今日頭條
官方微信
官方抖音
案例頻道摘要:在新基建和工業互聯網的大趨勢下,如何應對隨之而來的工業信息安全風險?施耐德電氣倡導遵循相關的國際和國家標準,貫徹縱深防 御策略,以對工業企業和工業互聯網的建設提供全生命周期的防護。
關鍵詞:工業互聯網安全;工控信息安全;縱深防御
Abstract: At the era of New Infrastructure and Industrial Internet, how to deal with the industrial cybersecurity risks? Schneider Electric advocates to follow related international and national standards, and implement Defense-in-Depth strategy to provide full lifecycle protection and assurance for industrial enterprises and industrial Internet construction.
Key words: Industrial Internet security; IACS(Industry Automation Cybersecurity); Defense in depth
1 概述
隨著互聯網技術對社會和經濟的巨大推進和影響,傳統工業領域也逐漸開始利用越來越通用、經濟和成熟的網絡通訊、大數據存儲和處理、人工智能等前沿技術來提高運營過程的效率。傳統的運營技術(OT)與信息技術(IT)、通訊技術(CT)以及數據技術(DT)開始逐漸融合,并與工業互聯網一同優化工業企業的生產過程以及能源利用效率,成為工業企業新的增長引擎。
在工業互聯網成為新基建的大環境大趨勢下,在工業企業致力推進工業企業數字化和智能化轉型的同時,越來越多的工業控制系統從封閉走向開放,從信息孤島走向互聯互通,從獨立運行走向協同,因此在為企業節能、優化和增效的同時,也引入了信息安全的風險。
如何提升已經運行多年的工業控制系統的信息安全防護能力,有效防護對工業控制系統層出不窮的網絡攻擊,是工業用戶需要面對的巨大挑戰。
2 工業信息安全的挑戰
2.1 OT和IT系統信息安全的差異
盡管在IT領域內已經有很成熟的信息安全防護技術、方案、軟硬件產品和服務,也不斷地涌現創新技術和產品,但直接將IT領域內的信息安全實踐直接應用于OT領域內會導致極大風險。這絕不僅僅是因為眾所周知的信息安全C.I.A.(保密性Confidentiality,完整性Integrity,可用性Availability)三要素在IT和OT領域中優先級的不同(IT環境中:保密性>完整性>可用性,而OT環境中:可用性>完整性>保密性),而需要更加深刻地認識到IT和OT信息安全防護的對象不同,所處的環境不同,采用的技術不同,運營和維護方式不同,生命周期不同,停機或故障甚至性能下降可能導致的結果不同,因此在面對OT系統時,不能孤立地考慮系統的信息安全(Security),還應該考慮部署在OT系統的信息安全防護產品是否會對系統的可用性、可靠性、實時性、確定性、耐久性、連續性、魯棒性等固有屬性造成影響,避免為了實現信息安全(Security)最終導致功能安全(Safety)的問題,從而造成對正常生產運營,甚至是資產、人員、環境的影響。
2.2 全生命周期保障
工控系統的生命周期通常很長,可以達到15年甚至20多年,這給針對工控系統的信息安全防護帶來很大困難。首先,這么長的生命周期以及其良好的可靠性意味著現役的很多工控系統使用的是10多年前的產品或技術,部署時產品和系統層面都很少會考慮信息安全風險及防護,而對存量系統進行信息安全升級則需要充分考慮對現有系統可能造成的影響。其次,部署在工控系統的信息安全防護產品須能夠和工控系統有相同的生命周期且能夠適應工業應用環境,才能為工控系統長期提供防護,至少不應成為系統可能的故障點或風險點。最后,工控系統過長的生命周期導致了系統會在不同的時期必須面對不同的內部和外部安全威脅和風險:對外,如何防御網絡攻擊技術發展而層出不窮的新攻擊技術和手段;對內,如何緩解系統組件(PLC、操作系統、應用程序)甚至是信息安全防護產品本身由新發現的漏洞導致的風險。
2.3 無擾、高可用性要求下的動態信息安全防護
為了應對以上挑戰,工業企業需要建設動態的、能夠在全生命周期范圍內對系統進行有效信息安全的防護體系。而該體系建立的關鍵基礎是意識、人和知識。只有深刻意識到信息安全問題對工業企業的傷害力,意識到信息安全已經成為工業互聯網的必備要素和基礎技術,才會在推進工業互聯網時同步進行信息安全建設;而只有具備專業IT+OT+安全知識技能的專家,才能夠在構建信息安全防護體系的同時,不對現有的控制系統造成任何影響,從而保證生產的安全連續運營。
