和利時(shí)信息安全研究院總經(jīng)理樂(lè )翔

工業(yè)信息安全未來(lái)趨勢

近年來(lái)，隨著(zhù)工業(yè)化和信息化的深度融合，工業(yè)互聯(lián)網(wǎng)與智能制造迅猛發(fā)展，各類(lèi)IT新技術(shù)加速應用到工業(yè)生產(chǎn)活動(dòng)之中。在工業(yè)自動(dòng)化轉型升級的同時(shí)，工業(yè)信息安全問(wèn)題日益嚴峻，面臨著(zhù)巨大的風(fēng)險和隱患，亟需從產(chǎn)品技術(shù)和管理規范各方面加以提升。

當前工業(yè)信息安全的產(chǎn)品技術(shù)仍大量沿用傳統IT信息安全防護手段，較難滿(mǎn)足工業(yè)控制高實(shí)時(shí)性、高可靠性、應用場(chǎng)景復雜的要求。常見(jiàn)防護產(chǎn)品仍然以邊界隔離和監測類(lèi)為主，如網(wǎng)閘、防火墻、入侵檢測系統（IDS）等，能部分解決由邊界外發(fā)起的網(wǎng)絡(luò )威脅和攻擊，但對于突破邊界或內部發(fā)起的網(wǎng)絡(luò )威脅和攻擊手段較難起到預期的防護效果。使安全產(chǎn)品技術(shù)更加緊密地貼近工業(yè)現場(chǎng)應用場(chǎng)景是當前工業(yè)信息安全技術(shù)創(chuàng )新的重點(diǎn)，尤其是針對工業(yè)控制計算資源相對匱乏、實(shí)時(shí)性要求高、工業(yè)私有協(xié)議應用廣泛的情況，迫切需要研究和設計具有輕量化嵌入式特性、與業(yè)務(wù)安全緊密結合的工業(yè)信息安全技術(shù)架構平臺，將工業(yè)信息安全“下沉”至核心工控設備，真正實(shí)現系統關(guān)鍵部位的防護。

可信計算在信息安全領(lǐng)域已得到廣泛認可和應用，但在工業(yè)控制領(lǐng)域仍處于起步階段，適用于工業(yè)嵌入式控制場(chǎng)景的可信計算技術(shù)逐步將成為工業(yè)信息安全技術(shù)突破的重要發(fā)力點(diǎn)。通過(guò)在DCS、PLC等工業(yè)控制器內部采用可信計算技術(shù)，可以實(shí)現系統核心的內生安全與主動(dòng)防護，從根本上提升工業(yè)控制系統現場(chǎng)應用的整體安全水平。

隨著(zhù)工業(yè)控制系統網(wǎng)絡(luò )互聯(lián)互通的不斷推進(jìn)，工業(yè)信息安全還需進(jìn)一步“上升”至工業(yè)互聯(lián)網(wǎng)平臺層面，基于通用云計算、大數據安全，結合邊緣計算與工業(yè)APP應用，以實(shí)現邊管云的端到端安全，構建從車(chē)間級到廠(chǎng)級到集團級各層面的安全可信。此外，針對工業(yè)協(xié)議的深度解析、工業(yè)控制業(yè)務(wù)邏輯的安全審計與分析將使信息安全監測點(diǎn)和保護對象結合更加緊密，可以大幅提高工業(yè)控制系統的實(shí)時(shí)監測與攔截防護能力，促進(jìn)業(yè)務(wù)與安全的深層次技術(shù)融合。

在市場(chǎng)應用方面，隨著(zhù)等保2.0、關(guān)鍵信息基礎設施安全保護條例等一系列標準規范的實(shí)施推動(dòng)，工業(yè)信息安全市場(chǎng)預期在近兩年迎來(lái)較大的發(fā)展機遇。市場(chǎng)需求將從單點(diǎn)產(chǎn)品型防護逐步轉變提升為整體系統型防護，將更多偏向于采用由內而外、由上至下的一站式綜合解決方案，以完整的防護體系來(lái)實(shí)現工業(yè)控制系統安全的統一管理、集中控制、多點(diǎn)聯(lián)動(dòng)和綜合分析。

另外，目前我國工業(yè)信息安全仍以產(chǎn)品型市場(chǎng)為主，而服務(wù)型市場(chǎng)相對薄弱，在應急響應、安全評估和安全運維等方面已經(jīng)出現了較為明顯的市場(chǎng)短板，所以工業(yè)信息安全服務(wù)市場(chǎng)有望成為一個(gè)重要的發(fā)展方向并獲得突破性增長(cháng)。安全服務(wù)與安全產(chǎn)品將相互結合，為工業(yè)信息安全綜合防護體系的建設共同提供技術(shù)支撐和運營(yíng)保障。

