工业互联网的开放、互联、跨域、融合,打破了以往相对清晰的安全边界,使工业控制系统网络环境趋向开放,来自互联网的外部威胁,将与工业生产系统的安全问题相互交融。这就是IT/OT一体化融合带来的安全挑战。
在近日举行的2019年中国工业信息安全大会上,奇安信集团副总裁左英男指出,工业互联网的安全问题需要从政策、标准、规范、体系框架角度进行全盘考虑,但落地的路会很长。他同时表示,“打蛇要打七寸”。
这个“七寸”是什么?不同的企业、服务商的看法一定存在差异。近年来,新PLC产品的安全属性获得大幅增强,施耐德、西门子等PLC提供商在工业协议、认证通信加密、协议安全保护等方面做了很多提升,但工业存量设备规模很大,意味着替换成本很高。
在考虑体系框架的同时,如何用成本相对较低的手段解决大量存量工业控制设备本身的安全问题,恐怕就成为当下工业互联网安全的“七寸”。对此,左英男提出了从工业主机防护和工业大数据两大场景切入的解决思路。
场景一:工业主机防护
为什么是工业主机?因为工业主机是IT/OT技术融合的连接点,是连接信息世界和物理世界的纽带。所有生产控制的指令、数据的获取都要通过工业主机下发给具体的工业控制设备。
但是,包括工业主机在内的工业设备,其使用原则是“用到不能用为止”,这固然有成本的考虑,但更多的是保证生产的稳定性和持续性。如此一来,工业主机的生命周期往往比较长,操作系统老旧,存在大量漏洞,并且由于工业生产连续性的特点,工业主机很难定期升级补丁,因此,工业主机已成为各类网络攻击和安全事件的首要攻击目标。
近年来,汽车生产、智能制造、能源电力、烟草等行业发生的数起工业安全事件,大多数攻击或影响的就是工业主机,导致工业主机蓝屏死机,无法执行正常的生产作业流程,最终造成停产或更严重的安全,给企业造成直接经济损失。
据悉,在拜访工业企业过程中,左英男发现CIO关注的有两点,第一,不管是什么防护手段,最好是低成本;第二,不要因为网络安全的攻击事件影响企业的工业生产运行的稳定。低成本与稳定,是工业企业最核心的诉求。
毫无疑问,工业互联网安全应从工业主机安全防护开始。左英男表示,在利用白名单技术进行病毒拦截的基础上,提供“入口、运行、扩散”三层关卡拦截,进行全方位病毒拦截。同时,在无需打补丁、关端口的前提下,通过“漏洞利用分析-流量解析对比-可疑攻击阻断”引擎可以有效对“永恒之蓝”勒索病毒进行超前防御。
2018年,奇安信工业安全团队用了整整一年的时间,帮助中国最大的电动新能源汽车制造企业比亚迪集团完成了17000台工业主机,涉及到十几种工业场景和十几种操作系统,一百多种工业软件复杂环境下的工业主机防护。
在这个案例中,最大的问题是低配硬件的支持、老旧系统的兼容、工业软件的适配。“真正的工业场景适配是最大的挑战。”左英男表示。该技术方案自部署以来运行稳定,为比亚迪工业主机创建安全的运行环境,让比亚迪信息基础设施运行的更安全、更可靠。
场景二:工业大数据
随着工业互联网的发展,数据的安全防护成为工业企业第二个最大的痛点。
一方面,很多大型工业企业都在积极拥抱互联网,建立了私有化的工业云平台、工业大数据平台,把很多分散在不同车间的应用集中到平台上去。应用和数据在集中。
另一方面,随着工业互联网的发展,平台需要和与供应链平台交互,导致传统网络边界被打破,以前的安全架构、安全思路已经不能适应新需求,这就给数据安全问题造成非常大的挑战。
在新的技术环境下,解决工业大数据安全的问题,“首先要解决访问控制问题”,左英男提出了“零信任架构”的新理念。在默认情况下,无论是内网或外网,任何访问企业的业务和大数据的用户、人、设备,甚至是应用的调用都不能相信。企业要利用认证、密钥,重新构建信任基础,这就是“零信任架构”。
重要的是,“零信任架构”授权和访问不是静态而是动态的,是基于风险持续度量和信任的持续评估进行动态的访问授权,这是“零信任架构”非常重要的理念。
“零信任架构”有四个很重要的特性:第一是以身份为中心。第二是业务安全访问,需要把业务和数据隐藏起来,只有完成一系列基于风险的持续信任评估和动态访问控制授权之后才能够允许访问业务和数据资源。第三是持续信任评估,一次性的认证无法保证一个访问主体的身份及持续的合法性。第四即使经过了认证,也要对访问时间、空间、行为、周边的环境等等进行数据实时采集进行风险度量。一旦发现信任度降低,就要降低权限甚至中断访问。
“零信任架构”落地的方式也很简单,首先梳理工业大数据中心的暴露面,然后部署相应的产品组件,形成动态的虚拟身份边界,使得工业大数据中心不再对外暴露任何物理的网络边界,有效管控内外部用户和终端设备、工厂内部的工业主机和边缘计算网关、工厂外部的工业互联网平台数据共享API调用等访问主体对工业大数据的访问行为,从而保护工业大数据的安全。
工业互联网安全的机会
安全是工业互联网三大要素之一,而发展工业互联网是全球各国抢占产业竞争新制高点、重塑工业体系的共同选择,这意味着,如果不能解决工业互联网的安全问题,工业转型升级将会成为一句空话。
根据6月22日发布的《中国工业信息安全产业发展白皮书(2018-2019年)》,电力行业、石油石化、烟草、轨道交通、先进制造等领域在工业互联网安全方面走在前面。不过,有专家表示,大部分企业防控能力较弱,安全意识薄弱,安全投入不足。中国工控系统大多数情况是牺牲安全性、换取稳定性,安全更新维护不及时。
工业和信息化部副部长陈肇雄在6月22日的2019年中国工业信息安全大会上指出,工业信息安全是国家网络安全的重要组成部分,是工业和信息化高质量发展的重要保障。要准确把握工业互联网快速发展面临的安全新挑战,努力开创工业信息安全工作新局面:一要完善工业信息安全政策法规体系,二要提升工业信息安全技术保障能力,三要打造工业信息安全产业生态,四要壮大工业信息安全人才队伍。
中国信通院总工程师、工业互联网产业联盟秘书长余晓晖曾告诉笔者,工业互联网的安全问题是一个世界性难题,总体上全球还处于摸索阶段。也就是说,这既是中国安全产业的机会,也是中国工业互联网的机会。
- 大模型与生成式人工智能将带来三大变革 – 2023年7月10日
- 《全球数字经济白皮书》发布 – 2023年7月5日
- 国际数据空间协会(IDSA)中国能力中心正式成立 – 2023年7月5日