论文部分内容阅读
近期,欧盟强制执行的GDPR法案如一道闪电,劈中全球存在个人信息安全漏洞的企业。相比于个人数据安全保护,工业互联网时代工业领域的信息安全是否令智能转型中的企业感觉危机四伏呢?
“工业信息安全和类似于GDPR的IT信息安全相比,有很大不同。工业信息安全更关注企业的工业控制系统在遭受黑客攻击后能否持续有效地开展生产运营活动。它需要保证3个基础要素,其一是系统功能的可用性,这是最关键的要素;其二是系统的完整性;其三才是信息的保密性。实际上,工业过程中生产的数据,绝大部分是过程性数据,从信息角度讲,其利用价值并没有我们想象中的高。” T?V南德大中华区电网及工业自动化部门经理、工业信息安全专家曾胜吾在接受本刊记者专访时这样介绍道。
当前,随着信息技术发展,大规模、高强度的工业信息安全事件频频发生。比如2010年著名的全球历史上第一个以工控系统为目标并造成大规模真实物理损害的“震网”病毒事件,导致了伊朗20%离心机报废;2015年12月23日,乌克兰国家电网遭到黑客利用BlackEnergy木马软件的攻击,在圣诞夜前夕140万人陷入大停电;2016年,匡恩公司对我国互联网上暴露的VxWorks调研时,在16202个IP中发现1763个存在远程内存读取漏洞;2016年4月,德国Gundremmingen核电站负责燃料装卸系统的计算机系统发现恶意程序,操作员被迫关闭发电厂……
“到目前为止,全球工业信息安全都在一个很高的热度阶段。美国、欧洲以及我国都在制定相应的法律法规及政策要求。”曾胜吾表示。
2017年,我国生效的《中华人民共和国网络安全法》首次将 “关键信息基础设施”列入保护对象,并首次将工控信息安全提到了法律的层面。我国的电力、石油、交通、轨道和航天等各个行业都在争相开展工控信息安全相关的工作,其中,电力领域的防护手段在全球已遥遥领先。
在没有工业互联网概念之前,工业内的互联网络就好像一些被隔离的安全孤岛,孤岛内的通信主要以私有协议的方式传输。其技术的不统一,使黑客们的“学习成本”太高,以至于无力发起攻击;即使不免“遇难”,那些互不相连的网络也很容易造成黑客攻击路径的“断路”。
如今,工业互联网本质上将成熟的IT科技应用于传统的行业,打破了原先的孤岛环境。这就好比以前的“铠甲”上破了洞,工业控制系统和设备被大量暴露在互联网上。产生这些破洞的背后“黑手”,来自于大规模的联网以及类似于TCP/IP等通用通信技术的使用。尤其在物联网中,许多企业的设备与云端相连,黑客攻击的渠道更多了,各国被攻击的设备数量呈指数级上涨。根据国家工业信息安全发展研究中心监测,截至2017年12月,全球暴露在互联网上的工业控制设备超过10万个,和2016年相比大幅增加。
“大量的物联网设备被感染后,不光自身受到黑客控制,在极端的情况下,更可以以一个极大的数量,成为PC机之外另一个可能的大规模‘肉鸡群’,对网络上的别的目标发起攻击。”曾胜吾所指的,正是一种威胁工业信息安全的新模式。
2017年美國发生的一次大规模互联网断网事件,就是这种新模式的真实写照。一个名叫Mirai(中文名“互联网破坏者”)的病毒,大规模地入侵了美国千万级别的网络摄像头。它的目标远不是把摄像头弄坏,而是用千万级别摄像头做“肉鸡群”来攻击其他的互联网服务器。当互联网域名服务器同时收到像洪水一样涌来的请求后,服务器被彻底“冲垮”。美国人第二天早上起来,打开不了脸书,上不了推特,互联网大断网。这也是从工业设备入手,最终向互联网设备发起攻击的一个很好的例子。
如果说我国在工控信息安全的法律法规制定方面走在全球前列,在工控标准方面,欧美国家则走在了世界的前沿。目前,针对工业自动化和工业安全,全球最通行的标准是IEC 62443,它被工控业界视为近10年来最重要的工控信息安全研究及最佳实践的总结。
