您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
工業(yè)互聯(lián)網(wǎng)安全能力指南(概況)
工業(yè)互聯(lián)網(wǎng)已經(jīng)成為了各方關(guān)注的焦點。但是,與工業(yè)互聯(lián)網(wǎng)相關(guān)的安全事故也頻頻發(fā)生,安全已經(jīng)不可忽視。數(shù)世咨詢的《工業(yè)互聯(lián)網(wǎng)安全能力指南》將從工業(yè)互聯(lián)網(wǎng)安全防護能力、工業(yè)互聯(lián)網(wǎng)安全按檢測/審計能力、工業(yè)互聯(lián)網(wǎng)安全服務(wù)能力、工業(yè)互聯(lián)網(wǎng)安全靶場能力、以及工業(yè)互聯(lián)網(wǎng)安全管理平臺能力,五個維度,對工業(yè)互聯(lián)網(wǎng)安全能力進行分析。
由于內(nèi)容篇幅較長,本報告先會分批發(fā)布,最終還會合并發(fā)布完整版。第一部分將以整體工業(yè)互聯(lián)網(wǎng)安全概念為主。
前言
近幾年來,和工業(yè)相關(guān)的嚴重安全事故頻發(fā),工業(yè)互聯(lián)網(wǎng)相關(guān)的安全已經(jīng)到了不可不關(guān)注的時刻。
工業(yè)的自動化、信息化,以及最終需要達到的數(shù)字化,其目的都是為了能夠在減少人力的情況下,更為高效地進行工業(yè)生產(chǎn)。尤其在一些如高污染、高溫、低溫等的極端環(huán)境下,更需要通過自動化的能力,減少人力的使用,保障工人的生命安全。另一方面,基礎(chǔ)設(shè)施的互聯(lián)互通,使“智慧城市”得以實現(xiàn)。通過技術(shù)手段,將整個城市的基礎(chǔ)設(shè)施系統(tǒng)可視化,提升資源運用的效率、優(yōu)化城市的管理和服務(wù),為居民的生活提供便利,并為城市的進一步發(fā)展打下堅實的基礎(chǔ)。
然而,無論是“智能制造”,還是“智慧城市”,都離不開對網(wǎng)絡(luò)的構(gòu)建。一度非常封閉的工業(yè)生產(chǎn)環(huán)境也隨著OT與IT的融合,變得略為開放。但是,開放帶來的不僅是便利與智能,同樣也引入了更多的攻擊面和威脅。烏克蘭與委內(nèi)瑞拉的停電事件、臺積電與Colonial Pipeline的勒索病毒攻擊事件都標志著工業(yè)互聯(lián)網(wǎng)的安全已經(jīng)到了迫在眉睫的地步。工業(yè)網(wǎng)絡(luò)的安全必要性已經(jīng)不再只是滿足合規(guī)的要求,而是要能夠解決真實可見的威脅。
安全需要從底層做起,工業(yè)互聯(lián)網(wǎng)的安全也一樣。大部分工業(yè)企業(yè)依然處于數(shù)字化轉(zhuǎn)型的起步過程當中,只專注于業(yè)務(wù)與生產(chǎn)。但是,事實上,數(shù)字化轉(zhuǎn)型對工業(yè)企業(yè)而言,也是一個從零開始實現(xiàn)安全生產(chǎn)的新機會。數(shù)字化轉(zhuǎn)型一定程度上意味著企業(yè)的技術(shù)架構(gòu)的升級,甚至是再規(guī)劃——如果從這個階段起,就將安全能力作為設(shè)計的一部分,就可以極大減少之后將安全作為額外能力的投入成本。將安全與生產(chǎn)并進,才能最大程度地保障生產(chǎn)的安全性。
本報告希望能通過對工業(yè)互聯(lián)網(wǎng)一系列的能力的梳理,協(xié)助相關(guān)工業(yè)企業(yè)的安全規(guī)劃。
關(guān)鍵發(fā)現(xiàn)
? 工業(yè)互聯(lián)網(wǎng)的安全驅(qū)動力主要有四個方面:國家安全、政策合規(guī)、工業(yè)協(xié)議缺陷、以及行業(yè)數(shù)字化轉(zhuǎn)型的安全需求。
? 工業(yè)互聯(lián)網(wǎng)的安全有雙重性:系統(tǒng)安全(Security)與生產(chǎn)安全(Safety)。隨著工業(yè)互聯(lián)網(wǎng)越來越多的互聯(lián)與開放,系統(tǒng)安全對生產(chǎn)安全的影響逐步擴大。
? 工業(yè)互聯(lián)網(wǎng)安全的落地難度不僅在于工業(yè)場景自身的特點,同樣受限于不同工業(yè)企業(yè)本身IT能力的發(fā)展差距。
? 工業(yè)互聯(lián)網(wǎng)的安全能力落地按照“先防護,再檢測/審計,持續(xù)服務(wù),平臺統(tǒng)一,靶場進階”的順序。
