当前,保障工业企业的工控系统运行安全已成为维护国家安全的重要组成部分。而随着工业互联网概念的推进,传统的工控网络需要从封闭转向联通、开放,这对工控安全防护能力也提出了更高的要求。但由于工控网络系统的特殊性和复杂性,工业企业在开展新一代工控安全方案建设时,会遇到很多困难和挑战,要形成真正可靠的安全防护能力并不容易。
日前,安全牛采访了工控安全专业厂商珞安科技副总裁关勇,就工业企业开展新一代工控安全建设时的难点、要点及发展趋势进行了交流讨论。关勇认为:工控安全能力建设是一个整体,并不是部署一个或者多个安全产品就可以保障安全的。工业企业需要在部署必要安全技术防护措施的基础上,通过持续、有效的运营才能形成真正体系化的工控安全能力,这将是工业企业未来工控安全建设过程中的主要挑战。
安全牛:
自2010年的震网病毒爆发以后,保障工控系统的安全运行已经受到各国工业安全主管部门的高度重视,相关的工控安全建设和投入也逐年增加,但是工控安全威胁事件仍然层出不穷,原因是什么?
关勇:
我们认为,工控安全威胁事件不断出现,主要有以下原因:
首先,今天的工业企业已经成为攻击者重要关注的攻击目标,而工控领域往往与关键信息基础设施的关联较为密切。不管攻击的原因是什么,一旦工控系统被攻击者攻陷就意味着可能造成巨大损失。作为一种高价值目标,攻击工控网络往往能够获取较高的利益回报,所以受到攻击者的广泛关注。
其次,很多工业企业正处于安全转型期。以前的工控网络相对独立,跟公共互联网保持着隔离、阻断的状态。随着工业互联网概念的推进,传统的工业控制网络也在从封闭转向联通、开放,这使得企业对安全防护的需求也在不断变化和提升。越来越多的工业制造需求导致工控网络无法再实现物理隔离,更多的资产暴露面意味着更大的威胁,之前一直隐藏在内部的漏洞也不断暴露,结合工控行业软、硬件系统更新周期长和业务价值高的特点,工业企业如果不大范围地增加投入,其面对的安全威胁很难快速收敛。
另外,工业企业系统运维人员的专业安全能力和安全意识还比较薄弱。在很多工业企业中,其实已经开展了一定程度的安全防护建设,部署了防火墙、网闸、入侵检测之类的基础安全防护设备,但这些安全设备缺乏必要的运行维护,有的授权过期了,有的甚至没有开启任何安全策略,因此没有充分发挥出应有的防护能力。
最后,工业企业的工控安全建设投入还存在一定不足。根据数据统计,国内企业网络安全建设在整体IT投入中的占比约为1~3%,工控领域安全建设的投入则会更少。在工信部编制的《网络安全产业高质量发展三年行动计划(2021-2023年)》中,明确要求企业加大网络安全投入,单独列支网络安全预算,推动网络安全技术、产品和服务部署应用,重点行业网络安全投入占信息化投入比例应达到 10%。这将对工控网络安全建设起到非常大的推动作用。
安全牛:
对工控系统的安全防护,要比对一般网络信息系统防护的难度大很多。您认为我国工业企业目前在工控安全防护方面的主要难点和不足有哪些?
关勇:
根据前面的分析可以看到,虽然工业企业对于网络安全方面的投入正在逐年增加,但是工业企业在工控安全方面的整体投入还远远不够,很多企业只实现了一些最基础的安全防护,比如工业防火墙、工业安全审计、隔离网闸等,面对高级安全攻击时的防御能力相当有限。这其中的原因也是多方面的:
工业企业对于安全产品稳定性的要求很高,因此对部署应用新一代安全防护产品比较谨慎,工控安全厂商只有持续做好产品的稳定性和可用性测试,避免对工业生产系统造成影响,才能逐步打消用户的顾虑;
在工控网络中,对安全防护技术手段的选择也有明确的要求。工业企业追求高稳定性、高兼容性,所有的安全防护产品都必须在保障业务不中断的前提下进行,这直接影响了一些安全技术方案的应用选择;
安全投入不足导致企业的安全能力建设受限。工业企业整体的安全意识还比较薄弱,因为很多网络攻击没有真实发生在自己的企业中,对攻击损害和后果缺乏切身体会,这需要一个不断提升的过程;
安全是一个整体,需要有专业的人员进行运营与维护,目前大多数企业并没有安排专门的人员负责安全运维,而是由其他岗位的人员进行代理,这就导致了安全负责人的专业能力不足。安全并不是部署一个或者多个产品就可以保障的,安全能力的构建需要有效的运营使其成为真正体系化的能力。
安全牛:
您提到工控安全建设应该是一个整体,那么企业在开展新一代工控安全能力建设时,应该如何实现体系化的建设目标?
