今日頭條
官方微信
官方抖音
資訊頻道
和利時信息安全研究院總經(jīng)理樂翔
工業(yè)信息安全未來趨勢
近年來,隨著工業(yè)化和信息化的深度融合,工業(yè)互聯(lián)網(wǎng)與智能制造迅猛發(fā)展,各類IT新技術(shù)加速應(yīng)用到工業(yè)生產(chǎn)活動之中。在工業(yè)自動化轉(zhuǎn)型升級的同時,工業(yè)信息安全問題日益嚴峻,面臨著巨大的風險和隱患,亟需從產(chǎn)品技術(shù)和管理規(guī)范各方面加以提升。
當前工業(yè)信息安全的產(chǎn)品技術(shù)仍大量沿用傳統(tǒng)IT信息安全防護手段,較難滿足工業(yè)控制高實時性、高可靠性、應(yīng)用場景復(fù)雜的要求。常見防護產(chǎn)品仍然以邊界隔離和監(jiān)測類為主,如網(wǎng)閘、防火墻、入侵檢測系統(tǒng)(IDS)等,能部分解決由邊界外發(fā)起的網(wǎng)絡(luò)威脅和攻擊,但對于突破邊界或內(nèi)部發(fā)起的網(wǎng)絡(luò)威脅和攻擊手段較難起到預(yù)期的防護效果。使安全產(chǎn)品技術(shù)更加緊密地貼近工業(yè)現(xiàn)場應(yīng)用場景是當前工業(yè)信息安全技術(shù)創(chuàng)新的重點,尤其是針對工業(yè)控制計算資源相對匱乏、實時性要求高、工業(yè)私有協(xié)議應(yīng)用廣泛的情況,迫切需要研究和設(shè)計具有輕量化嵌入式特性、與業(yè)務(wù)安全緊密結(jié)合的工業(yè)信息安全技術(shù)架構(gòu)平臺,將工業(yè)信息安全“下沉”至核心工控設(shè)備,真正實現(xiàn)系統(tǒng)關(guān)鍵部位的防護。
可信計算在信息安全領(lǐng)域已得到廣泛認可和應(yīng)用,但在工業(yè)控制領(lǐng)域仍處于起步階段,適用于工業(yè)嵌入式控制場景的可信計算技術(shù)逐步將成為工業(yè)信息安全技術(shù)突破的重要發(fā)力點。通過在DCS、PLC等工業(yè)控制器內(nèi)部采用可信計算技術(shù),可以實現(xiàn)系統(tǒng)核心的內(nèi)生安全與主動防護,從根本上提升工業(yè)控制系統(tǒng)現(xiàn)場應(yīng)用的整體安全水平。
隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)互聯(lián)互通的不斷推進,工業(yè)信息安全還需進一步“上升”至工業(yè)互聯(lián)網(wǎng)平臺層面,基于通用云計算、大數(shù)據(jù)安全,結(jié)合邊緣計算與工業(yè)APP應(yīng)用,以實現(xiàn)邊管云的端到端安全,構(gòu)建從車間級到廠級到集團級各層面的安全可信。此外,針對工業(yè)協(xié)議的深度解析、工業(yè)控制業(yè)務(wù)邏輯的安全審計與分析將使信息安全監(jiān)測點和保護對象結(jié)合更加緊密,可以大幅提高工業(yè)控制系統(tǒng)的實時監(jiān)測與攔截防護能力,促進業(yè)務(wù)與安全的深層次技術(shù)融合。
在市場應(yīng)用方面,隨著等保2.0、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例等一系列標準規(guī)范的實施推動,工業(yè)信息安全市場預(yù)期在近兩年迎來較大的發(fā)展機遇。市場需求將從單點產(chǎn)品型防護逐步轉(zhuǎn)變提升為整體系統(tǒng)型防護,將更多偏向于采用由內(nèi)而外、由上至下的一站式綜合解決方案,以完整的防護體系來實現(xiàn)工業(yè)控制系統(tǒng)安全的統(tǒng)一管理、集中控制、多點聯(lián)動和綜合分析。
另外,目前我國工業(yè)信息安全仍以產(chǎn)品型市場為主,而服務(wù)型市場相對薄弱,在應(yīng)急響應(yīng)、安全評估和安全運維等方面已經(jīng)出現(xiàn)了較為明顯的市場短板,所以工業(yè)信息安全服務(wù)市場有望成為一個重要的發(fā)展方向并獲得突破性增長。安全服務(wù)與安全產(chǎn)品將相互結(jié)合,為工業(yè)信息安全綜合防護體系的建設(shè)共同提供技術(shù)支撐和運營保障。
