工業(yè)信息安全，企業(yè)智能化轉(zhuǎn)型的必修課

王素 黃帥

近期，歐盟強(qiáng)制執(zhí)行的GDPR法案如一道閃電，劈中全球存在個(gè)人信息安全漏洞的企業(yè)。相比于個(gè)人數(shù)據(jù)安全保護(hù)，工業(yè)互聯(lián)網(wǎng)時(shí)代工業(yè)領(lǐng)域的信息安全是否令智能轉(zhuǎn)型中的企業(yè)感覺(jué)危機(jī)四伏呢？

“工業(yè)信息安全和類(lèi)似于GDPR的IT信息安全相比，有很大不同。工業(yè)信息安全更關(guān)注企業(yè)的工業(yè)控制系統(tǒng)在遭受黑客攻擊后能否持續(xù)有效地開(kāi)展生產(chǎn)運(yùn)營(yíng)活動(dòng)。它需要保證3個(gè)基礎(chǔ)要素，其一是系統(tǒng)功能的可用性，這是最關(guān)鍵的要素；其二是系統(tǒng)的完整性；其三才是信息的保密性。實(shí)際上，工業(yè)過(guò)程中生產(chǎn)的數(shù)據(jù)，絕大部分是過(guò)程性數(shù)據(jù)，從信息角度講，其利用價(jià)值并沒(méi)有我們想象中的高?！?T?V南德大中華區(qū)電網(wǎng)及工業(yè)自動(dòng)化部門(mén)經(jīng)理、工業(yè)信息安全專(zhuān)家曾勝吾在接受本刊記者專(zhuān)訪時(shí)這樣介紹道。

全球工業(yè)信息安全熱度高

當(dāng)前，隨著信息技術(shù)發(fā)展，大規(guī)模、高強(qiáng)度的工業(yè)信息安全事件頻頻發(fā)生。比如2010年著名的全球歷史上第一個(gè)以工控系統(tǒng)為目標(biāo)并造成大規(guī)模真實(shí)物理?yè)p害的“震網(wǎng)”病毒事件，導(dǎo)致了伊朗20%離心機(jī)報(bào)廢；2015年12月23日，烏克蘭國(guó)家電網(wǎng)遭到黑客利用BlackEnergy木馬軟件的攻擊，在圣誕夜前夕140萬(wàn)人陷入大停電；2016年，匡恩公司對(duì)我國(guó)互聯(lián)網(wǎng)上暴露的VxWorks調(diào)研時(shí)，在16202個(gè)IP中發(fā)現(xiàn)1763個(gè)存在遠(yuǎn)程內(nèi)存讀取漏洞；2016年4月，德國(guó)Gundremmingen核電站負(fù)責(zé)燃料裝卸系統(tǒng)的計(jì)算機(jī)系統(tǒng)發(fā)現(xiàn)惡意程序，操作員被迫關(guān)閉發(fā)電廠……

“到目前為止，全球工業(yè)信息安全都在一個(gè)很高的熱度階段。美國(guó)、歐洲以及我國(guó)都在制定相應(yīng)的法律法規(guī)及政策要求?！痹鴦傥岜硎?。

2017年，我國(guó)生效的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》首次將 “關(guān)鍵信息基礎(chǔ)設(shè)施”列入保護(hù)對(duì)象，并首次將工控信息安全提到了法律的層面。我國(guó)的電力、石油、交通、軌道和航天等各個(gè)行業(yè)都在爭(zhēng)相開(kāi)展工控信息安全相關(guān)的工作，其中，電力領(lǐng)域的防護(hù)手段在全球已遙遙領(lǐng)先。

“肉雞群”為黑客攻擊新模式

在沒(méi)有工業(yè)互聯(lián)網(wǎng)概念之前，工業(yè)內(nèi)的互聯(lián)網(wǎng)絡(luò)就好像一些被隔離的安全孤島，孤島內(nèi)的通信主要以私有協(xié)議的方式傳輸。其技術(shù)的不統(tǒng)一，使黑客們的“學(xué)習(xí)成本”太高，以至于無(wú)力發(fā)起攻擊；即使不免“遇難”，那些互不相連的網(wǎng)絡(luò)也很容易造成黑客攻擊路徑的“斷路”。

如今，工業(yè)互聯(lián)網(wǎng)本質(zhì)上將成熟的IT科技應(yīng)用于傳統(tǒng)的行業(yè)，打破了原先的孤島環(huán)境。這就好比以前的“鎧甲”上破了洞，工業(yè)控制系統(tǒng)和設(shè)備被大量暴露在互聯(lián)網(wǎng)上。產(chǎn)生這些破洞的背后“黑手”，來(lái)自于大規(guī)模的聯(lián)網(wǎng)以及類(lèi)似于TCP/IP等通用通信技術(shù)的使用。尤其在物聯(lián)網(wǎng)中，許多企業(yè)的設(shè)備與云端相連，黑客攻擊的渠道更多了，各國(guó)被攻擊的設(shè)備數(shù)量呈指數(shù)級(jí)上漲。根據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)，截至2017年12月，全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備超過(guò)10萬(wàn)個(gè)，和2016年相比大幅增加。

