三維一體!天融信構(gòu)建智能制造領(lǐng)域安全防護(hù)體系
全球工業(yè)4.0的時代浪潮下
新型信息化技術(shù)與自動化融合發(fā)展
信息技術(shù)這把雙刃劍
在推動高效生產(chǎn)的同時也帶來了諸多威脅
安全生產(chǎn),重中之重
在智能制造領(lǐng)域
控制系統(tǒng)如何應(yīng)對安全威脅?
讓我們走近本期“工業(yè)說”
隨著數(shù)字孿生、機器視覺、AI計算等新型信息化技術(shù)發(fā)展,有效提升了制造企業(yè)生產(chǎn)效率,但是信息技術(shù)也給工業(yè)生產(chǎn)現(xiàn)場帶來了諸多潛在風(fēng)險。無論是人身安全、設(shè)備可用性、工藝流程可用性還是環(huán)境安全,在享受信息技術(shù)紅利的同時,遭受著其帶來的威脅。結(jié)合智能制造領(lǐng)域自身的脆弱性因素,非授權(quán)訪問、寄存器數(shù)值篡改、實時數(shù)據(jù)庫漏洞利用、勒索攻擊等均在當(dāng)前影響著智能制造領(lǐng)域的生產(chǎn)過程,可謂“四面楚歌”。
先進(jìn)制造作為國之重器,一旦遭到網(wǎng)絡(luò)攻擊對整個行業(yè)乃至國家將產(chǎn)生重大影響。以智能倉儲為例,立庫、堆垛、AGV/RGV等系統(tǒng),在生產(chǎn)過程中涉及系統(tǒng)間的橫向交互與監(jiān)控調(diào)度間的總線交互,使得工廠或車間能夠?qū)崟r監(jiān)視現(xiàn)場的生產(chǎn)狀況與設(shè)備狀態(tài),并根據(jù)獲取的信息來優(yōu)化生產(chǎn)調(diào)度與資源配置。借助于這種“一網(wǎng)貫通”的模式,在智能制造領(lǐng)域打通了設(shè)計、生產(chǎn)到銷售等各個環(huán)節(jié),ERP系統(tǒng)和MES系統(tǒng)在此基礎(chǔ)上實現(xiàn)了資源整合優(yōu)化。與此同時,這種互聯(lián)互通無疑也為網(wǎng)絡(luò)攻擊提供了可乘之機,將網(wǎng)絡(luò)安全威脅帶到了生產(chǎn)第一現(xiàn)場。
政策條例指引,規(guī)范安全建設(shè)發(fā)展
面對制造業(yè)日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅問題,國家在政策層面出臺一系列工業(yè)控制系統(tǒng)信息安全建設(shè)方向與要求。繼2016年《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》出臺,《網(wǎng)絡(luò)安全法》于2017年正式施行,其明確國家實行網(wǎng)絡(luò)安全等級保護(hù)制度,同時,在等保2.0中對工業(yè)控制系統(tǒng)提出了安全擴(kuò)展要求。網(wǎng)絡(luò)運營者都應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護(hù)制度的要求,履行相關(guān)的安全保護(hù)義務(wù)。
隨著工業(yè)4.0信息、物理系統(tǒng)的發(fā)展,傳統(tǒng)的分層架構(gòu)已不能完全適用,對于不同的制造企業(yè)實際發(fā)展情況,允許部分層級合并。因此制造業(yè)企業(yè)在進(jìn)行控制網(wǎng)絡(luò)安全建設(shè)改造時,不能盲目照搬照抄,需結(jié)合自身的實際業(yè)務(wù)場景。
2021年,工信部提出要深入實施創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略,強化制造強國和網(wǎng)絡(luò)強國建設(shè)的戰(zhàn)略支撐。工業(yè)和信息化系統(tǒng)將統(tǒng)籌發(fā)展與安全,以提升產(chǎn)業(yè)鏈供應(yīng)鏈的現(xiàn)代化水平為著力點和落腳點,進(jìn)一步固根基、揚優(yōu)勢、補短板,推進(jìn)制造強國和網(wǎng)絡(luò)強國建設(shè),不斷邁上新臺階。此外,“十四五”再度強調(diào)了智能制造企業(yè)應(yīng)該完善信息基礎(chǔ)建設(shè)、加強安全保障。國家對于智能制造企業(yè)信息安全的重視程度可見一斑。
以白名單為主,保障工控主機安全
制造業(yè)企業(yè)的部分生產(chǎn)現(xiàn)場所用的工控機,安裝部署殺毒軟件不但起不到應(yīng)有的防護(hù)作用,甚至適得其反,影響生產(chǎn),所以黑名單防護(hù)機制為主的殺毒軟件不適用于工業(yè)現(xiàn)場。
大多數(shù)制造業(yè)生產(chǎn)現(xiàn)場的工控機版本老舊、性能偏低,殺毒軟件一旦運行會占用相當(dāng)一部分資源,對工控機的使用造成負(fù)擔(dān)甚至藍(lán)屏宕機,直接影響生產(chǎn)線的正常運行生產(chǎn)。
殺毒軟件是以黑名單機制運行為主,工控主機由于不能連接互聯(lián)網(wǎng)等原因,不能實時更新病毒庫,從而使防護(hù)能力大打折扣,甚至完全失去防護(hù)作用。
由于殺毒軟件很有可能將工控機運行的生產(chǎn)軟件識別成病毒,造成誤殺或者阻斷其運行,導(dǎo)致工控機程序異常,引發(fā)生產(chǎn)事故,這在生產(chǎn)現(xiàn)場是決不允許發(fā)生的。
