施耐德电气:工业信息安全防护专家

厂商:施耐德电气(中国)有限公司
作者:梁秀璟
  点击数:5084  发布时间:2018-01-08 00:37
随着网络与信息技术的迅猛发展,云计算、大数据、物联网、人工智能等新兴技术的快速发展,使得诸多信息化、自动化、智能化技术逐步应用于传统工业领域的工业控制系统之中,这些创新在为客户带来巨大价值的同时,也让工业信息安全风险问题凸显出来。尤其是在IT与OT不断融合的今天,现代工厂运营通常会涵盖成千上万的设备,而且这些设备越来越多地通过工业物联网互联,这使得安全威胁更加难以检测、调查和修复。
关键词:物联网 ,施耐德 ,信息安全

1.jpg

施耐德电气信息安全全球技术高级总监David Doggett先生

随着网络与信息技术的迅猛发展,云计算、大数据、物联网、人工智能等新兴技术的快速发展,使得诸多信息化、自动化、智能化技术逐步应用于传统工业领域的工业控制系统之中,这些创新在为客户带来巨大价值的同时,也让工业信息安全风险问题凸显出来。尤其是在IT与OT不断融合的今天,现代工厂运营通常会涵盖成千上万的设备,而且这些设备越来越多地通过工业物联网互联,这使得安全威胁更加难以检测、调查和修复。

施耐德电气作为控制领域的全球主流厂商,近年来在工业控制系统信息安全领域积累了丰富的实践经验。其信息安全业务遍布北美、欧洲、中东、非洲及东亚等地区,为众多家客户提供了包括产品、架构设计和服务在内的全维度的工业信息安全解决方案,是名副其实的工业信息安全防护专家。

那么近年来工业控制系统信息安全市场发生了哪些变化?施耐德电气如何看待工业信息安全问题?又是怎样帮助客户提升生产系统的安全性的?在第六届工业控制系统信息安全峰会(第四站)期间,施耐德电气信息安全全球技术高级总监David Doggett先生接受了本刊记者的专访,就上述问题做出了系统阐述。

IT和OT融合 让工业信息安全问题更为复杂

自动化博览:您认为近年来,工业控制系统信息安全问题发生了哪些变化?

David Doggett:首先,企业对信息安全的认识有了很大改变。十年前,工业控制系统信息安全问题的讨论只停留在工程师之间,而如今,企业的高层,甚至包括财务人员都在讨论这些问题,因为过去的确发生了一些因为信息安全问题而造成的停机等事故,这不仅会对企业的经济效益产生影响,同时也关乎人员安全和品牌形象等问题。

其次,攻击的人也发生了变化。过去,针对信息安全的攻击很大比例是由于一些内部人员对公司的不满而进行,现在显然不是。

第三,攻击的对象也发生了变化,且变得更加多样。比如,以前一些针对石化企业的攻击,实际上并不是针对工业控制系统,而是针对与工控系统相连的IT系统的动作。但是自2012年至今,我们发现攻击更多地是针对工控系统本身而进行。与此同时,这些攻击不仅针对于运行部分,同时有可能发生在供应链、系统集成商、产品等各个层面。

第四,过去的攻击大多针对单独的系统进行,但随着企业互联程度的提升,很多针对通讯系统的攻击也会影响到工控系统。

自动化博览:您认为工业控制系统信息安全都涉及哪些环节?

David Doggett:工业控制系统的安全涉及很多因素。首先,产品本身的安全很重要。同时,策略、流程以及人员也同样关键。如果缺乏良好的流程和策略,将无法使产品本身具有的信息安全特性发挥出作用。除此之外,工业互联使得IT与OT走向彼此,不断融合,这让工业控制系统信息安全问题也变得更加复杂。如果想要全面提升工业控制系统信息安全水平,就不能再单独地考虑工控系统,还应该把IT系统的安全也考虑在内。可事实上,IT和OT的差异很大。比如说,IT系统需要经常修复、升级、替换。IT员工很关注数据机密性、完整性和可用性;与之相反,OT员工在以稳定性、安全性和可靠性为重的运营环境工作。所以,如何让双方进行更好地交流与协同就显得尤为重要。在这方面,施耐德电气凭借着多年的OT领域积累,以及在IT领域的知识和经验,可以为客户提供切实可行的帮助。

自动化博览:很多工业企业虽然认识到信息安全的重要性,但是考虑到在保障信息安全方面投入资金似乎并不能为企业带来直接的利益,对此,您怎么看?

David Doggett:信息安全不会给最终用户带来利润,但是可以保证设备安全和可靠地运行,是客户赚取利润的有力保障。一旦安全上出现问题,带来的损失是不可估量的,不仅是经济上的损失,人员的安全和企业的声誉等也会受到影响。

为客户提供全方位的信息安全解决方案和服务

自动化博览:施耐德电气信息安全解决方案和服务有哪些特别之处?

