今日頭條
官方微信
官方抖音
資訊頻道
施耐德電氣信息安全全球技術(shù)高級(jí)總監(jiān)David Doggett先生
隨著網(wǎng)絡(luò)與信息技術(shù)的迅猛發(fā)展,云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興技術(shù)的快速發(fā)展,使得諸多信息化、自動(dòng)化、智能化技術(shù)逐步應(yīng)用于傳統(tǒng)工業(yè)領(lǐng)域的工業(yè)控制系統(tǒng)之中,這些創(chuàng)新在為客戶帶來(lái)巨大價(jià)值的同時(shí),也讓工業(yè)信息安全風(fēng)險(xiǎn)問(wèn)題凸顯出來(lái)。尤其是在IT與OT不斷融合的今天,現(xiàn)代工廠運(yùn)營(yíng)通常會(huì)涵蓋成千上萬(wàn)的設(shè)備,而且這些設(shè)備越來(lái)越多地通過(guò)工業(yè)物聯(lián)網(wǎng)互聯(lián),這使得安全威脅更加難以檢測(cè)、調(diào)查和修復(fù)。
施耐德電氣作為控制領(lǐng)域的全球主流廠商,近年來(lái)在工業(yè)控制系統(tǒng)信息安全領(lǐng)域積累了豐富的實(shí)踐經(jīng)驗(yàn)。其信息安全業(yè)務(wù)遍布北美、歐洲、中東、非洲及東亞等地區(qū),為眾多家客戶提供了包括產(chǎn)品、架構(gòu)設(shè)計(jì)和服務(wù)在內(nèi)的全維度的工業(yè)信息安全解決方案,是名副其實(shí)的工業(yè)信息安全防護(hù)專家。
那么近年來(lái)工業(yè)控制系統(tǒng)信息安全市場(chǎng)發(fā)生了哪些變化?施耐德電氣如何看待工業(yè)信息安全問(wèn)題?又是怎樣幫助客戶提升生產(chǎn)系統(tǒng)的安全性的?在第六屆工業(yè)控制系統(tǒng)信息安全峰會(huì)(第四站)期間,施耐德電氣信息安全全球技術(shù)高級(jí)總監(jiān)David Doggett先生接受了本刊記者的專訪,就上述問(wèn)題做出了系統(tǒng)闡述。
IT和OT融合 讓工業(yè)信息安全問(wèn)題更為復(fù)雜
自動(dòng)化博覽:您認(rèn)為近年來(lái),工業(yè)控制系統(tǒng)信息安全問(wèn)題發(fā)生了哪些變化?
David Doggett:首先,企業(yè)對(duì)信息安全的認(rèn)識(shí)有了很大改變。十年前,工業(yè)控制系統(tǒng)信息安全問(wèn)題的討論只停留在工程師之間,而如今,企業(yè)的高層,甚至包括財(cái)務(wù)人員都在討論這些問(wèn)題,因?yàn)檫^(guò)去的確發(fā)生了一些因?yàn)樾畔踩珕?wèn)題而造成的停機(jī)等事故,這不僅會(huì)對(duì)企業(yè)的經(jīng)濟(jì)效益產(chǎn)生影響,同時(shí)也關(guān)乎人員安全和品牌形象等問(wèn)題。
其次,攻擊的人也發(fā)生了變化。過(guò)去,針對(duì)信息安全的攻擊很大比例是由于一些內(nèi)部人員對(duì)公司的不滿而進(jìn)行,現(xiàn)在顯然不是。
第三,攻擊的對(duì)象也發(fā)生了變化,且變得更加多樣。比如,以前一些針對(duì)石化企業(yè)的攻擊,實(shí)際上并不是針對(duì)工業(yè)控制系統(tǒng),而是針對(duì)與工控系統(tǒng)相連的IT系統(tǒng)的動(dòng)作。但是自2012年至今,我們發(fā)現(xiàn)攻擊更多地是針對(duì)工控系統(tǒng)本身而進(jìn)行。與此同時(shí),這些攻擊不僅針對(duì)于運(yùn)行部分,同時(shí)有可能發(fā)生在供應(yīng)鏈、系統(tǒng)集成商、產(chǎn)品等各個(gè)層面。
第四,過(guò)去的攻擊大多針對(duì)單獨(dú)的系統(tǒng)進(jìn)行,但隨著企業(yè)互聯(lián)程度的提升,很多針對(duì)通訊系統(tǒng)的攻擊也會(huì)影響到工控系統(tǒng)。
自動(dòng)化博覽:您認(rèn)為工業(yè)控制系統(tǒng)信息安全都涉及哪些環(huán)節(jié)?
