今日頭條
官方微信
官方抖音
訪談頻道
施耐德電氣信息安全全球技術高級總監David Doggett先生
隨著網絡與信息技術的迅猛發展,云計算、大數據、物聯網、人工智能等新興技術的快速發展,使得諸多信息化、自動化、智能化技術逐步應用于傳統工業領域的工業控制系統之中,這些創新在為客戶帶來巨大價值的同時,也讓工業信息安全風險問題凸顯出來。尤其是在IT與OT不斷融合的今天,現代工廠運營通常會涵蓋成千上萬的設備,而且這些設備越來越多地通過工業物聯網互聯,這使得安全威脅更加難以檢測、調查和修復。
施耐德電氣作為控制領域的全球主流廠商,近年來在工業控制系統信息安全領域積累了豐富的實踐經驗。其信息安全業務遍布北美、歐洲、中東、非洲及東亞等地區,為眾多家客戶提供了包括產品、架構設計和服務在內的全維度的工業信息安全解決方案,是名副其實的工業信息安全防護專家。
那么近年來工業控制系統信息安全市場發生了哪些變化?施耐德電氣如何看待工業信息安全問題?又是怎樣幫助客戶提升生產系統的安全性的?在第六屆工業控制系統信息安全峰會(第四站)期間,施耐德電氣信息安全全球技術高級總監David Doggett先生接受了本刊記者的專訪,就上述問題做出了系統闡述。
IT和OT融合 讓工業信息安全問題更為復雜
自動化博覽:您認為近年來,工業控制系統信息安全問題發生了哪些變化?
David Doggett:首先,企業對信息安全的認識有了很大改變。十年前,工業控制系統信息安全問題的討論只停留在工程師之間,而如今,企業的高層,甚至包括財務人員都在討論這些問題,因為過去的確發生了一些因為信息安全問題而造成的停機等事故,這不僅會對企業的經濟效益產生影響,同時也關乎人員安全和品牌形象等問題。
其次,攻擊的人也發生了變化。過去,針對信息安全的攻擊很大比例是由于一些內部人員對公司的不滿而進行,現在顯然不是。
第三,攻擊的對象也發生了變化,且變得更加多樣。比如,以前一些針對石化企業的攻擊,實際上并不是針對工業控制系統,而是針對與工控系統相連的IT系統的動作。但是自2012年至今,我們發現攻擊更多地是針對工控系統本身而進行。與此同時,這些攻擊不僅針對于運行部分,同時有可能發生在供應鏈、系統集成商、產品等各個層面。
第四,過去的攻擊大多針對單獨的系統進行,但隨著企業互聯程度的提升,很多針對通訊系統的攻擊也會影響到工控系統。
自動化博覽:您認為工業控制系統信息安全都涉及哪些環節?
David Doggett:工業控制系統的安全涉及很多因素。首先,產品本身的安全很重要。同時,策略、流程以及人員也同樣關鍵。如果缺乏良好的流程和策略,將無法使產品本身具有的信息安全特性發揮出作用。除此之外,工業互聯使得IT與OT走向彼此,不斷融合,這讓工業控制系統信息安全問題也變得更加復雜。如果想要全面提升工業控制系統信息安全水平,就不能再單獨地考慮工控系統,還應該把IT系統的安全也考慮在內。可事實上,IT和OT的差異很大。比如說,IT系統需要經常修復、升級、替換。IT員工很關注數據機密性、完整性和可用性;與之相反,OT員工在以穩定性、安全性和可靠性為重的運營環境工作。所以,如何讓雙方進行更好地交流與協同就顯得尤為重要。在這方面,施耐德電氣憑借著多年的OT領域積累,以及在IT領域的知識和經驗,可以為客戶提供切實可行的幫助。
自動化博覽:很多工業企業雖然認識到信息安全的重要性,但是考慮到在保障信息安全方面投入資金似乎并不能為企業帶來直接的利益,對此,您怎么看?
David Doggett:信息安全不會給最終用戶帶來利潤,但是可以保證設備安全和可靠地運行,是客戶賺取利潤的有力保障。一旦安全上出現問題,帶來的損失是不可估量的,不僅是經濟上的損失,人員的安全和企業的聲譽等也會受到影響。
為客戶提供全方位的信息安全解決方案和服務
自動化博覽:施耐德電氣信息安全解決方案和服務有哪些特別之處?
