王素 黃帥

近期，歐盟強制執(zhí)行的GDPR法案如一道閃電，劈中全球存在個人信息安全漏洞的企業(yè)。相比于個人數(shù)據(jù)安全保護，工業(yè)互聯(lián)網(wǎng)時代工業(yè)領域的信息安全是否令智能轉型中的企業(yè)感覺危機四伏呢？

“工業(yè)信息安全和類似于GDPR的IT信息安全相比，有很大不同。工業(yè)信息安全更關注企業(yè)的工業(yè)控制系統(tǒng)在遭受黑客攻擊后能否持續(xù)有效地開展生產(chǎn)運營活動。它需要保證3個基礎要素，其一是系統(tǒng)功能的可用性，這是最關鍵的要素；其二是系統(tǒng)的完整性；其三才是信息的保密性。實際上，工業(yè)過程中生產(chǎn)的數(shù)據(jù)，絕大部分是過程性數(shù)據(jù)，從信息角度講，其利用價值并沒有我們想象中的高?！?T?V南德大中華區(qū)電網(wǎng)及工業(yè)自動化部門經(jīng)理、工業(yè)信息安全專家曾勝吾在接受本刊記者專訪時這樣介紹道。

全球工業(yè)信息安全熱度高

當前，隨著信息技術發(fā)展，大規(guī)模、高強度的工業(yè)信息安全事件頻頻發(fā)生。比如2010年著名的全球歷史上第一個以工控系統(tǒng)為目標并造成大規(guī)模真實物理損害的“震網(wǎng)”病毒事件，導致了伊朗20%離心機報廢；2015年12月23日，烏克蘭國家電網(wǎng)遭到黑客利用BlackEnergy木馬軟件的攻擊，在圣誕夜前夕140萬人陷入大停電；2016年，匡恩公司對我國互聯(lián)網(wǎng)上暴露的VxWorks調研時，在16202個IP中發(fā)現(xiàn)1763個存在遠程內(nèi)存讀取漏洞；2016年4月，德國Gundremmingen核電站負責燃料裝卸系統(tǒng)的計算機系統(tǒng)發(fā)現(xiàn)惡意程序，操作員被迫關閉發(fā)電廠……

“到目前為止，全球工業(yè)信息安全都在一個很高的熱度階段。美國、歐洲以及我國都在制定相應的法律法規(guī)及政策要求?！痹鴦傥岜硎?。

2017年，我國生效的《中華人民共和國網(wǎng)絡安全法》首次將 “關鍵信息基礎設施”列入保護對象，并首次將工控信息安全提到了法律的層面。我國的電力、石油、交通、軌道和航天等各個行業(yè)都在爭相開展工控信息安全相關的工作，其中，電力領域的防護手段在全球已遙遙領先。

“肉雞群”為黑客攻擊新模式

在沒有工業(yè)互聯(lián)網(wǎng)概念之前，工業(yè)內(nèi)的互聯(lián)網(wǎng)絡就好像一些被隔離的安全孤島，孤島內(nèi)的通信主要以私有協(xié)議的方式傳輸。其技術的不統(tǒng)一，使黑客們的“學習成本”太高，以至于無力發(fā)起攻擊；即使不免“遇難”，那些互不相連的網(wǎng)絡也很容易造成黑客攻擊路徑的“斷路”。

如今，工業(yè)互聯(lián)網(wǎng)本質上將成熟的IT科技應用于傳統(tǒng)的行業(yè)，打破了原先的孤島環(huán)境。這就好比以前的“鎧甲”上破了洞，工業(yè)控制系統(tǒng)和設備被大量暴露在互聯(lián)網(wǎng)上。產(chǎn)生這些破洞的背后“黑手”，來自于大規(guī)模的聯(lián)網(wǎng)以及類似于TCP/IP等通用通信技術的使用。尤其在物聯(lián)網(wǎng)中，許多企業(yè)的設備與云端相連，黑客攻擊的渠道更多了，各國被攻擊的設備數(shù)量呈指數(shù)級上漲。根據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測，截至2017年12月，全球暴露在互聯(lián)網(wǎng)上的工業(yè)控制設備超過10萬個，和2016年相比大幅增加。

“大量的物聯(lián)網(wǎng)設備被感染后，不光自身受到黑客控制，在極端的情況下，更可以以一個極大的數(shù)量，成為PC機之外另一個可能的大規(guī)模‘肉雞群，對網(wǎng)絡上的別的目標發(fā)起攻擊。”曾勝吾所指的，正是一種威脅工業(yè)信息安全的新模式。

2017年美國發(fā)生的一次大規(guī)?；ヂ?lián)網(wǎng)斷網(wǎng)事件，就是這種新模式的真實寫照。一個名叫Mirai（中文名“互聯(lián)網(wǎng)破壞者”）的病毒，大規(guī)模地入侵了美國千萬級別的網(wǎng)絡攝像頭。它的目標遠不是把攝像頭弄壞，而是用千萬級別攝像頭做“肉雞群”來攻擊其他的互聯(lián)網(wǎng)服務器。當互聯(lián)網(wǎng)域名服務器同時收到像洪水一樣涌來的請求后，服務器被徹底“沖垮”。美國人第二天早上起來，打開不了臉書，上不了推特，互聯(lián)網(wǎng)大斷網(wǎng)。這也是從工業(yè)設備入手，最終向互聯(lián)網(wǎng)設備發(fā)起攻擊的一個很好的例子。

工控滿足IEC 62443全球通行

如果說我國在工控信息安全的法律法規(guī)制定方面走在全球前列，在工控標準方面，歐美國家則走在了世界的前沿。目前，針對工業(yè)自動化和工業(yè)安全，全球最通行的標準是IEC 62443，它被工控業(yè)界視為近10年來最重要的工控信息安全研究及最佳實踐的總結。