? 工業(yè)互聯(lián)網(wǎng)由于非常重視“業(yè)務(wù)連續(xù)性”,在安全性上就需要很大程度的妥協(xié),因此要做好長期與威脅共存的準備。
一、工業(yè)互聯(lián)網(wǎng)安全概念與總體市場情況
1、工業(yè)互聯(lián)網(wǎng)概念
工業(yè)控制系統(tǒng)一度是一個相對封閉的環(huán)境。在工業(yè)生產(chǎn)環(huán)境中,只需要設(shè)備按照要求,完成相關(guān)任務(wù)即可——在這個情況下,工業(yè)生產(chǎn)環(huán)境中的設(shè)備并不需要和外部有聯(lián)系,只需要能夠在生產(chǎn)環(huán)境中形成局部的操作技術(shù)(Operational Technology, OT)網(wǎng)絡(luò)。
但是,隨著“工業(yè)4.0”、“智能制造”概念的提出,工業(yè)相關(guān)企業(yè)需要一次全面的轉(zhuǎn)型,通過數(shù)據(jù)分析、整體企業(yè)統(tǒng)一協(xié)同管理等能力,創(chuàng)造更高效、更安全的自動化生產(chǎn)環(huán)境。在這一過程中,會有大量的設(shè)備、系統(tǒng)接入。
首先,企業(yè)生產(chǎn)環(huán)境本身會有更多的設(shè)備接入,比如傳感器、遙測儀、監(jiān)控器等。這些設(shè)備能夠采集生產(chǎn)環(huán)境中的相關(guān)數(shù)據(jù),進行進一步的分析,從而確認生產(chǎn)環(huán)境的安全狀況。在業(yè)務(wù)層面,對這些數(shù)據(jù)進行深度挖掘,可以發(fā)現(xiàn)生產(chǎn)過程中的瓶頸,找到提高生產(chǎn)效率的方案。
另一方面,由于數(shù)據(jù)分析很難完全在生產(chǎn)環(huán)境中進行,因此需要傳輸?shù)狡渌恢眠M行分析——如云端。這就不可避免地使生產(chǎn)環(huán)境走向開放,需要與外界網(wǎng)絡(luò)逐漸打通。另一方面,工業(yè)生產(chǎn)技術(shù)也逐漸需要和企業(yè)業(yè)務(wù)發(fā)展相關(guān)聯(lián)——比如人員的權(quán)限管理、客戶的生產(chǎn)需求、整體項目的管理等。工業(yè)生產(chǎn)環(huán)境不再是分割的生產(chǎn)實體,而是基于企業(yè)總體的發(fā)展規(guī)劃和業(yè)務(wù)需求,自上而下的實現(xiàn)環(huán)境。因此,無論是從技術(shù)需求的角度,還是業(yè)務(wù)發(fā)展的角度,工業(yè)生產(chǎn)環(huán)境中的OT網(wǎng)絡(luò),與企業(yè)管理的IT網(wǎng)絡(luò),最終要相融合。
在2020年,由工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟發(fā)布的《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》提供了如下的工業(yè)互聯(lián)網(wǎng)實施框架總體視圖:
圖片來源:《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》
從這張圖中,我們可以發(fā)現(xiàn),工業(yè)互聯(lián)網(wǎng)不僅僅是設(shè)備的連接,更需要工業(yè)互聯(lián)網(wǎng)平臺作為賦能。完整的工業(yè)互聯(lián)網(wǎng),需要生產(chǎn)機器、控制設(shè)備、信息系統(tǒng)、以及人員的聯(lián)動才能實現(xiàn)。工業(yè)互聯(lián)網(wǎng)要能夠通過生產(chǎn)時產(chǎn)生的信息,進行分析,也要能夠支撐智能化的生產(chǎn),以及基于企業(yè)業(yè)務(wù)變化的靈活變更。
工業(yè)互聯(lián)網(wǎng)并非是企業(yè)個體的能力,也是國家發(fā)展的需求,離不開國家的監(jiān)管與支持。在企業(yè)的層級之上,需要政府層面的整體監(jiān)管和把控。同時,國家也能夠通過國家級的工業(yè)互聯(lián)網(wǎng)平臺對全國的工業(yè)發(fā)展進行分析,為未來的發(fā)展方向做決策和引導(dǎo)。
2、本報告中的工業(yè)互聯(lián)網(wǎng)安全概念
