关注 | 关键信息基础设施安全与国家安全
一部灵感来自于“震网Stuxnet”病毒事件的电影《骇客交锋》(原名“黑帽 Blackhat”),引发了人们对基础设施攻击的无限想象。电影由王力宏和汤唯主演,邀请了专业人士作为顾问,其中包括明星黑客Kevin Poulsen。他常使用马甲“Dark Dante(黑暗但丁)”作案,被称为史上五大著名黑客之一,后来从良为Wired News杂志工作,还出版了一本书。谷歌的工程主管,被称为“信息安全公主”的帕里萨·塔布瑞兹评价该片是她所见过的“最为准确的有关信息安全的电影”。
与高昂的投资相比,这部电影的票房并不好。故事情节不够紧凑,被定义为了烂片,可这毕竟是首部以工业基础设施与信息安全对抗为题材的商业电影。如果你是一名工业控制系统从业者,对电影中的PLC一定再熟悉不过了。而且,电影中模拟攻击的目标—恰恰是我国的核电站!!!
如果我们还继续认为工业控制系统网络是安全的,那我们看看利用(软硬件特征识别、工控蜜罐)技术,能够在互联网上发现什么:
燃气监控:
水厂监控:
二、可远程访问和控制的PLC
三、遍布互联网的工控资产
四、日渐增多的针对工控专有协议的探测(蜜罐监测数据统计)
结合以上各种现实情况,我们可以尝试着从中得到以下结论:
1)、从国家的角度,一切以基础设施为目标的攻击,均可视为“敌意”行为;
2)、蓄意的破坏还没有形成规模化、产业化,但大范围的、具有强烈兴趣的试探性“攻击”频率正在呈上升趋势;
3)、核心控制系统不被直接联网,并不意味着控制网络的安全,因为多数的无人值守站均可作为入侵的节点。
五、国内自动化行业形势
“两化融合”的发展和现状
回顾2011年4月6日工信部印发《关于加快推进信息化与工业化深度融合的若干意见》(工信部联信〔2011〕160号):“到2015年,信息化与工业化深度融合取得重大突破,信息技术在企业生产经营和管理的主要领域、主要环节得到充分有效应用,信息技术集成应用水平成为领军企业核心竞争优势支撑“两化”深度融合的信息产业创新发展能力和服务水平明显提高,应用成本显著下降,信息化成为新型工业化的重要特征。”
现如今,传统自动化行业亟待变革,随着工业4.0、智能制造、工业互联网这些概念的蓄势待发,工控安全也正处于变革的十字路口。工控网发布的文章《正在消失的自动化行业》(2016-04-05)中指出,“自动化并不是消失了,而是更为广泛了”。自动化行业很难有高速成长性,因为自动化行业首先规模并不大,总体也就在1500亿不到,而且包含了大量的细分市场。毕竟每年不到15%的增长也没有多少讲故事的空间,再说利润,一直觉得自动化是个高科技行业,但是,与移动互联、IT相比,行业的盈利也决定了收入并不丰厚,大部分业内人士都觉得仅仅过得尚可而已。
智能化可能更为符合未来的发展描述,自动化只是智能的一部分,而智能涵盖了但却不仅只有自动化,而包括感知、分析、思考、判断、决策者系列与智能相关,也包括呈现(如VR技术)、反馈等,这些前端与后端构成了智能化的部分。
自动化只是其中的智能执行环节,当然,你也可以说,自动化使其变得更为智能。例如Web技术不能满足自动化的实时性要求,在传统意义上这是有一定的道理的,但是,在新的时代,我想Web技术的开放性与低廉成本还是吸引着很多企业,例如:HMI就可以采用Web技术来实现,这对于SCADA的开发而言,就是极大的便利。
当然,Web技术可以不仅仅用于纯粹只是为了HMI类的应用,如果可以的话,我们可以在全世界都可以访问你想访问的设备,安全是必须的。
国内的经济形势
另外一个与工控安全难以落实的重要因素,不得不提的是国内能源领域产能过剩,导致的经济发展缓慢的现实。当然,受影响的不只在国内,而是全球。
《控制网》整理的一篇文章《一份财报引发的xue案》(2016.2.19)中提到:
施耐德电气2015财年财报显示法国施耐德电气宣布,受中国经济放缓及美国削减石油和天然气行业投资的影响,其2015财年净利润降幅超出预期。该公司将其较弱的盈利能力归因于中国疲软的工业以及油价崩溃后美国削减石油和天然气工业投资。其2015财年的财报反映了工业集团缩减西欧市场而扩大中国和北美风险敞口的策略所带来的限制。
Emerson公司宣布,由于2015财年大部分时间经济持续低迷状况不景, 2015年公司净销售额下降9%。油价下跌、全球工业资本支出放缓、新兴市场的需求疲软和美元升值等重大阻力对公司的销售额造成了负面影响。由于中国的疲弱需求充分抵消了印度和澳大利亚的强劲增长,因此亚洲的基本需求下降了5%。
ABB在充满挑战的市场中实现盈利增长。2015年订单额与上一年持平(按美元计算下降12%)。大额订单(超过1,500万美元)增长10%(按美元计算下降5%),抵消了基础订单3%的下滑(按美元计算下滑14%)。销售收入与2014年持平(按美元计算下降11%),因为电力系统业务和电力产品业务的收入增长抵消了离散自动化与运动控制业务以及过程自动化业务的收入下滑。来自服务业务的销售收入增长6%(按美元计算下降8%),其在ABB销售收入总额的占比上升1个百分点。在当前宏观经济的持续不确定性和全球诸多市场挑战的环境中,ABB三大主要市场领域的需求持续低迷。电力客户虽然保持审慎,但仍继续在提升电网效率和可靠性方面进行选择性投资。
以数据深刻的说明了能源行业的不给力,而工控系统大多被应用于能源行业的基础设备控制中。试问这些生产企业连盈利问题还没有得到解决的前提下,管理者又有多大决心,去解决安全问题呢?
