丁海驁
隨著工業(yè)物聯(lián)網(wǎng)的出現(xiàn),數(shù)字化技術(shù)對于工業(yè)領(lǐng)域的影響就開始逐漸滲透到其整個(gè)產(chǎn)業(yè)鏈當(dāng)中。對于工業(yè)企業(yè)而言,這就意味著:在為數(shù)據(jù)打開了一扇自由流動(dòng)的門,為發(fā)掘數(shù)據(jù)的價(jià)值提供有效工具的同時(shí),以往被認(rèn)為只是在互聯(lián)網(wǎng)虛擬世界中存在的黑客、勒索軟件,正在迅速滲透到現(xiàn)實(shí)世界的工廠和企業(yè),并且已經(jīng)有能力直接威脅工業(yè)企業(yè)正常的業(yè)務(wù)運(yùn)轉(zhuǎn)。因此對于廣大的、考慮使用或已經(jīng)使用工業(yè)互聯(lián)網(wǎng)平臺實(shí)踐數(shù)字化轉(zhuǎn)型的工業(yè)企業(yè)而言:面對那些身居陰暗角落的居心不良者,缺乏信息安全措施的數(shù)字化應(yīng)用,無異于稚子懷金過市。所以構(gòu)建一個(gè)值得信賴的網(wǎng)絡(luò)、數(shù)據(jù)安全架構(gòu)就顯得迫在眉睫。
解決新問題最好的方式,是利用舊有的經(jīng)驗(yàn)。與企業(yè)OT所有面臨的網(wǎng)絡(luò)數(shù)據(jù)安全一樣,以往在IT世界里,已經(jīng)存在了一整套相對完整的安全架構(gòu)邏輯、技術(shù)和解決方案,那么在強(qiáng)調(diào)IT和OT走向融合的數(shù)字化時(shí)代,IT安全和OT安全到底是怎樣的關(guān)系呢?
有一種觀點(diǎn)認(rèn)為,從技術(shù)、應(yīng)用、架構(gòu)邏輯等各個(gè)曾經(jīng),IT安全和OT安全實(shí)際上是完全不同的兩套體系。
持這種觀點(diǎn)的人強(qiáng)調(diào)兩者有三點(diǎn)最大的區(qū)別:首先,從技術(shù)上上,IT的應(yīng)用主要是基于常見的Windows、Linux等一些操作系統(tǒng)中,往往都是基于通用CPU平臺或服務(wù)器;而OT系統(tǒng)是工控安全,往往采用專業(yè)化程度或定制化程度較高的一些系統(tǒng),同時(shí),由于OT系統(tǒng)的數(shù)據(jù)傳輸協(xié)議與傳統(tǒng)的IT使用協(xié)議TCP/IP也不同。第二,從應(yīng)用邏輯來看,IT系統(tǒng)和OT系統(tǒng)對于信息安全系統(tǒng)需求也有本質(zhì)差異:IT系統(tǒng)對于信息安全系統(tǒng)的要求,是機(jī)密性,保障數(shù)據(jù)的安全;而對于工業(yè)控制系統(tǒng)(OT)而言,其對于信息安全的首要目標(biāo),是保證系統(tǒng)的可用性,即要確保生產(chǎn)線的持續(xù)運(yùn)轉(zhuǎn),要保證生產(chǎn)流程的完整性。例如信息安全系統(tǒng)中最常見的防病毒功能,IT技術(shù)的“防病毒”采用的是黑名單方式,而OT系統(tǒng)需要采用白名單方式——兩者的區(qū)別在于:黑名單方式是一種“滯后”的解決問題的思路,要保證同樣的問題不再發(fā)生;而白名單制度則針對的是保障系統(tǒng)“絕對安全”的思路,盡最大可能保障OT系統(tǒng)的可用性。第三,從系統(tǒng)應(yīng)用場景上看,OT系統(tǒng)設(shè)定的生命周期更長,因此在工業(yè)企業(yè)的控制系統(tǒng)當(dāng)中,老舊設(shè)備和系統(tǒng)更多,這些設(shè)備和系統(tǒng)往往不僅自身缺少足夠的計(jì)算性能和存儲(chǔ)空間的冗余設(shè)計(jì),而且系統(tǒng)多樣性也更復(fù)雜。這就造成與IT系統(tǒng)相比,OT系統(tǒng)不僅本身很難部署信息安全系統(tǒng),防病毒能力比較弱,所以在采用信息安全系統(tǒng),必須考慮兼容性的問題,以滿足不同跨年代設(shè)備的需求。