和利時安全可信防護體系
和利時作為國內(nèi)自動化與信息技術(shù)解決方案的領(lǐng)軍企業(yè),責無旁貸擔負著我國工業(yè)控制系統(tǒng)信息安全體系建設(shè)與防護能力提升的重任。基于二十多年來在工業(yè)應(yīng)用和工控系統(tǒng)方面的深厚積累,和利時緊跟國家信息安全發(fā)展步伐,全面貫徹網(wǎng)絡(luò)安全等級保護制度,為電力、化工、石化、軌道交通、裝備制造等各領(lǐng)域提供滿足等保2.0要求的“業(yè)務(wù)+安全”整體解決方案。
基于大量現(xiàn)場實踐與經(jīng)驗提煉,和利時建立了適用于工業(yè)應(yīng)用的主動安全防御循環(huán)體系(TDDRP),在可信策略(Trusted policy)管控下,實現(xiàn)貫穿設(shè)計、運行、服務(wù)全生命周期的防御(Defense)、檢測(Detection)、響應(yīng)(Response)、預(yù)測(Prediction)主動安全防御循環(huán),從而為用戶構(gòu)建從工廠級到集團級的全方位、一體化綜合防護體系。
圖1 和利時主動安全防御循環(huán)體系
在該體系框架下,和利時以核心控制系統(tǒng)的內(nèi)生安全為基礎(chǔ),結(jié)合多層次、多維度防護與監(jiān)控技術(shù),構(gòu)建了完整的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品體系。針對業(yè)內(nèi)關(guān)鍵痛點難點的核心工控系統(tǒng)安全防護,和利時創(chuàng)新實現(xiàn)了可信計算在工業(yè)嵌入式控制的突破性應(yīng)用,打造了滿足實時性、可靠性、分布式、嵌入式、輕量化應(yīng)用場景的HolliTrust工業(yè)嵌入式可信計算技術(shù)平臺,推出了國內(nèi)首款安全可信PLC和DCS系統(tǒng)。和利時安全可信PLC與DCS依托可信計算3.0架構(gòu),基于自研微內(nèi)核操作系統(tǒng)與國密算法,通過主控制器的雙系統(tǒng)并行驗證、全生命周期動態(tài)度量,構(gòu)建了核心控制系統(tǒng)的內(nèi)生安全可信與動態(tài)主動防護,有效提升了我國核心工業(yè)控制系統(tǒng)的安全保障水平。同時在系統(tǒng)的對外通信健壯性上,和利時PLC和DCS率先通過阿基里斯2級的最高級別認證,達到國際領(lǐng)先水平。
圖2 和利時工業(yè)網(wǎng)絡(luò)安全產(chǎn)品技術(shù)應(yīng)用
圖3 和利時安全可信大型PLC
工業(yè)信息安全保障機制建設(shè)
工業(yè)信息安全保障機制建設(shè)分為技術(shù)、管理和政策三大層面,保障防護能力的提升要通過強化安全技術(shù)水平、建設(shè)安全管理體系和推動安全政策落實等手段來綜合實現(xiàn)。技術(shù)是支撐、管理是保障、政策是助力,三位一體協(xié)調(diào)聯(lián)動,從多個層面有機協(xié)調(diào)部署穩(wěn)步推進,共同構(gòu)筑工業(yè)信息安全保障體系。
對工業(yè)企業(yè)用戶來說,建設(shè)完善的安全運營機制需要從安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理幾個方面下功夫做扎實工作。重點來說,需要進一步明確責任主體、覆蓋更完整的安全管理范圍,從過去對單系統(tǒng)的要求上升至對整個體系的要求,從對單環(huán)節(jié)的要求上升至對全生命周期的要求。
和利時在為用戶提供的一站式安全解決方案中,包括了咨詢設(shè)計、安全運維等全套服務(wù),可以為用戶提供安全管理體系的建設(shè)指導(dǎo)與長期運維支撐,從而通過系統(tǒng)化、全生命周期的設(shè)計思路進一步完善安全管理體系、保障其長期有效運行。
摘自《自動化博覽》2020年2月刊
北京市公安局海淀分局備案號:11010802023656號