文章

筑牢防线,捍卫工业信息安全

2020-06-30e-works 杨培

425阅
当前,随着我国两化融合深入推进、智能制造步伐加快,以5G、工业互联网、人工智能与大数据、云计算与边缘计算等为代表的新兴技术加快向工业生产领域渗透融合,在带来工业生产体系与运营模式等的变革,为工业生产发展注入强劲动力的同时,也对工业信息安全等带来新的挑战,使得工业信息安全风险持续攀升,工业信息安全事件层出不穷,工业信息安全形势日趋严峻。

    当前,随着我国两化融合深入推进、智能制造步伐加快,以5G、工业互联网、人工智能与大数据、云计算与边缘计算等为代表的新兴技术加快向工业生产领域渗透融合,在带来工业生产体系与运营模式等的变革,为工业生产发展注入强劲动力的同时,也对工业信息安全等带来新的挑战,使得工业信息安全风险持续攀升,工业信息安全事件层出不穷,工业信息安全形势日趋严峻。

一、工业信息安全的意义与内涵

    2016年,《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)首次提出“工业信息安全”,并明确提出要“实施工业控制系统安全保障能力提升工程…以提升工业信息安全监测、评估、验证和应急处置等能力为重点…为制造业与互联网融合发展提供安全支撑”。如今,工业信息安全的重要性已日益凸显,成为制造强国和网络强国建设的重要支撑、保障国家网络安全的重要基础。

工业信息安全概念关系图

工业信息安全概念关系图
来源:工业信息安全产业发展联盟《工业信息安全标准化白皮书(2019版)》

    工业信息安全是工业领域信息安全的总称。国家工业信息安全发展研究中心主任尹丽波在《深刻把握新时期工业信息安全的内涵、特点和重点》一文中指出,“工业信息安全的本质是确保完成工业生产任务的流程不被篡改或破坏,实现正常的生产过程、完成既定的生产目标,且生产执行过程的要素流动不被监控或盗取;工业信息安全防护的目标是工业企业生产所需的通信网络和互联网服务不中断,工业生产设备、控制系统、信息系统可靠正常运行,贯穿其中的数据不因偶然的或者恶意的原因遭受破坏、更改、泄露,工业生产和业务的连续性得到保障。”

    工业信息安全涉及工业领域各个环节,一般而言,包括工业控制系统安全、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全、关键信息基础设施安全等内容。

    工业控制系统安全:工业控制系统(Industrial Control System, ICS)是各式各样控制系统类型的总称,它包括多种工业生产中使用的控制系统,如监控和数据采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)以及远程终端单元(RTU)等等。传统的ICS系统出现的时间要早于互联网,它采用专用的硬件、软件和通信协议,设计上也优先确保系统的高可用性和业务连续性,缺乏有效的安全防御措施,也基本没有考虑互联互通所必须考虑的通信安全问题。随着工业企业推进数字化转型与智能制造,以及云计算、大数据、物联网等新技术、新应用的大规模使用,使ICS系统由封闭独立走向开放、由单机走向互联、由自动化走向智能化,也带来设备、网络、控制及数据等方面的安全隐患。

工业互联网安全体系

工业互联网安全体系
来源:工业互联网产业联盟《工业互联网典型安全解决方案案例汇编(V1.0)》

    工业互联网安全:工业互联网是新一代信息技术(IT)与传统工业操作技术(OT)全方位深度融合所行成的产业和应用生态,是工业智能化发展的关键信息基础设施,已被国家发改委明确纳入“新基建”范围。工业互联网连接了工业系统与互联网,打破了传统工业相对封闭可信的制造环境,也使得网络安全与工业安全风险交织,带来设备接入安全、网络通信安全、平台服务安全、应用程序安全、控制及数据安全等多方面的安全问题与挑战。

    工业大数据安全:工业大数据是工业领域产品和服务全生命周期数据的总称,包括工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台中的数据等。近年来,我国工业大数据应用已迈出关键步伐,在需求分析、流程优化、能源管理等环节,数据驱动的工业新模式新业态在不断涌现,但与此同时也伴随着新的安全风险,比如存储风险、隐私泄露、APT攻击、平台漏洞、数据泄露等。此外,如今各国都越来越重视数据和隐私的保护,相继颁布了数据安全相关法规,如欧盟出台了《通用数据保护条例》(GDPR),我国也正式发布并实施了“等保2.0”,工业大数据也面临数据合规性的问题。