曾胜吾介绍,IEC 62443的最大意义在于,其非常系统化地将工业信息安全这个复杂的话题分解成对业主、系统集成商和设备厂家的不同层面的具体要求,并与ISO 27001、 IEC 62351和NIST SP800等多个局部标准配合,形成了一个完整的标准体系。它从产品、系统和运营等多个层面系统化地梳理了工控信息安全的短板,并提出相应的补强策略,因此,是一个非常值得参考的标准。
据悉,T?V南德意志集团(简称“T?V南德”)正是与多家德国顶尖的工控厂家及机构合作,参照IEC 62443国际标准,制定了工控信息安全的一整套认证体系。在IEC 62443认证方面,T?V南德的成绩亮眼:从2016年底开始,它为西门子工业集团的PLC产品系列颁发工控信息安全产品证书,为能源集团的“信息安全的变电站自动化系统”颁发工控信息安全系统集成商证书,更为西门子全球18个研发中心颁发了工控信息安全产品研发生命周期管理流程证书。
为了帮助国内培养紧缺的工控信息安全人才,T?V南德也与权威国家机构开展合作,为企业提供公开培训,并为多家核电、电网及工业自动化企业开展技术支持及审核认证业务。“目前,我们花最大力气致力于怎样把这些技术能力本地化。”曾胜吾补充说。
据国家工业信息安全发展研究中心监测,2017年我国存在的工控安全漏洞达380个,其中接近60%的漏洞属于高危漏洞。尽管这些数据表明我国工业信息安全正面临严峻的形势,但并不是没有积极信号,国内企业工业信息安全的意识逐渐增强就是其中之一。在向智能化转型的过程中,化解工业信息安全威胁,降低黑客攻击风险,是企业赢得转型成功的一门必修课。就此,曾胜吾提出了4点建议。 第一,要解决人才问题
工业信息安全是IT领域信息安全和工业自动化相结合的领域,目前几乎所有这方面的人才要靠企业培养。企业在讨论工业信息安全时,要具备使用比较认可的语言与工业信息安全专家、工业信息安全团队和技术团体互相沟通的能力,才是解决问题的前提,否则就如同“鸡同鸭讲”。曾胜吾指出,T?V南德开展工业信息安全公开培训,很大程度上正是从培养人才考出发,带动整个产业向更好方向发展。
第二,要修炼企业内功
每个企业需要根据自身的特点制定相应的工业信息安全策略。曾胜吾指出,目前国内很多工控信息安全的关注点,在于如何通过新增边界安全防护设备、入侵检测系统等手段保护信息安全。例如,增加工业防火墙防止黑客入侵,安装入侵检测系统感知系统,增加设备访问记录等。以上基本的逻辑,是通过给“带病”的工控系统“吃药”,增强已经投运的工控系统的安全性。這种思路,针对的是正在运行的大量存量系统。
但是,国际上更加看重的是从研发阶段入手进行防范。以IEC 62443为例,从研发开始最大限度地保证工控产品的质量,持续提供信心安全的技术支持,最大限度地保证系统有合理的设计,集成过程拥有有效的控制;在系统交付给业主后,在运营、维护和拆毁各个环节有相应的操作规程。
信息安全具有非常典型的短板效应,在工业信息安全几个不同的维度上,最弱的那个维度决定了最终的安全级别。对于正在运行的存量系统,IEC 62443和ISO 27001 从业主角度出发,给出了一套自上而下对于系统设计、设备选型的科学做法。其通过标准系统化的梳理,找出相对薄弱的维度进行加强,才能做到“对症下药”,以最小的代价,取得最大的效果。
“强身健体靠的是IEC 62443和ISO 27001,这才是企业修炼内功的过程。” 曾胜吾强调。
第三,要从源头把握安全
企业在整个产品全生命周期,要把信息安全通盘考量进去,从源头重视工业信息。
第四,要关注标准和政策制定过程
这是曾胜吾对所有工业信息安全从业者的一个比较强烈的建议。他认为,标准和政策会对企业未来的生产运营带来直接影响。目前国内比较重要的、与IEC 62443对口的标准委员会是全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)和国家信息安全标准化技术委员会(SAC/TC260),相关政策制定方面是中央网信办。以上,企业需全面参与,择其门而入。
