王素 黃帥

近期，歐盟強(qiáng)制執(zhí)行的GDPR法案如一道閃電，劈中全球存在個人信息安全漏洞的企業(yè)。相比于個人數(shù)據(jù)安全保護(hù)，工業(yè)互聯(lián)網(wǎng)時代工業(yè)領(lǐng)域的信息安全是否令智能轉(zhuǎn)型中的企業(yè)感覺危機(jī)四伏呢？

“工業(yè)信息安全和類似于GDPR的IT信息安全相比，有很大不同。工業(yè)信息安全更關(guān)注企業(yè)的工業(yè)控制系統(tǒng)在遭受黑客攻擊后能否持續(xù)有效地開展生產(chǎn)運(yùn)營活動。它需要保證3個基礎(chǔ)要素，其一是系統(tǒng)功能的可用性，這是最關(guān)鍵的要素；其二是系統(tǒng)的完整性；其三才是信息的保密性。實(shí)際上，工業(yè)過程中生產(chǎn)的數(shù)據(jù)，絕大部分是過程性數(shù)據(jù)，從信息角度講，其利用價值并沒有我們想象中的高?！?T?V南德大中華區(qū)電網(wǎng)及工業(yè)自動化部門經(jīng)理、工業(yè)信息安全專家曾勝吾在接受本刊記者專訪時這樣介紹道。

全球工業(yè)信息安全熱度高

當(dāng)前，隨著信息技術(shù)發(fā)展，大規(guī)模、高強(qiáng)度的工業(yè)信息安全事件頻頻發(fā)生。比如2010年著名的全球歷史上第一個以工控系統(tǒng)為目標(biāo)并造成大規(guī)模真實(shí)物理損害的“震網(wǎng)”病毒事件，導(dǎo)致了伊朗20%離心機(jī)報廢；2015年12月23日，烏克蘭國家電網(wǎng)遭到黑客利用BlackEnergy木馬軟件的攻擊，在圣誕夜前夕140萬人陷入大停電；2016年，匡恩公司對我國互聯(lián)網(wǎng)上暴露的VxWorks調(diào)研時，在16202個IP中發(fā)現(xiàn)1763個存在遠(yuǎn)程內(nèi)存讀取漏洞；2016年4月，德國Gundremmingen核電站負(fù)責(zé)燃料裝卸系統(tǒng)的計算機(jī)系統(tǒng)發(fā)現(xiàn)惡意程序，操作員被迫關(guān)閉發(fā)電廠……

“到目前為止，全球工業(yè)信息安全都在一個很高的熱度階段。美國、歐洲以及我國都在制定相應(yīng)的法律法規(guī)及政策要求。”曾勝吾表示。

2017年，我國生效的《中華人民共和國網(wǎng)絡(luò)安全法》首次將 “關(guān)鍵信息基礎(chǔ)設(shè)施”列入保護(hù)對象，并首次將工控信息安全提到了法律的層面。我國的電力、石油、交通、軌道和航天等各個行業(yè)都在爭相開展工控信息安全相關(guān)的工作，其中，電力領(lǐng)域的防護(hù)手段在全球已遙遙領(lǐng)先。

“肉雞群”為黑客攻擊新模式

在沒有工業(yè)互聯(lián)網(wǎng)概念之前，工業(yè)內(nèi)的互聯(lián)網(wǎng)絡(luò)就好像一些被隔離的安全孤島，孤島內(nèi)的通信主要以私有協(xié)議的方式傳輸。其技術(shù)的不統(tǒng)一，使黑客們的“學(xué)習(xí)成本”太高，以至于無力發(fā)起攻擊；即使不免“遇難”，那些互不相連的網(wǎng)絡(luò)也很容易造成黑客攻擊路徑的“斷路”。

如今，工業(yè)互聯(lián)網(wǎng)本質(zhì)上將成熟的IT科技應(yīng)用于傳統(tǒng)的行業(yè)，打破了原先的孤島環(huán)境。這就好比以前的“鎧甲”上破了洞，工業(yè)控制系統(tǒng)和設(shè)備被大量暴露在互聯(lián)網(wǎng)上。產(chǎn)生這些破洞的背后“黑手”，來自于大規(guī)模的聯(lián)網(wǎng)以及類似于TCP/IP等通用通信技術(shù)的使用。尤其在物聯(lián)網(wǎng)中，許多企業(yè)的設(shè)備與云端相連，黑客攻擊的渠道更多了，各國被攻擊的設(shè)備數(shù)量呈指數(shù)級上漲。根據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測，截至2017年12月，全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備超過10萬個，和2016年相比大幅增加。

