應(yīng)用

技術(shù)

物聯(lián)網(wǎng)世界 >> 物聯(lián)網(wǎng)新聞 >> 物聯(lián)網(wǎng)熱點(diǎn)新聞
企業(yè)注冊個人注冊登錄

隱形的守護(hù)者:工業(yè)互聯(lián)網(wǎng)安全背后的力量

——TüV南德大中華區(qū)工業(yè)產(chǎn)品及防爆部高級經(jīng)理李太偉先生與業(yè)界對話
2022-11-07 10:24 IT運(yùn)維網(wǎng)

導(dǎo)讀:“數(shù)字化智能工廠轉(zhuǎn)型”已經(jīng)是當(dāng)今工業(yè)自動化行業(yè)的熱門話題和發(fā)展潮流,但是在制造業(yè)數(shù)字化轉(zhuǎn)型步伐加快的同時,不可忽視的是大量物聯(lián)網(wǎng)設(shè)備的部署帶來的潛在威脅。

當(dāng)前,全球工業(yè)已全面進(jìn)入數(shù)字化轉(zhuǎn)型時期,我國也相繼部署實施“數(shù)字中國”“網(wǎng)絡(luò)強(qiáng)國”“新基建”等戰(zhàn)略加速推動數(shù)字化轉(zhuǎn)型進(jìn)程。“數(shù)字化智能工廠轉(zhuǎn)型”已經(jīng)是當(dāng)今工業(yè)自動化行業(yè)的熱門話題和發(fā)展潮流,但是在制造業(yè)數(shù)字化轉(zhuǎn)型步伐加快的同時,不可忽視的是大量物聯(lián)網(wǎng)設(shè)備的部署帶來的潛在威脅。

目前工業(yè)互聯(lián)網(wǎng)安全問題和解決方案有哪些?與傳統(tǒng)的工控系統(tǒng)安全和互聯(lián)網(wǎng)安全相比,工業(yè)互聯(lián)網(wǎng)安全所面臨的挑戰(zhàn)有哪些不同?企業(yè)為什么需要第三方認(rèn)證?帶著諸多問題,我們邀請TüV南德大中華區(qū)工業(yè)產(chǎn)品及防爆部高級經(jīng)理李太偉先生分享了一些見解。

image.png

TüV南德大中華區(qū)工業(yè)產(chǎn)品及防爆部高級經(jīng)理李太偉先生

數(shù)字化轉(zhuǎn)型背景下的工業(yè)互聯(lián)網(wǎng)安全

網(wǎng)絡(luò)安全,既是企業(yè)數(shù)字化轉(zhuǎn)型的基礎(chǔ)保障,亦是工廠安全運(yùn)行的必備條件。李太偉指出,隨著互聯(lián)網(wǎng)的發(fā)展,網(wǎng)絡(luò)信息安全越來越受到人們的重視,世界各國和地區(qū)都陸續(xù)出臺了一系列法律法規(guī)保護(hù)個人信息、保障數(shù)據(jù)安全。例如,歐盟推出的GDPR;我國推出了《個人信息保護(hù)法》等。而工業(yè)領(lǐng)域安全網(wǎng)絡(luò)體系更為復(fù)雜。隨著工業(yè)領(lǐng)域自動化程度越來越高,信息化和工業(yè)化深度融合,特別是制造業(yè)從工業(yè)3.0邁向4.0、從傳統(tǒng)工廠向數(shù)字化工廠的轉(zhuǎn)型升級,給生產(chǎn)模式帶來了巨大轉(zhuǎn)變。從大規(guī)模批量化生產(chǎn),轉(zhuǎn)向獨(dú)立、定制化生產(chǎn);生產(chǎn)系統(tǒng)從原來的專有系統(tǒng)轉(zhuǎn)向開放式系統(tǒng);控制系統(tǒng)逐步由集中式控制轉(zhuǎn)向分散式控制。

“工廠在數(shù)字化轉(zhuǎn)型的過程中所面臨的問題與以往完全不同,正因如此,工業(yè)信息安全對于企業(yè)來說更加重要。這也是包括TüV南德等公司在內(nèi)的行業(yè)先驅(qū),投入人力物力研究工業(yè)互聯(lián)網(wǎng)信息安全的重要原因?!崩钐珎フf。

那么,與傳統(tǒng)互聯(lián)網(wǎng)安全相比,工業(yè)互聯(lián)網(wǎng)安全所面臨的挑戰(zhàn)有哪些不同呢?李太偉說:“傳統(tǒng)互聯(lián)網(wǎng)安全的問題主要表現(xiàn)為數(shù)據(jù)泄漏或丟失。相比之下,工業(yè)互聯(lián)網(wǎng)安全所面臨的問題,其復(fù)雜度、風(fēng)險度和產(chǎn)生的影響要大得多,可能導(dǎo)致整個生產(chǎn)流程停滯而產(chǎn)生巨大損失;也可能出現(xiàn)定單無法完成而遭遇巨額索賠等等?!?/p>

