摘要
2013年4月,德国政府正式推出“工业4.0”战略,以信息物理系统(CPS)为基础,推动工业生产的智能化、信息化、数字化。随着网络技术不断融入工业生产系统,随之带来的工业信息安全成为了不可回避的话题。本文从工业信息现状入手,从设备供货商和系统集成商的角度,分析工业信息安全的误区,提供了整改参考和标准建议。
“关键词:工业信息安全,工业4.0,工控系统,IEC 62443”
导语
随着时代的发展,计算机网络通信技术在工业领域得到广泛应用,各种智能机器的发明与投入,进一步提高了工业生产效率,工业行业酝酿着重大变革。2013年,德国政府提出“工业4.0”战略,掀起了以智能制造为代表的第四次工业革命,通过充分融合信息与物理系统,使制造业迈向智能化。此后,包括中国、美国在内的制造业大国也相继提出了类似概念,推动全球新一轮科技革命和产业变革。在这个浪潮的冲击下,以前孤立的生产环境开始互联,封闭的制造系统逐步开放,专有的工业技术最终共有,曾经束缚工业发展的枷锁被新技术的铁锤击碎,机器和机器互联,机器与人互联,边界被抹平,隔阂被消弭,万物互联的时代似乎指日可待。越来越多系统被整合进网络,数据在电缆光纤中奔流,汇成指令的洪流推动制造业巨轮,工业世界由模糊变得透明,互联网世界的威胁也开始悄悄入侵。
潜伏在你身边幽灵,工业信息安全威胁
工业信息安全受到大众的关注,是2010年恶性蠕虫电脑病毒Stuxnet(震网)在伊朗爆发,它的攻击的目标从常规的IT计算机系统和网络,转变为工业用的可编程逻辑控制器(PLC),这是人类历史上首个专门以工业控制系统为攻击目标,并能造成大规模真实物理损坏的新型病毒。伊朗的核设施遭受此病毒的网络打击,作为核心设备的核离心机有五分之一惨遭摧毁,伊朗雄心勃勃的核计划也因此延期数年。一波未平一波又起,2016年,乌克兰电网遭受黑客攻击,导致大范围停电,再次敲响警钟。
随着全球信息化发展,暴露在互联网上的工业信息系统及设备数量持续上升,近年针对工业控制系统的网络攻击活动持续活跃,攻击事件数量成倍增长,还有很多针对工业控制系统的破坏行为未被察觉。
美国ICS-CERT(工业控制系统网络应急响应小组)历年公布工业控制系统新增漏洞数
雾里看花,工业信息安全路在何方
工业4.0是通过各种信息的融合推动工业的发展,信息安全是工业4.0顺利发展的前提保障,是无法绕开的必经之路。
近两年,全球工业信息安全进入了一个新的阶段。中国、美国、欧洲、日本都在制定网络安全的法律法规。我国2017年生效的《中华人民共和国网络安全法》更是首次将“关键信息基础设施”列入保护对象,其中包括了关系国计民生的重要工业控制系统,这是首次将工业信息安全提升到国家法律层面。随着法律的落实,电力、石油、轨道、交通、化工等关键性行业都随即开展工控信息安全相关的工作。
另一方面,工业信息安全事件频发,工业信息安全形势日趋严峻,为了减少隐患,降低潜在网络攻击造成的损失,用户对工业信息的产品提出了新的要求。近几年,供货商和集成商都遇到客户要求增加信息安全功能要求,整个工控行业因此面临前所未有的挑战。
避开误区,直达终点
随着各国网络安全法的实施,国内外市场对工业控制系统信息安全的要求愈加迫切。强烈的市场需求刺激使中国工业信息安全行业近几年得以迅速发展。大部分工业信息产品供货商和系统集成商在这一波巨浪袭来之时,急于寻找解决之道,在短期内提升产品和系统的竞争力,满足市场的需求。在这个过程中,很多企业了误区,突出的问题有:
一、工业信息安全概念模糊。由于缺乏工业信息安全的组织、人才和资源,部分企业把工业信息安全误认为是杀毒、打补丁、加防火墙等孤立的活动,希望通过增加产品后期的服务来达到信息安全的目标。殊不知这些活动一方面于工业信息安全无益,另一方面可能还会增加工控系统的风险。
二、缺乏完整的需求分析。需求分析没有使用合适的方法论和分析工具,对于客户和市场的信息安全需求没有系统化结构化的分析和提取。尤其是在面对客户需求不明,提出诸如“我不知道,但是我就需要信息安全”这类模糊要求时,开发者没有通过研究产品的使用环境和市场需求来说服客户,而是生搬硬套市场上其他产品的功能和特性,把设计和开发的重点放在实施和测试阶段,导致开发进度迟缓,成本超预算,同时客户由于需求不确定性,对最终结果还不满意。
三、按照传统的IT信息安全思路做产品。工业信息产品运行环境特殊,可靠性和实时性要求高,存在大量专有协议,和传统的IT信息安全有着本质不同。中控科技集团创始人褚健教授近期也提出:工业互联网一定“姓工”不“姓网”。很多工控设备本身资源有限,较传统IT系统脆弱,如果使用传统IT信息安全的方法,增加杀毒、扫描会容易导致崩溃。尤其是工控系统中部分程序行为和病毒类似,使用传统杀毒软件会导致误杀而影响生产。同时,由于工业信息系统更新换代周期长,旧的系统使用传统的漏洞管理工具管理,一方面是漏掉很多工业相关的漏洞,比如某些硬编码、没有封堵的端口或开发后门,这些在传统IT系统都不认为是漏洞被忽略,另一方面对于工控系统无害的漏洞被强制修复,影响工控系统的正常运行,造成隐患。2018年8月,台积电遭受病毒入侵导致生产线停运,损失十几亿,主要原因是操作系统的445端口没有封堵,在传统IT系统配置经常忽略这个问题,给病毒有可乘之机。
