现阶段,网络空间已经成为继陆地、海洋、天空、太空之外的第五维国家安全领域,已经成为一个国家新的国家核心利益和战略制高点。
针对我国工业用户普遍存在的问题,全球工业控制信息安全领域领军企业施耐德电气提出了三级纵深防护策略。施耐德电气工业信息安全技术总监王斌日前就此方面问题接受了中国工业报记者的专访。
工业企业面临三大“安全困境”
中国工业报:针对我国工业用户普遍存在的问题,施耐德电气提出了三级纵深防护策略。提出这一解决方案的背景是什么?
王斌:自2010年6月,专门攻击发电站和水厂等基础设施的震网病毒(Stuxnet)被首次检测出以来,中国政府的相关管理部门就已经开始关注电力和其他工业领域的信息安全问题。从工信部的451号文件,到原电监会以及国家能源局的相关文件,都要求电力企业加强信息安全防护的能力。
从2013年1月起,施耐德电气在原电监会和国家能源局的指导下,开始协助某国内大型电力集团,提升其下属企业的工控系统信息安全防护水平。在这次信息安全整改的过程中,施耐德电气发现企业内部出现很多措施“无法落地”的现象,我们总结为中国工业企业的三大“安全困境”。
困境一:信息安全专责缺失。很多电力企业没有专门负责工业控制系统信息安全的人员。此外,负责信息安全的信息中心与负责安全生产的安全生产部之间的协调、配合,以及人员能力等问题都严重影响企业整改工作。
困境二:企业安全管理制度形同虚设。一些企业安全管理制度没有落实;而另一些企业则把制度适用过渡,担心出现责任问题,不允许专业人员接触工控系统,导致无法对工控系统进行测评和整改。
困境三:安全意识薄弱。电力企业更重视企业效益和安全生产。如果信息安全整改影响到生产的连续性,有的企业就会暂时搁置整改工作。
针对中国工业企业在提升信息安全工作的现状和挑战,施耐德电气推出了更加适合中国工业信息安全整改实际需要的“自下而上”的“三级纵深防御体系”,通过将信息安全功能集成到设备本身,帮助企业摆脱传统安全解决方案中对于管理制度、人员能力和企业投入太大等诸多不可控或不完备条件限制的过度依赖,在短期内迅速提升企业工业系统信息安全防护水平,并为逐步实施完整的纵深防御安全策略奠定基础。特别是对于当前那些数量众多,不具备系统级防护和管理级防护能力的中国企业的工控系统,设备级防护将更有针对性。
以设备防护为核心的经营理念
中国工业报:在贵公司推出的三级纵深防御体系中,为什么将设备级防护作为安全解决方案的核心和基础?请问有无用户在此方面的典型案例?
王斌:目前,业界多数主流供应商普遍采用的是“自上而下”的纵深防御体系,遵循安全计划、网络分隔、边界保护、网段分离、设备加固以及监视和更新6大步骤,侧重于管理级、系统级安全功能的强化。“自上而下”的解决方案看似实现企业信息安全,而在实施过程中却存在很多缺陷。
与通用的自上而下纵深防御策略不同,施耐德电气强调自下而上、以设备级防护为基础的安全策略,兼顾系统级和管理级防护,构建全方位的信息安全防护体系。其中,设备级防护侧重于提升每个设备的信息安全能力;系统级防护的目标是设计安全的控制系统架构增强控制系统的整体信息安全功能;管理级防护的作用是规范管理、完善安全策略,增强控制系统的信息安全功能。而设备级防护是三级纵深防护体系中的核心和基础。
把设备级防护作为工业信息安全整体解决方案的基础和核心,在中国工业企业提升安全防护的实际应用中可以表现出三个方面的优势:
第一、增强控制系统每个单体设备的信息安全防护,避免设备“带病上岗”,同时不会对企业工控系统的正常活动产生影响。而采用自上而下的方案,则有可能会影响到安全生产,这是企业最关注的决定性因素。
第二、减少对人员专业技能的依赖。设备级防护,普通的维护人员就可以完成。而在自上而下的策略中,系统级、管理级的信息安全防护,对人员的专业技能要求很高。
第三、设备级防护,不需要大量资金投入。而从上而下的安全策略则要求企业购买相应的防护产品,如防火墙、网关等,包括完善整个入侵检测、入侵防护体系,需要大量资金投入。
施耐德为中国企业提供的三级解决方案体系非常注重可操作性,希望中国企业以最好的性价比投入,一次性解决所有多方面的隐患和问题。事实上,施耐德电气目前在国内已经有不少成功的案例。而电力行业是其最先开始部署信息安全解决方案的行业。我们已与国内两大电力集团针对旗下分公司的信息安全部署工作开展了合作。在部署前,施耐德电气与客户一起制定了完善的部署计划,和客户一起对旗下电厂的隐患进行排查和部署,目前部署工作已经全部结束,并得到了国家相关管理部门和电力集团的认可。同时,更为重要的是,在整改执行的过程中,施耐德电气很好地完成了客户提出的基本要求———不影响生产的持续性。
不容错过的机会窗口
中国工业报:有专家预测,中国工业网络有望在2015年超过20亿元人民币的市场规模,并将以每年超过30%的复合增长率增长,您如何看待这个市场?未来施耐德电气在工控安全领域还会推出哪些新产品?
