摘要：在新基建和工业互联网的大趋势下，如何应对随之而来的工业信息安全风险？施耐德电气倡导遵循相关的国际和国家标准，贯彻纵深防 御策略，以对工业企业和工业互联网的建设提供全生命周期的防护。

关键词：工业互联网安全；工控信息安全；纵深防御

Abstract: At the era of New Infrastructure and Industrial Internet, how to deal with the industrial cybersecurity risks? Schneider Electric advocates to follow related international and national standards, and implement Defense-in-Depth strategy to provide full lifecycle protection and assurance for industrial enterprises and industrial Internet construction.

Key words: Industrial Internet security; IACS(Industry Automation Cybersecurity); Defense in depth

1 概述

随着互联网技术对社会和经济的巨大推进和影响，传统工业领域也逐渐开始利用越来越通用、经济和成熟的网络通讯、大数据存储和处理、人工智能等前沿技术来提高运营过程的效率。传统的运营技术（OT）与信息技术（IT）、通讯技术（CT）以及数据技术（DT）开始逐渐融合，并与工业互联网一同优化工业企业的生产过程以及能源利用效率，成为工业企业新的增长引擎。

在工业互联网成为新基建的大环境大趋势下，在工业企业致力推进工业企业数字化和智能化转型的同时，越来越多的工业控制系统从封闭走向开放，从信息孤岛走向互联互通，从独立运行走向协同，因此在为企业节能、优化和增效的同时，也引入了信息安全的风险。

如何提升已经运行多年的工业控制系统的信息安全防护能力，有效防护对工业控制系统层出不穷的网络攻击，是工业用户需要面对的巨大挑战。

2 工业信息安全的挑战

2.1 OT和IT系统信息安全的差异

尽管在IT领域内已经有很成熟的信息安全防护技术、方案、软硬件产品和服务，也不断地涌现创新技术和产品，但直接将IT领域内的信息安全实践直接应用于OT领域内会导致极大风险。这绝不仅仅是因为众所周知的信息安全C.I.A.（保密性Confidentiality，完整性Integrity，可用性Availability）三要素在IT和OT领域中优先级的不同（IT环境中：保密性>完整性>可用性，而OT环境中：可用性>完整性>保密性），而需要更加深刻地认识到IT和OT信息安全防护的对象不同，所处的环境不同，采用的技术不同，运营和维护方式不同，生命周期不同，停机或故障甚至性能下降可能导致的结果不同，因此在面对OT系统时，不能孤立地考虑系统的信息安全（Security），还应该考虑部署在OT系统的信息安全防护产品是否会对系统的可用性、可靠性、实时性、确定性、耐久性、连续性、鲁棒性等固有属性造成影响，避免为了实现信息安全（Security）最终导致功能安全（Safety）的问题，从而造成对正常生产运营，甚至是资产、人员、环境的影响。

2.2 全生命周期保障

工控系统的生命周期通常很长，可以达到15年甚至20多年，这给针对工控系统的信息安全防护带来很大困难。首先，这么长的生命周期以及其良好的可靠性意味着现役的很多工控系统使用的是10多年前的产品或技术，部署时产品和系统层面都很少会考虑信息安全风险及防护，而对存量系统进行信息安全升级则需要充分考虑对现有系统可能造成的影响。其次，部署在工控系统的信息安全防护产品须能够和工控系统有相同的生命周期且能够适应工业应用环境，才能为工控系统长期提供防护，至少不应成为系统可能的故障点或风险点。最后，工控系统过长的生命周期导致了系统会在不同的时期必须面对不同的内部和外部安全威胁和风险：对外，如何防御网络攻击技术发展而层出不穷的新攻击技术和手段；对内，如何缓解系统组件（PLC、操作系统、应用程序）甚至是信息安全防护产品本身由新发现的漏洞导致的风险。

2.3 无扰、高可用性要求下的动态信息安全防护

为了应对以上挑战，工业企业需要建设动态的、能够在全生命周期范围内对系统进行有效信息安全的防护体系。而该体系建立的关键基础是意识、人和知识。只有深刻意识到信息安全问题对工业企业的伤害力，意识到信息安全已经成为工业互联网的必备要素和基础技术，才会在推进工业互联网时同步进行信息安全建设；而只有具备专业IT+OT+安全知识技能的专家，才能够在构建信息安全防护体系的同时，不对现有的控制系统造成任何影响，从而保证生产的安全连续运营。

3 施耐德电气建议

3.1 遵循信息安全标准

信息安全领域的国际标准和国家标准由工业领域的用户，工业产品和服务提供商，信息安全产品和服务提供商以及相关管理机构的专家针对需要面对的工业信息安全挑战而制定，可以为最终用户，产品供应商和服务供应商的信息安全实践提供良好的指导以及最佳实践。

