今日頭條
官方微信
官方抖音
資訊頻道
和利時信息安全研究院總經理樂翔
工業(yè)信息安全未來趨勢
近年來,隨著工業(yè)化和信息化的深度融合,工業(yè)互聯(lián)網與智能制造迅猛發(fā)展,各類IT新技術加速應用到工業(yè)生產活動之中。在工業(yè)自動化轉型升級的同時,工業(yè)信息安全問題日益嚴峻,面臨著巨大的風險和隱患,亟需從產品技術和管理規(guī)范各方面加以提升。
當前工業(yè)信息安全的產品技術仍大量沿用傳統(tǒng)IT信息安全防護手段,較難滿足工業(yè)控制高實時性、高可靠性、應用場景復雜的要求。常見防護產品仍然以邊界隔離和監(jiān)測類為主,如網閘、防火墻、入侵檢測系統(tǒng)(IDS)等,能部分解決由邊界外發(fā)起的網絡威脅和攻擊,但對于突破邊界或內部發(fā)起的網絡威脅和攻擊手段較難起到預期的防護效果。使安全產品技術更加緊密地貼近工業(yè)現場應用場景是當前工業(yè)信息安全技術創(chuàng)新的重點,尤其是針對工業(yè)控制計算資源相對匱乏、實時性要求高、工業(yè)私有協(xié)議應用廣泛的情況,迫切需要研究和設計具有輕量化嵌入式特性、與業(yè)務安全緊密結合的工業(yè)信息安全技術架構平臺,將工業(yè)信息安全“下沉”至核心工控設備,真正實現系統(tǒng)關鍵部位的防護。
可信計算在信息安全領域已得到廣泛認可和應用,但在工業(yè)控制領域仍處于起步階段,適用于工業(yè)嵌入式控制場景的可信計算技術逐步將成為工業(yè)信息安全技術突破的重要發(fā)力點。通過在DCS、PLC等工業(yè)控制器內部采用可信計算技術,可以實現系統(tǒng)核心的內生安全與主動防護,從根本上提升工業(yè)控制系統(tǒng)現場應用的整體安全水平。
隨著工業(yè)控制系統(tǒng)網絡互聯(lián)互通的不斷推進,工業(yè)信息安全還需進一步“上升”至工業(yè)互聯(lián)網平臺層面,基于通用云計算、大數據安全,結合邊緣計算與工業(yè)APP應用,以實現邊管云的端到端安全,構建從車間級到廠級到集團級各層面的安全可信。此外,針對工業(yè)協(xié)議的深度解析、工業(yè)控制業(yè)務邏輯的安全審計與分析將使信息安全監(jiān)測點和保護對象結合更加緊密,可以大幅提高工業(yè)控制系統(tǒng)的實時監(jiān)測與攔截防護能力,促進業(yè)務與安全的深層次技術融合。
在市場應用方面,隨著等保2.0、關鍵信息基礎設施安全保護條例等一系列標準規(guī)范的實施推動,工業(yè)信息安全市場預期在近兩年迎來較大的發(fā)展機遇。市場需求將從單點產品型防護逐步轉變提升為整體系統(tǒng)型防護,將更多偏向于采用由內而外、由上至下的一站式綜合解決方案,以完整的防護體系來實現工業(yè)控制系統(tǒng)安全的統(tǒng)一管理、集中控制、多點聯(lián)動和綜合分析。
另外,目前我國工業(yè)信息安全仍以產品型市場為主,而服務型市場相對薄弱,在應急響應、安全評估和安全運維等方面已經出現了較為明顯的市場短板,所以工業(yè)信息安全服務市場有望成為一個重要的發(fā)展方向并獲得突破性增長。安全服務與安全產品將相互結合,為工業(yè)信息安全綜合防護體系的建設共同提供技術支撐和運營保障。
和利時安全可信防護體系
和利時作為國內自動化與信息技術解決方案的領軍企業(yè),責無旁貸擔負著我國工業(yè)控制系統(tǒng)信息安全體系建設與防護能力提升的重任。基于二十多年來在工業(yè)應用和工控系統(tǒng)方面的深厚積累,和利時緊跟國家信息安全發(fā)展步伐,全面貫徹網絡安全等級保護制度,為電力、化工、石化、軌道交通、裝備制造等各領域提供滿足等保2.0要求的“業(yè)務+安全”整體解決方案。
基于大量現場實踐與經驗提煉,和利時建立了適用于工業(yè)應用的主動安全防御循環(huán)體系(TDDRP),在可信策略(Trusted policy)管控下,實現貫穿設計、運行、服務全生命周期的防御(Defense)、檢測(Detection)、響應(Response)、預測(Prediction)主動安全防御循環(huán),從而為用戶構建從工廠級到集團級的全方位、一體化綜合防護體系。
圖1 和利時主動安全防御循環(huán)體系
在該體系框架下,和利時以核心控制系統(tǒng)的內生安全為基礎,結合多層次、多維度防護與監(jiān)控技術,構建了完整的工業(yè)網絡安全產品體系。針對業(yè)內關鍵痛點難點的核心工控系統(tǒng)安全防護,和利時創(chuàng)新實現了可信計算在工業(yè)嵌入式控制的突破性應用,打造了滿足實時性、可靠性、分布式、嵌入式、輕量化應用場景的HolliTrust工業(yè)嵌入式可信計算技術平臺,推出了國內首款安全可信PLC和DCS系統(tǒng)。和利時安全可信PLC與DCS依托可信計算3.0架構,基于自研微內核操作系統(tǒng)與國密算法,通過主控制器的雙系統(tǒng)并行驗證、全生命周期動態(tài)度量,構建了核心控制系統(tǒng)的內生安全可信與動態(tài)主動防護,有效提升了我國核心工業(yè)控制系統(tǒng)的安全保障水平。同時在系統(tǒng)的對外通信健壯性上,和利時PLC和DCS率先通過阿基里斯2級的最高級別認證,達到國際領先水平。
圖2 和利時工業(yè)網絡安全產品技術應用
圖3 和利時安全可信大型PLC
工業(yè)信息安全保障機制建設
工業(yè)信息安全保障機制建設分為技術、管理和政策三大層面,保障防護能力的提升要通過強化安全技術水平、建設安全管理體系和推動安全政策落實等手段來綜合實現。技術是支撐、管理是保障、政策是助力,三位一體協(xié)調聯(lián)動,從多個層面有機協(xié)調部署穩(wěn)步推進,共同構筑工業(yè)信息安全保障體系。
對工業(yè)企業(yè)用戶來說,建設完善的安全運營機制需要從安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理幾個方面下功夫做扎實工作。重點來說,需要進一步明確責任主體、覆蓋更完整的安全管理范圍,從過去對單系統(tǒng)的要求上升至對整個體系的要求,從對單環(huán)節(jié)的要求上升至對全生命周期的要求。
和利時在為用戶提供的一站式安全解決方案中,包括了咨詢設計、安全運維等全套服務,可以為用戶提供安全管理體系的建設指導與長期運維支撐,從而通過系統(tǒng)化、全生命周期的設計思路進一步完善安全管理體系、保障其長期有效運行。
摘自《自動化博覽》2020年2月刊
北京市公安局海淀分局備案號:11010802023656號