近日�,Moxa 產(chǎn)品信息安全應(yīng)變小組負(fù)責(zé)人李崇漢和中國(guó)區(qū)網(wǎng)絡(luò)基礎(chǔ)建設(shè)事業(yè)部產(chǎn)品經(jīng)理張恒發(fā)表了《工業(yè)互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)安全》的文章�����,全文如下:
萬(wàn)物互聯(lián)的時(shí)代已經(jīng)到來(lái)
互聯(lián)網(wǎng)改變了人們的生活與工作,并影響到人類(lèi)社會(huì)的各個(gè)角落��;隨著萬(wàn)物智聯(lián)時(shí)代的來(lái)臨���,我們身邊聯(lián)網(wǎng)的智能設(shè)備數(shù)量劇增。根據(jù) Gartner 的數(shù)據(jù)�����,2017全球物聯(lián)網(wǎng)設(shè)備的數(shù)量多達(dá)84億�����,已遠(yuǎn)遠(yuǎn)超過(guò)全球人口總數(shù)�����。而到了2020年�,物聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)到204億,這意味著每個(gè)人身邊都有數(shù)個(gè)乃至數(shù)十個(gè)聯(lián)網(wǎng)設(shè)備��,可見(jiàn)物聯(lián)網(wǎng)在未來(lái)的連網(wǎng)世界中將扮演關(guān)鍵的角色�。
全球工業(yè)正邁入一個(gè)全新的物聯(lián)網(wǎng)時(shí)代,業(yè)者對(duì)于提升各種作業(yè)流程自動(dòng)化的需求越來(lái)越高���,進(jìn)而部署傳感器�����、機(jī)器人和遠(yuǎn)程控制等各種智能連網(wǎng)設(shè)備���,實(shí)現(xiàn)了無(wú)縫連接�、被管理�����、并且借助網(wǎng)絡(luò)安全地進(jìn)行交互工作���,也就是目前被稱(chēng)為工業(yè)物聯(lián)網(wǎng) (IIoT) 或工業(yè)4.0的產(chǎn)業(yè)變革和趨勢(shì)����。然而這股產(chǎn)業(yè)自動(dòng)化的新趨勢(shì)也擴(kuò)大了網(wǎng)絡(luò)安全的范疇��,將網(wǎng)絡(luò)安全的議題延伸至講求運(yùn)維技術(shù) (Operation Technology, OT) 的工業(yè)領(lǐng)域中�,包括能源、石油與天然氣���、運(yùn)輸和制造業(yè)等����。
工業(yè)互聯(lián)網(wǎng)成為網(wǎng)站黑客攻擊目標(biāo)
隨著工業(yè)領(lǐng)域進(jìn)入工業(yè)4.0時(shí)代,運(yùn)維技術(shù) (OT) 和信息技術(shù) (Information Technology, IT) 趨于并駕齊驅(qū)���,IT 部門(mén)部署軟件的目標(biāo)也是為了讓 OT 通訊更佳以提升工廠設(shè)備的生產(chǎn)效率��。這種工業(yè)化和信息化的融合也意味著未來(lái)的安全漏洞將會(huì)不僅是數(shù)據(jù)遺失,甚至擴(kuò)散和滲透到城市安全���、人身安全��、關(guān)鍵基礎(chǔ)設(shè)施安全���,乃至國(guó)家安全等更廣泛的層面,造成的后果日益嚴(yán)重�����。
工業(yè)互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)安全