David Doggett:首先,施耐德电气一直致力于提升工控产品自身的安全性。这其中包括在很多新产品中增加授权认证、加密的通讯协议等功能或措施,从而使我们的产品自身具备更多的安全功能。这样做用户就可减少在生产系统以外安装的附加外部设备,不仅降低成本,也提升了安全性,减少了故障点。另外,产品的安全认证也是施耐德电气非常重视的一项工作。自2015年起,施耐德电气新上市的所有产品都必须满足Achilles Level2认证和其他国家级标准。在中国推出产品时,也会积极与国内相关认证机构配合,使这些产品通过国内认证。譬如,施耐德电气推出的昆腾PLC以及Modicon M580系列等产品都通过了国内的相关安全认证。目前,施耐德电气共有5个研发中心通过了IEC 62443的认证,并已有超过75款的产品得到信息安全方面的认证。

第二,施耐德电气有着由IT和OT两方面人才组成的网络安全专家团队,可以为客户提供审计与评估、网络安全咨询、控制设计与实现、培训以及维护等全方面的专业服务。即使用户使用的不是施耐德电气的产品或系统也没有关系。也就是说,客户在实施安全防护策略时不用担心自己的工厂中有不同品牌的产品,施耐德电气都可以站在第三方的角度为他们提供服务。据统计,施耐德电气有2200名开发人员接受过安全方面的专业培训,有700名工程师被授予相关安全认证。

第三,在互联互通的时代,施耐德电气认为,“将自己断开”不是正确的解决方案。互联已经成为整个行业发展的大趋势。要互联,就必须开放,施耐德电气始终坚持建立开放的系统,致力于开放的标准和产品服务,这可以使客户非常容易地根据自身需求选择不同的解决方案。同时,通过开放,我们可以与众多优秀的合作伙伴共同合作。目前,施耐德电气与CISCO、微软、赛门铁克等诸多国际主流的安全厂商合作,在控制网络中植入国家权威机构认证的防火墙/杀毒软件/审计/灾备等信息安全产品来构建防御/预警/恢复等多维度的纵深安全体系,为客户带去全方位高价值的信息安全解决方案。

自动化博览:近年来,施耐德电气的信息安全技术产品或解决方案在哪些方面进行了完善和更新?

David Doggett:近年来,施耐德电气在产品的性能方面提出了很多新的内容,包括增加软件签名、固件签名,还有一些安全协议,如IPSec、信息安全记录syslog等。

以PLC为例,我们在PLC中直接内置IPSec加密授权通信技术,屏蔽指定设备外的任何通信。也就是说,以后在工业系统中,任何人想要和PLC进行通信,必须先要“对暗号”,如果“暗号”正确,PLC才会做出响应。与此同时,“暗号”也是加密的,不会被一些网络侦听技术破解或窃取。另外,施耐德电气的PLC使用了物理安全锁。如果物理安全锁是关闭状态,任何人都无法对其修改。众所周知,一般需要修改时,通常都是停机维护的时候,这时打开物理安全锁,就可以对其进行修改,当然,如果此时PLC受到了攻击,因为处于停机状态,其造成的影响也会小很多。第三,我们对PLC的固件文件采取了数字签名与加密存储双保险的保护措施,使想要通过反编译或者修改固件将病毒植入PLC成为不可能。第四,我们在PLC内置了一个本地日志功能,可以进行本地存储,即使通信断了,也可以追溯到一些关键操作和状态,方便用户诊断问题。

以“安全的控制系统”为整体来考虑

自动化博览:有人认为,增加一些安全措施,可能会影响到工业控制系统的兼容性,对此,您如何看待这个问题?

David Doggett:施耐德电气的方案都经过事先的测试,以确定和现有系统兼容,不论是产品中的信息安全功能,还是增加产品的安全特征或者是完整的信息安全系统,我们可以确保增加信息安全特征而使系统运行不受任何影响。同时,我们不该把安全系统和控制系统割裂开,而是应该以“安全的控制系统”来整体考虑。如果说,增加了防护措施以后,系统变得不兼容或者性能下降,这只能说明是实施得不正确。此外,我们应该增加对系统的自动监视能力,这可以预防及捕捉到各种各样的攻击,同时也可以有效、自动地过滤掉那些不是针对控制系统的攻击和病毒。

David Doggett先生认为,优秀的工业信息安全构建需要建立在精通系统应用及工艺、熟悉工控产品以及丰富的IT专业经验的基础之上,对于客户来说,选择一家合适的供应商十分关键,而施耐德电气正是具备这三大能力的值得信任的合作伙伴。他表示,作为以满足用户需求和承担社会责任为准则的企业,施耐德电气不仅在新产品的研发上更多地将信息安全功能考虑进去,同时,也将助力存量系统的信息安全升级,为企业提供整体化的升级方案,解决设备老化、技术落后、信息化能力不足和信息安全能力缺失等问题,共同为创造更加安全的工业信息环境而不断努力。

摘自《自动化博览》2017年12月刊

相关文章


热点新闻
推荐产品
 
  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: