今日頭條
官方微信
官方抖音
資訊頻道
和利時(shí)信息安全研究院總經(jīng)理樂(lè)翔
工業(yè)信息安全未來(lái)趨勢(shì)
近年來(lái),隨著工業(yè)化和信息化的深度融合,工業(yè)互聯(lián)網(wǎng)與智能制造迅猛發(fā)展,各類(lèi)IT新技術(shù)加速應(yīng)用到工業(yè)生產(chǎn)活動(dòng)之中。在工業(yè)自動(dòng)化轉(zhuǎn)型升級(jí)的同時(shí),工業(yè)信息安全問(wèn)題日益嚴(yán)峻,面臨著巨大的風(fēng)險(xiǎn)和隱患,亟需從產(chǎn)品技術(shù)和管理規(guī)范各方面加以提升。
當(dāng)前工業(yè)信息安全的產(chǎn)品技術(shù)仍大量沿用傳統(tǒng)IT信息安全防護(hù)手段,較難滿足工業(yè)控制高實(shí)時(shí)性、高可靠性、應(yīng)用場(chǎng)景復(fù)雜的要求。常見(jiàn)防護(hù)產(chǎn)品仍然以邊界隔離和監(jiān)測(cè)類(lèi)為主,如網(wǎng)閘、防火墻、入侵檢測(cè)系統(tǒng)(IDS)等,能部分解決由邊界外發(fā)起的網(wǎng)絡(luò)威脅和攻擊,但對(duì)于突破邊界或內(nèi)部發(fā)起的網(wǎng)絡(luò)威脅和攻擊手段較難起到預(yù)期的防護(hù)效果。使安全產(chǎn)品技術(shù)更加緊密地貼近工業(yè)現(xiàn)場(chǎng)應(yīng)用場(chǎng)景是當(dāng)前工業(yè)信息安全技術(shù)創(chuàng)新的重點(diǎn),尤其是針對(duì)工業(yè)控制計(jì)算資源相對(duì)匱乏、實(shí)時(shí)性要求高、工業(yè)私有協(xié)議應(yīng)用廣泛的情況,迫切需要研究和設(shè)計(jì)具有輕量化嵌入式特性、與業(yè)務(wù)安全緊密結(jié)合的工業(yè)信息安全技術(shù)架構(gòu)平臺(tái),將工業(yè)信息安全“下沉”至核心工控設(shè)備,真正實(shí)現(xiàn)系統(tǒng)關(guān)鍵部位的防護(hù)。
可信計(jì)算在信息安全領(lǐng)域已得到廣泛認(rèn)可和應(yīng)用,但在工業(yè)控制領(lǐng)域仍處于起步階段,適用于工業(yè)嵌入式控制場(chǎng)景的可信計(jì)算技術(shù)逐步將成為工業(yè)信息安全技術(shù)突破的重要發(fā)力點(diǎn)。通過(guò)在DCS、PLC等工業(yè)控制器內(nèi)部采用可信計(jì)算技術(shù),可以實(shí)現(xiàn)系統(tǒng)核心的內(nèi)生安全與主動(dòng)防護(hù),從根本上提升工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)應(yīng)用的整體安全水平。
隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)互聯(lián)互通的不斷推進(jìn),工業(yè)信息安全還需進(jìn)一步“上升”至工業(yè)互聯(lián)網(wǎng)平臺(tái)層面,基于通用云計(jì)算、大數(shù)據(jù)安全,結(jié)合邊緣計(jì)算與工業(yè)APP應(yīng)用,以實(shí)現(xiàn)邊管云的端到端安全,構(gòu)建從車(chē)間級(jí)到廠級(jí)到集團(tuán)級(jí)各層面的安全可信。此外,針對(duì)工業(yè)協(xié)議的深度解析、工業(yè)控制業(yè)務(wù)邏輯的安全審計(jì)與分析將使信息安全監(jiān)測(cè)點(diǎn)和保護(hù)對(duì)象結(jié)合更加緊密,可以大幅提高工業(yè)控制系統(tǒng)的實(shí)時(shí)監(jiān)測(cè)與攔截防護(hù)能力,促進(jìn)業(yè)務(wù)與安全的深層次技術(shù)融合。
在市場(chǎng)應(yīng)用方面,隨著等保2.0、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等一系列標(biāo)準(zhǔn)規(guī)范的實(shí)施推動(dòng),工業(yè)信息安全市場(chǎng)預(yù)期在近兩年迎來(lái)較大的發(fā)展機(jī)遇。市場(chǎng)需求將從單點(diǎn)產(chǎn)品型防護(hù)逐步轉(zhuǎn)變提升為整體系統(tǒng)型防護(hù),將更多偏向于采用由內(nèi)而外、由上至下的一站式綜合解決方案,以完整的防護(hù)體系來(lái)實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全的統(tǒng)一管理、集中控制、多點(diǎn)聯(lián)動(dòng)和綜合分析。
另外,目前我國(guó)工業(yè)信息安全仍以產(chǎn)品型市場(chǎng)為主,而服務(wù)型市場(chǎng)相對(duì)薄弱,在應(yīng)急響應(yīng)、安全評(píng)估和安全運(yùn)維等方面已經(jīng)出現(xiàn)了較為明顯的市場(chǎng)短板,所以工業(yè)信息安全服務(wù)市場(chǎng)有望成為一個(gè)重要的發(fā)展方向并獲得突破性增長(zhǎng)。安全服務(wù)與安全產(chǎn)品將相互結(jié)合,為工業(yè)信息安全綜合防護(hù)體系的建設(shè)共同提供技術(shù)支撐和運(yùn)營(yíng)保障。