“大量的物聯(lián)網(wǎng)設(shè)備被感染后，不光自身受到黑客控制，在極端的情況下，更可以以一個(gè)極大的數(shù)量，成為PC機(jī)之外另一個(gè)可能的大規(guī)?！怆u群，對(duì)網(wǎng)絡(luò)上的別的目標(biāo)發(fā)起攻擊?！痹鴦傥崴傅?，正是一種威脅工業(yè)信息安全的新模式。

2017年美國(guó)發(fā)生的一次大規(guī)?；ヂ?lián)網(wǎng)斷網(wǎng)事件，就是這種新模式的真實(shí)寫(xiě)照。一個(gè)名叫Mirai（中文名“互聯(lián)網(wǎng)破壞者”）的病毒，大規(guī)模地入侵了美國(guó)千萬(wàn)級(jí)別的網(wǎng)絡(luò)攝像頭。它的目標(biāo)遠(yuǎn)不是把攝像頭弄壞，而是用千萬(wàn)級(jí)別攝像頭做“肉雞群”來(lái)攻擊其他的互聯(lián)網(wǎng)服務(wù)器。當(dāng)互聯(lián)網(wǎng)域名服務(wù)器同時(shí)收到像洪水一樣涌來(lái)的請(qǐng)求后，服務(wù)器被徹底“沖垮”。美國(guó)人第二天早上起來(lái)，打開(kāi)不了臉書(shū)，上不了推特，互聯(lián)網(wǎng)大斷網(wǎng)。這也是從工業(yè)設(shè)備入手，最終向互聯(lián)網(wǎng)設(shè)備發(fā)起攻擊的一個(gè)很好的例子。

工控滿足IEC 62443全球通行

如果說(shuō)我國(guó)在工控信息安全的法律法規(guī)制定方面走在全球前列，在工控標(biāo)準(zhǔn)方面，歐美國(guó)家則走在了世界的前沿。目前，針對(duì)工業(yè)自動(dòng)化和工業(yè)安全，全球最通行的標(biāo)準(zhǔn)是IEC 62443，它被工控業(yè)界視為近10年來(lái)最重要的工控信息安全研究及最佳實(shí)踐的總結(jié)。

曾勝吾介紹，IEC 62443的最大意義在于，其非常系統(tǒng)化地將工業(yè)信息安全這個(gè)復(fù)雜的話題分解成對(duì)業(yè)主、系統(tǒng)集成商和設(shè)備廠家的不同層面的具體要求，并與ISO 27001、 IEC 62351和NIST SP800等多個(gè)局部標(biāo)準(zhǔn)配合，形成了一個(gè)完整的標(biāo)準(zhǔn)體系。它從產(chǎn)品、系統(tǒng)和運(yùn)營(yíng)等多個(gè)層面系統(tǒng)化地梳理了工控信息安全的短板，并提出相應(yīng)的補(bǔ)強(qiáng)策略，因此，是一個(gè)非常值得參考的標(biāo)準(zhǔn)。

據(jù)悉，T?V南德意志集團(tuán)（簡(jiǎn)稱(chēng)“T?V南德”）正是與多家德國(guó)頂尖的工控廠家及機(jī)構(gòu)合作，參照IEC 62443國(guó)際標(biāo)準(zhǔn)，制定了工控信息安全的一整套認(rèn)證體系。在IEC 62443認(rèn)證方面，T?V南德的成績(jī)亮眼：從2016年底開(kāi)始，它為西門(mén)子工業(yè)集團(tuán)的PLC產(chǎn)品系列頒發(fā)工控信息安全產(chǎn)品證書(shū)，為能源集團(tuán)的“信息安全的變電站自動(dòng)化系統(tǒng)”頒發(fā)工控信息安全系統(tǒng)集成商證書(shū)，更為西門(mén)子全球18個(gè)研發(fā)中心頒發(fā)了工控信息安全產(chǎn)品研發(fā)生命周期管理流程證書(shū)。

為了幫助國(guó)內(nèi)培養(yǎng)緊缺的工控信息安全人才，T?V南德也與權(quán)威國(guó)家機(jī)構(gòu)開(kāi)展合作，為企業(yè)提供公開(kāi)培訓(xùn)，并為多家核電、電網(wǎng)及工業(yè)自動(dòng)化企業(yè)開(kāi)展技術(shù)支持及審核認(rèn)證業(yè)務(wù)?！澳壳埃覀兓ㄗ畲罅庵铝τ谠鯓影堰@些技術(shù)能力本地化?！痹鴦傥嵫a(bǔ)充說(shuō)。

企業(yè)勤練內(nèi)功勝過(guò)“吃藥”