“大量的物聯(lián)網(wǎng)設(shè)備被感染后，不光自身受到黑客控制，在極端的情況下，更可以以一個極大的數(shù)量，成為PC機(jī)之外另一個可能的大規(guī)?！怆u群，對網(wǎng)絡(luò)上的別的目標(biāo)發(fā)起攻擊。”曾勝吾所指的，正是一種威脅工業(yè)信息安全的新模式。

2017年美國發(fā)生的一次大規(guī)?；ヂ?lián)網(wǎng)斷網(wǎng)事件，就是這種新模式的真實(shí)寫照。一個名叫Mirai（中文名“互聯(lián)網(wǎng)破壞者”）的病毒，大規(guī)模地入侵了美國千萬級別的網(wǎng)絡(luò)攝像頭。它的目標(biāo)遠(yuǎn)不是把攝像頭弄壞，而是用千萬級別攝像頭做“肉雞群”來攻擊其他的互聯(lián)網(wǎng)服務(wù)器。當(dāng)互聯(lián)網(wǎng)域名服務(wù)器同時收到像洪水一樣涌來的請求后，服務(wù)器被徹底“沖垮”。美國人第二天早上起來，打開不了臉書，上不了推特，互聯(lián)網(wǎng)大斷網(wǎng)。這也是從工業(yè)設(shè)備入手，最終向互聯(lián)網(wǎng)設(shè)備發(fā)起攻擊的一個很好的例子。

工控滿足IEC 62443全球通行

如果說我國在工控信息安全的法律法規(guī)制定方面走在全球前列，在工控標(biāo)準(zhǔn)方面，歐美國家則走在了世界的前沿。目前，針對工業(yè)自動化和工業(yè)安全，全球最通行的標(biāo)準(zhǔn)是IEC 62443，它被工控業(yè)界視為近10年來最重要的工控信息安全研究及最佳實(shí)踐的總結(jié)。

曾勝吾介紹，IEC 62443的最大意義在于，其非常系統(tǒng)化地將工業(yè)信息安全這個復(fù)雜的話題分解成對業(yè)主、系統(tǒng)集成商和設(shè)備廠家的不同層面的具體要求，并與ISO 27001、 IEC 62351和NIST SP800等多個局部標(biāo)準(zhǔn)配合，形成了一個完整的標(biāo)準(zhǔn)體系。它從產(chǎn)品、系統(tǒng)和運(yùn)營等多個層面系統(tǒng)化地梳理了工控信息安全的短板，并提出相應(yīng)的補(bǔ)強(qiáng)策略，因此，是一個非常值得參考的標(biāo)準(zhǔn)。

據(jù)悉，T?V南德意志集團(tuán)（簡稱“T?V南德”）正是與多家德國頂尖的工控廠家及機(jī)構(gòu)合作，參照IEC 62443國際標(biāo)準(zhǔn)，制定了工控信息安全的一整套認(rèn)證體系。在IEC 62443認(rèn)證方面，T?V南德的成績亮眼：從2016年底開始，它為西門子工業(yè)集團(tuán)的PLC產(chǎn)品系列頒發(fā)工控信息安全產(chǎn)品證書，為能源集團(tuán)的“信息安全的變電站自動化系統(tǒng)”頒發(fā)工控信息安全系統(tǒng)集成商證書，更為西門子全球18個研發(fā)中心頒發(fā)了工控信息安全產(chǎn)品研發(fā)生命周期管理流程證書。

為了幫助國內(nèi)培養(yǎng)緊缺的工控信息安全人才，T?V南德也與權(quán)威國家機(jī)構(gòu)開展合作，為企業(yè)提供公開培訓(xùn)，并為多家核電、電網(wǎng)及工業(yè)自動化企業(yè)開展技術(shù)支持及審核認(rèn)證業(yè)務(wù)?！澳壳埃覀兓ㄗ畲罅庵铝τ谠鯓影堰@些技術(shù)能力本地化?！痹鴦傥嵫a(bǔ)充說。

企業(yè)勤練內(nèi)功勝過“吃藥”