和利時(shí)安全可信防護(hù)體系
和利時(shí)作為國(guó)內(nèi)自動(dòng)化與信息技術(shù)解決方案的領(lǐng)軍企業(yè),責(zé)無(wú)旁貸擔(dān)負(fù)著我國(guó)工業(yè)控制系統(tǒng)信息安全體系建設(shè)與防護(hù)能力提升的重任。基于二十多年來(lái)在工業(yè)應(yīng)用和工控系統(tǒng)方面的深厚積累,和利時(shí)緊跟國(guó)家信息安全發(fā)展步伐,全面貫徹網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,為電力、化工、石化、軌道交通、裝備制造等各領(lǐng)域提供滿足等保2.0要求的“業(yè)務(wù)+安全”整體解決方案。
基于大量現(xiàn)場(chǎng)實(shí)踐與經(jīng)驗(yàn)提煉,和利時(shí)建立了適用于工業(yè)應(yīng)用的主動(dòng)安全防御循環(huán)體系(TDDRP),在可信策略(Trusted policy)管控下,實(shí)現(xiàn)貫穿設(shè)計(jì)、運(yùn)行、服務(wù)全生命周期的防御(Defense)、檢測(cè)(Detection)、響應(yīng)(Response)、預(yù)測(cè)(Prediction)主動(dòng)安全防御循環(huán),從而為用戶構(gòu)建從工廠級(jí)到集團(tuán)級(jí)的全方位、一體化綜合防護(hù)體系。
圖1 和利時(shí)主動(dòng)安全防御循環(huán)體系
在該體系框架下,和利時(shí)以核心控制系統(tǒng)的內(nèi)生安全為基礎(chǔ),結(jié)合多層次、多維度防護(hù)與監(jiān)控技術(shù),構(gòu)建了完整的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品體系。針對(duì)業(yè)內(nèi)關(guān)鍵痛點(diǎn)難點(diǎn)的核心工控系統(tǒng)安全防護(hù),和利時(shí)創(chuàng)新實(shí)現(xiàn)了可信計(jì)算在工業(yè)嵌入式控制的突破性應(yīng)用,打造了滿足實(shí)時(shí)性、可靠性、分布式、嵌入式、輕量化應(yīng)用場(chǎng)景的HolliTrust工業(yè)嵌入式可信計(jì)算技術(shù)平臺(tái),推出了國(guó)內(nèi)首款安全可信PLC和DCS系統(tǒng)。和利時(shí)安全可信PLC與DCS依托可信計(jì)算3.0架構(gòu),基于自研微內(nèi)核操作系統(tǒng)與國(guó)密算法,通過(guò)主控制器的雙系統(tǒng)并行驗(yàn)證、全生命周期動(dòng)態(tài)度量,構(gòu)建了核心控制系統(tǒng)的內(nèi)生安全可信與動(dòng)態(tài)主動(dòng)防護(hù),有效提升了我國(guó)核心工業(yè)控制系統(tǒng)的安全保障水平。同時(shí)在系統(tǒng)的對(duì)外通信健壯性上,和利時(shí)PLC和DCS率先通過(guò)阿基里斯2級(jí)的最高級(jí)別認(rèn)證,達(dá)到國(guó)際領(lǐng)先水平。
圖2 和利時(shí)工業(yè)網(wǎng)絡(luò)安全產(chǎn)品技術(shù)應(yīng)用
圖3 和利時(shí)安全可信大型PLC
工業(yè)信息安全保障機(jī)制建設(shè)
工業(yè)信息安全保障機(jī)制建設(shè)分為技術(shù)、管理和政策三大層面,保障防護(hù)能力的提升要通過(guò)強(qiáng)化安全技術(shù)水平、建設(shè)安全管理體系和推動(dòng)安全政策落實(shí)等手段來(lái)綜合實(shí)現(xiàn)。技術(shù)是支撐、管理是保障、政策是助力,三位一體協(xié)調(diào)聯(lián)動(dòng),從多個(gè)層面有機(jī)協(xié)調(diào)部署穩(wěn)步推進(jìn),共同構(gòu)筑工業(yè)信息安全保障體系。
對(duì)工業(yè)企業(yè)用戶來(lái)說(shuō),建設(shè)完善的安全運(yùn)營(yíng)機(jī)制需要從安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理幾個(gè)方面下功夫做扎實(shí)工作。重點(diǎn)來(lái)說(shuō),需要進(jìn)一步明確責(zé)任主體、覆蓋更完整的安全管理范圍,從過(guò)去對(duì)單系統(tǒng)的要求上升至對(duì)整個(gè)體系的要求,從對(duì)單環(huán)節(jié)的要求上升至對(duì)全生命周期的要求。
和利時(shí)在為用戶提供的一站式安全解決方案中,包括了咨詢?cè)O(shè)計(jì)、安全運(yùn)維等全套服務(wù),可以為用戶提供安全管理體系的建設(shè)指導(dǎo)與長(zhǎng)期運(yùn)維支撐,從而通過(guò)系統(tǒng)化、全生命周期的設(shè)計(jì)思路進(jìn)一步完善安全管理體系、保障其長(zhǎng)期有效運(yùn)行。
摘自《自動(dòng)化博覽》2020年2月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)