完整的工業(yè)互聯(lián)網(wǎng)實現(xiàn)離不開IT與OT的高度融合。整個工業(yè)互聯(lián)網(wǎng)的運行需要生產(chǎn)機器的正常運作、采集設(shè)備對數(shù)據(jù)的采集以及傳輸、相關(guān)系統(tǒng)與儀器對數(shù)據(jù)的存儲、以及邊緣設(shè)備和平臺側(cè)的計算和分析。那么,完整的工業(yè)互聯(lián)網(wǎng)安全理論上,是需要能夠涵蓋整體的運作、采集、存儲和分析的安全需求。
然而,在實際落地過程中,IT與OT的融合進度還處于相當早期的地步。事實上,許多工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型依然處于建立完善的OT網(wǎng)絡(luò)階段。因此,本報告中的工業(yè)互聯(lián)網(wǎng)安全的概念為:對OT相關(guān)場景進行防護的信息安全能力,包括對OT場景的防護、檢測、審計、管理、監(jiān)管、安全驗證、安全能力培訓(xùn)等。
從《工業(yè)互聯(lián)網(wǎng)體系架構(gòu)(版本2.0)》實施框架總體視圖來看,本報告的調(diào)研范圍主要集中在設(shè)備層與邊緣層,以及企業(yè)層與產(chǎn)業(yè)層中的安全平臺相關(guān)解決方案中,對工業(yè)控制系統(tǒng)與工業(yè)生產(chǎn)環(huán)境中涉及到的信息安全。
本次調(diào)研分為五個方向進行,分別是工業(yè)互聯(lián)網(wǎng)安全檢測/審計能力、工業(yè)互聯(lián)網(wǎng)安全防御能力、工業(yè)互聯(lián)網(wǎng)安全服務(wù)能力、工業(yè)互聯(lián)網(wǎng)靶場能力、以及工業(yè)互聯(lián)網(wǎng)安全管理平臺能力。
3、工業(yè)互聯(lián)網(wǎng)安全總體市場情況
工業(yè)互聯(lián)網(wǎng)安全在2021年中國數(shù)字安全能力圖譜中,屬于行業(yè)環(huán)境分類。其中,下屬還有“工控系統(tǒng)安全”、“安全管理平臺”、“安全服務(wù)”、“工控靶場”四個分類。本次報告中,將工控系統(tǒng)安全分為“工控防護能力”與“工控檢測/審計能力”兩個部分,其余三個分類一一對應(yīng)。
根據(jù)本次調(diào)研的方向,2019年我國工業(yè)互聯(lián)網(wǎng)安全收入總體約為17.4億元,2020年總體收入約為33.8億元,預(yù)計2021年收入為50.3億元,2022年有望達到70億元。
而從工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品的總體銷售區(qū)域來看,華北(包括東北)與華南占據(jù)了主要銷售區(qū)域,一定程度上反應(yīng)了我國當前的工業(yè)互聯(lián)網(wǎng)部署需求。從未來幾年來看,智慧城市帶動的城市基礎(chǔ)設(shè)施安全需求會進一步推動?xùn)|部沿海城市對工業(yè)互聯(lián)網(wǎng)安全的需求。同時,隨著國家對西北、西南的進一步開發(fā),長遠來看,這兩個區(qū)域也會有對工業(yè)互聯(lián)網(wǎng)安全解決方案需求的大幅度提升。
二、工業(yè)互聯(lián)網(wǎng)安全建設(shè)的必要性與驅(qū)動力
1、國家:國家安全的保障
工業(yè)場景的安全有著兩重性:系統(tǒng)安全(Security)以及生產(chǎn)安全(Safety)。系統(tǒng)安全意為對工業(yè)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)自身進行保護的行為與過程,而生產(chǎn)安全則是指工業(yè)控制系統(tǒng)對非工業(yè)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)本身的影響,如是否會造成人員傷亡、產(chǎn)生環(huán)境污染等。(本報告中將“系統(tǒng)安全”簡稱為“安全”)
在封閉環(huán)境下,系統(tǒng)安全對安全狀態(tài)的影響相對較小。但是,當工業(yè)生產(chǎn)環(huán)境逐漸隨著網(wǎng)絡(luò)變得開放的時候,系統(tǒng)安全對生產(chǎn)安全的影響會逐漸增大。事實上,在2021年1月,美國舊金山地區(qū)的供水系統(tǒng)就遭到攻擊。無獨有偶,2021年2月,美國佛羅里達州地區(qū)一個小鎮(zhèn)的供水系統(tǒng)同樣遭到攻擊,攻擊者試圖將水中的氫氧化鈉含量增加到100倍,實現(xiàn)區(qū)域性的“投毒”。這些攻擊,都被防御系統(tǒng)所攔截。
