摘要：在新基建和工業(yè)互聯(lián)網(wǎng)的大趨勢下，如何應對隨之而來(lái)的工業(yè)信息安全風(fēng)險？施耐德電氣倡導遵循相關(guān)的國際和國家標準，貫徹縱深防 御策略，以對工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)的建設提供全生命周期的防護。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng)安全；工控信息安全；縱深防御

Abstract: At the era of New Infrastructure and Industrial Internet, how to deal with the industrial cybersecurity risks? Schneider Electric advocates to follow related international and national standards, and implement Defense-in-Depth strategy to provide full lifecycle protection and assurance for industrial enterprises and industrial Internet construction.

Key words: Industrial Internet security; IACS(Industry Automation Cybersecurity); Defense in depth

1 概述

隨著(zhù)互聯(lián)網(wǎng)技術(shù)對社會(huì )和經(jīng)濟的巨大推進(jìn)和影響，傳統工業(yè)領(lǐng)域也逐漸開(kāi)始利用越來(lái)越通用、經(jīng)濟和成熟的網(wǎng)絡(luò )通訊、大數據存儲和處理、人工智能等前沿技術(shù)來(lái)提高運營(yíng)過(guò)程的效率。傳統的運營(yíng)技術(shù)（OT）與信息技術(shù)（IT）、通訊技術(shù)（CT）以及數據技術(shù)（DT）開(kāi)始逐漸融合，并與工業(yè)互聯(lián)網(wǎng)一同優(yōu)化工業(yè)企業(yè)的生產(chǎn)過(guò)程以及能源利用效率，成為工業(yè)企業(yè)新的增長(cháng)引擎。

在工業(yè)互聯(lián)網(wǎng)成為新基建的大環(huán)境大趨勢下，在工業(yè)企業(yè)致力推進(jìn)工業(yè)企業(yè)數字化和智能化轉型的同時(shí)，越來(lái)越多的工業(yè)控制系統從封閉走向開(kāi)放，從信息孤島走向互聯(lián)互通，從獨立運行走向協(xié)同，因此在為企業(yè)節能、優(yōu)化和增效的同時(shí)，也引入了信息安全的風(fēng)險。

如何提升已經(jīng)運行多年的工業(yè)控制系統的信息安全防護能力，有效防護對工業(yè)控制系統層出不窮的網(wǎng)絡(luò )攻擊，是工業(yè)用戶(hù)需要面對的巨大挑戰。

2 工業(yè)信息安全的挑戰

2.1 OT和IT系統信息安全的差異

盡管在IT領(lǐng)域內已經(jīng)有很成熟的信息安全防護技術(shù)、方案、軟硬件產(chǎn)品和服務(wù)，也不斷地涌現創(chuàng )新技術(shù)和產(chǎn)品，但直接將IT領(lǐng)域內的信息安全實(shí)踐直接應用于OT領(lǐng)域內會(huì )導致極大風(fēng)險。這絕不僅僅是因為眾所周知的信息安全C.I.A.（保密性Confidentiality，完整性Integrity，可用性Availability）三要素在IT和OT領(lǐng)域中優(yōu)先級的不同（IT環(huán)境中：保密性>完整性>可用性，而OT環(huán)境中：可用性>完整性>保密性），而需要更加深刻地認識到IT和OT信息安全防護的對象不同，所處的環(huán)境不同，采用的技術(shù)不同，運營(yíng)和維護方式不同，生命周期不同，停機或故障甚至性能下降可能導致的結果不同，因此在面對OT系統時(shí)，不能孤立地考慮系統的信息安全（Security），還應該考慮部署在OT系統的信息安全防護產(chǎn)品是否會(huì )對系統的可用性、可靠性、實(shí)時(shí)性、確定性、耐久性、連續性、魯棒性等固有屬性造成影響，避免為了實(shí)現信息安全（Security）最終導致功能安全（Safety）的問(wèn)題，從而造成對正常生產(chǎn)運營(yíng)，甚至是資產(chǎn)、人員、環(huán)境的影響。

2.2 全生命周期保障

工控系統的生命周期通常很長(cháng)，可以達到15年甚至20多年，這給針對工控系統的信息安全防護帶來(lái)很大困難。首先，這么長(cháng)的生命周期以及其良好的可靠性意味著(zhù)現役的很多工控系統使用的是10多年前的產(chǎn)品或技術(shù)，部署時(shí)產(chǎn)品和系統層面都很少會(huì )考慮信息安全風(fēng)險及防護，而對存量系統進(jìn)行信息安全升級則需要充分考慮對現有系統可能造成的影響。其次，部署在工控系統的信息安全防護產(chǎn)品須能夠和工控系統有相同的生命周期且能夠適應工業(yè)應用環(huán)境，才能為工控系統長(cháng)期提供防護，至少不應成為系統可能的故障點(diǎn)或風(fēng)險點(diǎn)。最后，工控系統過(guò)長(cháng)的生命周期導致了系統會(huì )在不同的時(shí)期必須面對不同的內部和外部安全威脅和風(fēng)險：對外，如何防御網(wǎng)絡(luò )攻擊技術(shù)發(fā)展而層出不窮的新攻擊技術(shù)和手段；對內，如何緩解系統組件（PLC、操作系統、應用程序）甚至是信息安全防護產(chǎn)品本身由新發(fā)現的漏洞導致的風(fēng)險。

2.3 無(wú)擾、高可用性要求下的動(dòng)態(tài)信息安全防護

為了應對以上挑戰，工業(yè)企業(yè)需要建設動(dòng)態(tài)的、能夠在全生命周期范圍內對系統進(jìn)行有效信息安全的防護體系。而該體系建立的關(guān)鍵基礎是意識、人和知識。只有深刻意識到信息安全問(wèn)題對工業(yè)企業(yè)的傷害力，意識到信息安全已經(jīng)成為工業(yè)互聯(lián)網(wǎng)的必備要素和基礎技術(shù)，才會(huì )在推進(jìn)工業(yè)互聯(lián)網(wǎng)時(shí)同步進(jìn)行信息安全建設；而只有具備專(zhuān)業(yè)IT+OT+安全知識技能的專(zhuān)家，才能夠在構建信息安全防護體系的同時(shí)，不對現有的控制系統造成任何影響，從而保證生產(chǎn)的安全連續運營(yíng)。

3 施耐德電氣建議

3.1 遵循信息安全標準

信息安全領(lǐng)域的國際標準和國家標準由工業(yè)領(lǐng)域的用戶(hù)，工業(yè)產(chǎn)品和服務(wù)提供商，信息安全產(chǎn)品和服務(wù)提供商以及相關(guān)管理機構的專(zhuān)家針對需要面對的工業(yè)信息安全挑戰而制定，可以為最終用戶(hù)，產(chǎn)品供應商和服務(wù)供應商的信息安全實(shí)踐提供良好的指導以及最佳實(shí)踐。

施耐德電氣倡導工業(yè)用戶(hù)遵循開(kāi)放的國際/國家標準以應對越來(lái)越重要的工業(yè)信息安全風(fēng)險，如：ISA/IEC 62443系列標準，網(wǎng)絡(luò )安全等級保護系列標準等。

ISA/IEC 62443系列標準是國際公認的最適宜應用在工業(yè)自動(dòng)化和控制系統領(lǐng)域的標準，施耐德電氣遵循ISA/IEC 62443-4-1，建立安全開(kāi)發(fā)生命周期流程，基于ISA/IEC 62443-4-2在OT產(chǎn)品中內置信息安全特性，并基于ISA/IEC 62443-3-3為OT系統提供全生命周期的系統級信息安全防護能力。部分IEC 62443系列標準已被等同轉換為國標，如GB/T33007-2016、GB/T35673-2017等，還有一些在轉換過(guò)程中。