3 施耐德電氣建議
3.1 遵循信息安全標準
信息安全領域的國際標準和國家標準由工業領域的用戶,工業產品和服務提供商,信息安全產品和服務提供商以及相關管理機構的專家針對需要面對的工業信息安全挑戰而制定,可以為最終用戶,產品供應商和服務供應商的信息安全實踐提供良好的指導以及最佳實踐。
施耐德電氣倡導工業用戶遵循開放的國際/國家標準以應對越來越重要的工業信息安全風險,如:ISA/IEC 62443系列標準,網絡安全等級保護系列標準等。
ISA/IEC 62443系列標準是國際公認的最適宜應用在工業自動化和控制系統領域的標準,施耐德電氣遵循ISA/IEC 62443-4-1,建立安全開發生命周期流程,基于ISA/IEC 62443-4-2在OT產品中內置信息安全特性,并基于ISA/IEC 62443-3-3為OT系統提供全生命周期的系統級信息安全防護能力。部分IEC 62443系列標準已被等同轉換為國標,如GB/T33007-2016、GB/T35673-2017等,還有一些在轉換過程中。
作為ISA全球信息安全聯盟創始成員之一,施耐德電氣致力于:
(1)倡導在工業控制系統中使用ISA/IEC 62443系列標準,并推動標準的應用;
(2)更好的行業協同,為人員、流程和技術提供保護和保障;
(3)履行在網絡安全領域促進公開、知識共享、教育和宣傳,推動必要變革的承諾;
(4)提升助力客戶建立并符合基于標準的最佳流程、實踐和策略的能力。
3.2 貫徹縱深防御策略
施耐德電氣倡導的縱深防御策略有助于有效防御信息安全攻擊。縱深防御遵循國際和國家標準,通過集成信息安全體系的不同要素,構建多層次、多技術的防護體系,對控制系統進行立體的信息安全防護。
縱深防御策略的貫徹,一方面可以避免因其中某層 防護手段或某個安全防護設備失效或被攻破(如邊界防火墻被攻破),系統全面淪陷的局面;另一方面可以為OT系統全生命周期范圍內安全運維提供極大的便利,不僅可以幫助用戶在OT系統不停止運營無法打補丁的情況下緩解系統或設備新出現的漏洞,甚至本身就可以對某些漏洞進行有效防范。例如:使用設備加固的方式減小攻擊面,關閉OT或IoT設備的HTTP、FTP、SNMP等協議以及相應端口,即使不打補丁,也可以有效地防護這些漏洞不被利用;使用通訊白名單或防火墻等其它不同的防護手段,同樣可以針對不同漏洞進行有效防范。
如圖1所示,基于縱深防御策略,施耐德電氣倡導:
(1)從人員、流程和技術三個信息安全防護的核心要素出發,通過信息安全政策和流程規范工業控制系統的建設、運營和維護,并結合信息安全技術手段,對工業控制系統及其核心資產和安全運營進行有效防護;
(2)采用不同的技術手段,從訪問、加固、偵測和應對四個方面對工控系統進行綜合防護,保障系統的信息安全和業務連續;
(3)采用全生命周期信息安全防護,對工業控制系統的整個生命周期進行周期性的評估、設計、實施、監視和維護,輔以信息安全意識、技術和運維培訓,實現信息安全防護能力的螺旋上升。
圖1 縱深防御策略
施耐德電氣縱深防御提供不同的技術手段,從訪問、加固、偵測和應對四個方面對工控系統進行綜合防護,保障系統的信息安全和業務連續,如圖2所示。
圖2 施耐德電氣縱深防御從四個方面進行綜合防護
(1)訪問:通過物理、網絡、鑒別等技術手段對工業控制系統進行隔離、訪問控制,避免非授權訪問引起的信息安全事件;
(2)加固:通過信息安全防護軟件、硬件和服務等技術手段對工業控制系統的核心資產和組件進行多重防護和加固;
(3)偵測:對控制系統的網絡、主機、設備等運行環境和狀態進行主動的狀態檢測,動態識別工業控系統安全運營風險,并進行安全預警;
(4)應對:針對工業控制系統的信息安全事件進行快速響應、緩解攻擊并保障業務連續的能力、系統。
4 施耐德電氣的信息安全實踐
4.1 端到端的信息安全
作為運營技術(OT)的領導者和工業企業數字化轉型的驅動者,施耐德電氣將“端到端的信息安全”落實到其提出的開放的、針對工業互聯網、工業物聯網的系統平臺架構,為進一步打通互連互通的產品、邊緣控制以及應用、分析和服務三層提供了信息安全防護保障,為樓宇、數據中心、工業和基礎設施領域內的工業互聯網建設以及全生命周期的運營提供了信息安全保障,如圖3所示。
圖3 施耐德電氣EcoStruxure架構
4.2 多層次信息安全保障
施耐德電氣基于EcoStruxure架構的端到端的信息安全,為工業用戶在全生命周期的范圍內提供三個層次的信息安全,保障用戶的數字化轉型和工業互聯網的建設,同時幫助用戶應對日益嚴峻的信息安全挑戰,如圖4所示。