因此,工業(yè)互聯(lián)網(wǎng)的安全性已經(jīng)不只是局限于數(shù)據(jù)保密性與完整性的安全、業(yè)務(wù)可持續(xù)的安全,而是真真切切直接關(guān)系到人民的人生安全與社會的穩(wěn)定。對于處于數(shù)字化轉(zhuǎn)型的工業(yè)生產(chǎn)環(huán)境,越多的系統(tǒng)與設(shè)備的連接,意味著越多的攻擊面,在基礎(chǔ)設(shè)施、化工、能源等生產(chǎn)事故可能造成極大人員傷亡與社會影響的場景中,工業(yè)互聯(lián)網(wǎng)的安全應(yīng)該作為第一考量。
國家角度來看,工業(yè)互聯(lián)網(wǎng)安全是國之大計,是必須貫徹執(zhí)行的安全方向。
2、企業(yè):政策合規(guī)的驅(qū)動
盡管工業(yè)互聯(lián)網(wǎng)會影響工業(yè)生產(chǎn)環(huán)境的安全,但是鑒于大部分企業(yè)依然處于工業(yè)數(shù)字化轉(zhuǎn)型的起步期,在認知上對于IT化以后,生產(chǎn)環(huán)境會面臨的威脅依然不足。這個時候,就會由政策與合規(guī)要求進行強驅(qū)動。
除了等保2.0的要求之外,工信部印發(fā)的《工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》、《工業(yè)控制系統(tǒng)信息安全行動計劃(2018-2020年)》都為相關(guān)企業(yè)提供了工業(yè)互聯(lián)網(wǎng)安全的落地指導(dǎo)作用。2021年9月開始實行的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》更是直指對國家與人民息息相關(guān)的關(guān)鍵基礎(chǔ)設(shè)施安全。
盡管一方面來看,僅僅為了合規(guī),為了符合政策需求而購買、使用工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品與能力,并不能真正保護好相關(guān)場景;但是,法律層面的驅(qū)動,至少能劃下安全的底線,從強要求、強監(jiān)管開始,督促相關(guān)企業(yè)重視安全,積累一定的安全能力。另一方面,由于大量工業(yè)企業(yè)對OT安全依然處于起步期,即使逐漸開始意識到工業(yè)生產(chǎn)場景中OT安全的重要性,但是卻缺乏具體安全落地的方向與能力;政策與合規(guī)要求不僅僅提供的是一個法律層面的底線,也是為相關(guān)企業(yè)提供安全落地的一個指導(dǎo)方向。
企業(yè)角度來看,政策與合規(guī)帶有強制與指導(dǎo)的雙重意義,是企業(yè)落實工業(yè)互聯(lián)網(wǎng)安全能力的第一驅(qū)動力。
3、技術(shù):工業(yè)協(xié)議自身的缺陷
工業(yè)控制設(shè)備會根據(jù)不同的供應(yīng)商,使用不同的協(xié)議,因此工業(yè)系統(tǒng)本身存在著復(fù)雜多樣的協(xié)議。然而,這些協(xié)議本身也會存在漏洞。即使如Modbus、ICE104、PROFINET等主流協(xié)議,在設(shè)計之初都是為了實現(xiàn)業(yè)務(wù)的流暢運行,在追求時效性和流暢性的同時,不可避免地犧牲了一部分安全性,容易被攻擊者利用。
另一方面,同樣被廣泛使用的OPC協(xié)議,其架構(gòu)基于Windows平臺,從而也“繼承”了許多Windows平臺中存在的漏洞,同樣能被攻擊者利用。
技術(shù)角度來看,單獨的工業(yè)控制系統(tǒng)本身存在著一定的安全問題,需要額外的安全手段進行保護。
4、行業(yè):數(shù)字化轉(zhuǎn)型的保險
2021年5月發(fā)生的Colonial Pipeline事件,導(dǎo)致全美部分區(qū)域的輸油管道無法使用,造成全球油價浮動以及美國東北部石油使用困難。值得注意的是,該攻擊本身并非直接針對Colonial Pipeline的輸油管道系統(tǒng),而是對Colonial Pipeline的IT系統(tǒng)發(fā)起的勒索病毒攻擊——最終使該公司中斷各類系統(tǒng),包括輸油管道相關(guān)的OT系統(tǒng)。