David Doggett:首先,施耐德電氣一直致力于提升工控產品自身的安全性。這其中包括在很多新產品中增加授權認證、加密的通訊協議等功能或措施,從而使我們的產品自身具備更多的安全功能。這樣做用戶就可減少在生產系統以外安裝的附加外部設備,不僅降低成本,也提升了安全性,減少了故障點。另外,產品的安全認證也是施耐德電氣非常重視的一項工作。自2015年起,施耐德電氣新上市的所有產品都必須滿足Achilles Level2認證和其他國家級標準。在中國推出產品時,也會積極與國內相關認證機構配合,使這些產品通過國內認證。譬如,施耐德電氣推出的昆騰PLC以及Modicon M580系列等產品都通過了國內的相關安全認證。目前,施耐德電氣共有5個研發中心通過了IEC 62443的認證,并已有超過75款的產品得到信息安全方面的認證。
第二,施耐德電氣有著由IT和OT兩方面人才組成的網絡安全專家團隊,可以為客戶提供審計與評估、網絡安全咨詢、控制設計與實現、培訓以及維護等全方面的專業服務。即使用戶使用的不是施耐德電氣的產品或系統也沒有關系。也就是說,客戶在實施安全防護策略時不用擔心自己的工廠中有不同品牌的產品,施耐德電氣都可以站在第三方的角度為他們提供服務。據統計,施耐德電氣有2200名開發人員接受過安全方面的專業培訓,有700名工程師被授予相關安全認證。
第三,在互聯互通的時代,施耐德電氣認為,“將自己斷開”不是正確的解決方案。互聯已經成為整個行業發展的大趨勢。要互聯,就必須開放,施耐德電氣始終堅持建立開放的系統,致力于開放的標準和產品服務,這可以使客戶非常容易地根據自身需求選擇不同的解決方案。同時,通過開放,我們可以與眾多優秀的合作伙伴共同合作。目前,施耐德電氣與CISCO、微軟、賽門鐵克等諸多國際主流的安全廠商合作,在控制網絡中植入國家權威機構認證的防火墻/殺毒軟件/審計/災備等信息安全產品來構建防御/預警/恢復等多維度的縱深安全體系,為客戶帶去全方位高價值的信息安全解決方案。
自動化博覽:近年來,施耐德電氣的信息安全技術產品或解決方案在哪些方面進行了完善和更新?
David Doggett:近年來,施耐德電氣在產品的性能方面提出了很多新的內容,包括增加軟件簽名、固件簽名,還有一些安全協議,如IPSec、信息安全記錄syslog等。
以PLC為例,我們在PLC中直接內置IPSec加密授權通信技術,屏蔽指定設備外的任何通信。也就是說,以后在工業系統中,任何人想要和PLC進行通信,必須先要“對暗號”,如果“暗號”正確,PLC才會做出響應。與此同時,“暗號”也是加密的,不會被一些網絡偵聽技術破解或竊取。另外,施耐德電氣的PLC使用了物理安全鎖。如果物理安全鎖是關閉狀態,任何人都無法對其修改。眾所周知,一般需要修改時,通常都是停機維護的時候,這時打開物理安全鎖,就可以對其進行修改,當然,如果此時PLC受到了攻擊,因為處于停機狀態,其造成的影響也會小很多。第三,我們對PLC的固件文件采取了數字簽名與加密存儲雙保險的保護措施,使想要通過反編譯或者修改固件將病毒植入PLC成為不可能。第四,我們在PLC內置了一個本地日志功能,可以進行本地存儲,即使通信斷了,也可以追溯到一些關鍵操作和狀態,方便用戶診斷問題。
以“安全的控制系統”為整體來考慮
自動化博覽:有人認為,增加一些安全措施,可能會影響到工業控制系統的兼容性,對此,您如何看待這個問題?
David Doggett:施耐德電氣的方案都經過事先的測試,以確定和現有系統兼容,不論是產品中的信息安全功能,還是增加產品的安全特征或者是完整的信息安全系統,我們可以確保增加信息安全特征而使系統運行不受任何影響。同時,我們不該把安全系統和控制系統割裂開,而是應該以“安全的控制系統”來整體考慮。如果說,增加了防護措施以后,系統變得不兼容或者性能下降,這只能說明是實施得不正確。此外,我們應該增加對系統的自動監視能力,這可以預防及捕捉到各種各樣的攻擊,同時也可以有效、自動地過濾掉那些不是針對控制系統的攻擊和病毒。
David Doggett先生認為,優秀的工業信息安全構建需要建立在精通系統應用及工藝、熟悉工控產品以及豐富的IT專業經驗的基礎之上,對于客戶來說,選擇一家合適的供應商十分關鍵,而施耐德電氣正是具備這三大能力的值得信任的合作伙伴。他表示,作為以滿足用戶需求和承擔社會責任為準則的企業,施耐德電氣不僅在新產品的研發上更多地將信息安全功能考慮進去,同時,也將助力存量系統的信息安全升級,為企業提供整體化的升級方案,解決設備老化、技術落后、信息化能力不足和信息安全能力缺失等問題,共同為創造更加安全的工業信息環境而不斷努力。
摘自《自動化博覽》2017年12月刊
北京市公安局海淀分局備案號:11010802023656號