摘要：在新基建和工業(yè)互聯(lián)網(wǎng)的大趨勢下，如何應(yīng)對隨之而來的工業(yè)信息安全風(fēng)險(xiǎn)？施耐德電氣倡導(dǎo)遵循相關(guān)的國際和國家標(biāo)準(zhǔn)，貫徹縱深防 御策略，以對工業(yè)企業(yè)和工業(yè)互聯(lián)網(wǎng)的建設(shè)提供全生命周期的防護(hù)。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng)安全；工控信息安全；縱深防御

Abstract: At the era of New Infrastructure and Industrial Internet, how to deal with the industrial cybersecurity risks? Schneider Electric advocates to follow related international and national standards, and implement Defense-in-Depth strategy to provide full lifecycle protection and assurance for industrial enterprises and industrial Internet construction.

Key words: Industrial Internet security; IACS(Industry Automation Cybersecurity); Defense in depth

1 概述

隨著互聯(lián)網(wǎng)技術(shù)對社會和經(jīng)濟(jì)的巨大推進(jìn)和影響，傳統(tǒng)工業(yè)領(lǐng)域也逐漸開始利用越來越通用、經(jīng)濟(jì)和成熟的網(wǎng)絡(luò)通訊、大數(shù)據(jù)存儲和處理、人工智能等前沿技術(shù)來提高運(yùn)營過程的效率。傳統(tǒng)的運(yùn)營技術(shù)（OT）與信息技術(shù)（IT）、通訊技術(shù)（CT）以及數(shù)據(jù)技術(shù)（DT）開始逐漸融合，并與工業(yè)互聯(lián)網(wǎng)一同優(yōu)化工業(yè)企業(yè)的生產(chǎn)過程以及能源利用效率，成為工業(yè)企業(yè)新的增長引擎。

在工業(yè)互聯(lián)網(wǎng)成為新基建的大環(huán)境大趨勢下，在工業(yè)企業(yè)致力推進(jìn)工業(yè)企業(yè)數(shù)字化和智能化轉(zhuǎn)型的同時(shí)，越來越多的工業(yè)控制系統(tǒng)從封閉走向開放，從信息孤島走向互聯(lián)互通，從獨(dú)立運(yùn)行走向協(xié)同，因此在為企業(yè)節(jié)能、優(yōu)化和增效的同時(shí)，也引入了信息安全的風(fēng)險(xiǎn)。

如何提升已經(jīng)運(yùn)行多年的工業(yè)控制系統(tǒng)的信息安全防護(hù)能力，有效防護(hù)對工業(yè)控制系統(tǒng)層出不窮的網(wǎng)絡(luò)攻擊，是工業(yè)用戶需要面對的巨大挑戰(zhàn)。

2 工業(yè)信息安全的挑戰(zhàn)

2.1 OT和IT系統(tǒng)信息安全的差異

盡管在IT領(lǐng)域內(nèi)已經(jīng)有很成熟的信息安全防護(hù)技術(shù)、方案、軟硬件產(chǎn)品和服務(wù)，也不斷地涌現(xiàn)創(chuàng)新技術(shù)和產(chǎn)品，但直接將IT領(lǐng)域內(nèi)的信息安全實(shí)踐直接應(yīng)用于OT領(lǐng)域內(nèi)會導(dǎo)致極大風(fēng)險(xiǎn)。這絕不僅僅是因?yàn)楸娝苤男畔踩獵.I.A.（保密性Confidentiality，完整性Integrity，可用性Availability）三要素在IT和OT領(lǐng)域中優(yōu)先級的不同（IT環(huán)境中：保密性>完整性>可用性，而OT環(huán)境中：可用性>完整性>保密性），而需要更加深刻地認(rèn)識到IT和OT信息安全防護(hù)的對象不同，所處的環(huán)境不同，采用的技術(shù)不同，運(yùn)營和維護(hù)方式不同，生命周期不同，停機(jī)或故障甚至性能下降可能導(dǎo)致的結(jié)果不同，因此在面對OT系統(tǒng)時(shí)，不能孤立地考慮系統(tǒng)的信息安全（Security），還應(yīng)該考慮部署在OT系統(tǒng)的信息安全防護(hù)產(chǎn)品是否會對系統(tǒng)的可用性、可靠性、實(shí)時(shí)性、確定性、耐久性、連續(xù)性、魯棒性等固有屬性造成影響，避免為了實(shí)現(xiàn)信息安全（Security）最終導(dǎo)致功能安全（Safety）的問題，從而造成對正常生產(chǎn)運(yùn)營，甚至是資產(chǎn)、人員、環(huán)境的影響。

