工业圈子里面有一句俗语:能不能入门,现场“蹲”两年再说。
去现场执行工程调研与调试,真正了解客户的诉求和想法以及熟悉业务环境之后,才能对工业生产控制过程有真正的理解,进而更好挖掘与理解客户需求,进行解决方案设计以及安全能力应用实践。
天融信科技集团工业互联网总监马霄,长期从事工业生产领域主机控制、现场通信及信息应用工程。由于工控的项目周期较长,他几乎天天“蹲”在现场,对整个工控环境下的工业协议、数据的流转方式以及客户的业务诉求等,可谓是“门清儿”。
天融信科技集团工业互联网总监 马霄
近日,嘶吼对马霄进行了人物专访,就工业企业网络安全分类分级、工控安全建设重点等话题进行了深度探讨。
在马霄看来,分类分级是工业企业构建网络安全建设的基础。按照国民经济行业分类与工业相关的行业大约有140多个,其中30-50个实现高度信息化的行业与网络安全高度相关,这些行业是重点关注的对象,同时也不能忽略工业互联网平台、标识解析系统等工业互联网场景。
我们一般把生产型工业企业分为三个类型:一是离散型,比如冶金、制造行业;二是流程型,比如化工行业;三是混合型,比如电力行业,它最底层的发电机组属于离散型,但其上层设施变为了流程型。每个行业、场景业务结构特点不尽相同,若采用一个通用的规则,很难在不同的场景下落地。工业企业网络安全建设大战略的第一个重点是如何能够把安全推行到每一个行业,因此区分行业的差异性是分类分级首要考虑的因素。
首先,站在宏观层面,要优先考虑监管重点行业和领域,通过监管的行政力推动工业企业对网络安全的重视程度,落实网络安全的建设标准。
再者,要考虑到企业的建设成本和能力,不能单纯地按照企业的规模或者产能要求企业进行产品的堆砌,需要综合考虑企业运营成本,分步骤、分阶段进行建设,以确保安全交付的价值。
如果某个企业对于国家、社会环境以及群众影响力较大,其自身信息化的投入程度也较高,那么企业必须把安全建设作为重点,并且要加大力度。相反,如果企业规模大,但是信息化程度很低,大量控制单元处于物理独立环境下运行,生产控制环境网络应用程度较低,在此环境下强制要求企业进行网络安全建设并不现实。
因此针对不同的行业、规模及信息化应用程度的企业,需要按照不同的安全级别进行安全建设。
谈及工控安全产业发展的阶段,马霄表示,可以用三个驱动力加以区分。首先是事件驱动,同行业或同区域出了安全事件,用户感觉到威胁,而后进行安全建设。再有则是合规驱动,这是当前国内市场工控安全的主要驱动力,工业企业在执法单位、监管单位的政策要求下,开展对应的建设。在市场发展进入成熟期后,需求驱动则将会成为市场的主要驱动力,安全建设目标更倾向于保障信息化、数字化建设,在业务发展过程中构建安全能力。
在马霄看来,我国工业控制领域信息安全市场需求目前处于合规驱动与需求驱动之间,部分行业龙头企业已经完成合规建设,后续安全市场将着力于安全能力的补充、安全策略的深化、安全管理制度与组织结构的优化、安全运营体系构建等。当然,更多的企业仍处于合规驱动的需求范围,以等保、关保、分类分级以及行业政策要求为目标,构建基础安全能力。
以电力行业为例,其在2016年之前就有较强的合规驱动力,《电力监控系统安全防护规定》及等保2.0是该行业主要的合规建设要求,较早完成了接口的规范化和统一化,这都是形成当前电力行业作为工业控制系统信息安全最大子市场的重要因素之一。
但彼时,国内基于行为内容判定的技术框架尚不成熟,电力行业合规建设要求更多建立在“三层网络访问控制+七层网络黑名单匹配”的传统安全防护检测框架基础上,强调网络层单向隔离与传输加密,造成基于合法路径、合法协议下的非法行为无法被识别与处置。
同时,电力行业特别是发电领域,合规要求仅面向生产监控与调度为核心的二次系统,大量的一次机组仍缺少必要的检测、防护、响应措施,造成了信息安全的覆盖范围不足。所以近年来电力行业信息安全建设逐渐从合规驱动转向需求驱动,包括行为内容分析、资产管理、风险管理、安全运营体系、诱捕与反制等,以此对基于合规的基础安全体系形成有效补充。
