2013年,施耐德电气配合国内某大型电力集团旗下的火电厂实施了工业信息安全整改,2014年,施耐德电气继续配合国内某大型电力集团实施水电厂的工业信息安全解决方案部署工作。在国内系统地部署工业信息安全安全策略的案例还不多见的背景下,这两个案例对于帮助工业企业认识工业信息安全问题、了解工业信息安全解决方案很有价值。施耐德电气工业事业部工业信息安全首席专家王斌先生,是施耐德电气工业信息安全领域的专家,与国家信息技术安全研究中心、中国电力科学研究院等国内权威的工业信息安全测评机构有密切的合作。他对上述两个案例,以及对工业信息安全问题,尤其是工业企业的认识误区、方案实施障碍的介绍,不仅能帮助工业企业建立对相关问题的认识,更渗透出了施耐德电气在工业信息安全解决方案的实施策略上,与众不同的思维方式。
水电企业的众中之选
今年工业信息安全领域的一件大事,是施耐德配合国内某大型电力集团进行水电厂的工业信息安全方案部署。按王斌的话来说,电力企业不仅对工业信息安全的要求极为严格,其对工控系统连续生产、可靠性的极高的要求,也会给工业信息安全解决方案的部署实施带来很大的难度;而水电企业计算机监控系统的工业信息安全解决方案部署工作,除了要与电厂自身的工作相协调之外,还要与电网电调系统相互协调——经过了电力行业,尤其是水电企业实施考验的工业信息安全解决方案,在其他行业的应用将是无往而不利的。
那么施耐德电气的工业信息安全解决方案究竟是如何赢得电力企业的信任的呢?
这还要从2012年说起。当时的国家电力监管委员会响应国家将电力行业列为两个信息安全试点行业之一的政策,下发文件要求对电力行业信息安全提高重视、加强整改,其中一项重要的工作就是对相关的工业控制产品进行信息安全的评估。于是在2012年的8月份,施耐德电气配合国家信息技术安全研究中心、中国电力科学研究院这两家权威的工业信息安全测评机构,进行了针对施耐德电气PLC产品的信息安全测评。而这项工作取得了极大的成功,充分验证了施耐德电气相关产品在信息安全方面的可靠性和安全性。因此在2013年,施耐德电气得以与国内某大型电力集团共同合作,对其旗下电厂工业控制系统进行信息安全整改。
此次整改的目标,是针对企业内部的技术人员对工控系统和信息安全的了解得并不深入的问题,在提升电厂的信息安全防护水平的同时,尽量简化部署方案,优化部署流程,尤其是其中双方配合的内容,以期未来其他企业内部的技术人员参照说明文档,按照模式化的流程即可顺利完成本企业内工业控制系统的信息安全整改工作。本着这一目标,双方首先在2013年1月份,在一家电厂进行了信息安全整改;而后对整改的方案和流程,包括说明文档的内容进行了优化,对双方的配合进行了进一步的协调。继而在5月份,双方又在四家电厂进行了信息安全的整改,取得了理想的效果:四家电厂工控系统信息安全整改的全部部署工作在八天内完成,并且全部由电厂的技术人员自行按照手册完成,而这些技术人员对信息安全、PLC知识其实并不熟悉。事实上,虽然这一系列的火电厂信息安全整改涉及的辅控系统,每一套都有十分钟到两小时不等的常规停机时间,但信息安全整改对每套系统的影响时间只有两分钟左右。之所以能够实现如此的简便和快捷,是因为施耐德电气的工业信息安全解决方案,着重瞄准工控设备进行设备级信息安全防护能力的强化。这种方案除了对工控系统的影响小、易于实施、从根本上解决了设备“带病上岗”的问题以外,还有不需要额外的软硬件设备支持,因而成本更低的优势。
正是因为这一系列的信息安全整改在保证防护效果的同时,没有给电力企业带来投入成本、实施难度,以及对生产的影响上的压力,国家能源局推进电力企业信息安全整改的决心得到了有力的支撑,专门下发文件在整个电力行业中推广施耐德信息安全方案部署工作,才有了如今水电企业与施耐德电气的合作。目前施耐德电气正在利用丰水期的时间搭建计算机监控系统信息安全方案部署专用仿真平台,并进行相应的测试工作。待测试工作完成之后,也会像先前火电站的信息安全整改一样,首先在一台机组上进行功能性的验证;而后在枯水期到来后大面积地展开信息安全方案的部署工作。
