当前,工业控制系统边界模糊,威胁暴露面增加,传统信息网络所面临的病毒、木马、入侵攻击、拒绝服务等安全威胁,正加速向工业控制系统扩散。
“构筑完善的工业安全保障体系是一个复杂而多维的任务,要求我们要完善工业安全政策保障体系,健全工业安全标准体系,形成工业安全技术体系,构建工业安全产业体系。”在5月31日召开的“2024工业自动化安全大会(IASSC2024)”上,中国科学院院士、中国自动化学会特聘顾问吴宏鑫建议。
中国工程院院士沈昌祥也提醒,工业控制系统是制造业的基础,应按照国家网络安全法律、战略、制度要求,使用安全可信的产品和服务,筑牢安全底座,打造工业控制安全可信主动免疫新生态。
新版国标亟待修订
伴随新型工业化的深入推进,人工智能、大数据、区块链、5G通信等新一代信息技术与工业生产活动进一步融合,推动制造业提高生产效率的同时,也使工业领域面临着新的网络安全威胁。
一方面,工业数据成为“勒索病毒”攻击的重点方向,电子制造、汽车制造、轨道交通等多行业工业企业遭受“勒索病毒”攻击。另一方面,典型工业控制软硬件相继被爆出严重漏洞,这些漏洞分布于工业生产诸多环节,给产业发展带来安全隐患。由此,加快完善工业领域网络安全防护体系,提升工业企业安全防护水平迫在眉睫。
早在2016年10月,工业和信息化部已印发《工业控制系统信息安全防护指南》(以下简称《防护指南》)。其中提到,工业控制系统应用企业应从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任11个方面做好工控安全防护工作。
“从现有情况来看,已发工控安全国家标准与《防护指南》内容契合程度有待提升,现有标准内容对《防护指南》落地支撑程度不足,亟需开展我国工控安全标准体系升级工作。”中国电子技术标准化研究院网络安全研究中心工程师夏冀分析。
夏冀认为,现有国家标准对防护指南支撑程度欠佳。例如,在供应链安全上,已发标准未明确产品安全能力衡量标准。在边界防护上,已发标准未包含商用密码等新技术应用。在安全机构设置上,已发标准未提及“运营中心”机构设置。从时间角度看,许多工控安全国家标准应当根据当前工控安全防护现状,及时开展修订工作。
“梳理存量标准,明确修订方向,确定修改内容,形成新版国标,这是工业控制系统网络安全标准修订的思路。”夏冀建议。
新质生产力场景下,工业企业面临哪些全新的安全挑战?
对此,机械工业仪器仪表综合技术经济研究所所长欧阳劲松认为,新质生产力场景下的安全挑战主要包括危险源/威胁难识别、网络物理攻击路径难预测、功能安全与信息安全措施难协调等。
在工控信息安全上,应主要关注系统在遭受恶意攻击或未经授权访问时的安全性;主要关注防止未经授权的访问、数据泄露和攻击,例如访问控制、加密和入侵检测等;需要采取适当的全措施,包括组织安全政策、安全意识教育和员工背景调查;需要部署安全设备和软件来实时监控网络流量和异常行为,采取安全措施来防止攻击和干扰。
“以可容忍风险为目标,以基于风险管控的多维安全协同为研究思路,以标准研究为先导引领,以试验平台为验证手段,这是保障流程制造、核电等具体工业领域安全的解决思路。”欧阳劲松说。
随着研究范式和算力的不断演进,生成式AI功能日益强大,网络安全攻防手段日新月异,研发满足新时代需求的工控网络安全新体系迫在眉睫。
“以设计安全为例。软件开发商在软件设计开发阶段,应该先进行网络安全风险评估,以识别对关键系统存在的普遍网络威胁和漏洞,在设计方案中应纳入应对不断演变的网络威胁形势的相应保护措施。”电力规划设计总院副总工程师张晋宾分析。
在其看来,产品全生命周期的设计开发阶段,供应商应实施secure-by-design(通过设计确保网络安全)设计安全原则,在产品被投入市场广泛使用或消费之前,应大幅减少产品自身网络安全缺陷的数量,采取合理的防护措施,以防止恶意网络行为者获得对设备、数据和连接基础设施的访问权限。
绿盟科技总监王晓鹏提醒,智能化和数据共享需求的发展,打破了原有以孤岛为运行基本单元的生产制造架构,通信过程的主体及数据交换的内容也在不断发生变化。网络安全、数据安全的风险,随着内、外部形势的变化也将面临更大挑战。
“工业企业需从系统架构、运行模式、数据要素等多个维度来构建体系化的安全体系,按照业务的发展阶段和步骤,逐步实现安全的可控闭环管理。”王晓鹏建议。
多路径赋能企业安全
工控网络安全风险持续攀升的当下,不少企业探索解决路径,守护核心数据,赋能企业安全。
“在补齐上游短板后,企业的竞争焦点必将逐步转移至下游销售渠道之上。供应链条的顺畅与否将直接决定未来企业的利润水平,而这正是大数据和智能制造所长。”中国石化工程建设有限公司原副总工程师林融分析。
林融认为,智能自动化技术正赋能石化工业安全低碳高质量发展。然而,与美、欧等世界制造强国相比,我国石化工业还存在能耗物耗偏高、资源与能源利用率偏低、安全环保水平有待提升等问题。
“建议中国的过程仪表自动化与工控系统企业界和流程工业企业最终用户,能抓住全球工业4.0、工业互联网、大数据、人工智能和智能制造的大趋势及良好机遇,大力研发新一代现场总线、工业以太网、以太网-APL、通用I/O、工业无线仪表等热点技术和前沿技术,并研发生产相关仪表设备和控制系统。与此同时,关注边缘计算与云计算协同、窄带物联网NB-IoT、LoRa网络、时间敏感网络TSN及OPCUA/OPCUA-FX等其他前沿ICT技术的发展与智能自动化技术架构的融合,使过程自动化领域的智能自动化技术成为推动石化企业数字化转型升级的关键技术和核心利器,赋能石化工业安全、低碳、高质量发展。”林融建议。
面对工业环境的复杂性及其对高度安全数据环境的需求,和利时信安院提出了一套创新性的数据安全框架。
据宁波和利时信息安全研究院有限公司方案总监张雄杰介绍,基于和利时Hasec大模型的工业数据防护,可实现数据质量监控、分类分级、风险评估、威胁响应、数据分析、智能运维、工艺提升等全流程赋能。
张雄杰提醒,在工业数据安全上,要以数据资产为核心,保护业务系统及其应用和数据;不仅关注基础设施和边界,还要关注数据的承载和数据流转;数据具有实时性和时序性,需要关注对工控协议/实时数据/时序数据库的解析和审计;不仅要保护数据实体,还要以分类分级为基础,在数据流转基础之上做动态的防护。
不少钢铁企业也在尝试搭建“零信任”网络安全体系。
河钢集团唐钢公司信息自动化部资深专家张宝玉透露,传统边界安全架构正面临严峻问题和挑战。包括新技术的广泛应用使网络安全边界变得更加模糊;新型病毒、木马和网络攻击层出不穷;移动办公使传统的网络访问控制策略很难执行;内部和外部的网络安全威胁同样严峻,网络威胁更容易横向扩散。
上述挑战下,河钢唐钢“零信任”网络安全体系的实践,以及制度和管理体系建设对网络安全工作的支撑作用已显得愈发重要。(作者: 余娜)