四、希望通过外包来转移风险。很多工控产品开发商和系统集成商希望通过第三方外购来一劳永逸地解决信息安全的问题,比如增加工业网络防火墙、购买主机加固软件等。这类做法如果规划得当可以达到预期效果,但是如果以为外包给第三方就万事大吉,不对第三方产品进行分析和评估,产品和系统在交付客户后会导致不可预知的风险。
五、希望一次性解决信息安全问题。传统的工业控制系统在产品定义、设计、实施过程中,供货商基本没有考虑信息安全的问题。工业信息安全是个动态的过程,新的漏洞层出不穷,攻击手段也花样百出,希望一蹴而就达到信息安全是不切实际的,供货商要保证自己的产品或系统在网络的汪洋中安全航行,需要计划和进行产品全生命周期的维护,提供给市场产品指导。
产品开发商和系统集成商避开这些误区,不是依靠简单的增加技术投入来实现,而是需要从整个产品的开发和集成流程入手,建立起一套安全开发和集成的体系。好的工业信息安全是规划出来,而不是开发出来的。从产品的需求提取阶段,产品团队就需要将信息安全加入到考虑因素中,之后的设计、实施、测试过程中步步为营,将信息安全融入团队的血液中,变成产品的一个必备属性而不是附加品。
在产品的整个生命流程中,信息安全越早介入,越有利于产品的开发和集成。部分供货商在产品开发集成后期才考虑到信息安全,强行塞入诸多功能,导致产品研发、测试团队工作量翻倍,甚至影响到已经完成的功能,导致成本成倍上升,最终难以收场。
以标准为镜,可以知安全
在向工业4.0迈进的道路上,工业控制系统的每次信息安全事件都会造成巨大的经济损失,并直接关系到国家的战略安全。如何使自己的产品和系统满足工业信息安全的法律法规和市场的要求,最直接有效的方法是参考相应的国际国内标准,以此为准绳进行产品和系统的规划。
目前针对工业信息安全,全球公认的标准是IEC 62443系列标准,它是近10年来最重要的工业信息安全研究和最佳实践的总结。IEC 62443系统化地将工业信息安全这个庞大复杂的问题,针对用户、系统集成商和产品供货商的不同层次进行分解,兼顾ISO 27001、IEC 62351、NIST SP800等多个行业或地区标准的情况下,形成了一个完备的标准体系。它横向地从产品、系统、管理、技术、流程等多个角度提供了工业信息安全的指导,同时高屋建瓴地针对工业信息安全的诸多问题提供了通用的应对策略,是现在工业信息安全标准的不二之选。
国内的与IEC 62443归口的标准委员会是全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)以及国家信息安全标准化技术委员会SAC/TC260。近几年,根据国际通行的标准,结合国内实际,国内编制了诸如GB/T 30976-2014《工业控制系统信息安全》、GB/T 33008-2016《工业自动化和控制系统信息安全 可编程序控制器(PLC)》、GB/T 33009-2016《工业自动化和控制系统网络安全 集散控制系统(DCS)》等标准,对工业信息安全的产品的开发有着非常好的指导作用。
结语
在工业互联网、“中国制造2025”、“工业4.0”等趋势驱动下,随着物联网、大数据技术的推广和成熟,工业迎来了一个新的发展时期,也带来了工业控制系统网络的诸多问题。作为工业4.0一个不能回避的主题,为促进工控网络安全健康发展,在此提出如下建议:
首先,加强人才培养。加强工业信息安全人才的培养,工业信息安全是IT领域信息安全和工业自动化相结合的产物,属于交叉学科,大专院校尚无完全对口的专业,目前工业信息安全的人才主要靠企业自身培养,但是企业自身培养存在诸多问题,最突出的是缺乏体系化。因此,需要行业内的组织或机构开发相应的培养计划和培养课程,满足企业的需求。
其次,加强企业工业信息安全建设。工业信息安全是个长期的目标,尤其是开发和集成团队,需要在组织机构里固定相应的角色来推动工业信息安全,同时要把工业信息安全纳入整个产品生命周期中,作为一个必选项纳入整个开发集成活动。
最后,密切跟踪标准和政策动态。在整个网络安全被提升到国家层面的情况下,标准和政策对于工业信息安全行业的发展方向有着牵一发而动全身的影响,企业需要在平时繁忙的工作中抽出时间关注动向,才能在工业4.0的浪潮中跟上时代的步伐。
捡证网提供相关检测认证咨询服务,咨询电话:13636483412 QQ: 495226609