作為ISA全球信息安全聯(lián)盟創(chuàng )始成員之一，施耐德電氣致力于：

（1）倡導在工業(yè)控制系統中使用ISA/IEC 62443系列標準，并推動(dòng)標準的應用；

（2）更好的行業(yè)協(xié)同，為人員、流程和技術(shù)提供保護和保障；

（3）履行在網(wǎng)絡(luò )安全領(lǐng)域促進(jìn)公開(kāi)、知識共享、教育和宣傳，推動(dòng)必要變革的承諾；

（4）提升助力客戶(hù)建立并符合基于標準的最佳流程、實(shí)踐和策略的能力。

3.2 貫徹縱深防御策略

施耐德電氣倡導的縱深防御策略有助于有效防御信息安全攻擊?？v深防御遵循國際和國家標準，通過(guò)集成信息安全體系的不同要素，構建多層次、多技術(shù)的防護體系，對控制系統進(jìn)行立體的信息安全防護。

縱深防御策略的貫徹，一方面可以避免因其中某層 防護手段或某個(gè)安全防護設備失效或被攻破（如邊界防火墻被攻破），系統全面淪陷的局面；另一方面可以為OT系統全生命周期范圍內安全運維提供極大的便利，不僅可以幫助用戶(hù)在OT系統不停止運營(yíng)無(wú)法打補丁的情況下緩解系統或設備新出現的漏洞，甚至本身就可以對某些漏洞進(jìn)行有效防范。例如：使用設備加固的方式減小攻擊面，關(guān)閉OT或IoT設備的HTTP、FTP、SNMP等協(xié)議以及相應端口，即使不打補丁，也可以有效地防護這些漏洞不被利用；使用通訊白名單或防火墻等其它不同的防護手段，同樣可以針對不同漏洞進(jìn)行有效防范。

如圖1所示，基于縱深防御策略，施耐德電氣倡導：

（1）從人員、流程和技術(shù)三個(gè)信息安全防護的核心要素出發(fā)，通過(guò)信息安全政策和流程規范工業(yè)控制系統的建設、運營(yíng)和維護，并結合信息安全技術(shù)手段，對工業(yè)控制系統及其核心資產(chǎn)和安全運營(yíng)進(jìn)行有效防護；

（2）采用不同的技術(shù)手段，從訪(fǎng)問(wèn)、加固、偵測和應對四個(gè)方面對工控系統進(jìn)行綜合防護，保障系統的信息安全和業(yè)務(wù)連續；

（3）采用全生命周期信息安全防護，對工業(yè)控制系統的整個(gè)生命周期進(jìn)行周期性的評估、設計、實(shí)施、監視和維護，輔以信息安全意識、技術(shù)和運維培訓，實(shí)現信息安全防護能力的螺旋上升。

圖1 縱深防御策略

施耐德電氣縱深防御提供不同的技術(shù)手段，從訪(fǎng)問(wèn)、加固、偵測和應對四個(gè)方面對工控系統進(jìn)行綜合防護，保障系統的信息安全和業(yè)務(wù)連續，如圖2所示。

圖2 施耐德電氣縱深防御從四個(gè)方面進(jìn)行綜合防護

（1）訪(fǎng)問(wèn)：通過(guò)物理、網(wǎng)絡(luò )、鑒別等技術(shù)手段對工業(yè)控制系統進(jìn)行隔離、訪(fǎng)問(wèn)控制，避免非授權訪(fǎng)問(wèn)引起的信息安全事件；

（2）加固：通過(guò)信息安全防護軟件、硬件和服務(wù)等技術(shù)手段對工業(yè)控制系統的核心資產(chǎn)和組件進(jìn)行多重防護和加固；

（3）偵測：對控制系統的網(wǎng)絡(luò )、主機、設備等運行環(huán)境和狀態(tài)進(jìn)行主動(dòng)的狀態(tài)檢測，動(dòng)態(tài)識別工業(yè)控系統安全運營(yíng)風(fēng)險，并進(jìn)行安全預警；

（4）應對：針對工業(yè)控制系統的信息安全事件進(jìn)行快速響應、緩解攻擊并保障業(yè)務(wù)連續的能力、系統。

4 施耐德電氣的信息安全實(shí)踐

4.1 端到端的信息安全

作為運營(yíng)技術(shù)（OT）的領(lǐng)導者和工業(yè)企業(yè)數字化轉型的驅動(dòng)者，施耐德電氣將“端到端的信息安全”落實(shí)到其提出的開(kāi)放的、針對工業(yè)互聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)的系統平臺架構，為進(jìn)一步打通互連互通的產(chǎn)品、邊緣控制以及應用、分析和服務(wù)三層提供了信息安全防護保障，為樓宇、數據中心、工業(yè)和基礎設施領(lǐng)域內的工業(yè)互聯(lián)網(wǎng)建設以及全生命周期的運營(yíng)提供了信息安全保障，如圖3所示。