David Doggett:工業(yè)控制系統(tǒng)的安全涉及很多因素。首先,產(chǎn)品本身的安全很重要。同時(shí),策略、流程以及人員也同樣關(guān)鍵。如果缺乏良好的流程和策略,將無(wú)法使產(chǎn)品本身具有的信息安全特性發(fā)揮出作用。除此之外,工業(yè)互聯(lián)使得IT與OT走向彼此,不斷融合,這讓工業(yè)控制系統(tǒng)信息安全問(wèn)題也變得更加復(fù)雜。如果想要全面提升工業(yè)控制系統(tǒng)信息安全水平,就不能再單獨(dú)地考慮工控系統(tǒng),還應(yīng)該把IT系統(tǒng)的安全也考慮在內(nèi)。可事實(shí)上,IT和OT的差異很大。比如說(shuō),IT系統(tǒng)需要經(jīng)常修復(fù)、升級(jí)、替換。IT員工很關(guān)注數(shù)據(jù)機(jī)密性、完整性和可用性;與之相反,OT員工在以穩(wěn)定性、安全性和可靠性為重的運(yùn)營(yíng)環(huán)境工作。所以,如何讓雙方進(jìn)行更好地交流與協(xié)同就顯得尤為重要。在這方面,施耐德電氣憑借著多年的OT領(lǐng)域積累,以及在IT領(lǐng)域的知識(shí)和經(jīng)驗(yàn),可以為客戶提供切實(shí)可行的幫助。
自動(dòng)化博覽:很多工業(yè)企業(yè)雖然認(rèn)識(shí)到信息安全的重要性,但是考慮到在保障信息安全方面投入資金似乎并不能為企業(yè)帶來(lái)直接的利益,對(duì)此,您怎么看?
David Doggett:信息安全不會(huì)給最終用戶帶來(lái)利潤(rùn),但是可以保證設(shè)備安全和可靠地運(yùn)行,是客戶賺取利潤(rùn)的有力保障。一旦安全上出現(xiàn)問(wèn)題,帶來(lái)的損失是不可估量的,不僅是經(jīng)濟(jì)上的損失,人員的安全和企業(yè)的聲譽(yù)等也會(huì)受到影響。
為客戶提供全方位的信息安全解決方案和服務(wù)
自動(dòng)化博覽:施耐德電氣信息安全解決方案和服務(wù)有哪些特別之處?
David Doggett:首先,施耐德電氣一直致力于提升工控產(chǎn)品自身的安全性。這其中包括在很多新產(chǎn)品中增加授權(quán)認(rèn)證、加密的通訊協(xié)議等功能或措施,從而使我們的產(chǎn)品自身具備更多的安全功能。這樣做用戶就可減少在生產(chǎn)系統(tǒng)以外安裝的附加外部設(shè)備,不僅降低成本,也提升了安全性,減少了故障點(diǎn)。另外,產(chǎn)品的安全認(rèn)證也是施耐德電氣非常重視的一項(xiàng)工作。自2015年起,施耐德電氣新上市的所有產(chǎn)品都必須滿足Achilles Level2認(rèn)證和其他國(guó)家級(jí)標(biāo)準(zhǔn)。在中國(guó)推出產(chǎn)品時(shí),也會(huì)積極與國(guó)內(nèi)相關(guān)認(rèn)證機(jī)構(gòu)配合,使這些產(chǎn)品通過(guò)國(guó)內(nèi)認(rèn)證。譬如,施耐德電氣推出的昆騰PLC以及Modicon M580系列等產(chǎn)品都通過(guò)了國(guó)內(nèi)的相關(guān)安全認(rèn)證。目前,施耐德電氣共有5個(gè)研發(fā)中心通過(guò)了IEC 62443的認(rèn)證,并已有超過(guò)75款的產(chǎn)品得到信息安全方面的認(rèn)證。
第二,施耐德電氣有著由IT和OT兩方面人才組成的網(wǎng)絡(luò)安全專家團(tuán)隊(duì),可以為客戶提供審計(jì)與評(píng)估、網(wǎng)絡(luò)安全咨詢、控制設(shè)計(jì)與實(shí)現(xiàn)、培訓(xùn)以及維護(hù)等全方面的專業(yè)服務(wù)。即使用戶使用的不是施耐德電氣的產(chǎn)品或系統(tǒng)也沒(méi)有關(guān)系。也就是說(shuō),客戶在實(shí)施安全防護(hù)策略時(shí)不用擔(dān)心自己的工廠中有不同品牌的產(chǎn)品,施耐德電氣都可以站在第三方的角度為他們提供服務(wù)。據(jù)統(tǒng)計(jì),施耐德電氣有2200名開(kāi)發(fā)人員接受過(guò)安全方面的專業(yè)培訓(xùn),有700名工程師被授予相關(guān)安全認(rèn)證。
第三,在互聯(lián)互通的時(shí)代,施耐德電氣認(rèn)為,“將自己斷開(kāi)”不是正確的解決方案。互聯(lián)已經(jīng)成為整個(gè)行業(yè)發(fā)展的大趨勢(shì)。要互聯(lián),就必須開(kāi)放,施耐德電氣始終堅(jiān)持建立開(kāi)放的系統(tǒng),致力于開(kāi)放的標(biāo)準(zhǔn)和產(chǎn)品服務(wù),這可以使客戶非常容易地根據(jù)自身需求選擇不同的解決方案。同時(shí),通過(guò)開(kāi)放,我們可以與眾多優(yōu)秀的合作伙伴共同合作。目前,施耐德電氣與CISCO、微軟、賽門(mén)鐵克等諸多國(guó)際主流的安全廠商合作,在控制網(wǎng)絡(luò)中植入國(guó)家權(quán)威機(jī)構(gòu)認(rèn)證的防火墻/殺毒軟件/審計(jì)/災(zāi)備等信息安全產(chǎn)品來(lái)構(gòu)建防御/預(yù)警/恢復(fù)等多維度的縱深安全體系,為客戶帶去全方位高價(jià)值的信息安全解決方案。
自動(dòng)化博覽:近年來(lái),施耐德電氣的信息安全技術(shù)產(chǎn)品或解決方案在哪些方面進(jìn)行了完善和更新?
David Doggett:近年來(lái),施耐德電氣在產(chǎn)品的性能方面提出了很多新的內(nèi)容,包括增加軟件簽名、固件簽名,還有一些安全協(xié)議,如IPSec、信息安全記錄syslog等。
以PLC為例,我們?cè)赑LC中直接內(nèi)置IPSec加密授權(quán)通信技術(shù),屏蔽指定設(shè)備外的任何通信。也就是說(shuō),以后在工業(yè)系統(tǒng)中,任何人想要和PLC進(jìn)行通信,必須先要“對(duì)暗號(hào)”,如果“暗號(hào)”正確,PLC才會(huì)做出響應(yīng)。與此同時(shí),“暗號(hào)”也是加密的,不會(huì)被一些網(wǎng)絡(luò)偵聽(tīng)技術(shù)破解或竊取。另外,施耐德電氣的PLC使用了物理安全鎖。如果物理安全鎖是關(guān)閉狀態(tài),任何人都無(wú)法對(duì)其修改。眾所周知,一般需要修改時(shí),通常都是停機(jī)維護(hù)的時(shí)候,這時(shí)打開(kāi)物理安全鎖,就可以對(duì)其進(jìn)行修改,當(dāng)然,如果此時(shí)PLC受到了攻擊,因?yàn)樘幱谕C(jī)狀態(tài),其造成的影響也會(huì)小很多。第三,我們對(duì)PLC的固件文件采取了數(shù)字簽名與加密存儲(chǔ)雙保險(xiǎn)的保護(hù)措施,使想要通過(guò)反編譯或者修改固件將病毒植入PLC成為不可能。第四,我們?cè)赑LC內(nèi)置了一個(gè)本地日志功能,可以進(jìn)行本地存儲(chǔ),即使通信斷了,也可以追溯到一些關(guān)鍵操作和狀態(tài),方便用戶診斷問(wèn)題。
以“安全的控制系統(tǒng)”為整體來(lái)考慮
自動(dòng)化博覽:有人認(rèn)為,增加一些安全措施,可能會(huì)影響到工業(yè)控制系統(tǒng)的兼容性,對(duì)此,您如何看待這個(gè)問(wèn)題?
David Doggett:施耐德電氣的方案都經(jīng)過(guò)事先的測(cè)試,以確定和現(xiàn)有系統(tǒng)兼容,不論是產(chǎn)品中的信息安全功能,還是增加產(chǎn)品的安全特征或者是完整的信息安全系統(tǒng),我們可以確保增加信息安全特征而使系統(tǒng)運(yùn)行不受任何影響。同時(shí),我們不該把安全系統(tǒng)和控制系統(tǒng)割裂開(kāi),而是應(yīng)該以“安全的控制系統(tǒng)”來(lái)整體考慮。如果說(shuō),增加了防護(hù)措施以后,系統(tǒng)變得不兼容或者性能下降,這只能說(shuō)明是實(shí)施得不正確。此外,我們應(yīng)該增加對(duì)系統(tǒng)的自動(dòng)監(jiān)視能力,這可以預(yù)防及捕捉到各種各樣的攻擊,同時(shí)也可以有效、自動(dòng)地過(guò)濾掉那些不是針對(duì)控制系統(tǒng)的攻擊和病毒。
David Doggett先生認(rèn)為,優(yōu)秀的工業(yè)信息安全構(gòu)建需要建立在精通系統(tǒng)應(yīng)用及工藝、熟悉工控產(chǎn)品以及豐富的IT專業(yè)經(jīng)驗(yàn)的基礎(chǔ)之上,對(duì)于客戶來(lái)說(shuō),選擇一家合適的供應(yīng)商十分關(guān)鍵,而施耐德電氣正是具備這三大能力的值得信任的合作伙伴。他表示,作為以滿足用戶需求和承擔(dān)社會(huì)責(zé)任為準(zhǔn)則的企業(yè),施耐德電氣不僅在新產(chǎn)品的研發(fā)上更多地將信息安全功能考慮進(jìn)去,同時(shí),也將助力存量系統(tǒng)的信息安全升級(jí),為企業(yè)提供整體化的升級(jí)方案,解決設(shè)備老化、技術(shù)落后、信息化能力不足和信息安全能力缺失等問(wèn)題,共同為創(chuàng)造更加安全的工業(yè)信息環(huán)境而不斷努力。
摘自《自動(dòng)化博覽》2017年12月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)