據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測，2017年我國存在的工控安全漏洞達(dá)380個，其中接近60%的漏洞屬于高危漏洞。盡管這些數(shù)據(jù)表明我國工業(yè)信息安全正面臨嚴(yán)峻的形勢，但并不是沒有積極信號，國內(nèi)企業(yè)工業(yè)信息安全的意識逐漸增強(qiáng)就是其中之一。在向智能化轉(zhuǎn)型的過程中，化解工業(yè)信息安全威脅，降低黑客攻擊風(fēng)險，是企業(yè)贏得轉(zhuǎn)型成功的一門必修課。就此，曾勝吾提出了4點(diǎn)建議。

第一，要解決人才問題

工業(yè)信息安全是IT領(lǐng)域信息安全和工業(yè)自動化相結(jié)合的領(lǐng)域，目前幾乎所有這方面的人才要靠企業(yè)培養(yǎng)。企業(yè)在討論工業(yè)信息安全時，要具備使用比較認(rèn)可的語言與工業(yè)信息安全專家、工業(yè)信息安全團(tuán)隊和技術(shù)團(tuán)體互相溝通的能力，才是解決問題的前提，否則就如同“雞同鴨講”。曾勝吾指出，T?V南德開展工業(yè)信息安全公開培訓(xùn)，很大程度上正是從培養(yǎng)人才考出發(fā)，帶動整個產(chǎn)業(yè)向更好方向發(fā)展。

第二，要修煉企業(yè)內(nèi)功

每個企業(yè)需要根據(jù)自身的特點(diǎn)制定相應(yīng)的工業(yè)信息安全策略。曾勝吾指出，目前國內(nèi)很多工控信息安全的關(guān)注點(diǎn)，在于如何通過新增邊界安全防護(hù)設(shè)備、入侵檢測系統(tǒng)等手段保護(hù)信息安全。例如，增加工業(yè)防火墻防止黑客入侵，安裝入侵檢測系統(tǒng)感知系統(tǒng)，增加設(shè)備訪問記錄等。以上基本的邏輯，是通過給“帶病”的工控系統(tǒng)“吃藥”，增強(qiáng)已經(jīng)投運(yùn)的工控系統(tǒng)的安全性。這種思路，針對的是正在運(yùn)行的大量存量系統(tǒng)。

但是，國際上更加看重的是從研發(fā)階段入手進(jìn)行防范。以IEC 62443為例，從研發(fā)開始最大限度地保證工控產(chǎn)品的質(zhì)量，持續(xù)提供信心安全的技術(shù)支持，最大限度地保證系統(tǒng)有合理的設(shè)計，集成過程擁有有效的控制；在系統(tǒng)交付給業(yè)主后，在運(yùn)營、維護(hù)和拆毀各個環(huán)節(jié)有相應(yīng)的操作規(guī)程。

信息安全具有非常典型的短板效應(yīng)，在工業(yè)信息安全幾個不同的維度上，最弱的那個維度決定了最終的安全級別。對于正在運(yùn)行的存量系統(tǒng)，IEC 62443和ISO 27001 從業(yè)主角度出發(fā)，給出了一套自上而下對于系統(tǒng)設(shè)計、設(shè)備選型的科學(xué)做法。其通過標(biāo)準(zhǔn)系統(tǒng)化的梳理，找出相對薄弱的維度進(jìn)行加強(qiáng)，才能做到“對癥下藥”，以最小的代價，取得最大的效果。

“強(qiáng)身健體靠的是IEC 62443和ISO 27001，這才是企業(yè)修煉內(nèi)功的過程。” 曾勝吾強(qiáng)調(diào)。

第三，要從源頭把握安全

企業(yè)在整個產(chǎn)品全生命周期，要把信息安全通盤考量進(jìn)去，從源頭重視工業(yè)信息。

第四，要關(guān)注標(biāo)準(zhǔn)和政策制定過程

這是曾勝吾對所有工業(yè)信息安全從業(yè)者的一個比較強(qiáng)烈的建議。他認(rèn)為，標(biāo)準(zhǔn)和政策會對企業(yè)未來的生產(chǎn)運(yùn)營帶來直接影響。目前國內(nèi)比較重要的、與IEC 62443對口的標(biāo)準(zhǔn)委員會是全國工業(yè)過程測量控制和自動化標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC124）和國家信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260），相關(guān)政策制定方面是中央網(wǎng)信辦。以上，企業(yè)需全面參與，擇其門而入。