總地來說,持“OT安全與IT安全截然不同”觀點(diǎn)的人認(rèn)為:傳統(tǒng)IT系統(tǒng)所提供的信息安全解決方案,難以滿足工業(yè)企業(yè)對于工業(yè)互聯(lián)網(wǎng)的信息安全需求的。
“我們首先是強(qiáng)調(diào)IT安全、OT安全的具有共性的,比較不贊同一種觀點(diǎn),就是認(rèn)為將OT安全和IT安全認(rèn)為撕裂開?!盕ortinet 北亞區(qū)首席技術(shù)顧問譚杰在2022工業(yè)互聯(lián)網(wǎng)安全發(fā)展峰會(huì)上接受筆者提問時(shí)強(qiáng)調(diào):IT安全與OT安全的共性特征需要被重視。
譚杰分析說:最初10年前,F(xiàn)ortinet開始做OT安全時(shí),一個(gè)簡單的OT防火墻在很多企業(yè)也沒有辦法部署,因?yàn)楫?dāng)時(shí)企業(yè)OT系統(tǒng)使用的都不是TCP/IP協(xié)議,因此當(dāng)時(shí)的確存在OT技術(shù)與IT技術(shù)層面深刻的差異?!翱墒鞘嗄赀^去,很多新的OT系統(tǒng),包括一些老系統(tǒng)的改造,基本上都變成了TCP/IP協(xié)議——OT系統(tǒng)與IT的融合,正在加速且這樣的趨勢也越來越明顯。”譚杰強(qiáng)調(diào),事實(shí)上,通過在工業(yè)領(lǐng)域中大力推進(jìn)智能制造、互聯(lián)網(wǎng)+和工業(yè)物聯(lián)網(wǎng)等應(yīng)用平臺,企業(yè)的一些業(yè)務(wù)已經(jīng)越來越IT化,“甚至從國內(nèi)觀察到一些頭部企業(yè)的OT系統(tǒng),已經(jīng)開始采用包括人工智能、數(shù)字孿生、云原生服務(wù)等新興IT技術(shù),用得甚至比IT企業(yè)還要更靠前。”
在譚杰看來,與技術(shù)層面的互相融合相對應(yīng),IT系統(tǒng)與OT系統(tǒng)更重要的共性關(guān)系,是兩者面臨的安全也趨同,即兩者同樣都是面臨來自網(wǎng)絡(luò)端的遠(yuǎn)程入侵和病毒。因此在OT和IT本身就強(qiáng)調(diào)融合的趨勢下,“自然OT的安全思路跟IT的安全思路基本上也應(yīng)該在大思路是相同的?!弊T杰認(rèn)為目前在IT安全領(lǐng)域談到比較多的“把所有的安全環(huán)節(jié)融入到整個(gè)網(wǎng)絡(luò)和業(yè)務(wù)的各個(gè)環(huán)節(jié)當(dāng)中去”,通過基于大數(shù)據(jù)、人工智能、機(jī)器學(xué)習(xí),做智能化的計(jì)算、分析和聯(lián)動(dòng)的方式,實(shí)現(xiàn)“去中心化的數(shù)字安全網(wǎng)絡(luò)架構(gòu)”,構(gòu)建一個(gè)彈性化、場景化的網(wǎng)絡(luò)安全框架,同樣適用于OT安全系統(tǒng)。
“另外還需要強(qiáng)調(diào)一點(diǎn):我們同樣需要重視、尊重OT安全的特殊性,并對此保持一份敬畏之心?!弊T杰認(rèn)為,雖然從邏輯上應(yīng)該首先認(rèn)同OT系統(tǒng)和IT系統(tǒng)的關(guān)聯(lián)性,但是依然需要關(guān)注到兩者的區(qū)別:“那些通過那IT安全解決方案稍微改改,加一些OT業(yè)務(wù)系統(tǒng)相關(guān)的特征,就拿來作為OT安全的解決方案,是嚴(yán)重缺乏了對OT系統(tǒng)的尊重和敬畏。”