以2015年發(fā)生在烏克蘭的電廠停電事件為例,該事件就是一起以破壞電力基礎(chǔ)設(shè)施為目標(biāo)的網(wǎng)絡(luò)攻擊事件。黑客成功破壞了電網(wǎng)的信息系統(tǒng),并斬斷了多個城市的電力供應(yīng),令幾十萬居民的生活陷入黑暗之中?!扒皟赡辏聡詣踊?wù)供應(yīng)商皮爾茲也曾遭勒索軟件攻擊并造成停產(chǎn)。而進(jìn)行工業(yè)網(wǎng)絡(luò)攻擊的主謀,也不再是散兵游勇,通常是有組織的團(tuán)伙,并伴有明確的目的性?!彼f。

工業(yè)網(wǎng)絡(luò)安全的解決方案與標(biāo)準(zhǔn)體系

盡管如此,仍有許多生產(chǎn)制造企業(yè)對網(wǎng)絡(luò)安全風(fēng)險認(rèn)識不足,存在誤區(qū)。李太偉總結(jié)了幾個常見誤區(qū):我們沒有連接互聯(lián)網(wǎng),所以是足夠安全的;我們有防火墻,所以很安全;黑客不懂工業(yè)系統(tǒng) SCADA/DCS/PLC;我們的設(shè)備不是攻擊目標(biāo);我們的安全系統(tǒng)能防止任何侵害。

針對于此,工業(yè)網(wǎng)絡(luò)安全的解決方案在安全目標(biāo)和要求方面有不同的優(yōu)先級?!傲牡交ヂ?lián)網(wǎng)安全時,我們更多的講IT,即信息技術(shù),在乎信息的機(jī)密性;而工業(yè)互聯(lián)網(wǎng)安全,我們講OT,即運(yùn)營技術(shù),更多強(qiáng)調(diào)信息的可用性。”李太偉進(jìn)一步解釋說:“如果生產(chǎn)線不能高效生產(chǎn),甚至停產(chǎn),將給企業(yè)帶來不可估量的損失,因此保障系統(tǒng)的可用性是工業(yè)自動化與控制系統(tǒng)的第一優(yōu)先級?!?/p>

針對工業(yè)網(wǎng)絡(luò)安全的解決方案,目前,世界各國已有了很多的前期實踐,比如一些標(biāo)準(zhǔn)體系的出臺和建立,包括ISO 27000、IEC 62443等等,以及不同國家的標(biāo)準(zhǔn)。越來越多的國家和地區(qū)基于現(xiàn)在的實踐開發(fā)適合自己的工業(yè)信息安全標(biāo)準(zhǔn),進(jìn)而指導(dǎo)企業(yè)完善信息安全的相關(guān)要求、降低信息安全風(fēng)險。

李太偉介紹說,以IEC 62443為例,該標(biāo)準(zhǔn)通過一系列明確的過程要求,旨在以一種結(jié)構(gòu)化的方式,處理所有的相關(guān)信息安全問題。此外,該標(biāo)準(zhǔn)預(yù)期建立相關(guān)過程以實現(xiàn)所有必要的技術(shù)信息安全功能。IEC 62443可根據(jù)相關(guān)的項目范圍進(jìn)行調(diào)整,從而為實現(xiàn)產(chǎn)品和系統(tǒng)全生命周期的信息安全奠定了基礎(chǔ)。

TüV南德意志集團(tuán)的工業(yè)網(wǎng)絡(luò)安全服務(wù)

“TüV南德意志集團(tuán)根據(jù)積累了多年的在工業(yè)過程方面的豐富經(jīng)驗,以及在工業(yè)信息安全方面的深厚專業(yè)知識,設(shè)計了相關(guān)的認(rèn)證體系和流程。”李太偉說,“同時基于流程層面和產(chǎn)品技術(shù)層面這兩個維度,對于用戶來說,可以得到清晰的認(rèn)知:如果想把信息技術(shù)做好,該如何做;以及如何一步步去實現(xiàn)目標(biāo),最終能夠提供給行業(yè)滿足工業(yè)企業(yè)需求的產(chǎn)品和系統(tǒng)。”

針對組件供應(yīng)商,TüV南德提供基于IEC 62443-4-1《安全產(chǎn)品開發(fā)生命周期》, IEC 62443-4-2《IACS組件的技術(shù)安全要求》的認(rèn)證服務(wù)。針對系統(tǒng)集成商,提供基于IEC 62443-2-4《服務(wù)提供商安全程序》, IEC 62443-3-2《系統(tǒng)設(shè)計的安全風(fēng)險評估》, IEC 62443-3-3《系統(tǒng)安全要求和安全級別》的認(rèn)證服務(wù)。“在此過程中,我們的專家會驗證通用過程的符合性,以及安全過程與參考構(gòu)架或藍(lán)圖的符合性。在認(rèn)證過程中,審核人員將通過文件審核、面談和現(xiàn)場檢查進(jìn)行符合性評估。在通過認(rèn)證確認(rèn)符合標(biāo)準(zhǔn)的要求后,我們將出具報告以及TüV南德認(rèn)證標(biāo)志?!?/p>