2.2 全生命周期保障

工控系統(tǒng)的生命周期通常很長，可以達(dá)到15年甚至20多年，這給針對工控系統(tǒng)的信息安全防護(hù)帶來很大困難。首先，這么長的生命周期以及其良好的可靠性意味著現(xiàn)役的很多工控系統(tǒng)使用的是10多年前的產(chǎn)品或技術(shù)，部署時(shí)產(chǎn)品和系統(tǒng)層面都很少會考慮信息安全風(fēng)險(xiǎn)及防護(hù)，而對存量系統(tǒng)進(jìn)行信息安全升級則需要充分考慮對現(xiàn)有系統(tǒng)可能造成的影響。其次，部署在工控系統(tǒng)的信息安全防護(hù)產(chǎn)品須能夠和工控系統(tǒng)有相同的生命周期且能夠適應(yīng)工業(yè)應(yīng)用環(huán)境，才能為工控系統(tǒng)長期提供防護(hù)，至少不應(yīng)成為系統(tǒng)可能的故障點(diǎn)或風(fēng)險(xiǎn)點(diǎn)。最后，工控系統(tǒng)過長的生命周期導(dǎo)致了系統(tǒng)會在不同的時(shí)期必須面對不同的內(nèi)部和外部安全威脅和風(fēng)險(xiǎn)：對外，如何防御網(wǎng)絡(luò)攻擊技術(shù)發(fā)展而層出不窮的新攻擊技術(shù)和手段；對內(nèi)，如何緩解系統(tǒng)組件（PLC、操作系統(tǒng)、應(yīng)用程序）甚至是信息安全防護(hù)產(chǎn)品本身由新發(fā)現(xiàn)的漏洞導(dǎo)致的風(fēng)險(xiǎn)。

2.3 無擾、高可用性要求下的動(dòng)態(tài)信息安全防護(hù)

為了應(yīng)對以上挑戰(zhàn)，工業(yè)企業(yè)需要建設(shè)動(dòng)態(tài)的、能夠在全生命周期范圍內(nèi)對系統(tǒng)進(jìn)行有效信息安全的防護(hù)體系。而該體系建立的關(guān)鍵基礎(chǔ)是意識、人和知識。只有深刻意識到信息安全問題對工業(yè)企業(yè)的傷害力，意識到信息安全已經(jīng)成為工業(yè)互聯(lián)網(wǎng)的必備要素和基礎(chǔ)技術(shù)，才會在推進(jìn)工業(yè)互聯(lián)網(wǎng)時(shí)同步進(jìn)行信息安全建設(shè)；而只有具備專業(yè)IT+OT+安全知識技能的專家，才能夠在構(gòu)建信息安全防護(hù)體系的同時(shí)，不對現(xiàn)有的控制系統(tǒng)造成任何影響，從而保證生產(chǎn)的安全連續(xù)運(yùn)營。

3 施耐德電氣建議

3.1 遵循信息安全標(biāo)準(zhǔn)

信息安全領(lǐng)域的國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)由工業(yè)領(lǐng)域的用戶，工業(yè)產(chǎn)品和服務(wù)提供商，信息安全產(chǎn)品和服務(wù)提供商以及相關(guān)管理機(jī)構(gòu)的專家針對需要面對的工業(yè)信息安全挑戰(zhàn)而制定，可以為最終用戶，產(chǎn)品供應(yīng)商和服務(wù)供應(yīng)商的信息安全實(shí)踐提供良好的指導(dǎo)以及最佳實(shí)踐。

