媒體聲音 | 從IT到OT,工業互聯網安全如何演變?
在產品需求日益多樣化的今天,一家工廠往往需要生產成千上萬種產品,這意味著要統籌上萬種物料,如果為了一些所需產量不大的產品構建一條生產線明顯會造成巨大的浪費。基于5G技術的柔性產線則為生產帶來了極大的靈活性,工廠能夠非常靈活地按照訂單需求進行整個產線的重組,原來通常需要幾周才能布好的生產線,現在可能數小時就可以重新組合,從而大幅提高資產利用率和生產效率。
事實上,受益于數字化等新興技術的發展,各行業制造都在掀起一場數字化變革,工業互聯網成為重要的發展方向。特別是,IT與OT的融合為生產制造賦能、賦智,不斷帶動企業乃至產業整體向價值鏈高端攀升,為中國“智造”帶來了巨大機會。
自2017年國務院發布《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》以來,工業互聯網發展不斷提速。根據工信部披露的2022上半年數據顯示,目前全國具有一定行業和區域影響力的工業互聯網平臺超過150家,其中重點平臺的工業設備連接數超過7900萬臺(套)、工業APP數量28萬余個。另據中國信通院統計數據顯示,2021年我國工業互聯網產業規模突破萬億元。
顯然,工業互聯網正加速打造成經濟高質量發展的新產業、新動能。其快速發展的動因不難理解,一方面,國家政策層面發布了一系列文件和發展行動計劃,給了工業互聯網良好的發展環境;另一方面,在產業升級的大背景下,工業互聯網通過對人、機、物、系統的全面連接,賦能智能化制造、數字化管理和科學生產決策,幫助企業提質降本增效,已是增強競爭力的必走之路。
不過,這也帶來了新的挑戰。
進入工業互聯網時代,當一臺臺OT設備逐步“上網”,即打破了傳統工業相對封閉的環境。企業內部工業網絡、管理網絡與互聯網打通,導致大量網絡安全威脅從外網向工業內網延伸,這意味著網絡攻擊可直達生產一線。
試想一下,如果上文所提及的“柔性生產線”一旦遭受網絡攻擊,導致生產參數篡改甚至產線停擺將會帶來什么樣的巨大損失。事實上,近幾年來我們已然聽到針對工業網絡的各類攻擊事件越來越頻繁,特別是勒索攻擊正在成為大型制造企業的頭號網絡威脅,不勝其擾。
如何應對?
日前,Fortinet聯合合作伙伴施耐德電氣展開了一場圍繞工業互聯網安全的圓桌討論。在Fortinet北亞區首席技術顧問譚杰看來,當前OT系統中已經應用了很多先進的IT思想和技術,同樣地,OT安全也應借鑒IT技術從方法論、技術、流程上規劃安全體系,這是由IT與OT不斷融合導致的必然結果,而不是將兩者撕裂開,形成各自獨立的安全體系。
當然,這并非意味著防護OT安全是對IT安全進行照搬。IT與OT的融合“共同但有區別”,工業互聯網直接涉及工業生產,最大的區別當屬可靠性要求更高。對此,施耐德電氣工業自動化信息安全業務負責人裴淵斗指出,一個OT系統動輒5到10年、甚至20年的持續運行,面臨的最大成本是停機成本,所以在真正的生產運營階段,安全部署往往是特別謹慎的。
作為能源管理和自動化領域的數字化轉型專家,施耐德電氣認為,OT安全應從最基礎的評估、審計開始,只有厘清全部關鍵資產和它們需要面對的信息安全威脅,清楚知道資產之間通信的流量及訪問關系,才能進行有效的安全設計和防護。
之后則是針對性地對安全產品和解決方案的引入,安全運維和策略的制定才能夠有的放矢。
Fortinet D-team負責人王濤舉例說道,白名單技術僅允許可信的流量在OT網絡上傳輸和訪問,能夠最大化地保障生產業務不受影響。EDR能夠學習OT網絡中終端的靜態和動態信息,例如某個應用跟某個IP地址或PLC的關系是什么,這些信息經過人工確認從而轉換成可執行的安全策略。另外,由于OT網絡環境相對是比較純凈的,這給了蜜罐更好的用武之地,它能夠更容易捕獲攻擊者的攻擊行為,從而提供給安全管理者告警信息排查安全隱患,進而聯動防火墻進行阻斷。進一步地,還可以對OT網絡環境采用微隔離進行訪問控制細化,防止OT環境下某個失陷主機作為跳板,不經過防火墻防護對同網段的其它對象如PLC進行控制或者攻擊的行為發生。
以此看來,以往用于IT環境下的成熟的網絡安全技術和方法,遷移至OT環境有著異曲同工之妙、甚至具備天然優勢,當然首先保證與OT系統和協議兼容的前提下,更要充分考慮對OT系統的可用性、實時性、確定性、耐久性、魯棒性的影響。
整體來看,OT技術發展了數十年,存量市場大,但信息安全考慮很少。顯然,IT與OT融合打破了這種狀態,并且不得不為,當前工業互聯網安全仍處于補課階段。但如何補,對于不同的OT行業、不同的OT系統需要適用不同的策略和實踐。
被廣泛認可的普渡模型根據業務功能和覆蓋范圍將整個OT網絡進行了層次化劃分,對每個層面可能產生的安全風險點,Fortinet聯合包括施耐德電氣在內的眾多OT伙伴構建了體系化的安全方案,以應對工業互聯網多元性、專業性和復雜性的挑戰。
當然,長久發展形成的OT系統補上安全課并非一日之功,這需要工業制造企業、OT供應商、網絡安全廠商不斷凝結最佳實踐,為工業互聯網創新排除威脅和風險,進而提升發展質量和效益。
郵箱 y.k@whpermanent.com
電話 027-87569272
地址 湖北省武漢市洪山區文化大道555號融創智谷A10-5
關注恒景

獲取最新案例及解決方案
Copyright 2021 武漢恒景 All Rights Reserved. 鄂ICP備09021583號-1