對于工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型,IT與OT環(huán)境的融合是一個關(guān)鍵。IT與OT融合,能夠更有效地使用工業(yè)生產(chǎn)中生成的數(shù)據(jù),改進生產(chǎn)業(yè)務(wù)的模式,提升生產(chǎn)效率;同時,也能夠通過IT系統(tǒng)自上而下,對生產(chǎn)環(huán)境以及非生產(chǎn)環(huán)境進行統(tǒng)一的管理。然而,IT環(huán)境往往會更加開放,從而增大攻擊面。最終,工業(yè)控制系統(tǒng)本身,乃至整個生產(chǎn)環(huán)境可能并未直接遭到攻擊,但是由于上層的IT系統(tǒng)遭到攻擊被中斷,依然會讓生產(chǎn)環(huán)境的業(yè)務(wù)中斷。
以防護策略來看,保護好上層的IT系統(tǒng)固然是一個必須采取的安全防護措施。但是,如果因為上層的某個位置遭到攻擊,就導(dǎo)致整個生產(chǎn)系統(tǒng)癱瘓,這無疑會產(chǎn)生新的攻擊策略——通過單點故障,從上層系統(tǒng)進行降維打擊。在理想狀態(tài)下,需要能夠做到IT與OT融合的同時,OT環(huán)境本身的安全性能夠抵御因上層IT系統(tǒng)淪陷產(chǎn)生的安全隱患,在上層IT系統(tǒng)下線的情況下,依然能夠安全、有效地執(zhí)行業(yè)務(wù)——這是一個極其理想的狀態(tài),但是值得工業(yè)生產(chǎn)環(huán)境中的所有利益相關(guān)方去探索。
整個行業(yè)來看,數(shù)字化轉(zhuǎn)型成功必然需要完成IT與OT的融合,但是這一結(jié)合的過程也必然會帶來新的威脅,需要IT與OT兩個方向協(xié)同去解決相關(guān)的安全問題。
三、工業(yè)互聯(lián)網(wǎng)安全當前落地難點
在工業(yè)互聯(lián)網(wǎng)環(huán)境里,傳統(tǒng)IT安全中的機密性、完整性與可用性在理論上依然有一定價值——但是在實踐中,卻容易受限于工業(yè)場景的需求。工業(yè)場景由于其特殊性,需要一種相對不同的方式來進行安全實踐。另一方面,工業(yè)企業(yè)本身,由于對網(wǎng)絡(luò)技術(shù)的實踐總體更為滯后,因此無論是IT層面,還是OT層面的安全,在落地過程中都會遇到不小的困難。
1、生產(chǎn)大于安全
工業(yè)生產(chǎn)環(huán)境中最大的特點,就是生產(chǎn)穩(wěn)定性高于一般安全性——即在不會直接影響正常生產(chǎn)的情況時,安全性可以被犧牲。這一點可以理解,因為對于工業(yè)生產(chǎn)環(huán)境而言,生產(chǎn)機器的啟動本身就極有可能消耗極大的人力和物力,而局部機器的停止運作又有可能影響整體生產(chǎn)的情況——最終造成巨大的經(jīng)濟損失。另一方面,在關(guān)鍵基礎(chǔ)設(shè)施中,機器的停運也同樣可能對社會產(chǎn)生負面影響。因此,在工業(yè)生產(chǎn)環(huán)境中,生產(chǎn)穩(wěn)定性是最重要的。
但是,這和上文提到的工業(yè)互聯(lián)網(wǎng)中的對外安全產(chǎn)生了一定的矛盾——一旦攻擊者通過工業(yè)互聯(lián)網(wǎng)成功影響到工控生產(chǎn)環(huán)境,依然可能產(chǎn)生難以估計的損失——比如美國發(fā)生的對供水系統(tǒng)“投毒”事件。這一矛盾,給工業(yè)互聯(lián)網(wǎng)安全帶來了極大的困難與挑戰(zhàn)。
首先,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品本身不能對工業(yè)互聯(lián)網(wǎng)生產(chǎn)環(huán)境產(chǎn)生負面影響。一旦工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品直接會對生產(chǎn)環(huán)境產(chǎn)生影響,那么本身就本末倒置了。
其次,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品要能夠監(jiān)測出發(fā)生的攻擊事件與異常情況——依然要在不影響工業(yè)互聯(lián)網(wǎng)生產(chǎn)環(huán)境的前提下。這就對工業(yè)互聯(lián)網(wǎng)安全廠商的安全能力提出了要求。
最后,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品——或者解決方案,要能夠?qū)Πl(fā)生的攻擊進行一定的措施評估:這是攻擊,還僅僅是異常錯誤(如人員操作失誤、機器故障)?正在發(fā)生的攻擊,產(chǎn)生的后果可能是什么?如果攻擊已經(jīng)進行,應(yīng)對攻擊的方式,是阻斷請求,甚至請求源,還是需要將整個系統(tǒng)關(guān)閉?