圖3 施耐德電氣EcoStruxure架構

4.2 多層次信息安全保障

施耐德電氣基于EcoStruxure架構的端到端的信息安全，為工業(yè)用戶(hù)在全生命周期的范圍內提供三個(gè)層次的信息安全，保障用戶(hù)的數字化轉型和工業(yè)互聯(lián)網(wǎng)的建設，同時(shí)幫助用戶(hù)應對日益嚴峻的信息安全挑戰，如圖4所示。

圖4 多層次信息安全保障

（1）原生產(chǎn)品安全

施耐德電氣在研發(fā)端采用了安全開(kāi)發(fā)生命周期（SDL）方法，不僅可以保證原生OT產(chǎn)品在發(fā)布時(shí)就集成必要的信息安全能力，并通過(guò)了國際和國內的信息安全認證（如ISASecure ESDA，Achilles，國家工業(yè)控制系統與產(chǎn)品安全質(zhì)量監督檢驗中心），還可以對OT產(chǎn)品提供全生命周期的信息安全保障，在產(chǎn)品被發(fā)現有信息安全漏洞時(shí)，通過(guò)相應的流程來(lái)進(jìn)行安全的更新，如圖5所示。

圖5 安全開(kāi)發(fā)生命周期（SDL）方法

（2）系統交付安全

施耐德電氣針對項目和服務(wù)交付制定了嚴格的流程，從而保證在項目和服務(wù)交付過(guò)程中不會(huì )給客戶(hù)引入新的信息安全風(fēng)險。

（3）安全服務(wù)解決方案

針對不具備信息安全防護能力或需要增強防護能力的在運行系統，施耐德電氣可以為工業(yè)用戶(hù)提供基于縱深防御策略的全生命周期解決方案，針對工業(yè)控制系統的業(yè)務(wù)邏輯進(jìn)行邊界隔離、安全審計、災難恢復、遠程安全訪(fǎng)問(wèn)等信息安全防護手段，在不影響業(yè)務(wù)正常運行的前提下，有效提升信息安全防護能力。

4.3 信息安全服務(wù)

4.3.1 全生命周期服務(wù)

針對工業(yè)控制系統服役生命周期長(cháng)的特點(diǎn)，施耐德電氣推薦使用全生命周期的方法，定期對目標系統進(jìn)行評估，找出信息安全風(fēng)險以及目標和現狀之間的差距，并針對風(fēng)險進(jìn)行相應設計以緩解風(fēng)險對系統造成的影響，按照設計進(jìn)行實(shí)施，監視內部系統安全運營(yíng)狀況以及外部威脅，并及早維護，并輔以貫穿全生命周期的信息安全意識和技能培訓，如圖6所示。

圖6 全生命周期方法

（1）評估：針對工業(yè)控制系統進(jìn)行差距分析和信息安全風(fēng)險評估，找到現狀與企業(yè)信息安全目標之間的差距；找到通過(guò)信息安全防護的關(guān)鍵資產(chǎn)，進(jìn)行風(fēng)險和威脅分析；并對標現有的信息安全法律法規和標準，進(jìn)行合規分析。

（2）設計：根據評估的結果，以縱深防御為理念，按照相應的信息安全防護等級對工業(yè)控制系統的信息安全系統架構進(jìn)行設計，對工控系統的關(guān)鍵資產(chǎn)、運營(yíng)可用性，以及業(yè)務(wù)連續性進(jìn)行防護和保障。