    工业云安全:工业云与工业互联网、工业互联网平台和工业APP同属智能制造的基础设施。近年来随着云计算发展进入普及阶段,越来越多的工业企业开始采用云计算模式部署信息化系统,工业上云正在成为趋势。工业云对下连接生产系统,在给工业企业带来效率提升、成本降低的同时,但也正因为其承载企业关键业务系统价值巨大,使得工业云的安全风险日益凸显。

    工业电子商务安全:所谓工业电子商务,是指工业企业在企业内及与上下游企业、客户和合作伙伴等各相关主体间,借助信息技术交易、交换、配送商品、服务、资源、能力、信息的过程,其本质是利用信息技术和网络资源重塑业务流程。工业电子商务是电子商务在工业流通、生产、服务全流程的深化应用,是制造业数字化、网络化、智能化的重要引擎,是制造业转型升级的重要抓手,是制造业新旧动能转换的重要途径。当前,随着广大工业企业正积极探索依托工业电子商务创新企业交易方式、经营模式、组织形态和管理体系,广东、上海和湖北等地区也在依托工业电子商务积极推进区域产业集群集约化、网络化和品牌化改造提升,在工业电子商务迅速兴起的同时,同样也面临着数据信息被篡改、丢失与破坏,虚假交易、系统故障等一系列的信息安全风险。

    关键信息基础设施安全:根据国际电信联盟的定义,国家关键信息基础设施是指支撑物理国家关键信息基础设施的信息系统。近年来,以5G、云计算、大数据、物联网、工业互联网为代表的新技术得到了快速应用,更多的传统能源、电力、交通基础设施、招投标平台联入网络,成为泛在的关键信息基础设施的有机组成。这些关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标,因此也需采取有效措施,做好安全防护。
二、工业信息安全的形势与挑战

    与传统网络安全相比,工业信息安全有很大的不同。工业系统的目标价值更高,其安全系统的复杂程度也远远高于传统的IT网络系统,在保障目标对象、安全需求等方面也具有其特殊性,其保护需求往往融合考虑了信息安全、功能安全和生产安全等多种安全需求,更侧重于维护生产运行过程的可靠稳定。此外,其风险来源更多,发生安全事件造成的后果也更为严重,不仅能造成设备故障、系统瘫痪、生产停滞,甚至还能引发安全事故,造成环境污染,导致人员伤亡。当前,随着工业数字化、网络化、智能化与服务化的加速发展,工业信息安全整体面临的形势与挑战也日趋严峻。

    1.工业信息安全相关标准仍有缺失。过去几年,虽然我国相继发布和实施了一批工业控制系统基础类安全标准,填补了我国在工业控制系统安全标准上的空白,但是工业信息安全标准仍存在缺失。比如,工业互联网安全的标准化工作还处于起步阶段,工业互联网的网络安全、数据安全、平台安全等标准仍在制定中;工业和信息化部近期发布了《关于工业大数据发展的指导意见》,提出了加快数据汇聚、推动数据共享、深化数据应用、完善数据治理,强化数据安全、促进产业发展、加强组织保障等多方面要求,但工业大数据相关安全标准仍有待完善;而且也尚未有正式发布的工业信息安全体系框架类标准,难以有效指导工业信息安全建设。

绝大多数工业企业并未就OT安全防护做好准备

绝大多数工业企业并未就OT安全防护做好准备
来源:IBM全球安全事业部威胁情报防御产品经理谢明君《从行业安全到OT安全——OT风险与安全管理》

    2.信息安全重视程度不够。工业企业普遍存在重发展、轻安全的现象,对工业信息安全缺乏足够的重视,大多仅停留在表面以及口号上,缺乏有效的信息安全管理机制与应对措施,资金与人员投入也不足,造成工业信息安全防护能力滞后于工业发展能力。IBM Scecurity曾针对370家拥有OT环境的工业企业进行了调研,结果显示有74%的受访者没有进行OT风险评估;78%的受访者没有针对OT系统的特定安全策略;还有81%的受访者没有OT特定的安全事件响应计划。这意味着绝大多数工业企业都并未就如何应对OT网络安全风险做好准备,一旦遭遇网络威胁和攻击,很容易因此受到严重影响。