瞄准工业信息安全的“靶心”
工业信息安全的实现是一个系统工程,多层次的防护是必要的策略,这已经是安全服务提供商的共识。施耐德电气的工业信息安全解决方案同样也包含管理层、系统层、设备层三个层次的内容。然而施耐德电气的工业信息安全解决方案所以能在电力行业得到成功应用,靠的却是策略的实现上不同于其他厂商的“靶心思维”。
目前,多数安全服务供应商的解决方案是“自上而下”的,侧重于管理级、系统级安全功能的强化。在王斌看来,这种模式有四点缺陷。首先,优先实现管理级、系统级的安全功能,对于绝大多数此前没有相应的软硬件设备准备的工业企业来说,意味着需要投入大量的成本来进行从无到有的建设,其间投入的人力物力也会比较多。其次,对于本身存在信息安全缺陷的工控设备来说,“自上而下”的防护只是一些外围措施,并没有从根源上消除信息安全的隐患,相关工控设备实际上还是处在“带病上岗”的状态下。其三,工业企业内部涉及的工控设备类型很多、数量很大,完全依靠管理级、系统级的防护很难保证照顾到每一台单体设备,而如果顾此失彼,也称不上真正实现了安全保障。最后,每个工业企业使用的现场设备的类型和数量都不一样,这决定了管理级、系统级的信息安全解决方案,其定制化、私有化程度将是非常高的,一套方案即使在集团企业旗下的各个分公司中间也无法推广,更不要说在某个行业,甚至整个工业领域里面了。这种可复制性差的缺陷同样意味着成本将居高不下;尤其是对于大型的集团性企业来说,每个下属单位的方案都要独立定制,投入压力之大显然是难以接受的。
而施耐德电气的工业信息安全解决方案所以不同,就在于施耐德电气主张采取“自下而上”的防护策略,也就是说从设备级的防护入手来构建工业信息安全系统。工控设备的停运、损坏导致生产活动中断无疑是工业企业最为忧心的信息安全事故,那么如何防止这种情况的发生呢?施耐德电气给出的答案是,让关注的焦点回归到工业信息安全威胁的“靶心”,即工控设备本身上来,设法提升工控产品自身的信息安全防护能力,从根源上消除工控产品的信息安全漏洞。具体的做法是,在不影响工控设备功能与性能的前提下,将信息安全的功能集成到每一个单体设备上。对于工业企业来说,实现了这种设备级的信息安全防护,意味着已经获得了完整的多层次工业信息安全防护中最核心的部分功能;此后根据自身情况,在具备了相应的条件和能力时,逐步完善系统级、管理级的辅助策略即可。这种“自下而上”的模式,初期因为不需要额外采购软硬件设备,因此需要的投入少;工业企业只需要针对自身使用的工控设备进行建设,实施的难度也不高;对工业企业内部的技术人员的能力要求也不高。从2013年初起,施耐德电气提供给客户的所有工控产品都已经具备了信息安全的功能,工业企业使用这样的工控产品,不必依赖其它的保护措施就已经获得了符合国际国内相关法规要求的、过硬的信息安全保障。最近,施耐德电气全球首款ePAC产品——莫迪康M580(Modicon M580)通过了中国电力科学研究院的信息技术产品安全性检测,这是继2012年施耐德电气莫迪康昆腾PLC产品成功获得国家权威信息安全测评机构的安全性认证之后,旗下的最新PLC产品再次获得权威检测机构的认可。另一方面,对于此前已经在应用的工控设备,施耐德电气也可提供相应的服务,帮助工业企业获得同等的保障。
用靶心思维认识工业信息安全
王斌认为,当前工业企业在选择工业信息安全解决方案上有所踯躅,是因为对工业信息安全问题的认识还有所欠缺。随着两化融合在工业企业内部的深入,工业信息安全问题将会日益凸显。工业企业应当积极地去增进对工业信息安全的认识,以便在两化融合的趋势下规避信息安全风险、保护自身的利益。
(1)认识信息安全威胁