六、国家(队)的责任
美国NSA的“七招”不是万能解药,与美国相比,受国内体制、信息化与自动化发展的阶段、标准与技术的原创性等种种因素的影响,存在着明显的区别。因此,我们建议国内工控安全采取更直接、更有效的策略来控制工控安全风险。
•“兵者,国之大事,死生之地,存亡之道,不可不察也”。伴随着消费者移动化、物联网等新趋势,工控威胁和潜在攻击一方面通过多样化的攻击手段、专业的工具、有组织地获取利益,另一方面则表现在国家战略布局上。此外,攻击者可以方便的在工控系统中调动大规模资源,攻击的速度更快、破坏性更强。而防守方仅凭传统的防守方案已经无法阻挡攻击,威胁、情报、检测、防护、态势感知都是新的防守技术,而更加智能化的安全模式也是应对威胁的新举措。实时监测开放在互联网上的工控设备,以及分析和监督在互联网上以工控设备为目标的扫描、探测、渗透等行为。
•从国家层面,加大对技术研发、标准制订和资料收集等方面的投入,强化对最终工控现场及重点基础设施安全加固的建设投资。对于目前缺少标准、缺少市场实践的背景下,用户需求并不明确,多数信息安全产品(包括工控安全产品)虽然被设计到现场,可实际真正运行、并且能够起到防护作用的少之甚少。主要原因之一是产品的设计只是应对政策的一厢情愿。而工控行业的维护人员,更加关注稳定性和可维护性。因此,对于政策层面需要引导市场将关注的焦点回到基础设施本身,重视企业负责人的安全意识培养,规范市场、强化产品准入,把市场的还给市场。
•工控安全防护手册。工业控制系统(ICS)的制造商已经意识到在工业环境中不断增长的IT安全威胁。为了应对威胁和风险,他们在系统中实施安全机制。然而,只要运营商和系统集成商未能积极参与,所有的达到整个系统的安全性的努力都仍不能发挥最大作用。因此,工控系统的使用者迫切的需要在一定能力指导下,制订符合自身行业特性的管理方法。基础生产设施的控制系统是由许多单个的系统组成,因此其强大与安全取决于最薄弱的环节。运营商和集成商必须了解工业控制系统的制造商实施的安全机制,与他们的行业需求保持一致,并在整个系统中采纳和应用这些安全机制。支持用户开发符合ICS制造商和运营商或集成商的定制需求的信息技术安全手册,分析并派生出切实可行的安全措施,以适合确保生产工厂的ICS安全运行,并最终设计和开发出信息技术安全手册。
•保护目标手段的多样性。工控安全问题,完全可能演变为恐怖主义的利用手段。除了前面说到政策层面应该是监督和指导,进一步讨论,规范信息、事件的收集渠道和通报方法,建设必要的“假目标”,吸引和分析攻击来源,缓解工控系统被直接攻击的压力。“三军之众,可使毕受敌而无败者,奇正是也”。操作方法上,还需要深入的“军民融合”、“政企联合”,对于工控安全,我们相信:高手在民间。
伴随着市场的逐步成熟,无论工业自动化巨头、传统安全龙头,还是新兴专业安全厂商都在积极布局,以完善自身的技术、市场和产品。
最后,还是以开篇的电影作为结束,国内的工控安全市场,无论是政策、投融资、论坛等等,前期宣传投入已经不小,但还没到迎接首映的程度,希望最终能够获得好票房!