施耐德電氣倡導(dǎo)工業(yè)用戶遵循開放的國際/國家標(biāo)準(zhǔn)以應(yīng)對越來越重要的工業(yè)信息安全風(fēng)險(xiǎn)，如：ISA/IEC 62443系列標(biāo)準(zhǔn)，網(wǎng)絡(luò)安全等級保護(hù)系列標(biāo)準(zhǔn)等。

ISA/IEC 62443系列標(biāo)準(zhǔn)是國際公認(rèn)的最適宜應(yīng)用在工業(yè)自動(dòng)化和控制系統(tǒng)領(lǐng)域的標(biāo)準(zhǔn)，施耐德電氣遵循ISA/IEC 62443-4-1，建立安全開發(fā)生命周期流程，基于ISA/IEC 62443-4-2在OT產(chǎn)品中內(nèi)置信息安全特性，并基于ISA/IEC 62443-3-3為OT系統(tǒng)提供全生命周期的系統(tǒng)級信息安全防護(hù)能力。部分IEC 62443系列標(biāo)準(zhǔn)已被等同轉(zhuǎn)換為國標(biāo)，如GB/T33007-2016、GB/T35673-2017等，還有一些在轉(zhuǎn)換過程中。

作為ISA全球信息安全聯(lián)盟創(chuàng)始成員之一，施耐德電氣致力于：

（1）倡導(dǎo)在工業(yè)控制系統(tǒng)中使用ISA/IEC 62443系列標(biāo)準(zhǔn)，并推動(dòng)標(biāo)準(zhǔn)的應(yīng)用；

（2）更好的行業(yè)協(xié)同，為人員、流程和技術(shù)提供保護(hù)和保障；

（3）履行在網(wǎng)絡(luò)安全領(lǐng)域促進(jìn)公開、知識共享、教育和宣傳，推動(dòng)必要變革的承諾；

（4）提升助力客戶建立并符合基于標(biāo)準(zhǔn)的最佳流程、實(shí)踐和策略的能力。

3.2 貫徹縱深防御策略

施耐德電氣倡導(dǎo)的縱深防御策略有助于有效防御信息安全攻擊。縱深防御遵循國際和國家標(biāo)準(zhǔn)，通過集成信息安全體系的不同要素，構(gòu)建多層次、多技術(shù)的防護(hù)體系，對控制系統(tǒng)進(jìn)行立體的信息安全防護(hù)。

縱深防御策略的貫徹，一方面可以避免因其中某層 防護(hù)手段或某個(gè)安全防護(hù)設(shè)備失效或被攻破（如邊界防火墻被攻破），系統(tǒng)全面淪陷的局面；另一方面可以為OT系統(tǒng)全生命周期范圍內(nèi)安全運(yùn)維提供極大的便利，不僅可以幫助用戶在OT系統(tǒng)不停止運(yùn)營無法打補(bǔ)丁的情況下緩解系統(tǒng)或設(shè)備新出現(xiàn)的漏洞，甚至本身就可以對某些漏洞進(jìn)行有效防范。例如：使用設(shè)備加固的方式減小攻擊面，關(guān)閉OT或IoT設(shè)備的HTTP、FTP、SNMP等協(xié)議以及相應(yīng)端口，即使不打補(bǔ)丁，也可以有效地防護(hù)這些漏洞不被利用；使用通訊白名單或防火墻等其它不同的防護(hù)手段，同樣可以針對不同漏洞進(jìn)行有效防范。

如圖1所示，基于縱深防御策略，施耐德電氣倡導(dǎo)：

（1）從人員、流程和技術(shù)三個(gè)信息安全防護(hù)的核心要素出發(fā)，通過信息安全政策和流程規(guī)范工業(yè)控制系統(tǒng)的建設(shè)、運(yùn)營和維護(hù)，并結(jié)合信息安全技術(shù)手段，對工業(yè)控制系統(tǒng)及其核心資產(chǎn)和安全運(yùn)營進(jìn)行有效防護(hù)；

（2）采用不同的技術(shù)手段，從訪問、加固、偵測和應(yīng)對四個(gè)方面對工控系統(tǒng)進(jìn)行綜合防護(hù)，保障系統(tǒng)的信息安全和業(yè)務(wù)連續(xù)；