王斌将当前工业企业面临的,主要工业信息安全的威胁分为了六类。其一是信息化与自动化技术的深度融合,推高了操作失误等人为因素可能造成影响。在一个高度智能化的工业企业中,由于操作失误等人为因素造成工控系统运转异常,危及企业的生产、运营是完全有可能的。其二是黑客出于私人目的窃取工业企业机密信息的行为愈演愈烈,给企业带来的直接、间接经济损失会越来越大。其三是国家和国家之间、企业和企业之间出于政治或商业目的的信息战会给工业企业带来巨大的威胁。“棱镜门”、“五只眼情报联盟”、“攻击巨人”等事件已经充分说明了这绝不是空穴来风。其四,自然灾害、意外情况也可能会造成工业企业的信息安全事故。深圳地铁疑似因便携式3G路由器信号干扰而发生故障的事故,在工业企业中同样有可能发生。其五,日常生活中常见的电脑病毒、木马、恶意软件等威胁,对于工控系统来说也同样存在。
最后,也是对于工业企业最重要的是,工业企业内部的控制设备、网络组件、通讯协议,尤其是下层工控系统中的一些私有协议,在信息安全的防护上非常不完善,甚至从工控系统、通讯协议通用性的角度来说,基本上没有信息安全防护的能力——以“靶心思维”来审视,这种防护缺陷才是对工业企业信息安全的最大威胁。
(2)发现自身的防护缺陷
在充分认识了工业信息安全威胁的基础上,对于工业企业而言更重要的,是发现自身在信息安全防护上的缺陷。王斌建议对此也要以“靶心思维”来指导,也就是着眼于组成工控系统的几种主要设备或资产来进行。首先当然是PLC、监控软件等单体设备,第二种是SCADA等应用软件,第三种是操作系统软件,第四种是网络通讯组件,比如防火墙、交换机等。这四种工控系统中的主要设备都可能存在信息安全的缺陷,将视线聚焦在它们之上后,再辅以一定的方法就不难发现。
比如,及时跟踪设备厂商发布的漏洞信息是最常见,却也最易为人忽视的重要手段。最好的例子莫过于微软作为操作系统厂商,会在每周二针对其流行的操作系统产品发布新的漏洞信息,以及相应的解决方案。及时关注涉及自身设备的漏洞信息的发布情况,是掌握自身信息安全缺陷乃至消除缺陷最直接、最简单易行的手段之一。
此外,国际国内的一些专门的组织、协会,也会发布工控产品的信息安全漏洞信息。比如美国的CERT会在其官方网站上发布全球主要供应商全系列产品的漏洞信息;国内则有中国国家信息安全漏洞库(CNNVD)。工业企业只要登录这些机构的网站,查询自身所使用的工控产品的漏洞信息,并加以修复。
第三,工业企业应当明确所使用的操作系统、应用软件本身是否具有用户权限管理的功能,相应功能是否能满足应用需求,是否已经进行了相关的设置。如果答案是否定的,工控系统当然是存在信息安全隐患的。网络设备的情况也与之类似。以太网交换机、防火墙、网闸、网关等一般都具有一定的信息安全防护功能,但如果工业企业因疏忽或其他愿意没有启用这些功能,其工控系统的信息安全防护也是存在巨大漏洞的。
(3)了解市场的产品、服务供应
对于工业企业来说,全面了解市场上相关产品、服务的供应情况,是进行工业信息安全防护决策和实施的基础。就施耐德电气而言,能够为工业企业提供的产品和服务囊括了工业信息安全实现全部四个方面的内容。从最初的咨询环节开始,施耐德电气能够帮助工业企业评估其工控系统的信息安全水平,查找其工控系统存在的信息安全隐患、薄弱环节,包括管理制度、软件、权限设置等方方面问题的测评,并提供信息安全整改的建议。接下来,施耐德电器可以根据评估的结果帮助工业企业设计信息安全防护的解决方案、完善信息安全防护策略并帮助其集成信息安全防护策略。第三方面是针对已经投运的工业信息安全系统,施耐德电气可以提供维护等一系列支持服务。最后一方面,是施耐德电气能够为工业企业内部的相关人员提供工业信息安全的培训。王斌认为,施耐德电气所提供的工业信息安全产品、服务基本覆盖了目前市场上相关供应的各种类型,足以称为市场整体情况态的范本;正所谓管中窥豹,可见一斑。
消除四大认识误区
王斌特别提到,目前工业企业对工业信息安全的认识还存在很多误区。这些认识误区的存在对工业企业选择恰当的工业信息安全解决方案有很大的干扰。走出这些误区,保证工业信息安全防护拥有正确的指导思想,对于工业企业来说非常有必要。