圖4 多層次信息安全保障
(1)原生產品安全
施耐德電氣在研發端采用了安全開發生命周期(SDL)方法,不僅可以保證原生OT產品在發布時就集成必要的信息安全能力,并通過了國際和國內的信息安全認證(如ISASecure ESDA,Achilles,國家工業控制系統與產品安全質量監督檢驗中心),還可以對OT產品提供全生命周期的信息安全保障,在產品被發現有信息安全漏洞時,通過相應的流程來進行安全的更新,如圖5所示。
圖5 安全開發生命周期(SDL)方法
(2)系統交付安全
施耐德電氣針對項目和服務交付制定了嚴格的流程,從而保證在項目和服務交付過程中不會給客戶引入新的信息安全風險。
(3)安全服務解決方案
針對不具備信息安全防護能力或需要增強防護能力的在運行系統,施耐德電氣可以為工業用戶提供基于縱深防御策略的全生命周期解決方案,針對工業控制系統的業務邏輯進行邊界隔離、安全審計、災難恢復、遠程安全訪問等信息安全防護手段,在不影響業務正常運行的前提下,有效提升信息安全防護能力。
4.3 信息安全服務
4.3.1 全生命周期服務
針對工業控制系統服役生命周期長的特點,施耐德電氣推薦使用全生命周期的方法,定期對目標系統進行評估,找出信息安全風險以及目標和現狀之間的差距,并針對風險進行相應設計以緩解風險對系統造成的影響,按照設計進行實施,監視內部系統安全運營狀況以及外部威脅,并及早維護,并輔以貫穿全生命周期的信息安全意識和技能培訓,如圖6所示。
圖6 全生命周期方法
(1)評估:針對工業控制系統進行差距分析和信息安全風險評估,找到現狀與企業信息安全目標之間的差距;找到通過信息安全防護的關鍵資產,進行風險和威脅分析;并對標現有的信息安全法律法規和標準,進行合規分析。
(2)設計:根據評估的結果,以縱深防御為理念,按照相應的信息安全防護等級對工業控制系統的信息安全系統架構進行設計,對工控系統的關鍵資產、運營可用性,以及業務連續性進行防護和保障。
(3)實施:根據設計的結果,對工業控制系統的信息安全防護進行相應的軟硬件部署和實施,從而達到企業信息安全目標。
(4)監視:針對外部威脅情報和內部工業控制系統生產運營進行信息安全相關事件監視,對信息安全事件或風險進行預警和預判,通過預防性維護降低企業信息安全風險。
(5)維護:對工業控制系統進行相應的補丁/病毒庫升級、安全策略調整以應對新的外部威脅,從而達到預防性維護的目的;響應系統信息安全事件并通過系統的備份和災難恢復保障業務連續性等。
(6)培訓:對企業全員進行初級的信息安全意識培訓,針對工業控制系統的運營維護工程師提供中級到高級相關的培訓。
4.3.2 基于縱深防御的信息安全系統架構
針對不具備信息安全防護能力或需要增強防護能力的在運行系統,施耐德電氣可以為工業用戶提供基于縱深防御策略的全生命周期解決方案,針對工業控制系統的業務邏輯進行信息安全防護設計,部署用戶鑒別、訪問控制、邊界隔離、安全分區、安全審計、災難恢復、遠程安全訪問等安全防護手段,在保證不影響系統業務正常運營的前提下,有效地提高系統的信息安全防護能力,并符合國家以及相關主管部門的法律法規和標準。
施耐德電氣基于縱深防御策略的解決方案可以通過一次實施對控制系統進行全面的防護,也可以根據用戶的運營費用計劃進行統一規劃,分步實施,按照優先級模塊化實施網絡隔離、邊界防護、網絡分區、設備加固、安全審計、災難備份等安全組件,如圖7所示。
圖7 基于縱深防御的信息安全系統架構
5 總結
“以發展促安全,以安全保發展”,在新基建和工業互聯網的大背景下,信息安全已經不再是可選項,而是重要的基礎技術之一。工業信息安全不僅保障OT系統安全、高效的生產運營,更加可以保障、工業企業人員、資產和環境的安全,保障企業的工業互聯網建設并支持企業可持續發展。
為了保障工業互聯網的建設,應對愈演愈烈的信息安全挑戰,工業企業首先要有安全意識,建設和積累自己的知識和技能,并遵循國際和國家標準,在企業的政策、流程和技術上進行投入,建設縱深防御的信息安全防護體系,在全生命周期范圍內對工業企業的人員、資產、環境和生產運營進行信息安全防護。
作者簡介:
裴淵斗,施耐德電氣工業自動化和工控信息安全專家,獲的IAS/IEC 62443和CISP認證,有20多年的工業自動化領域從業經歷,熟悉DCS、SIS、PLC、SCADA、HMI等工業自動化產品,曾參與多個行業的工業信息安全建設以及國家工業信息安全的標準化工作。
王 勇,施耐德電氣首席安全官,國內資深工業自動化以及工控信息安全專家,有超過30年的工業自動化經驗,曾參與編寫多個工業自動化和工業信息安全的國際和國家標準。
摘自《自動化博覽》2020年8月刊
北京市公安局海淀分局備案號:11010802023656號