據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè)，2017年我國(guó)存在的工控安全漏洞達(dá)380個(gè)，其中接近60%的漏洞屬于高危漏洞。盡管這些數(shù)據(jù)表明我國(guó)工業(yè)信息安全正面臨嚴(yán)峻的形勢(shì)，但并不是沒(méi)有積極信號(hào)，國(guó)內(nèi)企業(yè)工業(yè)信息安全的意識(shí)逐漸增強(qiáng)就是其中之一。在向智能化轉(zhuǎn)型的過(guò)程中，化解工業(yè)信息安全威脅，降低黑客攻擊風(fēng)險(xiǎn)，是企業(yè)贏得轉(zhuǎn)型成功的一門(mén)必修課。就此，曾勝吾提出了4點(diǎn)建議。

第一，要解決人才問(wèn)題

工業(yè)信息安全是IT領(lǐng)域信息安全和工業(yè)自動(dòng)化相結(jié)合的領(lǐng)域，目前幾乎所有這方面的人才要靠企業(yè)培養(yǎng)。企業(yè)在討論工業(yè)信息安全時(shí)，要具備使用比較認(rèn)可的語(yǔ)言與工業(yè)信息安全專(zhuān)家、工業(yè)信息安全團(tuán)隊(duì)和技術(shù)團(tuán)體互相溝通的能力，才是解決問(wèn)題的前提，否則就如同“雞同鴨講”。曾勝吾指出，T?V南德開(kāi)展工業(yè)信息安全公開(kāi)培訓(xùn)，很大程度上正是從培養(yǎng)人才考出發(fā)，帶動(dòng)整個(gè)產(chǎn)業(yè)向更好方向發(fā)展。

第二，要修煉企業(yè)內(nèi)功

每個(gè)企業(yè)需要根據(jù)自身的特點(diǎn)制定相應(yīng)的工業(yè)信息安全策略。曾勝吾指出，目前國(guó)內(nèi)很多工控信息安全的關(guān)注點(diǎn)，在于如何通過(guò)新增邊界安全防護(hù)設(shè)備、入侵檢測(cè)系統(tǒng)等手段保護(hù)信息安全。例如，增加工業(yè)防火墻防止黑客入侵，安裝入侵檢測(cè)系統(tǒng)感知系統(tǒng)，增加設(shè)備訪問(wèn)記錄等。以上基本的邏輯，是通過(guò)給“帶病”的工控系統(tǒng)“吃藥”，增強(qiáng)已經(jīng)投運(yùn)的工控系統(tǒng)的安全性。這種思路，針對(duì)的是正在運(yùn)行的大量存量系統(tǒng)。

但是，國(guó)際上更加看重的是從研發(fā)階段入手進(jìn)行防范。以IEC 62443為例，從研發(fā)開(kāi)始最大限度地保證工控產(chǎn)品的質(zhì)量，持續(xù)提供信心安全的技術(shù)支持，最大限度地保證系統(tǒng)有合理的設(shè)計(jì)，集成過(guò)程擁有有效的控制；在系統(tǒng)交付給業(yè)主后，在運(yùn)營(yíng)、維護(hù)和拆毀各個(gè)環(huán)節(jié)有相應(yīng)的操作規(guī)程。

信息安全具有非常典型的短板效應(yīng)，在工業(yè)信息安全幾個(gè)不同的維度上，最弱的那個(gè)維度決定了最終的安全級(jí)別。對(duì)于正在運(yùn)行的存量系統(tǒng)，IEC 62443和ISO 27001 從業(yè)主角度出發(fā)，給出了一套自上而下對(duì)于系統(tǒng)設(shè)計(jì)、設(shè)備選型的科學(xué)做法。其通過(guò)標(biāo)準(zhǔn)系統(tǒng)化的梳理，找出相對(duì)薄弱的維度進(jìn)行加強(qiáng)，才能做到“對(duì)癥下藥”，以最小的代價(jià)，取得最大的效果。

“強(qiáng)身健體靠的是IEC 62443和ISO 27001，這才是企業(yè)修煉內(nèi)功的過(guò)程?！?曾勝吾強(qiáng)調(diào)。

第三，要從源頭把握安全

企業(yè)在整個(gè)產(chǎn)品全生命周期，要把信息安全通盤(pán)考量進(jìn)去，從源頭重視工業(yè)信息。

第四，要關(guān)注標(biāo)準(zhǔn)和政策制定過(guò)程

這是曾勝吾對(duì)所有工業(yè)信息安全從業(yè)者的一個(gè)比較強(qiáng)烈的建議。他認(rèn)為，標(biāo)準(zhǔn)和政策會(huì)對(duì)企業(yè)未來(lái)的生產(chǎn)運(yùn)營(yíng)帶來(lái)直接影響。目前國(guó)內(nèi)比較重要的、與IEC 62443對(duì)口的標(biāo)準(zhǔn)委員會(huì)是全國(guó)工業(yè)過(guò)程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC124）和國(guó)家信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC260），相關(guān)政策制定方面是中央網(wǎng)信辦。以上，企業(yè)需全面參與，擇其門(mén)而入。