对工业信息安全最大的的认识误区,是认为如果工控系统与与互联网等外部的网络环境完全隔离,就不存在工业信息安全问题。王斌接触过的很多工业企业都抱有这样的观点。事实上单纯的物理隔离并不能成其为可靠的工业信息安全保障。在2010年的震网病毒事件中,被攻击的伊朗布什尔核电站的控制系统也是与外部隔离的,但病毒还是通过U盘感染了其控制计算机,最终导致了整个控制系统的瘫痪。这一事件已经充分证明了“隔离即安全”观点的错误性,其损失之惨痛值得每一个工业企业对这一认识误区提起警惕。
另一个常见的认识误区,是认为工业信息安全防护是一项一劳永逸的工作,部署了完善的信息安全系统之后,在很长的时期内都不会再出现,也不必再关注信息安全问题。实际上,工业信息安全需要“长治”才能“久安”,其防护是一项长期的工作。信息技术发展日新月异,当前无懈可击的信息安全系统,一段时间之后可能就会有新的漏洞被发现。微软每周二发布操作系统漏洞信息及解决方案、工控系统SCADA软件供应商定期发布漏洞修复补丁包的举措,都是例证。如果不持续地关注和完善,信息安全系统的防护作用会日渐降低。因而陷于“一劳永逸”的误区之中,虽然部署了信息安全系统,却缺失了不断完善的工作,同样会使自身处于信息安全风险之中。
还有一种认识误区,情况与“一劳永逸”类似,那就是盲目投资。有些工业企业能够认识到工业信息安全防护的意义,但却没有能够把握自身的防护需求,而只是一味地认为高投入打造的信息安全系统必定能够实现良好的防护效果。怀有这样的认识,工业企业往往会购买一些昂贵的软硬件防护设备,或者聘请一些专门从事信息安全防护工作的人员来为自己设计、搭建、完善信息安全解决方案。然而这样的认识其实并不全面。由于每个工业企业所使用的工控设备的类型、数量都不一样,因而任何一套工业信息安全解决方案都不能脱离具体的工业企业应用去评价其功效。换句话来说,工业企业的信息安全解决方案与其用“好与不好”来评价,不如用“合适与不合适”来评价。性能优越、功能丰富的信息安全防护产品,也不能覆盖所有工业企业的需求。如果不对自身的需求加以认识,而是盲目地认为“高投入有高回报”,不但自身工业信息安全的目标不一定能够实现,还很可能导致购买一些价格昂贵,并且很多功能与自身需求无关的防护设备,或是所购买的防护设备彼此之间功能多有重叠——无论哪种情况都是对投资的浪费。完全地依赖聘请的信息安全防护的专业人士也是同理,毕竟任何技术人员对信息安全技术与工业生产的了解都不可能面面俱到。
第四种认识误区,是对“人的因素”过分依赖。由于震网事件发生的直接原因,可以归结为伊朗布什尔核电站的,工业信息安全管理制度存在疏漏,因而很多工业企业产生了这样的误解,即只要建立起严明的管理制度,就可以实现良好的工业信息安全防护。拥有完善的管理制度的确可以消除一部分信息安全隐患,但管理制度的落地过于依赖工业企业人员素质,而由于疏忽、操作失误,甚至人的情绪等很多不确定因素都可能会造成管理制度落实不到位、信息安全防护效用的可靠性并不像很多工业企业设想得那样高,因此完全依靠管理制度来支撑工业企业的信息安全防护是不可行的。实际上,这也正是王斌将管理制度定义为工业信息安全辅助防护的原因。言及此处王斌特别强调,通过对建立管理制度这一工业信息安全防护手段的不足之处的审视,恰恰可以看到“靶心思维”的意义:以消除工控设备信息安全漏洞的设备级防护为核心,辅以系统级和管理级的外围措施,既能从根源上解决工业信息安全问题,对投入的要求、对人为因素的依赖又相对较低,对工业企业来说无疑是当前最具可行性的方案。
方案实施的障碍
除了工业企业对工业信息安全问题的认识误区之外,工业信息安全解决方案实施过程中可能遭遇的种种障碍,也会给工业信息安全防护目标的实现造成不利影响。王斌在与工业企业合作的过程中对此印象颇深。具体说来,工业信息安全实施过程中最主要的障碍和挑战共有五种。其中最常见的三种是:目前工业企业内部缺少既具备信息安全知识又了解工控系统技术的人员;很多工业企业的信息安全管理制度还不完善,少数设置了较为完善的信息安全管理制度的企业,其制度的落实情况也大多不够理想;工业企业大多更关心生产,对于工控系统的重视程度和了解程度都不高,更遑论信息安全系统了,于是往往导致不能很好地处理生产和信息安全整改的关系。
第四种障碍是成本上的压力。工业信息安全防护的成本不仅限于软硬件设备的购置、解决方案的实施。由于工业信息安全防护是一项持续性和系统性的工作,因此其成本还包括相关技术人员的培养、系统的日常维护、升级等等。也就是说,工业信息安全防护的成本也是需要长期持续投入的。这当然会给工业企业带来一定的压力,从而成为部署信息安全防护策略的障碍。而如王斌所说,也正是因为这个原因,施耐德电气的“自下而上”的工业信息安全解决方案,初期投入更低的优势,对于成本压力承受能力比较低的工业企业来说,是更容易接受的实现工业信息安全防护的可行之路。
最后,有一些工业企业存在这样的问题:了解到了自身存在工业信息安全隐患的事实,也愿意配合工业信息安全产品的供应商来进行工业信息安全的评估、整改,但是对于部署了工业信息安全解决方案是否就能解决工业信息安全的问题,还心存疑虑,以致于对真正上马工业信息安全的防护体系裹足不前。工业企业有这样的疑虑是可以理解的;毕竟信息安全技术的发展日新月异,部署的信息安全系统能否在未来几年内,甚至十几年持续地满足信息安全防护的需求,工业企业希望在做出投资决策之前能够明确这一点是非常合理的。而之所以没有解开工业企业的这一疑虑,在于供应商在为工业企业的信息安全系统提供的持续支持上做得还不够,抑或没能将信息良好地传递给工业企业。
完整价值的最后一环
解开工业企业对于部署工业信息安全解决方案的价值的疑虑,对工业信息安全产品和解决方案供应商提出了这样的要求:为工业企业提供工业信息知识、自身工业信息安全解决方案的介绍,以及工业信息安全防护系统的维护服务。由此可见,工业信息安全产品和解决方案供应商能够、应当为工业企业提供的价值,并非只有产品和实施,只有加上服务这一环才完整。
在2013年与国内某大型电力集团展开合作时,施耐德电气就曾为国内电力行业所有的电力集团和测评机构提供过工业信息安全知识和施耐德电气的,工业信息安全解决方案的培训服务。在培训开始前,施耐德电气对接受培训的技术人员进行了摸底调查,结果显示其中60%的人甚至对电力企业使用的工控系统都不熟悉。而从此后的电厂工业信息安全整改的结果来看,培训的效果无疑非常理想:整改由电力企业的技术人员独立进行,相关工作完成得非常顺利,整改后的工业信息安全防护效果也通过了电力企业,以及当时的电监会相关领导的验收。
除了直接的培训之外,施耐德电气还能为工业企业提供工业信息安全解决方案的文档支持——完善的培训教材只是其中的一部分,另外还包括方案实施的指导手册等。在工业信息安全整改、相关解决方案的部署中,即使工业企业的技术人员对于方案实施培训的内容没有记全,只要参照指导手册等文档资料,按步骤实施,还是能够顺利地完成相关工作。即便在部署中遇到问题,文档中完善的应对策略,也可帮助技术人员快速定位并解决问题。因此,完善的文档支持能够为工业信息安全解决方案的成功部署提供重要的保证。
通过王斌先生的介绍,不难发现这样一个事实:不仅是工业企业,也包括工业信息安全解决方案的供应商在内,目前工业领域内所有相关企业所遭遇的,工业信息安全防护方面的问题,或多或少地都与工业企业对工业信息安全的认识尚不充分有关。任何一种新概念、新产品在市场上的推广,都要经历这样一个阶段。而施耐德电气“自下而上”的工业信息安全实施策略,恰恰是瞄准了在这个阶段里,决定着工业企业是否易于接受的核心内容。其“靶心思维”的方式,相比于技术层面,更可称是一种市场性的考虑——是站在工业企业的角度去审视工业信息安全解决方案,想工业企业所想而得来的;对于现阶段推动工业信息安全防护广泛地为工业企业所认识、接受,具有重要意义。
(IIANews原创,转载请注明出处)
京公网安备 11011202001138号