在工業(yè)互聯(lián)網(wǎng)場景中,安全不僅僅要考慮威脅,以及威脅對系統(tǒng)的影響,更需要考慮威脅與各類應(yīng)對方式對現(xiàn)實產(chǎn)生的影響。
2、協(xié)議復(fù)雜多樣性
一些主流工控協(xié)議本身存在一些缺陷,同時主流工控協(xié)議總體數(shù)量也相對較多,不同的生產(chǎn)商的設(shè)備會采用不同的協(xié)議,這就給安全防護帶來了極大的難度。
大部分工業(yè)互聯(lián)網(wǎng)安全廠商都能做到對協(xié)議的識別,但是落實到安全能力的實現(xiàn)時,就需要對協(xié)議進行深度的識別——而大量不同的協(xié)議無疑是對廠商協(xié)議研究、分析能力的一大挑戰(zhàn)。
除了主流協(xié)議以外,還存在一些私有協(xié)議,就更需要安全廠商有能力對陌生的工控協(xié)議有學(xué)習(xí)協(xié)議規(guī)則和行為的能力,從而建立新的安全模型。
3、底層防護困難
工業(yè)互聯(lián)網(wǎng)另一個難點在于底層防護更為困難。工業(yè)設(shè)備往往使用年限會很長,會積累大量沒有修復(fù)的漏洞。同時,由于受限于工業(yè)互聯(lián)網(wǎng)本身的業(yè)務(wù)可持續(xù)性要求,以及過去缺乏的安全意識,使得對這些漏洞的全面修復(fù)幾乎成為不可能。
如果無法從底層對工業(yè)設(shè)備和系統(tǒng)進行防護,就只能將安全能力附加在設(shè)備和系統(tǒng)之上,難以給底層賦予安全能力,通過自身的安全性提升對威脅的抵抗能力。最終,安全無法從最佳位置開始賦能。
4、企業(yè)不適合接入工業(yè)互聯(lián)網(wǎng)
企業(yè)工業(yè)設(shè)備老舊帶來的另一個問題,在于老舊設(shè)備與當下的IT以及OT能力的不兼容,這些老舊設(shè)備不具備接入工業(yè)互聯(lián)網(wǎng)的條件。但是,對于相當數(shù)量的企業(yè)而言,替換這批設(shè)備需要高額的成本,帶來極大的經(jīng)濟負擔,因此會繼續(xù)使用這些工業(yè)設(shè)備,導(dǎo)致這些企業(yè)本身也不適合接入工業(yè)互聯(lián)網(wǎng)。
在這些企業(yè)不適合接入工業(yè)互聯(lián)網(wǎng)的情況下,雖然能夠確保工業(yè)控制系統(tǒng)與工業(yè)生產(chǎn)環(huán)境的安全,一定程度提升整體的工業(yè)安全情況。但是,對于國家層面,監(jiān)管部門很難把握這些企業(yè)的工業(yè)安全態(tài)勢,無法從國家高度進行統(tǒng)一地監(jiān)管與分析。這會造成在監(jiān)管部門級別的工業(yè)互聯(lián)網(wǎng)安全管理平臺的落地效果,無法達到最好的效果。
而對于企業(yè)自身而言,也容易形成“安全孤島”,難以通過上級政府的統(tǒng)籌獲取相關(guān)的威脅情報,從而更好地應(yīng)對潛在的威脅。
5、工業(yè)互聯(lián)網(wǎng)安全人才短缺
在工業(yè)互聯(lián)網(wǎng)安全的場景中,人才的存在不可或缺。正如前文所提到的,工業(yè)互聯(lián)網(wǎng)安全面臨的另一個落地難點之一就是業(yè)務(wù)可持續(xù)性與安全之間的平衡,其中的一個平衡就是安全措施的平衡——采取怎樣的措施是在當前生產(chǎn)環(huán)境對特定威脅最適合的方法。由于工業(yè)生產(chǎn)環(huán)境中對生產(chǎn)可持續(xù)性的顧慮,工業(yè)互聯(lián)網(wǎng)安全產(chǎn)品自動處理能力的使用會受到一定的限制——這就需要專家根據(jù)實際的情況進行分析決策。
不同于傳統(tǒng)的IT安全,工業(yè)互聯(lián)網(wǎng)安全中的決策可能會影響更加巨大,需要更為豐富的經(jīng)驗。在IT與OT融合的情況下,工業(yè)互聯(lián)網(wǎng)安全人才不僅需要對IT安全的認知,還需要對OT安全的了解、對工業(yè)生產(chǎn)環(huán)境本身的積累,這三者缺一不可。尤其是對工業(yè)生產(chǎn)環(huán)境的積累,不僅僅是浮于知識層面,而是需要大量在工業(yè)生產(chǎn)環(huán)境中的積累才能獲得。但是,在當前情況下,即使局限于工業(yè)控制系統(tǒng)安全,受限于起步較晚,能將三者緊密結(jié)合的工業(yè)控制系統(tǒng)安全專家較少,能夠從更宏觀角度看工業(yè)互聯(lián)網(wǎng)整體安全的專家就更為稀缺。