施耐德电气倡导工业用户遵循开放的国际/国家标准以应对越来越重要的工业信息安全风险，如：ISA/IEC 62443系列标准，网络安全等级保护系列标准等。

ISA/IEC 62443系列标准是国际公认的最适宜应用在工业自动化和控制系统领域的标准，施耐德电气遵循ISA/IEC 62443-4-1，建立安全开发生命周期流程，基于ISA/IEC 62443-4-2在OT产品中内置信息安全特性，并基于ISA/IEC 62443-3-3为OT系统提供全生命周期的系统级信息安全防护能力。部分IEC 62443系列标准已被等同转换为国标，如GB/T33007-2016、GB/T35673-2017等，还有一些在转换过程中。

作为ISA全球信息安全联盟创始成员之一，施耐德电气致力于：

（1）倡导在工业控制系统中使用ISA/IEC 62443系列标准，并推动标准的应用；

（2）更好的行业协同，为人员、流程和技术提供保护和保障；

（3）履行在网络安全领域促进公开、知识共享、教育和宣传，推动必要变革的承诺；

（4）提升助力客户建立并符合基于标准的最佳流程、实践和策略的能力。

3.2 贯彻纵深防御策略

施耐德电气倡导的纵深防御策略有助于有效防御信息安全攻击。纵深防御遵循国际和国家标准，通过集成信息安全体系的不同要素，构建多层次、多技术的防护体系，对控制系统进行立体的信息安全防护。

纵深防御策略的贯彻，一方面可以避免因其中某层 防护手段或某个安全防护设备失效或被攻破（如边界防火墙被攻破），系统全面沦陷的局面；另一方面可以为OT系统全生命周期范围内安全运维提供极大的便利，不仅可以帮助用户在OT系统不停止运营无法打补丁的情况下缓解系统或设备新出现的漏洞，甚至本身就可以对某些漏洞进行有效防范。例如：使用设备加固的方式减小攻击面，关闭OT或IoT设备的HTTP、FTP、SNMP等协议以及相应端口，即使不打补丁，也可以有效地防护这些漏洞不被利用；使用通讯白名单或防火墙等其它不同的防护手段，同样可以针对不同漏洞进行有效防范。

如图1所示，基于纵深防御策略，施耐德电气倡导：

（1）从人员、流程和技术三个信息安全防护的核心要素出发，通过信息安全政策和流程规范工业控制系统的建设、运营和维护，并结合信息安全技术手段，对工业控制系统及其核心资产和安全运营进行有效防护；

（2）采用不同的技术手段，从访问、加固、侦测和应对四个方面对工控系统进行综合防护，保障系统的信息安全和业务连续；

（3）采用全生命周期信息安全防护，对工业控制系统的整个生命周期进行周期性的评估、设计、实施、监视和维护，辅以信息安全意识、技术和运维培训，实现信息安全防护能力的螺旋上升。

图1 纵深防御策略

施耐德电气纵深防御提供不同的技术手段，从访问、加固、侦测和应对四个方面对工控系统进行综合防护，保障系统的信息安全和业务连续，如图2所示。

图2 施耐德电气纵深防御从四个方面进行综合防护

（1）访问：通过物理、网络、鉴别等技术手段对工业控制系统进行隔离、访问控制，避免非授权访问引起的信息安全事件；

（2）加固：通过信息安全防护软件、硬件和服务等技术手段对工业控制系统的核心资产和组件进行多重防护和加固；

（3）侦测：对控制系统的网络、主机、设备等运行环境和状态进行主动的状态检测，动态识别工业控系统安全运营风险，并进行安全预警；

（4）应对：针对工业控制系统的信息安全事件进行快速响应、缓解攻击并保障业务连续的能力、系统。

4 施耐德电气的信息安全实践

4.1 端到端的信息安全

作为运营技术（OT）的领导者和工业企业数字化转型的驱动者，施耐德电气将“端到端的信息安全”落实到其提出的开放的、针对工业互联网、工业物联网的系统平台架构，为进一步打通互连互通的产品、边缘控制以及应用、分析和服务三层提供了信息安全防护保障，为楼宇、数据中心、工业和基础设施领域内的工业互联网建设以及全生命周期的运营提供了信息安全保障，如图3所示。

图3 施耐德电气EcoStruxure架构

4.2 多层次信息安全保障

施耐德电气基于EcoStruxure架构的端到端的信息安全，为工业用户在全生命周期的范围内提供三个层次的信息安全，保障用户的数字化转型和工业互联网的建设，同时帮助用户应对日益严峻的信息安全挑战，如图4所示。

