文│国家工业信息安全发展研究中心 张格

近年来,全球范围针对工业网络进行攻击的安全事件频繁发生,网络攻击手段多变,威胁日益加大。一旦攻击对象由独立个体转向重要行业甚至是国家关键基础设施,其所带来的破坏效果将极其严重。因此,在能源、交通、水利、国防科技工业等国内工业领域关键信息基础设施建设完整的安全保障体系已迫在眉睫。本文对工业领域关键信息基础设施产业链中的需求侧和供给侧存在的典型困境进行详细分析,希望对相关从业者提供参考和借鉴。

一、重要性与现状

工业领域关键信息基础设施是指《关键信息基础设施安全保护条例》中提到的能源、交通、水利、国防科技工业等工业领域的重要网络设施、信息系统等。工业领域关键信息基础设施一旦遭到破坏或者发生数据泄露,将可能严重危害国家安全和国计民生。工业领域关键信息基础设施网络安全工作,具体围绕工业控制系统、工业自动化设备、工业数据以及运行的工业网络来开展。因为工业领域使用的协议众多,场景相对封闭,网络环境复杂,关键核心技术自主率低,造成网络安全形势复杂严峻。工业领域关键信息基础设施生命周期长,不少设施建设运行长达数十年,对网络安全的供给要求明显高于其他行业关键信息基础设施。工业领域关键信息基础设施产业链复杂,《数据安全法》《网络安全法》等法律的合规要求,让供给侧和需求侧对网络安全的诉求明显加强,但现实中工业领域关键信息基础设施网络安全建设、运营和相关业务推广中存在大量困难,亟须建立新的服务模式,推进网络安全工作走深走实。

当前,以大数据、云计算、人工智能等为代表的新一代信息技术向制造领域全面渗透,全球制造业数字化转型进程加速,工业生产过程的开放程度逐步加深。据市场研究公司 Verified Market Research 数据显示,2019 年,全球工业信息安全市场规模达 164.01 亿美元。美国、德国、英国等工业强国在工业信息安全领域的产业优势明显;中国、日本、韩国等国家随着信息化和工业化进程加快,对工业信息安全领域的投入也在增加。

美国以赢得制造业全球竞争优势为目标,在2011 年启动“先进制造伙伴计划”(AMP),在2018 年推出“美国先进制造领导力战略”,将制造业网络安全作为战略实施的重要着力点和产业布局方向,成立以工控安全为优先事项的网络安全和基础设施安全局(CISA),协同其他政府机构,通过产业界合作,加强工业、能源等领域的信息安全保障建设。欧盟以加强网络安全资源整合为目标,其网络与信息安全局(ENISA)发布《工业 4.0网络安全挑战和建议》,用以指导工业信息安全建设,成立工控安全应急响应组,负责与工控安全相关信息收集与分享,促进产业协作。德国在国家层面大力推进“工业 4.0”战略,先后发布《工业 4.0 安全指南》《工业 4.0 中的 IT 安全》《跨企业安全通信》《安全身份标识》等指导性文件,以及《2019 年工业控制系统安全面临的十大威胁和反制措施》等多份工控安全实施建议文件,提出以网络物理系统平台为核心的分层次安全管理思路,指导企业做好工业信息安全防护工作。日本在 2016 年提出了以 AI 技术为基础、以提供个性化产品和服务为核心,以“互联工业”为重要组成的“超智能社会 5.0”概念。

二、困境与分析

(一)工业领域关键信息基础设施需求侧困境

随着企业安全管理人员对工业信息安全防护认知水平的提高,以及厂商提供的工业信息安全产品种类的不断丰富,目前企业的工业信息安全项目建设基本覆盖了技术层面所需的安全防护措施。当前企业网络安全建设的主要形式以采购安全设备、服务为主,逐步完善安全防护基础设施,这一过程是工业信息安全建设的初期阶段。

但企业工业信息安全项目建设后,安全管理人员对当前工业信息安全防护能力的真实水平并不掌握,对系统是否能够抵御大规模暴发的病毒等安全威胁信心不足,企业面临的诸多工业信息安全困境有待解决。

一是体系化安全建设路径不清晰。近年来,随着工业信息安全事件频发,以及国家对工业领域信息安全监管力度的加强,工业信息化建设已受到大部分工业企业管理者的重视。但由于专业性较强,许多管理者还停留在简单的采购安全设备,开展主机防护和网络物理隔离等基本阶段,不能够根据企业所在行业性质、业务特点、自动化/信息化水平、人员能力等多维度进行全盘考虑,缺乏清晰的工业信息安全建设路径的规划,对更深层的工业信息安全策略、安全运维机制、安全应急响应机制、安全人员体系等还在探索之中。