（3）實(shí)施：根據設計的結果，對工業(yè)控制系統的信息安全防護進(jìn)行相應的軟硬件部署和實(shí)施，從而達到企業(yè)信息安全目標。

（4）監視：針對外部威脅情報和內部工業(yè)控制系統生產(chǎn)運營(yíng)進(jìn)行信息安全相關(guān)事件監視，對信息安全事件或風(fēng)險進(jìn)行預警和預判，通過(guò)預防性維護降低企業(yè)信息安全風(fēng)險。

（5）維護：對工業(yè)控制系統進(jìn)行相應的補丁/病毒庫升級、安全策略調整以應對新的外部威脅，從而達到預防性維護的目的；響應系統信息安全事件并通過(guò)系統的備份和災難恢復保障業(yè)務(wù)連續性等。

（6）培訓：對企業(yè)全員進(jìn)行初級的信息安全意識培訓，針對工業(yè)控制系統的運營(yíng)維護工程師提供中級到高級相關(guān)的培訓。

4.3.2 基于縱深防御的信息安全系統架構

針對不具備信息安全防護能力或需要增強防護能力的在運行系統，施耐德電氣可以為工業(yè)用戶(hù)提供基于縱深防御策略的全生命周期解決方案，針對工業(yè)控制系統的業(yè)務(wù)邏輯進(jìn)行信息安全防護設計，部署用戶(hù)鑒別、訪(fǎng)問(wèn)控制、邊界隔離、安全分區、安全審計、災難恢復、遠程安全訪(fǎng)問(wèn)等安全防護手段，在保證不影響系統業(yè)務(wù)正常運營(yíng)的前提下，有效地提高系統的信息安全防護能力，并符合國家以及相關(guān)主管部門(mén)的法律法規和標準。

施耐德電氣基于縱深防御策略的解決方案可以通過(guò)一次實(shí)施對控制系統進(jìn)行全面的防護，也可以根據用戶(hù)的運營(yíng)費用計劃進(jìn)行統一規劃，分步實(shí)施，按照優(yōu)先級模塊化實(shí)施網(wǎng)絡(luò )隔離、邊界防護、網(wǎng)絡(luò )分區、設備加固、安全審計、災難備份等安全組件，如圖7所示。

圖7 基于縱深防御的信息安全系統架構

5 總結

“以發(fā)展促安全，以安全保發(fā)展”，在新基建和工業(yè)互聯(lián)網(wǎng)的大背景下，信息安全已經(jīng)不再是可選項，而是重要的基礎技術(shù)之一。工業(yè)信息安全不僅保障OT系統安全、高效的生產(chǎn)運營(yíng)，更加可以保障、工業(yè)企業(yè)人員、資產(chǎn)和環(huán)境的安全，保障企業(yè)的工業(yè)互聯(lián)網(wǎng)建設并支持企業(yè)可持續發(fā)展。

為了保障工業(yè)互聯(lián)網(wǎng)的建設，應對愈演愈烈的信息安全挑戰，工業(yè)企業(yè)首先要有安全意識，建設和積累自己的知識和技能，并遵循國際和國家標準，在企業(yè)的政策、流程和技術(shù)上進(jìn)行投入，建設縱深防御的信息安全防護體系，在全生命周期范圍內對工業(yè)企業(yè)的人員、資產(chǎn)、環(huán)境和生產(chǎn)運營(yíng)進(jìn)行信息安全防護。

作者簡(jiǎn)介：

裴淵斗，施耐德電氣工業(yè)自動(dòng)化和工控信息安全專(zhuān)家，獲的IAS/IEC 62443和CISP認證，有20多年的工業(yè)自動(dòng)化領(lǐng)域從業(yè)經(jīng)歷，熟悉DCS、SIS、PLC、SCADA、HMI等工業(yè)自動(dòng)化產(chǎn)品，曾參與多個(gè)行業(yè)的工業(yè)信息安全建設以及國家工業(yè)信息安全的標準化工作。

王 勇，施耐德電氣首席安全官，國內資深工業(yè)自動(dòng)化以及工控信息安全專(zhuān)家，有超過(guò)30年的工業(yè)自動(dòng)化經(jīng)驗，曾參與編寫(xiě)多個(gè)工業(yè)自動(dòng)化和工業(yè)信息安全的國際和國家標準。

摘自《自動(dòng)化博覽》2020年8月刊