（3）采用全生命周期信息安全防護(hù)，對工業(yè)控制系統(tǒng)的整個(gè)生命周期進(jìn)行周期性的評估、設(shè)計(jì)、實(shí)施、監(jiān)視和維護(hù)，輔以信息安全意識、技術(shù)和運(yùn)維培訓(xùn)，實(shí)現(xiàn)信息安全防護(hù)能力的螺旋上升。

圖1 縱深防御策略

施耐德電氣縱深防御提供不同的技術(shù)手段，從訪問、加固、偵測和應(yīng)對四個(gè)方面對工控系統(tǒng)進(jìn)行綜合防護(hù)，保障系統(tǒng)的信息安全和業(yè)務(wù)連續(xù)，如圖2所示。

圖2 施耐德電氣縱深防御從四個(gè)方面進(jìn)行綜合防護(hù)

（1）訪問：通過物理、網(wǎng)絡(luò)、鑒別等技術(shù)手段對工業(yè)控制系統(tǒng)進(jìn)行隔離、訪問控制，避免非授權(quán)訪問引起的信息安全事件；

（2）加固：通過信息安全防護(hù)軟件、硬件和服務(wù)等技術(shù)手段對工業(yè)控制系統(tǒng)的核心資產(chǎn)和組件進(jìn)行多重防護(hù)和加固；

（3）偵測：對控制系統(tǒng)的網(wǎng)絡(luò)、主機(jī)、設(shè)備等運(yùn)行環(huán)境和狀態(tài)進(jìn)行主動(dòng)的狀態(tài)檢測，動(dòng)態(tài)識別工業(yè)控系統(tǒng)安全運(yùn)營風(fēng)險(xiǎn)，并進(jìn)行安全預(yù)警；

（4）應(yīng)對：針對工業(yè)控制系統(tǒng)的信息安全事件進(jìn)行快速響應(yīng)、緩解攻擊并保障業(yè)務(wù)連續(xù)的能力、系統(tǒng)。

4 施耐德電氣的信息安全實(shí)踐

4.1 端到端的信息安全

作為運(yùn)營技術(shù)（OT）的領(lǐng)導(dǎo)者和工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的驅(qū)動(dòng)者，施耐德電氣將“端到端的信息安全”落實(shí)到其提出的開放的、針對工業(yè)互聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)的系統(tǒng)平臺架構(gòu)，為進(jìn)一步打通互連互通的產(chǎn)品、邊緣控制以及應(yīng)用、分析和服務(wù)三層提供了信息安全防護(hù)保障，為樓宇、數(shù)據(jù)中心、工業(yè)和基礎(chǔ)設(shè)施領(lǐng)域內(nèi)的工業(yè)互聯(lián)網(wǎng)建設(shè)以及全生命周期的運(yùn)營提供了信息安全保障，如圖3所示。

圖3 施耐德電氣EcoStruxure架構(gòu)

4.2 多層次信息安全保障

施耐德電氣基于EcoStruxure架構(gòu)的端到端的信息安全，為工業(yè)用戶在全生命周期的范圍內(nèi)提供三個(gè)層次的信息安全，保障用戶的數(shù)字化轉(zhuǎn)型和工業(yè)互聯(lián)網(wǎng)的建設(shè)，同時(shí)幫助用戶應(yīng)對日益嚴(yán)峻的信息安全挑戰(zhàn)，如圖4所示。

圖4 多層次信息安全保障

（1）原生產(chǎn)品安全

施耐德電氣在研發(fā)端采用了安全開發(fā)生命周期（SDL）方法，不僅可以保證原生OT產(chǎn)品在發(fā)布時(shí)就集成必要的信息安全能力，并通過了國際和國內(nèi)的信息安全認(rèn)證（如ISASecure ESDA，Achilles，國家工業(yè)控制系統(tǒng)與產(chǎn)品安全質(zhì)量監(jiān)督檢驗(yàn)中心），還可以對OT產(chǎn)品提供全生命周期的信息安全保障，在產(chǎn)品被發(fā)現(xiàn)有信息安全漏洞時(shí)，通過相應(yīng)的流程來進(jìn)行安全的更新，如圖5所示。