再比如钢铁行业,自身信息化投入不足,信息安全相对较低,相比电力、石油等能源产业,其工业控制系统信息安全发力较晚。随着2016年钢铁行业产能整合初步完成与工业互联网概念的应用,钢铁信息化才逐渐呈现向阳的趋势。作为工控安全的后发领域,钢铁行业自2018起主要以满足存量市场的等保合规要求建设及增量市场的安全配套建设为核心。但因钢铁目标环境较大,难以支撑一次性建设的资本投入,所以在建设过程中通常以车间或产线维度逐个区域进行建设,或以产品维度进行分步建设。
马霄建议,在钢铁行业控制系统信息安全建设过程中,需要构建以“3+1(访问控制、行为监测、计算环境管控+安全管理)”为核心的基础安全能力,贯彻合规政策要求,落实自上而下的规划与自下而上的建设整体思路,推动产业从合规驱动向需求驱动的转向。建设过程中以运维管理为分区分域的参考,避免安全措施过于下沉造成投入经济成本的无限增加。落实基础安全价值交付后,构建深度/专项安全能力,如资产探测、资产管理、威胁诱捕与反制、安全运营等。
马霄强调,工业领域信息安全最大的核心点就是重视并理解客户需求,将能力堆砌的思路向价值交付进行转变,其核心目标一定是围绕着客户需求和生产控制业务流程,把安全能力落实到生产过程。
无论是工控安全还是工业互联网安全、物联网安全、车联网安全等,其本质是安全,区别在于目标对象的不同,这也造就了安全技术需要随着业务的需求及特点变化不断创新,同时结合目标业务的特点进行一定的改良和优化,保证安全目标不偏离保障业务可用性,要基于客户实实在在的安全价值。
工控安全存量市场未来会在十年之内趋近饱和,基础安全产业发展将从“蓝海”变成“红海”。所以安全从业者需要参考工业控制领域技术与产业发展,保持学习与创新的态度,以应对市场的变化。
例如,整个控制网络云化的趋势已不可逆,安全能力的软件化、云化将成为市场发展的重点需求,如何去应对云计算环境下的控制环节,是未来需要面对的一个主要问题。需要将工控安全能力与现有云安全能力进行整合,即在构建北向访问、南向接入、系统间微隔离的基础上,将安全识别、检测的粒度细化至内容行为层面,并以白名单为主要判断依据,传统黑名单为辅助验证手段的模式,形成有效的识别、检测、防护、响应闭环。同样,在控制领域,工控安全需要与数据安全及物联网安全等技术进行有效整合,应对技术不断发展变化的工业生产格局。
随着数字化转型的进一步推进,信息安全与功能安全形成有效的融合也将成为趋势。通过双安融合构建以生产安全为目标的综合安全体系,进而提升安全作用范围,降低安全人员投入。
站在个人发展角度,未来几年,马霄的工作重心将会放在国家层面的顶层设计与整体工业互联网安全价值交付体系的建设层面。以用户视角,推动工业领域安全能力的构建,并在各个工业领域中形成有效的价值交付能力,把提供与工业客户的每一个产品,每一项服务的作用落在实处。
天融信在工业领域始终倡导以“价值交付”为基础的理念,从客户需求出发,把真正的安全能力交付给客户,同时将自身的安全能力赋能给工业客户,提升客户在安全领域的思考能力,推动工业信息安全产业的高质量发展。
马霄,天融信科技集团工业互联网总监。国家计算机网络应急技术处理协调中心(CNCERT)特约评论员、工业和信息化部某工业互联网安全政策评审专家组成员、某行业“十四五”规划专家组成员、深圳市工业互联网行业协会特聘专家。参与设计包括工业互联网安全公共服务平台、工业互联网安全综合防护平台、工业互联网省级监管平台(入选工业和信息化部-2021网络安全试点示范工程)等多项国家重点工程课题。专注于自动化相关领域数字化转型中信息安全的发展与应用,长期从事工业领域数字化与信息安全相关工作,重点关注国内外工业领域产业发展、工业产业数字化化及其安全。
相关链接:
嘶吼专访 | 天地和兴副总裁杨小帅:做工业网络安全,一定要结合实际现场进行落地实践
嘶吼专访 | 融安网络创始人陈桂耀:创业是一条通往山顶的路,你只能上,不能下