    3.IT与OT分属不同部门管理,难以实现有效协同。在很多工业企业中,IT与OT设备及系统通常分属于不同的部门来管理,彼此独立,各自为政,造成IT与OT技术人员的安全技能与动机存在显著的差异。IT技术人员对软件创新、编程的力量和过程充满热情,但对如何将这些应用到工厂车间热情不足;而OT技术人员具有工程或制造背景,并且在保持机器运行方面倾向于实用性。这也导致在IT与OT系统加速融合的背景下,工业企业的IT与OT部门在工业信息安全防护上难以实现有效的协同。

    4.安全人才缺乏,安全技能有限。一方面,既懂信息安全又熟悉工业系统环境的专业人员严重匮乏,制约着信息安全意识与防护技术的提升;另一方面由于工控设备须保证7×24小时高可用性,往往不允许频繁调试,即使发生了设备故障或者安全事故也必须在极短的时间内恢复;众多工控系统在设计之初又有天然的缺陷,不仅普遍存在安全漏洞,而且控制协议、控制软件等也缺少诸如认证、授权、加密等安全功能,加之安全防护技能有限,也增加了工业信息安全防护上的困难。

    5.涉及主体复杂,安全防护与监管责任难划分。工业互联网、工业大数据、工业云等涉及的安全责任主体众多,一旦发生信息安全事件,各方的安全责任难以界定;而且监管职能分散于多个行业主管部门,缺乏责权清晰的监管体系。比如,工业互联网业务和数据在设备层、数据采集层、基础网络层、IaaS层、工业互联网平台层、工业应用层等多个层级间流转,安全责任主体涉及工业企业、设备供应商、基础电信运营商、IaaS网络服务商、工业互联网平台运营商、工业应用提供商等。而且,在监管层面,由于工业互联网涉及制造、能源、水务等众多行业,涵盖设备安全、控制安全、网络安全、平台安全、数据安全等,在这种融合状态下,安全管理、协调等诸多层面的监管职能分散于多个行业主管部门,缺乏责权清晰的监管体系。

    6.大规模、高强度的工业信息安全事件频发,工业领域成为网络攻击重灾区。据国家工信安全中心统计,2017-2018年,工业领域公开报道的勒索病毒攻击事件高达17起,其中制造业是攻击的重点目标。而据《2018年数据泄露调查报告》统计,全球制造业的数据泄露事件多达536起,行业排名第6,其中涉及大型企业事件375起,行业排名居首位。随着工业企业价值密度增大、网络依赖性提升,将愈发成为勒索者的“理想目标”。

2018-2019年工业信息安全十大事件

2018-2019年工业信息安全十大事件
来源:国家工信安全中心《2019年工业信息安全态势展望报告》

三、工业信息安全防护思路与策略

    面对日益严峻的工业信息安全形势,一方面国家应加紧制定工业互联网、工业大数据、工业云等相关工业信息安全政策与标准,构建责任清晰、制度健全的监管体系;另一方面工业控制设备与系统厂商,工业云平台、工业大数据平台、工业互联网等产品与平台提供商应提升产品与平台服务的安全性及安全保障能力;同时,工业企业也应提升信息安全防护意识及能力,变被动防御为主动防御,建立起有效的安全管理及应对机制。必要时也可与专业的工业信息安全服务商合作,共同筑牢工业信息安全防线。

    目前,针对工业信息安全的威胁与风险,其防护策略主要包括安全风险与漏洞评估、网络分区与边界隔离、设备安全加固、工业主机防护、控制安全防护、数据安全防护、态势感知、纵深防御、内生安全等。
       安全风险与漏洞评估:即发现并定义安全风险,制定安全战略,这包括安全战略与计划,安全风险、合规性与漏洞评估,安全治理政策与要求等的评估与制定等。工业信息安全厂商大多提供此类服务。比如IBM提供的安全智能运营和咨询服务,可帮助及时发现可能危及OT设备的关键攻击场景,保证OT框架安全性,提高其网络安全成熟度,同时建立快速检测和响应OT安全事件计划和程序,并满足各项工控标准和行业规范。