圖5 安全開發(fā)生命周期（SDL）方法

（2）系統(tǒng)交付安全

施耐德電氣針對項(xiàng)目和服務(wù)交付制定了嚴(yán)格的流程，從而保證在項(xiàng)目和服務(wù)交付過程中不會給客戶引入新的信息安全風(fēng)險(xiǎn)。

（3）安全服務(wù)解決方案

針對不具備信息安全防護(hù)能力或需要增強(qiáng)防護(hù)能力的在運(yùn)行系統(tǒng)，施耐德電氣可以為工業(yè)用戶提供基于縱深防御策略的全生命周期解決方案，針對工業(yè)控制系統(tǒng)的業(yè)務(wù)邏輯進(jìn)行邊界隔離、安全審計(jì)、災(zāi)難恢復(fù)、遠(yuǎn)程安全訪問等信息安全防護(hù)手段，在不影響業(yè)務(wù)正常運(yùn)行的前提下，有效提升信息安全防護(hù)能力。

4.3 信息安全服務(wù)

4.3.1 全生命周期服務(wù)

針對工業(yè)控制系統(tǒng)服役生命周期長的特點(diǎn)，施耐德電氣推薦使用全生命周期的方法，定期對目標(biāo)系統(tǒng)進(jìn)行評估，找出信息安全風(fēng)險(xiǎn)以及目標(biāo)和現(xiàn)狀之間的差距，并針對風(fēng)險(xiǎn)進(jìn)行相應(yīng)設(shè)計(jì)以緩解風(fēng)險(xiǎn)對系統(tǒng)造成的影響，按照設(shè)計(jì)進(jìn)行實(shí)施，監(jiān)視內(nèi)部系統(tǒng)安全運(yùn)營狀況以及外部威脅，并及早維護(hù)，并輔以貫穿全生命周期的信息安全意識和技能培訓(xùn)，如圖6所示。

圖6 全生命周期方法

（1）評估：針對工業(yè)控制系統(tǒng)進(jìn)行差距分析和信息安全風(fēng)險(xiǎn)評估，找到現(xiàn)狀與企業(yè)信息安全目標(biāo)之間的差距；找到通過信息安全防護(hù)的關(guān)鍵資產(chǎn)，進(jìn)行風(fēng)險(xiǎn)和威脅分析；并對標(biāo)現(xiàn)有的信息安全法律法規(guī)和標(biāo)準(zhǔn)，進(jìn)行合規(guī)分析。

（2）設(shè)計(jì)：根據(jù)評估的結(jié)果，以縱深防御為理念，按照相應(yīng)的信息安全防護(hù)等級對工業(yè)控制系統(tǒng)的信息安全系統(tǒng)架構(gòu)進(jìn)行設(shè)計(jì)，對工控系統(tǒng)的關(guān)鍵資產(chǎn)、運(yùn)營可用性，以及業(yè)務(wù)連續(xù)性進(jìn)行防護(hù)和保障。

（3）實(shí)施：根據(jù)設(shè)計(jì)的結(jié)果，對工業(yè)控制系統(tǒng)的信息安全防護(hù)進(jìn)行相應(yīng)的軟硬件部署和實(shí)施，從而達(dá)到企業(yè)信息安全目標(biāo)。

（4）監(jiān)視：針對外部威脅情報(bào)和內(nèi)部工業(yè)控制系統(tǒng)生產(chǎn)運(yùn)營進(jìn)行信息安全相關(guān)事件監(jiān)視，對信息安全事件或風(fēng)險(xiǎn)進(jìn)行預(yù)警和預(yù)判，通過預(yù)防性維護(hù)降低企業(yè)信息安全風(fēng)險(xiǎn)。

（5）維護(hù)：對工業(yè)控制系統(tǒng)進(jìn)行相應(yīng)的補(bǔ)丁/病毒庫升級、安全策略調(diào)整以應(yīng)對新的外部威脅，從而達(dá)到預(yù)防性維護(hù)的目的；響應(yīng)系統(tǒng)信息安全事件并通過系統(tǒng)的備份和災(zāi)難恢復(fù)保障業(yè)務(wù)連續(xù)性等。