关勇:
针对工控系统的安全防护,目前国际上主流的建设思路都是平台化先行的建设模式,比如卡巴斯基、Fotinet、Nozomi、Tenable等国际安全厂商推出的方案中,都是优先考虑对工控安全整体防护平台能力进行建设,而不是先进行单点安全建设,随后再将其进行聚合的方式。国内的工控安全解决方案,其实在设计规划时,也大都考虑过安全管理平台化的理念,对工业防火墙、工业审计、工控主机卫士等进行统一的管理和调度。但受限于目前工业企业的安全投入状况,早期的工控安全防护确实更多的是从单点安全能力建设起步。
在新一代工控安全能力的体系化建设中,可能会存在的问题主要有:
各厂商推出的工控安全管理平台以管理自家的安全产品为主,如果用户是分阶段开展工控安全建设的,将很难对不同厂家的各类型工控安全产品进行统一管理;
平台化的作用没有真正发挥出来,仅仅实现了统一的配置管理,但是多个安全产品并没有形成一个有机整体,没有达到1+1>2的防护效果。
从积极的方面来看,目前国内主流工控安全厂商提供的新一代工控安全防护解决方案中,基本都采用了平台化、体系化的更先进建设思路,具备纵深防御的安全防护策略。通过一定时间的技术完善以及用户安全意识的提升,相信越来越多的用户会以平台化的模式来开展体系化的工控安全能力建设。
安全牛:
您认为推动我国工业企业工控安全建设更好发展的主要因素是什么?
关勇:
目前来看,国内工业企业网络安全建设的第一驱动力还是合规监管,在2023年即将施行的《关键信息基础设施保护条例》与《网络安全法》(修订版)会成为持续加强工业企业安全合规建设的驱动力。
此外,工控安全建设的另一个驱动力在现阶段还会体现在对安全事件的响应和补救上,当实际遭受网络威胁的损失时,企业就会提升对工控安全建设的认知和理解。
同时,随着工业企业数字化转型的加速推进,加之近年来频发的网络安全事件,防范网络攻击和防范数据泄露成为了工业企业保障安全生产必须考虑的重要因素。再结合各级政府主管机构的合规要求和不断宣贯,相信工业企业保障安全生产的驱动因素也会不断强化。
安全牛:
从技术和产品的角度看,工业企业在开展新一代工控安全能力建设时,应该把握哪些关键要点?又会有哪些应用趋势?
关勇:
目前的工控安全产品在合规性方面可以基本满足企业的应用要求,但是随着云计算、大数据、数字孪生、人工智能、元宇宙等新兴技术的不断发展,使得网络安全威胁的数量和方式都在不断变化,因此需要针对工业领域特性不断深挖防护需求,升级防护手段,推陈出新,才能与时俱进,保护工控网络系统和关键信息基础设施的安全稳定运行。
由于工业企业用户普遍对工控安全产品的实施部署比较谨慎,因此目前工控安全项目的实施效率并不高。为了更好满足工业企业的安全防护需求,我们会持续从以下方面进行产品的优化和研发:
对合规类工控安全产品,会基于统一的安全管理平台,构建多安全产品有机融合的安全防护方案。同时,需要更多地站在工业业务的需求视角进行设计,缩小产品设计与实际业务需求之间的偏差,对于下一代工控安全产品而言,这也会是一个革新的机会;
对业务类工控安全产品,需要融合工业企业业务发展的需要,以及日常生产过程中的一些痛点需求,研发具有行业特色安全防护产品,以解决其现实存在的业务安全应用诉求;
工业数据领域的安全建设将是一个重点,例如工业数据的分类分级系统,实时数据库安全防护等。需要结合工业场景下的数据全生命周期与政策的合规要求,进行工业数据安全的针对性技术研发和建设;
信创建设在工业制造领域正在快速推进中,新一代工控安全产品也需要快速适应这种发展趋势,对国产化的系统和设备进行适配。