曾勝吾介紹，IEC 62443的最大意義在于，其非常系統(tǒng)化地將工業(yè)信息安全這個復雜的話題分解成對業(yè)主、系統(tǒng)集成商和設備廠家的不同層面的具體要求，并與ISO 27001、 IEC 62351和NIST SP800等多個局部標準配合，形成了一個完整的標準體系。它從產(chǎn)品、系統(tǒng)和運營等多個層面系統(tǒng)化地梳理了工控信息安全的短板，并提出相應的補強策略，因此，是一個非常值得參考的標準。

據(jù)悉，T?V南德意志集團（簡稱“T?V南德”）正是與多家德國頂尖的工控廠家及機構合作，參照IEC 62443國際標準，制定了工控信息安全的一整套認證體系。在IEC 62443認證方面，T?V南德的成績亮眼：從2016年底開始，它為西門子工業(yè)集團的PLC產(chǎn)品系列頒發(fā)工控信息安全產(chǎn)品證書，為能源集團的“信息安全的變電站自動化系統(tǒng)”頒發(fā)工控信息安全系統(tǒng)集成商證書，更為西門子全球18個研發(fā)中心頒發(fā)了工控信息安全產(chǎn)品研發(fā)生命周期管理流程證書。

為了幫助國內(nèi)培養(yǎng)緊缺的工控信息安全人才，T?V南德也與權威國家機構開展合作，為企業(yè)提供公開培訓，并為多家核電、電網(wǎng)及工業(yè)自動化企業(yè)開展技術支持及審核認證業(yè)務?！澳壳埃覀兓ㄗ畲罅庵铝τ谠鯓影堰@些技術能力本地化?！痹鴦傥嵫a充說。

企業(yè)勤練內(nèi)功勝過“吃藥”

據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測，2017年我國存在的工控安全漏洞達380個，其中接近60%的漏洞屬于高危漏洞。盡管這些數(shù)據(jù)表明我國工業(yè)信息安全正面臨嚴峻的形勢，但并不是沒有積極信號，國內(nèi)企業(yè)工業(yè)信息安全的意識逐漸增強就是其中之一。在向智能化轉型的過程中，化解工業(yè)信息安全威脅，降低黑客攻擊風險，是企業(yè)贏得轉型成功的一門必修課。就此，曾勝吾提出了4點建議。

第一，要解決人才問題

工業(yè)信息安全是IT領域信息安全和工業(yè)自動化相結合的領域，目前幾乎所有這方面的人才要靠企業(yè)培養(yǎng)。企業(yè)在討論工業(yè)信息安全時，要具備使用比較認可的語言與工業(yè)信息安全專家、工業(yè)信息安全團隊和技術團體互相溝通的能力，才是解決問題的前提，否則就如同“雞同鴨講”。曾勝吾指出，T?V南德開展工業(yè)信息安全公開培訓，很大程度上正是從培養(yǎng)人才考出發(fā)，帶動整個產(chǎn)業(yè)向更好方向發(fā)展。

第二，要修煉企業(yè)內(nèi)功

每個企業(yè)需要根據(jù)自身的特點制定相應的工業(yè)信息安全策略。曾勝吾指出，目前國內(nèi)很多工控信息安全的關注點，在于如何通過新增邊界安全防護設備、入侵檢測系統(tǒng)等手段保護信息安全。例如，增加工業(yè)防火墻防止黑客入侵，安裝入侵檢測系統(tǒng)感知系統(tǒng)，增加設備訪問記錄等。以上基本的邏輯，是通過給“帶病”的工控系統(tǒng)“吃藥”，增強已經(jīng)投運的工控系統(tǒng)的安全性。這種思路，針對的是正在運行的大量存量系統(tǒng)。

但是，國際上更加看重的是從研發(fā)階段入手進行防范。以IEC 62443為例，從研發(fā)開始最大限度地保證工控產(chǎn)品的質量，持續(xù)提供信心安全的技術支持，最大限度地保證系統(tǒng)有合理的設計，集成過程擁有有效的控制；在系統(tǒng)交付給業(yè)主后，在運營、維護和拆毀各個環(huán)節(jié)有相應的操作規(guī)程。

信息安全具有非常典型的短板效應，在工業(yè)信息安全幾個不同的維度上，最弱的那個維度決定了最終的安全級別。對于正在運行的存量系統(tǒng)，IEC 62443和ISO 27001 從業(yè)主角度出發(fā)，給出了一套自上而下對于系統(tǒng)設計、設備選型的科學做法。其通過標準系統(tǒng)化的梳理，找出相對薄弱的維度進行加強，才能做到“對癥下藥”，以最小的代價，取得最大的效果。

“強身健體靠的是IEC 62443和ISO 27001，這才是企業(yè)修煉內(nèi)功的過程?！?曾勝吾強調。

第三，要從源頭把握安全

企業(yè)在整個產(chǎn)品全生命周期，要把信息安全通盤考量進去，從源頭重視工業(yè)信息。

第四，要關注標準和政策制定過程

這是曾勝吾對所有工業(yè)信息安全從業(yè)者的一個比較強烈的建議。他認為，標準和政策會對企業(yè)未來的生產(chǎn)運營帶來直接影響。目前國內(nèi)比較重要的、與IEC 62443對口的標準委員會是全國工業(yè)過程測量控制和自動化標準化技術委員會（SAC/TC124）和國家信息安全標準化技術委員會（SAC/TC260），相關政策制定方面是中央網(wǎng)信辦。以上，企業(yè)需全面參與，擇其門而入。