王素 黃帥
近期,歐盟強(qiáng)制執(zhí)行的GDPR法案如一道閃電,劈中全球存在個(gè)人信息安全漏洞的企業(yè)。相比于個(gè)人數(shù)據(jù)安全保護(hù),工業(yè)互聯(lián)網(wǎng)時(shí)代工業(yè)領(lǐng)域的信息安全是否令智能轉(zhuǎn)型中的企業(yè)感覺(jué)危機(jī)四伏呢?
“工業(yè)信息安全和類(lèi)似于GDPR的IT信息安全相比,有很大不同。工業(yè)信息安全更關(guān)注企業(yè)的工業(yè)控制系統(tǒng)在遭受黑客攻擊后能否持續(xù)有效地開(kāi)展生產(chǎn)運(yùn)營(yíng)活動(dòng)。它需要保證3個(gè)基礎(chǔ)要素,其一是系統(tǒng)功能的可用性,這是最關(guān)鍵的要素;其二是系統(tǒng)的完整性;其三才是信息的保密性。實(shí)際上,工業(yè)過(guò)程中生產(chǎn)的數(shù)據(jù),絕大部分是過(guò)程性數(shù)據(jù),從信息角度講,其利用價(jià)值并沒(méi)有我們想象中的高?!?T?V南德大中華區(qū)電網(wǎng)及工業(yè)自動(dòng)化部門(mén)經(jīng)理、工業(yè)信息安全專(zhuān)家曾勝吾在接受本刊記者專(zhuān)訪時(shí)這樣介紹道。
當(dāng)前,隨著信息技術(shù)發(fā)展,大規(guī)模、高強(qiáng)度的工業(yè)信息安全事件頻頻發(fā)生。比如2010年著名的全球歷史上第一個(gè)以工控系統(tǒng)為目標(biāo)并造成大規(guī)模真實(shí)物理?yè)p害的“震網(wǎng)”病毒事件,導(dǎo)致了伊朗20%離心機(jī)報(bào)廢;2015年12月23日,烏克蘭國(guó)家電網(wǎng)遭到黑客利用BlackEnergy木馬軟件的攻擊,在圣誕夜前夕140萬(wàn)人陷入大停電;2016年,匡恩公司對(duì)我國(guó)互聯(lián)網(wǎng)上暴露的VxWorks調(diào)研時(shí),在16202個(gè)IP中發(fā)現(xiàn)1763個(gè)存在遠(yuǎn)程內(nèi)存讀取漏洞;2016年4月,德國(guó)Gundremmingen核電站負(fù)責(zé)燃料裝卸系統(tǒng)的計(jì)算機(jī)系統(tǒng)發(fā)現(xiàn)惡意程序,操作員被迫關(guān)閉發(fā)電廠……
“到目前為止,全球工業(yè)信息安全都在一個(gè)很高的熱度階段。美國(guó)、歐洲以及我國(guó)都在制定相應(yīng)的法律法規(guī)及政策要求?!痹鴦傥岜硎?。
2017年,我國(guó)生效的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》首次將 “關(guān)鍵信息基礎(chǔ)設(shè)施”列入保護(hù)對(duì)象,并首次將工控信息安全提到了法律的層面。我國(guó)的電力、石油、交通、軌道和航天等各個(gè)行業(yè)都在爭(zhēng)相開(kāi)展工控信息安全相關(guān)的工作,其中,電力領(lǐng)域的防護(hù)手段在全球已遙遙領(lǐng)先。
在沒(méi)有工業(yè)互聯(lián)網(wǎng)概念之前,工業(yè)內(nèi)的互聯(lián)網(wǎng)絡(luò)就好像一些被隔離的安全孤島,孤島內(nèi)的通信主要以私有協(xié)議的方式傳輸。其技術(shù)的不統(tǒng)一,使黑客們的“學(xué)習(xí)成本”太高,以至于無(wú)力發(fā)起攻擊;即使不免“遇難”,那些互不相連的網(wǎng)絡(luò)也很容易造成黑客攻擊路徑的“斷路”。
如今,工業(yè)互聯(lián)網(wǎng)本質(zhì)上將成熟的IT科技應(yīng)用于傳統(tǒng)的行業(yè),打破了原先的孤島環(huán)境。這就好比以前的“鎧甲”上破了洞,工業(yè)控制系統(tǒng)和設(shè)備被大量暴露在互聯(lián)網(wǎng)上。產(chǎn)生這些破洞的背后“黑手”,來(lái)自于大規(guī)模的聯(lián)網(wǎng)以及類(lèi)似于TCP/IP等通用通信技術(shù)的使用。尤其在物聯(lián)網(wǎng)中,許多企業(yè)的設(shè)備與云端相連,黑客攻擊的渠道更多了,各國(guó)被攻擊的設(shè)備數(shù)量呈指數(shù)級(jí)上漲。根據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè),截至2017年12月,全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備超過(guò)10萬(wàn)個(gè),和2016年相比大幅增加。