在當(dāng)天的演講當(dāng)中,F(xiàn)ortinet中國區(qū)技術(shù)總監(jiān)張略就用了很大的篇幅在討論OT安全系統(tǒng)與IT安全系統(tǒng)之間的區(qū)別,以及OT安全系統(tǒng)的特殊性問題。
張略認(rèn)為,OT安全系統(tǒng)特殊性,首先體現(xiàn)在對機(jī)密性、完整性和可用性三者權(quán)衡中的權(quán)重,與IT系統(tǒng)不同?!霸贠T當(dāng)中,我們認(rèn)為可用性要求最高,因?yàn)闊o論如何不能讓生產(chǎn)線中斷,不能讓石油管道停止輸油,不能讓電網(wǎng)停止供電,無論是采取什么樣的措施都不能發(fā)生這樣的事情。所以我們認(rèn)為可用性的要求在OT網(wǎng)絡(luò)當(dāng)中最高的。相對而言,在IT網(wǎng)絡(luò)里面,我們認(rèn)為機(jī)密性的要求更高一些,因?yàn)镮T網(wǎng)絡(luò)收郵件遲一分鐘應(yīng)該沒有什么太多的感觸,但是如果郵件內(nèi)容被泄露到外面這是一個(gè)比較大的安全事件?!?/p>
張略列舉了與IT安全系統(tǒng)相比,OT系統(tǒng)在網(wǎng)絡(luò)延遲實(shí)時(shí)性、組件生命周期、補(bǔ)丁計(jì)劃、安全測試與審計(jì)、安全意識等方面的差異:“以制造業(yè)為例,如果在車間里面進(jìn)行操作的時(shí)候,因?yàn)榫W(wǎng)絡(luò)延時(shí)導(dǎo)致流程上的之后,會(huì)導(dǎo)致良品率的下降,甚至更加嚴(yán)重的后果;而且對于企業(yè)OT系統(tǒng)而言,組件的生命周期一般為10年以上,這對于3~5年就實(shí)現(xiàn)更新的IT系統(tǒng),是難以想象的。至于為何在OT安全系統(tǒng)中為安全漏洞打補(bǔ)丁更難?那是因?yàn)樵贠T網(wǎng)絡(luò)中,老舊設(shè)備跟多,很少有人能夠百分之百確定打了補(bǔ)丁后,整個(gè)生產(chǎn)線還能繼續(xù)正常運(yùn)行?!倍@也是張略認(rèn)為在OT系統(tǒng)中只能偶爾進(jìn)行安全測試和審計(jì)的重要原因:“在IT系統(tǒng)當(dāng)中,掃描一下知道現(xiàn)在有多少個(gè)設(shè)備;但是在OT系統(tǒng)中沒人敢隨便掃描,因?yàn)楹芸赡芤粧呙?,就?huì)影響設(shè)備正常工作了?!?/p>
既有通用融合的部分,也有區(qū)別個(gè)性的需求。張略在演講中提到“Purdue模型分層框架”,在這一框架中,企業(yè)的整個(gè)OT+IT系統(tǒng),從內(nèi)向外被分成4個(gè)區(qū)域:生產(chǎn)區(qū)、控制區(qū)、集團(tuán)區(qū)和外部區(qū)域。其中,在生產(chǎn)區(qū)主要是OT系統(tǒng)控制的區(qū)域,這里主要是OT系統(tǒng)控制的區(qū)域,包括HMI、PLC、控制器、執(zhí)行設(shè)備等構(gòu)成,是OT安全系統(tǒng)主要的工作區(qū)域;向上的控制區(qū),是OT系統(tǒng)和IT系統(tǒng)融合的部分,是MES、ERP等系統(tǒng)發(fā)布收集數(shù)據(jù)并向生產(chǎn)區(qū)傳遞數(shù)據(jù)的區(qū)域;集團(tuán)區(qū)主要是企業(yè)內(nèi)部的數(shù)據(jù)中心和應(yīng)用中心,這里主要是企業(yè)內(nèi)部的IT技術(shù)架構(gòu)區(qū)域,是IT安全系統(tǒng)重點(diǎn)部署的領(lǐng)域,最后,外部區(qū)域則是包括互聯(lián)網(wǎng)、云計(jì)算等公共IT能力的廣泛存在的區(qū)域。