二是专业安全人员的缺乏。专业人才缺乏是信息安全行业面临的普遍性问题。工业信息安全从业人员除信息安全专业知识和技能外,还需具备自动化相关知识、技能,这种复合型需求导致工业信息安全专业人才短缺现象更加突出。此外,受部门职责和编制规模所限,多数企业工业信息安全岗位以兼任为主,极少配备独立的工业信息安全/信息安全相关人员,使得支撑工业信息安全的相关实施、运维和应急等工作效果不尽如人意。

三是安全技术防护有效性不够。近年来,在电力、石油石化、轨道交通等工业企业已逐步开展了工业信息安全项目建设。前期多数项目主要进行生产网、办公网的两网隔离,但大部分企业实际处理网络安全问题时经常采用断开网络、系统下线等措施,这意味着企业对当前网络防护体系的信心不足。当前网信办、工信部等部门都在大力加强漏洞预警等工作,如果企业的安全工作做得足够到位,可以通过提前打好补丁并在边界隔离设备中设置访问控制规则,预防病毒木马等恶意软件的感染和传播。

四是安全厂商、方案、产品真实水平鉴别困难。工业企业的信息化、自动化管理部门的管理者,主要工作内容是围绕信息系统或自动化系统的规划、设计、实施、运维,联系市场知名工业信息安全厂商进行技术交流,了解各家解决方案,进行内部讨论分析,选定合适厂商进行工业信息安全建设。随着工业信息安全市场逐渐繁荣,越来越多的工业信息安全厂商入局,蓝海市场演变为红海市场,厂商竞争愈发激烈,用户可选项增多。但各厂商提供的产品和服务水平差异显著,有的厂商销售人员、售前技术人员往往习惯性夸大厂商能力,给企业安全管理人员甄别其真实能力和水平,判断其解决方案的有效性造成了困扰。

(二)工业领域关键信息基础设施供给侧困境

一是市场以设备销售为主,专业服务能力不足。当前,国内信息安全市场以软件和硬件产品销售为主,据 IDC 的报告数据,其中软、硬件产品市场份额达到惊人的 74.5%,而安全服务市场份额仅占 25.5%。而从世界范围来看,近年来信息安全服务的市场规模一直维持在 50% 以上,我国信息安全服务的市场份额还有较大提升空间。

产品和服务不平衡的现象在工业信息安全这一细分领域则更加突出,大部分工业信息安全厂商的解决方案都是“拓扑图上放置公司自有产品”的标准模式,这从另一个角度反映出目前大多数安全厂商对安全服务的态度。很多厂商没有意识到,“结合用户实际需求设计合适的解决方案”的服务才是真正有价值的,大多数厂商初次技术交流时就提供免费的解决方案设计,而这些解决方案大多是安全产品在用户拓扑图上面的排列组合。

信息安全行业与医疗行业在很多方面具有相似的运行逻辑。以医疗行业类比,厂商免费提供解决方案,就如大街上常见的药店给老年人提供的免费义诊。药店的售货员穿起白大褂,操作一些血压表、血糖仪之类的简单医疗设备给患者进行简单的免费检查,然后直接出具需要购买的药品清单。而正规医院的专家号即使挂号费昂贵仍然一号难求,这是因为专家可以通过精准的检查结果,再结合其丰富的临床经验给出适合患者的治疗方案。相对于药品本身,专业的检查、合适的治疗方案更为重要。

同样地,工业信息安全行业不能仅有“药店”存在,而是需要更多专业的“医院”和“专家”,专业的工业信息安全服务和专业的设备同等重要。

二是脱离业务谈安全,难以挖掘真正需求。经过近些年的发展和锤炼,行业内部分产品的可靠性、稳定性已经趋于成熟,研发层面的技术问题已经基本得到解决。但大多数产品到真正发挥价值还有一定距离,工业信息安全产品与真正业务需求之间的“最后一公里”问题始终存在。

以工业防火墙为例,目前行业主流工业防火墙技术上都能够支持 Modbus/TCP、DNP3、S7 等通信协议的识别、解析、控制,部分优秀产品在正常设置 ACL 规则的情况下,设备延时基本能控制在微秒级别。经过这些年的积累,工业防火墙在软硬件稳定性、可靠性等方面已经逐渐成熟。

但在企业现场检查时,经常发现大量工业防火墙闲置、未配置有效策略的现象,即使部分现场配置了策略,大部分的 ACL 仍然停留在基础五元组级别,无法达到更深层的访问控制,厂商研发人员重点研发的对工业协议的深度解析功能并没有得到广泛应用,而这一功能是工业防火墙与普通 IT 防火墙的一个典型区别。