（6）培訓(xùn)：對企業(yè)全員進(jìn)行初級的信息安全意識培訓(xùn)，針對工業(yè)控制系統(tǒng)的運(yùn)營維護(hù)工程師提供中級到高級相關(guān)的培訓(xùn)。

4.3.2 基于縱深防御的信息安全系統(tǒng)架構(gòu)

針對不具備信息安全防護(hù)能力或需要增強(qiáng)防護(hù)能力的在運(yùn)行系統(tǒng)，施耐德電氣可以為工業(yè)用戶提供基于縱深防御策略的全生命周期解決方案，針對工業(yè)控制系統(tǒng)的業(yè)務(wù)邏輯進(jìn)行信息安全防護(hù)設(shè)計(jì)，部署用戶鑒別、訪問控制、邊界隔離、安全分區(qū)、安全審計(jì)、災(zāi)難恢復(fù)、遠(yuǎn)程安全訪問等安全防護(hù)手段，在保證不影響系統(tǒng)業(yè)務(wù)正常運(yùn)營的前提下，有效地提高系統(tǒng)的信息安全防護(hù)能力，并符合國家以及相關(guān)主管部門的法律法規(guī)和標(biāo)準(zhǔn)。

施耐德電氣基于縱深防御策略的解決方案可以通過一次實(shí)施對控制系統(tǒng)進(jìn)行全面的防護(hù)，也可以根據(jù)用戶的運(yùn)營費(fèi)用計(jì)劃進(jìn)行統(tǒng)一規(guī)劃，分步實(shí)施，按照優(yōu)先級模塊化實(shí)施網(wǎng)絡(luò)隔離、邊界防護(hù)、網(wǎng)絡(luò)分區(qū)、設(shè)備加固、安全審計(jì)、災(zāi)難備份等安全組件，如圖7所示。

圖7 基于縱深防御的信息安全系統(tǒng)架構(gòu)

5 總結(jié)

“以發(fā)展促安全，以安全保發(fā)展”，在新基建和工業(yè)互聯(lián)網(wǎng)的大背景下，信息安全已經(jīng)不再是可選項(xiàng)，而是重要的基礎(chǔ)技術(shù)之一。工業(yè)信息安全不僅保障OT系統(tǒng)安全、高效的生產(chǎn)運(yùn)營，更加可以保障、工業(yè)企業(yè)人員、資產(chǎn)和環(huán)境的安全，保障企業(yè)的工業(yè)互聯(lián)網(wǎng)建設(shè)并支持企業(yè)可持續(xù)發(fā)展。

為了保障工業(yè)互聯(lián)網(wǎng)的建設(shè)，應(yīng)對愈演愈烈的信息安全挑戰(zhàn)，工業(yè)企業(yè)首先要有安全意識，建設(shè)和積累自己的知識和技能，并遵循國際和國家標(biāo)準(zhǔn)，在企業(yè)的政策、流程和技術(shù)上進(jìn)行投入，建設(shè)縱深防御的信息安全防護(hù)體系，在全生命周期范圍內(nèi)對工業(yè)企業(yè)的人員、資產(chǎn)、環(huán)境和生產(chǎn)運(yùn)營進(jìn)行信息安全防護(hù)。

作者簡介：

裴淵斗，施耐德電氣工業(yè)自動(dòng)化和工控信息安全專家，獲的IAS/IEC 62443和CISP認(rèn)證，有20多年的工業(yè)自動(dòng)化領(lǐng)域從業(yè)經(jīng)歷，熟悉DCS、SIS、PLC、SCADA、HMI等工業(yè)自動(dòng)化產(chǎn)品，曾參與多個(gè)行業(yè)的工業(yè)信息安全建設(shè)以及國家工業(yè)信息安全的標(biāo)準(zhǔn)化工作。

王 勇，施耐德電氣首席安全官，國內(nèi)資深工業(yè)自動(dòng)化以及工控信息安全專家，有超過30年的工業(yè)自動(dòng)化經(jīng)驗(yàn)，曾參與編寫多個(gè)工業(yè)自動(dòng)化和工業(yè)信息安全的國際和國家標(biāo)準(zhǔn)。

摘自《自動(dòng)化博覽》2020年8月刊