    网络分区与边界隔离:即通过内部与外部应用区域的物理隔离以及基于可信处理单元的访问控制,实现对外部重要信息的流出与访问控制。比如,为了有效实现工厂内网与外网、工控网络与其他网络之间的边界安全防护,在每个网络边界处一般都会部署一个或多个边界安全设备,包括工业防火墙、工业网闸、单向隔离设备或者企业定制的边界安全防护网关等。

    设备安全加固:即对设备进行安全加固,并建立设备、操作系统漏洞发现和补丁更新机制,确保及时发现相关安全漏洞、进行补丁升级。必要时可采用基于硬件的可信计算与验证技术,为设备的安全启动以及数据传输机密性和完整性保护提供支持。

    工业主机防护:工业现场的工业主机主要包括工业控制系统的工程师站、操作员站、服务器、存储等主机设备,负责工业控制系统的工作流程及工艺管理、状态监控、运行数据采集、重要信息存储等工作,是整个工业控制系统的指挥中心,因此往往也是工业网络中的主要风险点,病毒入侵、人为误操作等威胁都主要通过主机设备进入工业系统。在防护上主要采用“应用程序白名单”技术,通过白名单软件进行工业主机加固,建立工业主机安全“白名单”基线,确保可信任的程序、进程被放行,己知和未知恶意程序被阻断,保护工业主机免遭病毒或针对安全漏洞所发起的攻击行为。

    控制安全防护,一般从控制协议、控制软件和控制功能入手,加强认证授权、协议加密、协议过滤和恶意篡改等方面技术,并在使用前确保开展控制协议健壮性测试、软件安全测试及加固等工作。

    数据安全防护,一般可采取数据加密、访问控制、身份认证、数据脱敏及业务数据隔离等多种防护措施协同联动的方式进行防护,覆盖包括数据收集、传输、存储、处理、脱敏和销毁等全生命周期。

 锐捷网络安全态势感知方案架构

锐捷网络安全态势感知方案架构(来源:锐捷官网)

    安全态势感知,即对工业生产与办公网络等全维度安全数据进行采集、分析、预测、响应的综合性分析决策;通过大数据分析、机器学习等技术对安全行为进行分析和建模,对威胁和攻击行为进行预测、响应和溯源,通过多维度可视化技术展示,使整体安全状态可感知,安全态势可预测,为企业的安全运营体系提供安全决策的数据支持。

西门子工业信息安全“纵深防御”解决方案

西门子工业信息安全“纵深防御”解决方案(来源:西门子官网)

    纵深防御:在安全管理学上的概念是指通过多层重叠的安全防护系统而构成多道防线,使得即使某一防线失效也能被其它防线弥补或纠正。目前,部署纵深防御也是工业领域应对安全威胁的切实方法,并有许多工业信息安全厂商提供纵深防御解决方案。比如,西门子的纵深防御解决方案,提供从工厂安全到网络安全,再到系统完整性的全面防御。工厂安全着眼于对自动化系统的物理保护和信息安全管理,安全服务包括有关实施全面工厂保护的过程与指南;网络安全即工业网络中的安全通信,主要目的在于通过专业规划、设计和实施高效网络结构,实现连续和安全的通信;系统完整性则强调通过集成的信息安全功能,针对控制层的未授权组态更改以及未授权的网络访问提供全面保护。

奇安信构建内生安全体系

奇安信构建内生安全体系

    内生安全:据报道,内生安全由奇安信在2019北京网络安全大会期间首次提出,认为安全能力必须在内部的业务系统上构建。内生安全具备自适应、自主和自生长三个特点。聚合是实现内生安全的必要手段,信息化系统和安全系统的聚合,产生自适应安全能力;业务数据和安全数据的聚合,产生自主安全能力;IT人才和安全人才的聚合,产生自成长的安全能力。
四、工业信息安全厂商及其产品服务

    随着全球工业信息安全事件频发,工业信息安全形势日益严峻,全球工业信息安全市场需求显著提升,工业信息安全市场规模也不断扩大。根据市场研究公司Transparency Market Research分析,2018年全球工业信息安全市场规模达150.2亿美元,预计到2026年增长至299.7亿美元,年复合增长率达9.02%。而根据工业信息安全产业发展联盟发布的《中国工业信息安全产业发展白皮书(2018-2019)》,2018年我国工业信息安全产业规模为70.32亿元,市场增长率达33.55%,国内工业信息安全产业规模也在加速扩容。而市场规模扩大的背后,则是国内外众多不同背景的工业信息安全厂商纷纷涌入。