例如黑客會(huì)運(yùn)用工廠的網(wǎng)絡(luò)來(lái)散布惡意軟件�����,擾亂通訊協(xié)議����,打亂生產(chǎn)線上的機(jī)器人作業(yè)或制造流程�,釀成災(zāi)難性的安全危機(jī)��,或?qū)е峦C(jī)而引起代價(jià)高昂的經(jīng)濟(jì)損失�。根據(jù)企業(yè)增長(zhǎng)咨詢公司 Frost & Sullivan 的估算,一家石油和天然氣公司遭到網(wǎng)絡(luò)攻擊的平均損失高達(dá)1,300萬(wàn)美元��。更糟的情況是��,當(dāng)一個(gè)城市的自來(lái)水系統(tǒng)遭受網(wǎng)絡(luò)攻擊時(shí)�����,則可能會(huì)讓用以凈水的化學(xué)物質(zhì)混合而改變成分��。網(wǎng)絡(luò)黑客也可能盯上智能型供電和供水系統(tǒng)�����,或者是一個(gè)城市的智能交通信號(hào)網(wǎng)絡(luò)�,而造成斷電、斷水或交通癱瘓�����。
物聯(lián)網(wǎng)時(shí)代,沒(méi)有一勞永逸的安全防護(hù)
物聯(lián)網(wǎng)存在的各種安全問(wèn)題需要物聯(lián)網(wǎng)設(shè)備制造商和終端用戶聯(lián)合采取措施確保設(shè)備安全��。物聯(lián)網(wǎng)設(shè)備有太多組件��,包括處理器���、云與 Web 服務(wù)����、設(shè)備與應(yīng)用程序��,這導(dǎo)致很難兼顧所有這些組件的安全問(wèn)題���。系統(tǒng)的每部分都至關(guān)重要,漏洞可能就存在于應(yīng)用程序��、平臺(tái)�、設(shè)備、傳感器和云中��。因此���,我們需要接受一種新的安全觀念�,即“沒(méi)有一勞永逸的安全防護(hù),安全是個(gè)持續(xù)對(duì)抗的過(guò)程”��。
工業(yè)互聯(lián)網(wǎng)時(shí)代的網(wǎng)絡(luò)安全
設(shè)備服務(wù)提供商同樣需要注重培養(yǎng)防范意識(shí)���,監(jiān)控威脅和安全事件�����,并遵守適當(dāng)?shù)膱?bào)告流程�����,特別是在出現(xiàn)影響其客戶的安全漏洞和事件時(shí)更要及時(shí)報(bào)告����,與此同時(shí)���,定期升級(jí)操作系統(tǒng)和應(yīng)用對(duì)于確保網(wǎng)絡(luò)安全也是很重要的���。
伴隨著國(guó)家政策的指引以及行業(yè)內(nèi)對(duì)工控安全的行業(yè)引導(dǎo),在相關(guān)因素驅(qū)動(dòng)下��,工控安全產(chǎn)品應(yīng)用實(shí)例的增多及實(shí)際應(yīng)用效果得到業(yè)界的認(rèn)可,預(yù)計(jì)在不久的將來(lái)��,工業(yè)控制系統(tǒng)的安全必將迅猛發(fā)展���。
雖然面對(duì)網(wǎng)絡(luò)安全并沒(méi)有百分之百安全的解決方案����,但目前已經(jīng)有很多專(zhuān)業(yè)組織出版了很多關(guān)于工業(yè)網(wǎng)絡(luò)信息安全的建議要求可以參考���。如國(guó)家標(biāo)準(zhǔn)的《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》��,或是專(zhuān)門(mén)針對(duì)工業(yè)自動(dòng)化和工業(yè)安全的國(guó)際標(biāo)準(zhǔn) IEC 62443�����。而 IEC 62443 更是目前在全球被廣泛采納和認(rèn)可的工控系統(tǒng)標(biāo)準(zhǔn)��。各國(guó)、各行業(yè)制定工控相關(guān)標(biāo)準(zhǔn)政策都會(huì)參考和吸收該標(biāo)準(zhǔn)提供的概念�����、方法�����、模型。不論是想有系統(tǒng)地了解工控安全問(wèn)題及其應(yīng)對(duì)措施�����,還是想了解部分內(nèi)容��,都可以從該標(biāo)準(zhǔn)入手�。