图4 多层次信息安全保障

（1）原生产品安全

施耐德电气在研发端采用了安全开发生命周期（SDL）方法，不仅可以保证原生OT产品在发布时就集成必要的信息安全能力，并通过了国际和国内的信息安全认证（如ISASecure ESDA，Achilles，国家工业控制系统与产品安全质量监督检验中心），还可以对OT产品提供全生命周期的信息安全保障，在产品被发现有信息安全漏洞时，通过相应的流程来进行安全的更新，如图5所示。

图5 安全开发生命周期（SDL）方法

（2）系统交付安全

施耐德电气针对项目和服务交付制定了严格的流程，从而保证在项目和服务交付过程中不会给客户引入新的信息安全风险。

（3）安全服务解决方案

针对不具备信息安全防护能力或需要增强防护能力的在运行系统，施耐德电气可以为工业用户提供基于纵深防御策略的全生命周期解决方案，针对工业控制系统的业务逻辑进行边界隔离、安全审计、灾难恢复、远程安全访问等信息安全防护手段，在不影响业务正常运行的前提下，有效提升信息安全防护能力。

4.3 信息安全服务

4.3.1 全生命周期服务

针对工业控制系统服役生命周期长的特点，施耐德电气推荐使用全生命周期的方法，定期对目标系统进行评估，找出信息安全风险以及目标和现状之间的差距，并针对风险进行相应设计以缓解风险对系统造成的影响，按照设计进行实施，监视内部系统安全运营状况以及外部威胁，并及早维护，并辅以贯穿全生命周期的信息安全意识和技能培训，如图6所示。

图6 全生命周期方法

（1）评估：针对工业控制系统进行差距分析和信息安全风险评估，找到现状与企业信息安全目标之间的差距；找到通过信息安全防护的关键资产，进行风险和威胁分析；并对标现有的信息安全法律法规和标准，进行合规分析。

（2）设计：根据评估的结果，以纵深防御为理念，按照相应的信息安全防护等级对工业控制系统的信息安全系统架构进行设计，对工控系统的关键资产、运营可用性，以及业务连续性进行防护和保障。

（3）实施：根据设计的结果，对工业控制系统的信息安全防护进行相应的软硬件部署和实施，从而达到企业信息安全目标。

（4）监视：针对外部威胁情报和内部工业控制系统生产运营进行信息安全相关事件监视，对信息安全事件或风险进行预警和预判，通过预防性维护降低企业信息安全风险。

（5）维护：对工业控制系统进行相应的补丁/病毒库升级、安全策略调整以应对新的外部威胁，从而达到预防性维护的目的；响应系统信息安全事件并通过系统的备份和灾难恢复保障业务连续性等。

（6）培训：对企业全员进行初级的信息安全意识培训，针对工业控制系统的运营维护工程师提供中级到高级相关的培训。

4.3.2 基于纵深防御的信息安全系统架构

针对不具备信息安全防护能力或需要增强防护能力的在运行系统，施耐德电气可以为工业用户提供基于纵深防御策略的全生命周期解决方案，针对工业控制系统的业务逻辑进行信息安全防护设计，部署用户鉴别、访问控制、边界隔离、安全分区、安全审计、灾难恢复、远程安全访问等安全防护手段，在保证不影响系统业务正常运营的前提下，有效地提高系统的信息安全防护能力，并符合国家以及相关主管部门的法律法规和标准。

施耐德电气基于纵深防御策略的解决方案可以通过一次实施对控制系统进行全面的防护，也可以根据用户的运营费用计划进行统一规划，分步实施，按照优先级模块化实施网络隔离、边界防护、网络分区、设备加固、安全审计、灾难备份等安全组件，如图7所示。

图7 基于纵深防御的信息安全系统架构

5 总结

“以发展促安全，以安全保发展”，在新基建和工业互联网的大背景下，信息安全已经不再是可选项，而是重要的基础技术之一。工业信息安全不仅保障OT系统安全、高效的生产运营，更加可以保障、工业企业人员、资产和环境的安全，保障企业的工业互联网建设并支持企业可持续发展。

为了保障工业互联网的建设，应对愈演愈烈的信息安全挑战，工业企业首先要有安全意识，建设和积累自己的知识和技能，并遵循国际和国家标准，在企业的政策、流程和技术上进行投入，建设纵深防御的信息安全防护体系，在全生命周期范围内对工业企业的人员、资产、环境和生产运营进行信息安全防护。

作者简介：

裴渊斗，施耐德电气工业自动化和工控信息安全专家，获的IAS/IEC 62443和CISP认证，有20多年的工业自动化领域从业经历，熟悉DCS、SIS、PLC、SCADA、HMI等工业自动化产品，曾参与多个行业的工业信息安全建设以及国家工业信息安全的标准化工作。

王 勇，施耐德电气首席安全官，国内资深工业自动化以及工控信息安全专家，有超过30年的工业自动化经验，曾参与编写多个工业自动化和工业信息安全的国际和国家标准。

摘自《自动化博览》2020年8月刊