“大量的物聯(lián)網(wǎng)設(shè)備被感染后,不光自身受到黑客控制,在極端的情況下,更可以以一個(gè)極大的數(shù)量,成為PC機(jī)之外另一個(gè)可能的大規(guī)?!怆u群,對(duì)網(wǎng)絡(luò)上的別的目標(biāo)發(fā)起攻擊?!痹鴦傥崴傅?,正是一種威脅工業(yè)信息安全的新模式。
2017年美國(guó)發(fā)生的一次大規(guī)?;ヂ?lián)網(wǎng)斷網(wǎng)事件,就是這種新模式的真實(shí)寫(xiě)照。一個(gè)名叫Mirai(中文名“互聯(lián)網(wǎng)破壞者”)的病毒,大規(guī)模地入侵了美國(guó)千萬(wàn)級(jí)別的網(wǎng)絡(luò)攝像頭。它的目標(biāo)遠(yuǎn)不是把攝像頭弄壞,而是用千萬(wàn)級(jí)別攝像頭做“肉雞群”來(lái)攻擊其他的互聯(lián)網(wǎng)服務(wù)器。當(dāng)互聯(lián)網(wǎng)域名服務(wù)器同時(shí)收到像洪水一樣涌來(lái)的請(qǐng)求后,服務(wù)器被徹底“沖垮”。美國(guó)人第二天早上起來(lái),打開(kāi)不了臉書(shū),上不了推特,互聯(lián)網(wǎng)大斷網(wǎng)。這也是從工業(yè)設(shè)備入手,最終向互聯(lián)網(wǎng)設(shè)備發(fā)起攻擊的一個(gè)很好的例子。
如果說(shuō)我國(guó)在工控信息安全的法律法規(guī)制定方面走在全球前列,在工控標(biāo)準(zhǔn)方面,歐美國(guó)家則走在了世界的前沿。目前,針對(duì)工業(yè)自動(dòng)化和工業(yè)安全,全球最通行的標(biāo)準(zhǔn)是IEC 62443,它被工控業(yè)界視為近10年來(lái)最重要的工控信息安全研究及最佳實(shí)踐的總結(jié)。
曾勝吾介紹,IEC 62443的最大意義在于,其非常系統(tǒng)化地將工業(yè)信息安全這個(gè)復(fù)雜的話題分解成對(duì)業(yè)主、系統(tǒng)集成商和設(shè)備廠家的不同層面的具體要求,并與ISO 27001、 IEC 62351和NIST SP800等多個(gè)局部標(biāo)準(zhǔn)配合,形成了一個(gè)完整的標(biāo)準(zhǔn)體系。它從產(chǎn)品、系統(tǒng)和運(yùn)營(yíng)等多個(gè)層面系統(tǒng)化地梳理了工控信息安全的短板,并提出相應(yīng)的補(bǔ)強(qiáng)策略,因此,是一個(gè)非常值得參考的標(biāo)準(zhǔn)。
據(jù)悉,T?V南德意志集團(tuán)(簡(jiǎn)稱(chēng)“T?V南德”)正是與多家德國(guó)頂尖的工控廠家及機(jī)構(gòu)合作,參照IEC 62443國(guó)際標(biāo)準(zhǔn),制定了工控信息安全的一整套認(rèn)證體系。在IEC 62443認(rèn)證方面,T?V南德的成績(jī)亮眼:從2016年底開(kāi)始,它為西門(mén)子工業(yè)集團(tuán)的PLC產(chǎn)品系列頒發(fā)工控信息安全產(chǎn)品證書(shū),為能源集團(tuán)的“信息安全的變電站自動(dòng)化系統(tǒng)”頒發(fā)工控信息安全系統(tǒng)集成商證書(shū),更為西門(mén)子全球18個(gè)研發(fā)中心頒發(fā)了工控信息安全產(chǎn)品研發(fā)生命周期管理流程證書(shū)。
為了幫助國(guó)內(nèi)培養(yǎng)緊缺的工控信息安全人才,T?V南德也與權(quán)威國(guó)家機(jī)構(gòu)開(kāi)展合作,為企業(yè)提供公開(kāi)培訓(xùn),并為多家核電、電網(wǎng)及工業(yè)自動(dòng)化企業(yè)開(kāi)展技術(shù)支持及審核認(rèn)證業(yè)務(wù)?!澳壳埃覀兓ㄗ畲罅庵铝τ谠鯓影堰@些技術(shù)能力本地化?!痹鴦傥嵫a(bǔ)充說(shuō)。