天融信認(rèn)為可以采用基于白名單機制為主的防護(hù)軟件,利用工業(yè)現(xiàn)場主機環(huán)境的穩(wěn)定性,把業(yè)務(wù)所需的全部工作進(jìn)程一鍵加白,只允許業(yè)務(wù)相關(guān)的軟件、腳本運行,其他程序無論是否“無毒無害”,統(tǒng)統(tǒng)不予信任,以保障生產(chǎn)現(xiàn)場工控主機的安全,為安全生產(chǎn)保駕護(hù)航。
技術(shù)+管理,工業(yè)控制系統(tǒng)可視化
據(jù)有效統(tǒng)計,75%以上工業(yè)生產(chǎn)事故源自誤操作,誤操作即通過合法途徑執(zhí)行的非法操作,尤其對于智能制造企業(yè),誤操作的影響非常惡劣,錯誤操作指令的下發(fā)輕則影響生產(chǎn),無法按期按量完成訂單,影響交付;重則損壞生產(chǎn)設(shè)備,甚至造成人員傷亡乃至環(huán)境破壞。
針對以上問題,除了通過企業(yè)規(guī)章制度規(guī)范操作員的工作行為,還可以通過在過程控制層部署工業(yè)網(wǎng)絡(luò)專用的安全防護(hù)類、安全審計類專業(yè)設(shè)備,借助工控防火墻、工控網(wǎng)閘對工業(yè)協(xié)議的深度解析,核對每一條指令的合規(guī)性,阻斷一切白名單以外的非法操作。此外,通過旁掛接入交換機的工控審計,會對所有下發(fā)到控制器的流量行為進(jìn)行審計,將“黑盒”的工業(yè)控制系統(tǒng)可視化,運維人員可以隨時追溯每一次操作。通過技術(shù)與管理雙管齊下,明察秋毫,釜底抽薪,阻斷一切誤操作。
2016年到2021年,五年間控制設(shè)備中的漏洞數(shù)量飛速增長,可遠(yuǎn)程訪問的工業(yè)控制系統(tǒng)主機中,包含大量漏洞,其中不乏中高危漏洞。而這些漏洞幾乎覆蓋全部工業(yè)行業(yè),其中制造業(yè)首當(dāng)其沖,漏洞數(shù)量明顯高于其他行業(yè),且漏洞類型也是“五花八門”,包括拒絕服務(wù)漏洞、緩沖區(qū)溢出漏洞、信息泄露漏洞等。
面對“千瘡百孔”的控制網(wǎng)絡(luò),企業(yè)應(yīng)當(dāng)先發(fā)制人、主動防御,應(yīng)用專業(yè)的工業(yè)互聯(lián)網(wǎng)安全檢測設(shè)備,對企業(yè)自身網(wǎng)絡(luò)系統(tǒng)掃描檢測。所謂知己知彼,百戰(zhàn)不殆,及時發(fā)現(xiàn)自身網(wǎng)絡(luò)薄弱點,提前進(jìn)行安全防護(hù),通過版本升級、補丁修復(fù)等方式避免漏洞攻擊,主動防御,保護(hù)自身的生產(chǎn)網(wǎng)絡(luò)“免遭毒手”。
作為國民經(jīng)濟(jì)支柱產(chǎn)業(yè),制造業(yè)擁有大量的工業(yè)數(shù)據(jù),這些數(shù)據(jù)背后蘊藏著巨大經(jīng)濟(jì)利益,同時大型生產(chǎn)企業(yè)的每日產(chǎn)值以及背后的關(guān)聯(lián)價值也是不可估量的,高價值且脆弱的智能制造企業(yè)的工業(yè)網(wǎng)絡(luò)被網(wǎng)絡(luò)不法分子格外關(guān)注,成為攻防對抗的“新戰(zhàn)場”。安全事件近幾年持續(xù)增長,2021年被ICS-CERT收錄的攻擊事件就近400件,而制造業(yè)的網(wǎng)絡(luò)安全事件占比達(dá)到首位。所以,智能制造企業(yè)的工業(yè)網(wǎng)絡(luò)安全所面臨的局勢十分嚴(yán)峻,不僅需要防范已知威脅,還需要時刻對出沒無際的未知攻擊提高警惕。
面對種種挑戰(zhàn)
天融信“三維一體”
兵來將擋,見招拆招
天融信以“分級分域、整體保護(hù)、積極預(yù)防、動態(tài)管理”為總體安全防護(hù)思想,對智能制造企業(yè)網(wǎng)絡(luò)安全實施動態(tài)的管理防護(hù)手段,構(gòu)建安全態(tài)勢分析、安全防護(hù)檢測、安全服務(wù)響應(yīng)三維一體的智能制造網(wǎng)絡(luò)安全自適應(yīng)動態(tài)防護(hù)體系。
三大體系通過數(shù)據(jù)互通、信息共享建立閉環(huán)動態(tài)工業(yè)信息安全中心,進(jìn)行動態(tài)安全策略調(diào)整與下發(fā),運用多元的安全技術(shù)手段,采用多維度的安全建設(shè)思路,解決不同層級的制造業(yè)工業(yè)信息安全問題,打造出綜合性、一體化的智能制造領(lǐng)域工業(yè)信息安全產(chǎn)品、服務(wù)與解決方案。
TOPSEC
在工業(yè)互聯(lián)網(wǎng)安全領(lǐng)域,作為第一批開展工業(yè)信息安全領(lǐng)域研究和研發(fā)的企業(yè)之一,天融信將先進(jìn)的信息安全技術(shù)與工控業(yè)務(wù)場景深度融合,安全建設(shè)能力覆蓋工業(yè)生產(chǎn)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、標(biāo)識解析企業(yè)等,積極為工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)融合發(fā)展賦能,為工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全保駕護(hù)航。