穩(wěn)定可靠的工業(yè)通訊推進(jìn)工業(yè)物聯(lián)網(wǎng)安全
IEC 62443 標(biāo)準(zhǔn)涉及完整的工業(yè)自動(dòng)化控制生態(tài)系統(tǒng),并描述了安全從業(yè)人員����,系統(tǒng)集成商和控制系統(tǒng)制造商應(yīng)如何交互并確保其設(shè)施和組件的安全性。該標(biāo)準(zhǔn)根據(jù)區(qū)域和管道模型細(xì)分網(wǎng)絡(luò)�,以使用良好定義的接口(信道),更好地控制系統(tǒng)網(wǎng)絡(luò)內(nèi)的接入和安全性����。它為工業(yè)自動(dòng)化控制系統(tǒng)安全提供了一個(gè)通用準(zhǔn)則,專(zhuān)門(mén)用于工業(yè)自動(dòng)化的安全管理系統(tǒng)�,工業(yè)網(wǎng)絡(luò)安全體系結(jié)構(gòu)指南,以及定義整個(gè)系統(tǒng)和整個(gè)組件生命周期的安全要求�����。它的實(shí)施有利于組織解決工業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
以 Moxa 為例���,不僅有專(zhuān)職的產(chǎn)品安全功能設(shè)計(jì)工作小組依照國(guó)際規(guī)范(如IEC 62443)設(shè)計(jì)產(chǎn)品以滿足客戶規(guī)劃系統(tǒng)時(shí)的需求����,提升產(chǎn)品的安全性和加強(qiáng)產(chǎn)品本身的強(qiáng)固�����,而且設(shè)有產(chǎn)品資產(chǎn)安全實(shí)驗(yàn)室����,針對(duì)產(chǎn)品進(jìn)行已知漏洞測(cè)試及模糊測(cè)試 (Fuzzy Test) 以確保產(chǎn)品沒(méi)有已知漏洞并有效降低資產(chǎn)安全風(fēng)險(xiǎn)。因此���,Moxa 的工業(yè)通訊產(chǎn)品 -- 工業(yè)用交換機(jī)��、設(shè)備服務(wù)器����、通訊協(xié)議交換機(jī)�����,和用于關(guān)鍵系統(tǒng)保護(hù)和訪問(wèn)的防火墻及 VPN 產(chǎn)品�,已廣泛地應(yīng)用在上海地鐵各個(gè)系統(tǒng)中,如 PSCADA�,而這些地鐵線路都經(jīng)過(guò)等保測(cè)評(píng)機(jī)構(gòu)評(píng)定均符合《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》二級(jí)或三級(jí)標(biāo)準(zhǔn)要求。
此外�,Moxa 更投入眾多資源成立專(zhuān)門(mén)的網(wǎng)絡(luò)安全響應(yīng)小組,匯聚了相關(guān)的專(zhuān)家快速響應(yīng)產(chǎn)品在網(wǎng)絡(luò)安全方面的事宜��;在發(fā)現(xiàn)安全漏洞時(shí)�,以最快的速度回應(yīng),協(xié)助客戶的產(chǎn)品保持在最佳的安全狀態(tài)�����,并主動(dòng)在 Moxa 企業(yè)網(wǎng)站主動(dòng)公布相關(guān)產(chǎn)品���、產(chǎn)品弱點(diǎn)與 Moxa 提出的安全解決方案�����。而 Moxa 的客戶也可透過(guò)訂閱 RSS 收到最新的產(chǎn)品安全相關(guān)消息��。
產(chǎn)品資產(chǎn)及相關(guān)網(wǎng)絡(luò)安全議題一直是 Moxa 成立30多年來(lái)關(guān)注的議題����,Moxa 很歡迎與各行業(yè)的伙伴在工業(yè)網(wǎng)絡(luò)安全方面進(jìn)行共同探討、合作�����。