“工业信息安全和类似于GDPR的IT信息安全相比,有很大不同。工业信息安全更关注企业的工业控制系统在遭受黑客攻击后能否持续有效地开展生产运营活动。它需要保证3个基础要素,其一是系统功能的可用性,这是最关键的要素;其二是系统的完整性;其三才是信息的保密性。实际上,工业过程中生产的数据,绝大部分是过程性数据,从信息角度讲,其利用价值并没有我们想象中的高。” T?V南德大中华区电网及工业自动化部门经理、工业信息安全专家曾胜吾在接受本刊记者专访时这样介绍道。
全球工业信息安全热度高
当前,随着信息技术发展,大规模、高强度的工业信息安全事件频频发生。比如2010年著名的全球历史上第一个以工控系统为目标并造成大规模真实物理损害的“震网”病毒事件,导致了伊朗20%离心机报废;2015年12月23日,乌克兰国家电网遭到黑客利用BlackEnergy木马软件的攻击,在圣诞夜前夕140万人陷入大停电;2016年,匡恩公司对我国互联网上暴露的VxWorks调研时,在16202个IP中发现1763个存在远程内存读取漏洞;2016年4月,德国Gundremmingen核电站负责燃料装卸系统的计算机系统发现恶意程序,操作员被迫关闭发电厂……
“到目前为止,全球工业信息安全都在一个很高的热度阶段。美国、欧洲以及我国都在制定相应的法律法规及政策要求。”曾胜吾表示。
2017年,我国生效的《中华人民共和国网络安全法》首次将 “关键信息基础设施”列入保护对象,并首次将工控信息安全提到了法律的层面。我国的电力、石油、交通、轨道和航天等各个行业都在争相开展工控信息安全相关的工作,其中,电力领域的防护手段在全球已遥遥领先。
“肉鸡群”为黑客攻击新模式
在没有工业互联网概念之前,工业内的互联网络就好像一些被隔离的安全孤岛,孤岛内的通信主要以私有协议的方式传输。其技术的不统一,使黑客们的“学习成本”太高,以至于无力发起攻击;即使不免“遇难”,那些互不相连的网络也很容易造成黑客攻击路径的“断路”。
如今,工业互联网本质上将成熟的IT科技应用于传统的行业,打破了原先的孤岛环境。这就好比以前的“铠甲”上破了洞,工业控制系统和设备被大量暴露在互联网上。产生这些破洞的背后“黑手”,来自于大规模的联网以及类似于TCP/IP等通用通信技术的使用。尤其在物联网中,许多企业的设备与云端相连,黑客攻击的渠道更多了,各国被攻击的设备数量呈指数级上涨。根据国家工业信息安全发展研究中心监测,截至2017年12月,全球暴露在互联网上的工业控制设备超过10万个,和2016年相比大幅增加。
“大量的物联网设备被感染后,不光自身受到黑客控制,在极端的情况下,更可以以一个极大的数量,成为PC机之外另一个可能的大规模‘肉鸡群’,对网络上的别的目标发起攻击。”曾胜吾所指的,正是一种威胁工业信息安全的新模式。
2017年美國发生的一次大规模互联网断网事件,就是这种新模式的真实写照。一个名叫Mirai(中文名“互联网破坏者”)的病毒,大规模地入侵了美国千万级别的网络摄像头。它的目标远不是把摄像头弄坏,而是用千万级别摄像头做“肉鸡群”来攻击其他的互联网服务器。当互联网域名服务器同时收到像洪水一样涌来的请求后,服务器被彻底“冲垮”。美国人第二天早上起来,打开不了脸书,上不了推特,互联网大断网。这也是从工业设备入手,最终向互联网设备发起攻击的一个很好的例子。
工控满足IEC 62443全球通行
如果说我国在工控信息安全的法律法规制定方面走在全球前列,在工控标准方面,欧美国家则走在了世界的前沿。目前,针对工业自动化和工业安全,全球最通行的标准是IEC 62443,它被工控业界视为近10年来最重要的工控信息安全研究及最佳实践的总结。