    目前国外的工业信息安全服务厂商数量众多,包括IBM Security、Fireeye(火眼)、Fortinet(飞塔)、Symantec(赛门铁克)、McAfee(迈克菲)、Kaspersky Lab(卡巴斯基)、Trend Micro(趋势科技)、Dragos、Indegy、Claroty、CyberX、Palo Alto Networks、Lockheed Martin、Cisco(思科)、CheckPoint、Tofino Security、PAS、Darktrace、西门子、霍尼韦尔、艾默生、施耐德电气、菲尼克斯电气等等。

    据国家工业信息安全发展研究中心统计,2018年国内约有176家企业涉足工业信息安全业务,其中包括和利时、浙江中控、安控科技、科远智慧、力控华康、海天炜业、360企业安全、奇安信、绿盟科技、深信服、蓝盾股份、启明星辰、网御星云、得安信息、天地和兴、天融信、英赛克科技、威努特、安恒信息、中科网威、圣博润、网藤科技、珞安科技、木链科技、立思辰、珠海鸿瑞、六方云、长扬科技、瑞星网安、卓识网安、天空卫士、三零卫士、安策科技、石化盈科、中油瑞飞、南信瑞通、博智软件、谷神星、天地和兴、安点科技、亚信安全等。

    从企业背景来看,既有传统的信息安全厂商,如赛门铁克、迈克菲、卡巴斯基、趋势科技、360企业安全、奇安信、绿盟科技、立思辰、中科网威、三零卫士、天融信、瑞星网安等;也有从事自动化控制等业务的自动化厂商,如通用电气、西门子、艾默生、施耐德电气、菲尼克斯电气、和利时、浙江中控、力控华康、海天炜业、珠海鸿瑞等;以及传统网络产品提供商或IT系统集成商,如Fortinet、思科、华为、石化盈科、中油瑞飞、南信瑞通等。此外还有专注于工业信息安全的厂商,如Indegy、Claroty、威努特、木链科技、天地和兴、安点科技、六方云等。

    而从国内主要工业信息安全厂商提供的产品服务来看,主要分为两类:一是安全产品类,主要包括工业防火墙、工业网闸、应用白名单等为代表的边界安全与终端安全产品;终端入侵检测、网络入侵检测、工业安全审计等检测审计产品;态势感知、合规管理、安全运维管理等工业信息安全管理类产品。二是安全服务类,包括安全评估、安全咨询、安全设计等咨询服务;安全集成、安全加固等实施服务;以及应急处置、攻防演练、安全培训与托管等运营服务。

中国工业信息安全行业产品与服务结构

中国工业信息安全行业产品与服务结构
资料来源:前瞻产业研究院整理

    此外,不同厂商间开展工业信息安全合作也正在成为趋势。比如,在罗克韦尔自动化与思科战略合作的架构中,工业信息安全方面内容是重要组成部分。工业级设备联网解决方案提供商Moxa宣布与国内专注于工控安全领域的威努特携手合作,构建智能制造工业安全一站式解决方案;美国工业网络安全厂商Dragos和通用电气合作,以加强工业控制系统安全等等。

五、结语

    随着工业数字化、网络化与智能化的快速发展,网络安全威胁也向工业领域加速渗透,网络攻击手段日趋复杂多样,大规模、高强度工业信息安全事件频发,使工业信息安全面临严重安全威胁与隐患。但目前我国整体上应对工业安全风险的能力却不足,这突出表现在相关安全标准缺失、安全监管困难、安全意识不够、安全人才与技能匮乏等方面。面对日益严峻的工业信息安全形势,需政府、产品与平台服务提供商(如工业自动化设备及控制系统提供商、工业云平台提供商、工业互联网平台提供商、工业大数据平台提供商、网络服务提供商等)、工业企业以及工业信息安全厂商多方形成合力,开展多层次、多维度合作,共同筑牢工业信息安全防线。

责任编辑:杨培
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
读者评论 (0)
请您登录/注册后再评论