另外,工業(yè)互聯(lián)網(wǎng)安全人才也不限于對于工業(yè)控制系統(tǒng)的安全維護,以及在工業(yè)互聯(lián)網(wǎng)中產(chǎn)生的攻防對抗——工業(yè)互聯(lián)網(wǎng)安全也需要能從頂層設(shè)計的戰(zhàn)略專家,幫助企業(yè)、乃至國家,從更為全面的架構(gòu),落地各級工業(yè)互聯(lián)網(wǎng)安全架構(gòu)。這就要求在IT安全知識、OT安全知識、以及工業(yè)互聯(lián)網(wǎng)經(jīng)驗的基礎(chǔ)上,再擁有企業(yè)級,甚至國家級的實踐視角與能力。
以上五個難點只是當前工業(yè)互聯(lián)網(wǎng)安全面臨的挑戰(zhàn)。事實上,另一個工業(yè)互聯(lián)網(wǎng)安全面臨的難點已經(jīng)逐漸開始浮現(xiàn):工業(yè)互聯(lián)網(wǎng)平臺的安全。工業(yè)互聯(lián)網(wǎng)平臺要處理大量的工業(yè)數(shù)據(jù),運行各類工業(yè)互聯(lián)網(wǎng)應(yīng)用——工業(yè)數(shù)據(jù)與工業(yè)互聯(lián)網(wǎng)應(yīng)用和傳統(tǒng)的IT數(shù)據(jù)與IT應(yīng)用又會有一些不同的安全需求。在未來,當工業(yè)互聯(lián)網(wǎng)越發(fā)完善的時候,對于工業(yè)互聯(lián)網(wǎng)平臺的保護會逐漸成為工業(yè)互聯(lián)網(wǎng)安全必須重視的關(guān)鍵。
四、工業(yè)互聯(lián)網(wǎng)安全實踐要點
基于工業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)特點,在工業(yè)互聯(lián)網(wǎng)安全的落地實踐上,有如下發(fā)現(xiàn)。
1、長期威脅共存
我們無法消除環(huán)境中所有的威脅,對于一些安全風(fēng)險,我們只能選擇減緩其影響、轉(zhuǎn)移風(fēng)險方或者——接受這個風(fēng)險。這一點在IT環(huán)境中如此,在工業(yè)互聯(lián)網(wǎng)中就更為明顯。
工業(yè)企業(yè)的最大特性“生產(chǎn)大于安全”極大限制了工業(yè)互聯(lián)網(wǎng)安全能力對威脅的消除。在IT環(huán)境中,業(yè)務(wù)部門與安全部門的一大矛盾,往往在于安全修復(fù)、補丁升級等行為會導(dǎo)致業(yè)務(wù)一定時間的中斷,對業(yè)務(wù)部門的業(yè)績收入產(chǎn)生影響。但是,在工業(yè)互聯(lián)網(wǎng)環(huán)境中,首先安全升級導(dǎo)致的業(yè)務(wù)中斷時間會大大超過非工業(yè)企業(yè)的中斷時間;其次,工業(yè)生產(chǎn)業(yè)務(wù)的中斷,除了會有本身業(yè)務(wù)生產(chǎn)的成本影響之外,還會有設(shè)備損耗、資源損耗(如恢復(fù)生產(chǎn)狀態(tài)的資源)等成本——最終,使得工業(yè)企業(yè)的業(yè)務(wù)中斷成本遠遠高于非工業(yè)企業(yè)的業(yè)務(wù)中斷成本。另一方面,對于關(guān)鍵基礎(chǔ)設(shè)施相關(guān)企業(yè),業(yè)務(wù)中斷又很有可能對社會產(chǎn)生影響,如發(fā)電中斷、軌交中斷等情況。
因此,工業(yè)互聯(lián)網(wǎng)場景中會往往面對設(shè)備、系統(tǒng)長期無法更新、升級的狀態(tài)——即生產(chǎn)環(huán)境自身的漏洞會長期無法進行修復(fù),從而累積大量安全隱患。工業(yè)互聯(lián)網(wǎng)安全的理念就無法做到對威脅能除盡除,而是要能做到和威脅長期共存的同時,不讓威脅轉(zhuǎn)變成會造成嚴重后果的安全事故。
