管理手段與技術(shù)相結(jié)合。單純的管理手段受制于長(zhǎng)期的執(zhí)行效率、人員意識(shí)和能力, 而技術(shù)手段在現(xiàn)有工業(yè)系統(tǒng)環(huán)境下也有很多無(wú)法覆蓋的短板。同時(shí)好的技術(shù)方案也需要人的介入與執(zhí)行。針對(duì)每個(gè)工業(yè)系統(tǒng)不同的自動(dòng)化和信息化水平, 技術(shù)手段為主, 管理手段為輔, 兩者結(jié)合互補(bǔ)的安全策略設(shè)計(jì)才能切實(shí)有效提到整體的安全性。
"其他常規(guī)的安全防護(hù)、審計(jì)和反病毒等措施在IT領(lǐng)域已經(jīng)非常成熟, 工業(yè)領(lǐng)域可以借鑒,"梁軍介紹道。
施家工業(yè)信息安全體系
"以上所述是相對(duì)于國(guó)家整體層面對(duì)信息安全的針對(duì)性分析和解決方法,而對(duì)于用戶層面,主要有兩方面的內(nèi)容:一是用戶迫切希望能夠迅速提高自己在工業(yè)信息安全上的知識(shí)和能力, 了解自身工業(yè)系統(tǒng)的安全風(fēng)險(xiǎn)。最可怕的問(wèn)題往往是不知道問(wèn)題在哪里, 想要做些什么卻無(wú)從下手; 二是如何在部署信息安全措施時(shí)最大限度降低對(duì)原有系統(tǒng)的影響和兼容性問(wèn)題。很多用戶表示過(guò)相應(yīng)的擔(dān)心, 怕跑了幾年都無(wú)故障運(yùn)行的系統(tǒng)在安全升級(jí)后反而出問(wèn)題," 梁軍指出。
"施耐德電氣在2010年便成立了專門的工業(yè)信息安全部門,且擁有經(jīng)過(guò)認(rèn)證的專業(yè)實(shí)驗(yàn)室進(jìn)行相關(guān)研究, 并引入一批安全專家, 結(jié)合施耐德電氣數(shù)十年的工業(yè)經(jīng)驗(yàn), 以IEC62443為標(biāo)準(zhǔn), 建立了自己的一整套工業(yè)信息安全體系,"梁軍介紹道。
首先施耐德電氣為用戶提供專業(yè)的現(xiàn)場(chǎng)風(fēng)險(xiǎn)評(píng)估, 涵蓋設(shè)備、網(wǎng)絡(luò)、系統(tǒng)結(jié)構(gòu)甚至應(yīng)用和程序等工業(yè)系統(tǒng)的所有方面。除系統(tǒng)本身外,還協(xié)助客戶進(jìn)行管理手段和其安全策略的審核, 實(shí)現(xiàn)全方位的風(fēng)險(xiǎn)判斷和合理化建議, 讓客戶能夠全面了解問(wèn)題,做到有的放矢。施耐德電氣基于工業(yè)應(yīng)用的評(píng)估與國(guó)家對(duì)照等標(biāo)準(zhǔn)的安全功能審查和安全廠商的漏洞挖掘技術(shù),形成了很好的功能互補(bǔ)。同時(shí)施耐德電氣還提供標(biāo)準(zhǔn)化的課程和培訓(xùn), 切實(shí)幫助客戶提高了信息安全知識(shí)和能力。
在解決方案層面, 施耐德電氣首先推出了世界范圍內(nèi)首款基于IPSEC加密通信的PLC, 從根本上解決通信明文的脆弱性問(wèn)題, 同時(shí)該款PLC通過(guò)了Achilles最高級(jí)別認(rèn)證, 其健壯性也達(dá)到了同類產(chǎn)品的領(lǐng)先水平, 我們的DCS系統(tǒng)也獲得了EDSA認(rèn)證。在工業(yè)終端設(shè)備層面,施耐德電氣提供了領(lǐng)先的安全性保障。
同時(shí)施耐德電氣與微軟、賽門鐵克、多芬諾等國(guó)際知名IT/安全巨頭合作, 建立了涵蓋"邊界保護(hù)"、"子網(wǎng)隔離"、"入侵檢測(cè)"、"網(wǎng)絡(luò)和設(shè)備狀態(tài)監(jiān)測(cè)"、"安全策略管理平臺(tái)"、"安全審計(jì)"、"反病毒"、"集中備份"等全維度的,由預(yù)防到預(yù)警再到恢復(fù)的系統(tǒng)解決方案。"由于工業(yè)系統(tǒng)在不同行業(yè)甚至不同系統(tǒng)都存在巨大的差異, 因此施耐德電氣的信息安全解決方案并沒有統(tǒng)一的架構(gòu)或模板。我們會(huì)針對(duì)每個(gè)具體系統(tǒng)進(jìn)行分析, 組合不同維度的不同工具來(lái)為用戶提供定制化的安全方案。同時(shí)考慮到對(duì)項(xiàng)目實(shí)施的影響, 施耐德電氣的信息安全實(shí)施通常都是與客戶的工業(yè)系統(tǒng)升級(jí)改造、日常維護(hù)相結(jié)合, 在優(yōu)化客戶成本和投入的同時(shí), 避免反復(fù)停機(jī)。"梁軍總結(jié)道。