根據(jù)行業(yè)領(lǐng)域信息安全水平的參差不齊。TüV南德將用戶分為三個類型階段:T0階段:對信息安全僅有些意識和基本了解,剛剛開始考慮。針對這部分用戶,TüV南德提供從基礎(chǔ)培訓(xùn)開始,建立起信息安全意識,幫助其了解信息安全的架構(gòu),并有能力進(jìn)行下一步規(guī)劃;接下來是T1階段:客戶已經(jīng)開始生產(chǎn)和設(shè)計產(chǎn)品,針對這部分客戶,TüV南德提供偏差分析和知識服務(wù),幫助客戶梳理政策以及技術(shù)流程并找出安全漏洞、確定安全對策,同時進(jìn)行測試和評估,幫助客戶了解自己系統(tǒng)和最終目標(biāo)系統(tǒng)之間的差距。到此階段,即T2階段,客戶已經(jīng)具備了相當(dāng)?shù)哪芰?,這時需要業(yè)內(nèi)的第三方企業(yè),就其產(chǎn)品符合相關(guān)標(biāo)準(zhǔn)和體系要求進(jìn)行背書和證明。

“典型的例子是TüV南德為國電南瑞頒發(fā)首張工業(yè)信息安全認(rèn)證證書。該項目從2019年初啟動,那時南瑞對IEC 62443體系并不了解,是個典型處于T0階段的狀態(tài)。TüV南德國內(nèi)與海外的專家展開了多次培訓(xùn)與溝通,并借鑒了國外相關(guān)經(jīng)驗;在此階段,我們也確定下來需要評估的范圍。接下來,我們的現(xiàn)場工程師進(jìn)行偏差分析,進(jìn)行了一些調(diào)整,包括組織架構(gòu)、人員配置、企業(yè)流程、設(shè)計技術(shù)方案上、功能上的調(diào)整,保障最終產(chǎn)品能夠滿足工業(yè)信息安全的要求。之后水到渠成,進(jìn)入評估階段。整個項目前后進(jìn)行了兩年多,但最后的評估階段只用了大約3個月。”李經(jīng)理舉例說。

另外一個具有說服力的例子是德國西門子公司。2016年8月,TüV南德根據(jù) IEC 62443-4-1 系列標(biāo)準(zhǔn)在西門子位于德國的七個研發(fā)中心順利完成了工業(yè)自動化及驅(qū)動系統(tǒng)產(chǎn)品總體設(shè)計及開發(fā)過程的認(rèn)證。此后,西門子過程控制系統(tǒng)-Simatic PCS 7于2017年獲得基于 IEC 62443-4-1 及IEC63443-3-3 標(biāo)準(zhǔn)的認(rèn)證。

在談到TüV南德工業(yè)網(wǎng)絡(luò)安全服務(wù)的優(yōu)勢時,李太偉表示:“在技術(shù)上,TüV南德在工業(yè)過程方面的豐富經(jīng)驗,以及在工業(yè)信息安全方面的深厚專業(yè)知識,為我們開展安全過程和解決方案的評估提供了獨(dú)特的優(yōu)勢。我們的風(fēng)險分析方法結(jié)合了信息安全和安全兩方面要素,且已經(jīng)過實踐檢驗,以及國家政府部門的認(rèn)可。在一些敏感領(lǐng)域,我們采取更靈活的方法,從而打消企業(yè)有信息泄露的顧慮,有些信息資料可以在評審現(xiàn)場才給到評審老師;一些特別核心信息,客戶可以只介紹方法論、原理等。評審項目組的成員,都是來自于世界各地行業(yè)經(jīng)驗豐富的專家?!?/p>

今后,隨著公共領(lǐng)域互聯(lián)的復(fù)雜程度越來越高,設(shè)備的互聯(lián)、互通、互操作程度越來越高,人們對信息安全愈發(fā)重視,同時面臨的風(fēng)險也越高?!安还苁切袠I(yè)層面,還是國家層面,都應(yīng)該提前做好應(yīng)對新技術(shù)發(fā)展帶來的信息安全問題。就像TüV南德的宗旨:‘通過保護(hù)人員、環(huán)境和資產(chǎn)免受技術(shù)相關(guān)風(fēng)險,推動科技的發(fā)展進(jìn)步’,通過提前準(zhǔn)備,趨利避害,減少新生事物可能造成的負(fù)面影響,創(chuàng)造一個更加安全和更加可持續(xù)的未來?!崩钐珎プ詈罂偨Y(jié)說。