據(jù)國(guó)家工業(yè)信息安全發(fā)展研究中心監(jiān)測(cè),2017年我國(guó)存在的工控安全漏洞達(dá)380個(gè),其中接近60%的漏洞屬于高危漏洞。盡管這些數(shù)據(jù)表明我國(guó)工業(yè)信息安全正面臨嚴(yán)峻的形勢(shì),但并不是沒(méi)有積極信號(hào),國(guó)內(nèi)企業(yè)工業(yè)信息安全的意識(shí)逐漸增強(qiáng)就是其中之一。在向智能化轉(zhuǎn)型的過(guò)程中,化解工業(yè)信息安全威脅,降低黑客攻擊風(fēng)險(xiǎn),是企業(yè)贏得轉(zhuǎn)型成功的一門(mén)必修課。就此,曾勝吾提出了4點(diǎn)建議。
第一,要解決人才問(wèn)題
工業(yè)信息安全是IT領(lǐng)域信息安全和工業(yè)自動(dòng)化相結(jié)合的領(lǐng)域,目前幾乎所有這方面的人才要靠企業(yè)培養(yǎng)。企業(yè)在討論工業(yè)信息安全時(shí),要具備使用比較認(rèn)可的語(yǔ)言與工業(yè)信息安全專(zhuān)家、工業(yè)信息安全團(tuán)隊(duì)和技術(shù)團(tuán)體互相溝通的能力,才是解決問(wèn)題的前提,否則就如同“雞同鴨講”。曾勝吾指出,T?V南德開(kāi)展工業(yè)信息安全公開(kāi)培訓(xùn),很大程度上正是從培養(yǎng)人才考出發(fā),帶動(dòng)整個(gè)產(chǎn)業(yè)向更好方向發(fā)展。
第二,要修煉企業(yè)內(nèi)功
每個(gè)企業(yè)需要根據(jù)自身的特點(diǎn)制定相應(yīng)的工業(yè)信息安全策略。曾勝吾指出,目前國(guó)內(nèi)很多工控信息安全的關(guān)注點(diǎn),在于如何通過(guò)新增邊界安全防護(hù)設(shè)備、入侵檢測(cè)系統(tǒng)等手段保護(hù)信息安全。例如,增加工業(yè)防火墻防止黑客入侵,安裝入侵檢測(cè)系統(tǒng)感知系統(tǒng),增加設(shè)備訪問(wèn)記錄等。以上基本的邏輯,是通過(guò)給“帶病”的工控系統(tǒng)“吃藥”,增強(qiáng)已經(jīng)投運(yùn)的工控系統(tǒng)的安全性。這種思路,針對(duì)的是正在運(yùn)行的大量存量系統(tǒng)。
但是,國(guó)際上更加看重的是從研發(fā)階段入手進(jìn)行防范。以IEC 62443為例,從研發(fā)開(kāi)始最大限度地保證工控產(chǎn)品的質(zhì)量,持續(xù)提供信心安全的技術(shù)支持,最大限度地保證系統(tǒng)有合理的設(shè)計(jì),集成過(guò)程擁有有效的控制;在系統(tǒng)交付給業(yè)主后,在運(yùn)營(yíng)、維護(hù)和拆毀各個(gè)環(huán)節(jié)有相應(yīng)的操作規(guī)程。
信息安全具有非常典型的短板效應(yīng),在工業(yè)信息安全幾個(gè)不同的維度上,最弱的那個(gè)維度決定了最終的安全級(jí)別。對(duì)于正在運(yùn)行的存量系統(tǒng),IEC 62443和ISO 27001 從業(yè)主角度出發(fā),給出了一套自上而下對(duì)于系統(tǒng)設(shè)計(jì)、設(shè)備選型的科學(xué)做法。其通過(guò)標(biāo)準(zhǔn)系統(tǒng)化的梳理,找出相對(duì)薄弱的維度進(jìn)行加強(qiáng),才能做到“對(duì)癥下藥”,以最小的代價(jià),取得最大的效果。
“強(qiáng)身健體靠的是IEC 62443和ISO 27001,這才是企業(yè)修煉內(nèi)功的過(guò)程?!?曾勝吾強(qiáng)調(diào)。
第三,要從源頭把握安全
企業(yè)在整個(gè)產(chǎn)品全生命周期,要把信息安全通盤(pán)考量進(jìn)去,從源頭重視工業(yè)信息。
第四,要關(guān)注標(biāo)準(zhǔn)和政策制定過(guò)程
這是曾勝吾對(duì)所有工業(yè)信息安全從業(yè)者的一個(gè)比較強(qiáng)烈的建議。他認(rèn)為,標(biāo)準(zhǔn)和政策會(huì)對(duì)企業(yè)未來(lái)的生產(chǎn)運(yùn)營(yíng)帶來(lái)直接影響。目前國(guó)內(nèi)比較重要的、與IEC 62443對(duì)口的標(biāo)準(zhǔn)委員會(huì)是全國(guó)工業(yè)過(guò)程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC124)和國(guó)家信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260),相關(guān)政策制定方面是中央網(wǎng)信辦。以上,企業(yè)需全面參與,擇其門(mén)而入。