工业信息安全解码

发布时间：2014-05-27 作者：www.cechina.cn

        2013年6月，前中情局（CIA）职员爱德华•斯诺登曝光美国国家安全局的“棱镜”项目，消息一出，世界舆论随之哗然，引发包括中国在内的多个国家对信息安全讨论的热潮。近日，斯诺登再爆猛料，揭露美国国家安全局(NSA)自2007年以来对中国境内目标进行网络监控活动，包括中国前领导人、政府部门、军事单位、银行和通信设备公司。
        早在NSA猛料曝光前，2014年2月27日，中国国内已经成立了中央网络安全和信息化领导小组，该领导小组将着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。
        我们可以看到，网络信息正面临越来越大的安全挑战，在工业领域也不例外。
        新的战场
        随着我国信息化与工业化的深度融合以及物联网的快速发展，工业控制网络采用了越来越多的TCP/IP这样的通用协议和技术。工控系统开放的同时，也减弱了控制系统与外界的隔离，企业在享受网络互连带来的种种好处的同时也面临着各种来源的信息安全威胁，包括病毒、木马向控制网的扩散等，国内工控系统的安全隐患问题日益严峻。
        国家信息技术安全研究中心的专家对CEC记者表示：“总体说来，我国的信息安全防护水平处于世界的中下游，远远落后于发达国家。目前，我国工控领域的安全问题突出，工控系统的复杂化、IT化和通用化加剧了系统的安全隐患，潜在的更大威胁是我国工控产业综合竞争力不强，嵌入式软件、总线协议、工控软件等核心技术受制于国外，缺乏自主的通信安全、信息安全、安全可靠性测试等标准。”
        “作为国家信息安全漏洞共享平台（CNVD）的工控行业合作伙伴，力控华康已经发现并上报了数十个国内工业控制系统的安全隐患，这些隐患涉及了各个行业。国内工业控制安全，急唤相关标准的统一制订和出台，我们积极参与其中。同时，防护工业信息安全还需要对认证标准和方法进行完善，对重点较高危害的行业，参考等级保护体系和认证体系，从而保证工业控制系统的‘安全、自主、可控’。”北京力控华康科技公司信息安全高级工程师方亮表达了自己对工业信息安全的认识。
        现实应对之法
        国内的工控系统的安全隐患问题日益严峻，而工控系统受到任何一点的攻击危害都是巨大的，有可能导致整个系统的瘫痪，造成系统停车、机密信息泄露甚至系统的运行被恶意控制等问题。面对这场新“战役”，我们如何能取得胜利？
        西门子中国研究院信息安全部资深核心技术专家唐文博士提出了自己的观点：“与传统IT信息安全相比，工业控制系统信息安全有着其自身的特点，主要体现为安全防护的重点有所不同，需要首先满足控制系统的高可用性的要求，其次需要保障控制系统完整性，再次才是机密性。要实现高效的工厂安全防护，不仅需要涵盖所有生产过程，对整个公司进行全面风险分析，分析各种安全隐患，还需要部署‘纵深防御’的多层次的安全措施，保护关键的工业自动化控制过程与应用的安全。西门子以 IEC 62443/ISA 99 为基础将‘纵深防御’的理念引入到工业控制系统的信息安全解决方案——在外部世界的威胁和工控网络之间建立尽可能多层次的防护，通过部署多层次的、具有不同针对性的安全措施，可完全满足信息防护要求。”

        谈及工业信息安全防护，百通赫思曼亚太区工业安全&无线产品经理王立涛先生说到：“近年来披露的工业信息安全问题带给我们三大新警示——控制系统网络是可以被攻击的，控制系统网络需要有病毒及黑客入侵防护，需要实施一个纵深防御策略来保证控制系统的稳定运行。Tofino防火墙是一个可实现控制网络深层防护的理想工具。与常规防火墙不同的是，Tofino防火墙是基于内置工业通讯协议的防护模式，由于工业通讯协议通常是基于常规TCP/IP在应用层的高级开发，所以Tofino防火墙不仅是在端口上的防护，更重要的是基于应用层上数据包的深度检查、协议分析，属于新一代工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。截止到目前，Tofino已经在石化、冶金等行业实现了非常成功的工业安全防护案例。”
        从用户角度考虑，青岛海天炜业自动化控制系统有限公司总经理刘安正先生表示：“工业信息安全防护需要实现两大目标：其一、即使工业网络局部单点出现问题，也能保证企业装置或工厂的安全稳定运行；其二、能够及时准确地确认故障点，并排除问题。”海天炜业推出的工业信息安全解决方案采用“纵深防御”的防护理念，将具备相同功能和安全要求的设备划分在同一区域内，通过管控区域间通信管道的通讯实现保护控制系统网络的目标，即通过区域划分、管道建立、通讯管控来建立起工业控制系统的纵深防御架构，从而实现创建“本质安全”的生产控制网的目标。据介绍，这一解决方案以Guard工业防火墙为核心，该产品采用白名单策略、无IP连接技术和工业协议深度包检测（DPI）技术。作为首款具有自主知识产权的工业防火墙，无论是在硬件性能还是在安全功能方面，Guard工业防火墙均有着全新的突破。

        比技术级防护更重要的事
        CEC记者看到，西门子基于纵深防御理念的工业信息安全解决方案将基本的工业安全层次分为工厂安全、工厂IT安全、访问控制。这一分层显示除工业信息技术外，类似可防止未经授权的人员直接操作关键设备组件，例如采用门禁卡对敏感区域进行有效保护等也是工业信息安全的一部分。“工业信息安全不是一个单纯的技术问题，而是一个从意识培养开始，涉及到管理、流程、架构、技术、产品等各方面的系统工程。”唐文博士向记者解释道。
        监管及流程安全比技术防护更重要？有相关统计数据显示，只有20%的数据破坏是有公司外部人所为，而80%的安全威胁来自内部，这包括操作失误、故意破坏和知识欠缺。震惊工业领域的伊朗核电站震网病毒事件也是由于人将被病毒感染的U盘插入USB接口，然后这种病毒在神不知鬼不觉的情况下取得一些工业用电脑系统的控制权。还有一些其他的攻击事件也是由于此类原因，例如，2012年，两座美国电厂遭USB病毒攻击，感染了每个工厂的工控系统，可被窃取数据。这样看来，流程安全及监管甚于技术级防护观点并不是空穴来风。技术保护固然重要，但是如果没有一个好的流程和监管，再好的技术都不能很好地延续。
        事实表明，信息安全的战火已经蔓延到了工业领域，随着越来越多的安全事件的发生，我国的工业基础设施面临前所未有的安全挑战，其中部署纵深防御是应对这一安全挑战的现实方法。在这一部署中，技术防护固然重要，但我们更要从意识开始培养，重视工厂的流程安全和监管。另外，值得一提的是，世界上不存在百分之百的信息安全，也不存在一劳永逸的安全机制。只有真正认识到这一点，才能设计出最优秀的工业信息安全解决方案，并不断调整应对此领域的各种新生工业信息安全威胁。（CEC 张曼利 采写）