“Fortinet的OT安全解決方案,就是通過將我們的Security Fabric結(jié)合Purdue模型,做了一個(gè)針對性的安全框架設(shè)計(jì)?!痹趶埪缘慕榻B中,F(xiàn)ortinet的OT安全解決方案基于Purdue模型,由下向上設(shè)置了四條“安全系統(tǒng)執(zhí)法邊界”:第一條在生產(chǎn)區(qū)設(shè)定了物理隔離區(qū)域和相關(guān)控制系統(tǒng)邊界作為第一條主要安全執(zhí)法邊界,設(shè)定安全區(qū)域,保障生產(chǎn)區(qū)安全;向上,在生產(chǎn)區(qū)和控制區(qū)之間,設(shè)置了第二條次要執(zhí)法區(qū)域,通過設(shè)定工控系統(tǒng)邊界建立過程控制區(qū)域;第三條執(zhí)法邊界在工業(yè)互聯(lián)網(wǎng)的控制區(qū)域和IT系統(tǒng)區(qū)域之間,這條被稱為OT邊界的主要執(zhí)法邊界,用于操作和控制全部的OT區(qū)域安全;最后,在企業(yè)集團(tuán)區(qū)和外部區(qū)域之間,再建立一條IT邊界作為主要執(zhí)法區(qū)域,用于保障企業(yè)的業(yè)務(wù)和企業(yè)安全邊界。
“IT邊界是整個(gè)企業(yè)IT邊界和互聯(lián)網(wǎng)的邊界;OT邊界是IT于OT之間、IT網(wǎng)絡(luò)與工廠網(wǎng)絡(luò)之間的邊界;工控系統(tǒng)邊界則是工廠的工控系統(tǒng)和真正工業(yè)控制器交匯的邊界……我們的做法,是通過這樣幾條邊界,對企業(yè)進(jìn)行區(qū)域隔離。進(jìn)而在做網(wǎng)絡(luò)準(zhǔn)入審核,對應(yīng)用系統(tǒng)的防護(hù),再進(jìn)一步是針對遠(yuǎn)程訪問者、控制者進(jìn)行零信任的相關(guān)防護(hù)。在這樣一整套安全體系構(gòu)建比較充分情況下,我們還可以引入更加智能和更加高級的防護(hù):針對與工控網(wǎng)絡(luò)當(dāng)中識別應(yīng)用以及識別應(yīng)用中所攜帶參數(shù)是否合理,建立基線和安全策略。最終,通過對端點(diǎn)的保護(hù),實(shí)現(xiàn)對老舊操作系統(tǒng)的安全防護(hù)?!?/p>
事實(shí)上,對于工業(yè)企業(yè)而言,認(rèn)識到OT安全的重要性和了解OT安全架構(gòu)的基本方法論同樣重要,因?yàn)閷τ诰唧w的安全架構(gòu)建設(shè)和解決方案實(shí)施部署等工作,專業(yè)化程度依然偏高,仍人需要專業(yè)的團(tuán)隊(duì)來完成。張略在采訪中強(qiáng)調(diào):到目前為止,OT安全系統(tǒng)和IT安全系統(tǒng)在應(yīng)用過程中還是存在差異:對于IT環(huán)境來說,發(fā)現(xiàn)高危的漏洞系統(tǒng)會(huì)進(jìn)行自動(dòng)發(fā)現(xiàn)、自動(dòng)阻斷,不需要人為參與;而在OT環(huán)境中,”如果發(fā)現(xiàn)一次攻擊,監(jiān)控會(huì)通知人類管理員,管理員需要仔細(xì)去查看和確認(rèn)攻擊是真實(shí)還是誤報(bào):如果是誤報(bào),可以進(jìn)行策略的修訂;如果是真實(shí)攻擊,則需要從源頭上,找到攻擊源并將其解決掉,而不是簡單地直接處理掉。因?yàn)閷τ贠T網(wǎng)絡(luò)來說,誤攔截是一個(gè)非常嚴(yán)重的問題,所以我們必須要專業(yè)而謹(jǐn)慎的處理?!?/p>