王斌:确实,从国家和国际对于信息安全的重视程度以及投入来说,工业控制系统信息安全的市场规模很大,施耐德电气也尤为重视对于工业控制系统信息安全的研发和集成。
作为工业自动化的领导厂商,施耐德电气在未来推向中国的产品,首先将会符合施耐德电气自身企业的安全标准,而这个标准是本着“高标准严要求”的原则建立的;第二,产品在推出之前,一定要通过全球的一些相关认证机构的认证,例如Achilles认证;第三,施耐德电气在中国推出任何一款产品之前,都会积极与国内相关认证机构配合,使这些产品通过国内认证。譬如,施耐德电气推出的昆腾PLC以及ModiconM580系列等产品都通过了国内的相关安全认证。工业信息安全能力在今后将成为施耐德电气在设计和制造产品中重要的新维度。
但是可以看到,国内工业控制系统信息安全基础比较薄弱、人才储备比较缺乏、企业的重视程度不够、产业链还没有形成。作为该领域的领军企业,施耐德希望将国外的先进技术和成功经验介绍到中国,并与国内的大专院校、科研机构和生产厂家一起构建一个产学研一体的健康环境,为中国的工控信息安全事业贡献应尽的义务。
用户该如何选择工控产品
中国工业报:现阶段国内外企业纷纷推出自己的信息安全防御方案。在您看来,作为用户应该如何选择?
王斌:首先,基于施耐德电气的防护策略,企业可以利用工控系统中应用的PLC、以太网交换机和SCADA软件等工控设备有效的迅速提升信息安全防护能力。例如,通过设备加固、软件信息安全辅助功能设置来增强工控设备的信息安全防护能力,通过配置工业级管理型交换机、以太网环网升级等网络升级方案,以及采用“增强型”密码、关闭未用端口、端口地址绑定、网络风暴限制、组播过滤等一系列具体技术措施,极大地提升用户防范物理入侵能力,提升工控系统的可用性。
其次,PLC安全性对于工控系统安全性的重要性日益增强。从2011年工信部451号文件《关于加强工业控制系统信息安全管理的通知》中明确指出,有关的国家大型企业要慎重选择工业控制系统设备,到近期,国家相关主管部门针对国有大型企业工业控制设备选型的安全性要求日趋严格,并逐步出台相关政策法规,都可以窥见工控设备的重要性。以电力行业为例,能源局安监司提出PLC等工控设备的选用必须参照两条标准:a)禁止选用经国家相关管理部门检测认定并经国家能源局通报存在漏洞和风险的系统及设备。b)系统和设备经有资质的机构检测认定不存在信息安全漏洞和风险。对应用于重要信息系统(等保定级3级以上)的设备,宜同时满足以上两条标准;对于应用于一般信息系统(等保定级2级)的设备,满足其中一条即可;对于整改的设备,应满足第二条标准。而目前市场上可以同时满足上述两个标准的只有施耐德电气UnityQuantumPLC。
在2012年,施耐德电气莫迪康昆腾系列PLC产品通过了国家信息技术安全研究中心和中国电力科学研究院这两家权威测评机构的安全性检测,成为国内首家也是目前惟一通过并获得此类检测认可的PLC产品系列。2014年施耐德电气的新一代PLC莫迪康M580上市之初,也通过了中国电力科学研究院的信息技术产品安全性检测,这表明施耐德电气已经让工业信息安全成为其PLC产品的一个核心功能。从2013年开始,施耐德电气提供给客户的所有工控产品都已经具备了信息安全的功能,使用施耐德电气PLC设备的工业企业不必依赖其它保护措施就已具备符合国际国内相关法规要求的信息安全防护能力。