2、先防護后檢測
基于工業(yè)互聯(lián)網(wǎng)的業(yè)務(wù)特性,在工業(yè)互聯(lián)網(wǎng)安全落地的順序往往是“先防護,再檢測/審計,持續(xù)服務(wù),平臺統(tǒng)一,靶場進階”的一個過程。
對于工業(yè)企業(yè)而言,確保工業(yè)生產(chǎn)平穩(wěn)、正常地進行,是第一要點。因此,工業(yè)互聯(lián)網(wǎng)安全的防護底線,是確保絕對的生產(chǎn)穩(wěn)定。對于會造成重大生產(chǎn)安全事故的威脅,要完全阻斷;對于不會產(chǎn)生重大事故,但是會對生產(chǎn)產(chǎn)生一定影響的,要采取相匹配的措施;而有安全隱患卻不會對生產(chǎn)安全造成影響的,在起步階段,可以選擇有意忽略。因此,安全落地的第一步,是先對生產(chǎn)安全有影響的威脅采取相應(yīng)的措施,通過確定的正常業(yè)務(wù)模型,只允許正常流量交互,實現(xiàn)基本的安全防護。
在能確保生產(chǎn)安全的基礎(chǔ)上,有余力的工業(yè)企業(yè)就需要開始發(fā)現(xiàn)環(huán)境中潛在的威脅,以及對環(huán)境中的行為進行審計。這個階段,檢測/審計類能力就進入了落地階段。檢測/審計類能力能夠幫助防護類產(chǎn)品,達成更為精準的防御效果。
安全服務(wù)應(yīng)該是持續(xù)進行的。事實上,在工業(yè)企業(yè)部署防護產(chǎn)品階段,安全服務(wù)就已經(jīng)開始了——只是受限于當前環(huán)境,大部分客戶依然沒有接受“服務(wù)收費”的方式,許多服務(wù)(如產(chǎn)品部署的規(guī)劃咨詢、等保咨詢、安全防護工作等)會在初期隨著產(chǎn)品捆綁。但實際上,安全服務(wù)是貫穿整個工業(yè)互聯(lián)網(wǎng)安全周期的,從事前的等保咨詢、規(guī)劃部署,到安全防護、人員培養(yǎng),再到攻防演練,甚至設(shè)備、系統(tǒng)的驗證等,都需要安全服務(wù)給整體的工業(yè)互聯(lián)網(wǎng)安全能力層層賦能。
在工業(yè)企業(yè)有大量的安全防護設(shè)備、檢測設(shè)備與審計設(shè)備之后,會面臨兩個問題:一是難以管理大量的安全設(shè)備與系統(tǒng),另一個是只能對單點或者部分區(qū)域的安全情況有所了解,無法全面把握整體安全的狀態(tài)。這個階段,就需要依靠安全管理平臺。對整體的安全能力進行管理,同時基于大量的日志信息、流量信息,對整體的安全能力進行把控。而安全服務(wù)在這一階段,又能通過安全管理平臺,對企業(yè)工業(yè)互聯(lián)網(wǎng)整體進行分析,發(fā)現(xiàn)潛在威脅,并基于當前的業(yè)務(wù)與安全狀態(tài),提出提升安全態(tài)勢的方式。
當企業(yè)、組織能整體統(tǒng)籌自身當前的安全態(tài)勢時,就可以開始為未來做一些預(yù)備工作,如方案的推演、內(nèi)部人才的進一步培養(yǎng)、設(shè)備與系統(tǒng)的測試與驗證等,這就需要一個模仿工業(yè)互聯(lián)網(wǎng)的虛擬環(huán)境——即工業(yè)靶場。對于企業(yè)、監(jiān)管機構(gòu)、與研究機構(gòu)而言,工業(yè)靶場不僅可以提供一個推演安全解決方案的虛擬環(huán)境,更可以通過工業(yè)靶場驗證新的工業(yè)設(shè)備或者安全設(shè)備在自身環(huán)境的運行情況。從更長遠往未來的角度來看,工業(yè)靶場還能對現(xiàn)有的設(shè)備、系統(tǒng)進行研究分析,提前發(fā)現(xiàn)潛在的未知威脅。
以上是第一部分的內(nèi)容,下一次發(fā)布的內(nèi)容為工業(yè)互聯(lián)網(wǎng)安全防護能力、與工業(yè)互聯(lián)網(wǎng)安全檢測/審計能力(包括兩個領(lǐng)域的相關(guān)點陣圖與實踐案例)。
來源:數(shù)世咨詢