这一现象的成因来自典型工业现场的组织结构。一般工业现场生产车间涉及三方面人员,分别是生产业务人员、自动化运维人员、信息化运维人员。生产业务人员的主要工作目标是生产任务达成,是控制设备的使用部门,对现场生产任务进行监视、控制,但不了解网络结构、访问关系、设备配置等细节;自动化运维人员主要工作目标是保证现场自动化设备的稳定运行,是自动化设备的运维部门,日常对现场控制设备进行巡检、维修,处理自动化相关软硬件故障,不了解具体设备网络层面的访问关系、控制指令的细节;而信息化运维人员的主要工作目标是保证与工控相关的应用系统、现场网络、计算机设备的稳定运行,日常工作是网络和计算机相关设备的巡检、维修,与自动化相关软硬件、设备接触较少,因此,虽然掌握工控系统的网络结构、设备访问关系、网络设备详细配置,但对工业网络中控制指令级的细节内容并不清楚。因此,在工业防火墙的实施运维中,配合实施的人员很难找出一个能够准确描述通过防火墙的流量中细化到控制指令级的通信细节,就无法做到工业防火墙指令层的访问控制规则配置。虽然大多数防火墙支持流量自学习功能,能够梳理复杂的工控网络流量,但最后还是需要相关人员进行确认,形成具体规则。所以,工业企业采购工业信息安全设备后,设备闲置、未配置有效策略的现象普遍存在。

三是产品同质化严重、利润率走低。据不完全统计,目前工业信息安全市场上成交量最高的产品以工业防火墙、工业网闸、工业安全审计、统一安全管理平台、主机安全防护软件这五类为主,市场上百分之八十以上的厂商都以销售这五类产品中的一类或几类为主要收入来源。虽然部分厂商具有一定先发优势,但并没有把先发优势转化为足够大的技术优势和品牌优势,被业内广泛认可的工业信息安全品牌还未出现。在实际项目中,用户一方面很难判断产品真正的技术水平,另一方面也没有特别明显的品牌认可,导致典型品类的工业信息安全产品之间的竞争逐渐演变为价格竞争,单个产品利润率越来越低。

四是厂商间竞争为主,优势互补合作少。无论是从合规性还是风险控制的角度,当前大多数工业企业的安全需求很难通过一到两类安全产品就能解决,需要一个综合的安全解决方案。

厂商所提供的解决方案,具体落地需要一系列安全产品做支撑,产品研发部门可以看作是解决方案部门的“弹药库”。每一个单独品类的安全产品,都需要长时间的技术改进积累、大量实际项目现场应用历练才能逐渐成熟。受历史技术积累、团队规模、人员能力等条件约束,大部分厂商往往只能提供少数几类技术可靠、经过大量现场检验的成熟产品。如果以较高标准来要求,大部分厂商的“弹药库”实际上很难支撑一个综合工业信息安全解决方案的落地实现。

从为用户提供最优解决方案的原则出发,比较理想的情况是厂商的解决方案部门不局限于本厂,而是将整个行业中各公司产品作为“弹药库”,充分掌握行业内各厂商内各品类产品的特点,根据用户的实际需求选取最优的产品组成合适的解决方案。这样才能避免厂商间恶性价格竞争等情况的发生,厂商也可获取正常利润,为用户提供更优质的产品和服务。

三、措施建议

(一)行业内应挖掘多元化人才培养方式

人才是一个行业发展的核心要素,造成行业大部分安全困境的原因,都指向行业内专业人才的缺乏。当前,工业领域关键信息基础设施安全人才培养方式较为单一,基本以大专院校专业培养输出为主,人才供应与行业需求间缺口较大。建议地方政府及能源、交通、水利、国防科工等行业,应充分挖掘其他人才培养方式,参考国家工业信息安全技能大赛、工业领域关键信息基础设施安全人才认证等人才培养模式,根据地方、行业特点及需求,积极组织地方及行业技能大赛、人才认定等多元化人才培养活动。

(二)需求侧应重视专业安全服务价值

由于工业领域关键信息基础设施安全工作需要多领域专业知识及经验的支撑,前文提到的“体系化安全建设路径不清晰”“安全厂商、方案、产品真实水平鉴别困难”等困境,对大多数工控安全工作开展起步较晚的企业,短时间内较难有效解决。因此,可充分利用行业内权威工业信息安全咨询机构优势,通过咨询机构提供的产品质量检验检测、测试评估、专业安全咨询等专业服务,在工业领域关键信息基础设施相关企业安全规划、建设、运营阶段提供指导和辅助。

(三)供给侧应重视行业纵深技术创新

能源、交通、水利、国防科技工业等工业领域的关键信息基础设施,每个行业的工艺流程、设备类型、组织结构都有着很大差异,对工业领域关键信息基础设施安全相关产品、服务的需求有着明显的行业特点。供给侧应从团队人员组成、公司部门设置等方面,充分考虑客户的行业差异性,从自身技术积累、产品开发、服务模式等都以行业需求为本,开展行业纵深技术创新,打造符合不同行业需求的安全产品及解决方案。

(本文刊登于《中国信息安全》杂志2022年第9期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。