曾胜吾介绍,IEC 62443的最大意义在于,其非常系统化地将工业信息安全这个复杂的话题分解成对业主、系统集成商和设备厂家的不同层面的具体要求,并与ISO 27001、 IEC 62351和NIST SP800等多个局部标准配合,形成了一个完整的标准体系。它从产品、系统和运营等多个层面系统化地梳理了工控信息安全的短板,并提出相应的补强策略,因此,是一个非常值得参考的标准。
据悉,T?V南德意志集团(简称“T?V南德”)正是与多家德国顶尖的工控厂家及机构合作,参照IEC 62443国际标准,制定了工控信息安全的一整套认证体系。在IEC 62443认证方面,T?V南德的成绩亮眼:从2016年底开始,它为西门子工业集团的PLC产品系列颁发工控信息安全产品证书,为能源集团的“信息安全的变电站自动化系统”颁发工控信息安全系统集成商证书,更为西门子全球18个研发中心颁发了工控信息安全产品研发生命周期管理流程证书。
为了帮助国内培养紧缺的工控信息安全人才,T?V南德也与权威国家机构开展合作,为企业提供公开培训,并为多家核电、电网及工业自动化企业开展技术支持及审核认证业务。“目前,我们花最大力气致力于怎样把这些技术能力本地化。”曾胜吾补充说。
企业勤练内功胜过“吃药”
据国家工业信息安全发展研究中心监测,2017年我国存在的工控安全漏洞达380个,其中接近60%的漏洞属于高危漏洞。尽管这些数据表明我国工业信息安全正面临严峻的形势,但并不是没有积极信号,国内企业工业信息安全的意识逐渐增强就是其中之一。在向智能化转型的过程中,化解工业信息安全威胁,降低黑客攻击风险,是企业赢得转型成功的一门必修课。就此,曾胜吾提出了4点建议。 第一,要解决人才问题
工业信息安全是IT领域信息安全和工业自动化相结合的领域,目前几乎所有这方面的人才要靠企业培养。企业在讨论工业信息安全时,要具备使用比较认可的语言与工业信息安全专家、工业信息安全团队和技术团体互相沟通的能力,才是解决问题的前提,否则就如同“鸡同鸭讲”。曾胜吾指出,T?V南德开展工业信息安全公开培训,很大程度上正是从培养人才考出发,带动整个产业向更好方向发展。
第二,要修炼企业内功
每个企业需要根据自身的特点制定相应的工业信息安全策略。曾胜吾指出,目前国内很多工控信息安全的关注点,在于如何通过新增边界安全防护设备、入侵检测系统等手段保护信息安全。例如,增加工业防火墙防止黑客入侵,安装入侵检测系统感知系统,增加设备访问记录等。以上基本的逻辑,是通过给“带病”的工控系统“吃药”,增强已经投运的工控系统的安全性。這种思路,针对的是正在运行的大量存量系统。
但是,国际上更加看重的是从研发阶段入手进行防范。以IEC 62443为例,从研发开始最大限度地保证工控产品的质量,持续提供信心安全的技术支持,最大限度地保证系统有合理的设计,集成过程拥有有效的控制;在系统交付给业主后,在运营、维护和拆毁各个环节有相应的操作规程。
信息安全具有非常典型的短板效应,在工业信息安全几个不同的维度上,最弱的那个维度决定了最终的安全级别。对于正在运行的存量系统,IEC 62443和ISO 27001 从业主角度出发,给出了一套自上而下对于系统设计、设备选型的科学做法。其通过标准系统化的梳理,找出相对薄弱的维度进行加强,才能做到“对症下药”,以最小的代价,取得最大的效果。
“强身健体靠的是IEC 62443和ISO 27001,这才是企业修炼内功的过程。” 曾胜吾强调。
第三,要从源头把握安全
企业在整个产品全生命周期,要把信息安全通盘考量进去,从源头重视工业信息。
第四,要关注标准和政策制定过程
这是曾胜吾对所有工业信息安全从业者的一个比较强烈的建议。他认为,标准和政策会对企业未来的生产运营带来直接影响。目前国内比较重要的、与IEC 62443对口的标准委员会是全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)和国家信息安全标准化技术委员会(SAC/TC260),相关政策制定方面是中央网信办。以上,企业需全面参与,择其门而入。