和利時(shí)安全可信防護體系

和利時(shí)作為國內自動(dòng)化與信息技術(shù)解決方案的領(lǐng)軍企業(yè)，責無(wú)旁貸擔負著(zhù)我國工業(yè)控制系統信息安全體系建設與防護能力提升的重任?；诙嗄陙?lái)在工業(yè)應用和工控系統方面的深厚積累，和利時(shí)緊跟國家信息安全發(fā)展步伐，全面貫徹網(wǎng)絡(luò )安全等級保護制度，為電力、化工、石化、軌道交通、裝備制造等各領(lǐng)域提供滿(mǎn)足等保2.0要求的“業(yè)務(wù)+安全”整體解決方案。

基于大量現場(chǎng)實(shí)踐與經(jīng)驗提煉，和利時(shí)建立了適用于工業(yè)應用的主動(dòng)安全防御循環(huán)體系（TDDRP），在可信策略（Trusted policy）管控下，實(shí)現貫穿設計、運行、服務(wù)全生命周期的防御(Defense)、檢測(Detection)、響應(Response)、預測(Prediction)主動(dòng)安全防御循環(huán)，從而為用戶(hù)構建從工廠(chǎng)級到集團級的全方位、一體化綜合防護體系。

圖1 和利時(shí)主動(dòng)安全防御循環(huán)體系

在該體系框架下，和利時(shí)以核心控制系統的內生安全為基礎，結合多層次、多維度防護與監控技術(shù)，構建了完整的工業(yè)網(wǎng)絡(luò )安全產(chǎn)品體系。針對業(yè)內關(guān)鍵痛點(diǎn)難點(diǎn)的核心工控系統安全防護，和利時(shí)創(chuàng )新實(shí)現了可信計算在工業(yè)嵌入式控制的突破性應用，打造了滿(mǎn)足實(shí)時(shí)性、可靠性、分布式、嵌入式、輕量化應用場(chǎng)景的HolliTrust工業(yè)嵌入式可信計算技術(shù)平臺，推出了國內首款安全可信PLC和DCS系統。和利時(shí)安全可信PLC與DCS依托可信計算3.0架構，基于自研微內核操作系統與國密算法，通過(guò)主控制器的雙系統并行驗證、全生命周期動(dòng)態(tài)度量，構建了核心控制系統的內生安全可信與動(dòng)態(tài)主動(dòng)防護，有效提升了我國核心工業(yè)控制系統的安全保障水平。同時(shí)在系統的對外通信健壯性上，和利時(shí)PLC和DCS率先通過(guò)阿基里斯2級的最高級別認證，達到國際領(lǐng)先水平。

圖2 和利時(shí)工業(yè)網(wǎng)絡(luò )安全產(chǎn)品技術(shù)應用

圖3 和利時(shí)安全可信大型PLC

工業(yè)信息安全保障機制建設

工業(yè)信息安全保障機制建設分為技術(shù)、管理和政策三大層面，保障防護能力的提升要通過(guò)強化安全技術(shù)水平、建設安全管理體系和推動(dòng)安全政策落實(shí)等手段來(lái)綜合實(shí)現。技術(shù)是支撐、管理是保障、政策是助力，三位一體協(xié)調聯(lián)動(dòng)，從多個(gè)層面有機協(xié)調部署穩步推進(jìn)，共同構筑工業(yè)信息安全保障體系。

對工業(yè)企業(yè)用戶(hù)來(lái)說(shuō)，建設完善的安全運營(yíng)機制需要從安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理幾個(gè)方面下功夫做扎實(shí)工作。重點(diǎn)來(lái)說(shuō)，需要進(jìn)一步明確責任主體、覆蓋更完整的安全管理范圍，從過(guò)去對單系統的要求上升至對整個(gè)體系的要求，從對單環(huán)節的要求上升至對全生命周期的要求。

和利時(shí)在為用戶(hù)提供的一站式安全解決方案中，包括了咨詢(xún)設計、安全運維等全套服務(wù)，可以為用戶(hù)提供安全管理體系的建設指導與長(cháng)期運維支撐，從而通過(guò)系統化、全生命周期的設計思路進(jìn)一步完善安全管理體系、保障其長(cháng)期有效運行。

摘自《自動(dòng)化博覽》2020年2月刊