工业4.0时代,数字化技术使工厂生产效率和质量获得大幅度提升,但是物与物之间通信和数据交换的频繁进行,也将工厂的设备和系统暴露于更大的信息安全威胁之下。
当互联的计算机数量越来越多,局域网逐渐演变成了万维网;当机器和机器互联、机器与人互联,当更多的系统被整合到同一体系内时,工业也正从2.0、3.0迈向4.0时代。
工业4.0时代,数字化变得越来越重要,工业4.0的推广也使数字化技术更加普及,但与此同时,不同机器间的边界也变得模糊,信息安全问题愈发突出。虽然信息网络是工业4.0的支撑,但却并不是一张无忧的温床。
正如互联网普及之后越来越多的网络安全事件频繁出现一样,工业4.0时代,由于系统本身的脆弱性和漏洞为黑客侵入到一些工业企业的网络中提供了通道,除此之外,潜在的威胁还包括病毒、数据操纵、蠕虫和特洛伊木马等,并且带来的后果不堪设想。
然而,大部分工业企业很少从整体意识、管理和运营的角度考虑安全问题;即使在一些已配备工业防火墙的石化企业和烟草企业,工业防火墙不仅管理不善,有时只是在“一种假象下运作”,而非主动保障安全。
西门子中国数字化工厂业务集团委托开展的一项调查结果显示,中国70%以上的客户——从石化产品制造商到汽车制造商——的工业控制网络曾遭遇病毒攻击,或是面临这种攻击的威胁;受到类似的攻击后,生产中断将是不可避免的,由此造成的损失非常巨大。
一套优质的工业4.0解决方案将从产品周期、灵活性、柔性、质量、效率等多个维度为客户提供帮助,西门子除了在上述方面尽可能高效地满足客户的商业需求,也意识到信息安全问题可能带来的隐患,并在所提供的解决方案中为客户实现更高水平的信息安全保护。
互联的机器越多 信息安全问题越突出
在工业的2.0、3.0时代,机器联网的范围没有那么大,整合的元素也没有那么多,爆发信息安全问题,伤害的可能只是系统的局部,还无法侵入系统的肌体,但是在工业4.0时代,产生的影响就有可能牵一发而动全身。
另外,相比于传统的IT系统,当信息安全问题蔓延至工业系统时,工业控制系统自身存在的安全漏洞,物联网化带来的广泛安全威胁,信息安全与可靠性的相互影响,传统信息安全防护措施失效等,都使工业4.0的信息安全面临极大的挑战。
特别是由于安全制度的缺失,大量的工业控制系统在完全没有保护的情况下被连接到互联网中,而这些设备大都使用默认的用户名和密码,可以轻易地被登陆和访问,这些控制系统往往非常脆弱,易于被攻击,而最危险的是这些控制系统的使用者对这些危险毫无察觉。
另外,由于操作维护人员、第三方的系统维护服务商或访客的不当操作,有可能将隐藏在U盘、移动设备、笔记本电脑中的病毒传播到工业控制系统中。如果没有防护措施,这些病毒会利用系统的安全漏洞,在网络中进行自我复制和传播,感染工业控制计算机或攻击可编程控制器。
可自我复制的恶意软件(Conficker)是信息安全的另外一个对手,Conficker使用特定的RPC请求在目标电脑上执行代码,一旦发现网络中存在有漏洞的计算机系统,就会激活该漏洞进行远程感染;Conficker还会增加网络负载,造成网络的不稳定,也会使被感染的系统CPU负载增高,进而使整个系统不可靠。
一个具体的案例就是,2010年伊朗布什尔核电站遭到震网病毒的攻击。震网病毒是一个席卷全球工业界的病毒,也是第一个专门定向攻击真实世界中基础(能源)设施的蠕虫病毒,其攻击目标包括核电站,水坝,国家电网等;震网病毒目前已经感染了全球超过45000个网络。
“要比任何一个黑客更加聪明”
工业4.0时代,工业控制系统面临广泛的外部安全威胁,需要建立全面、纵深的安全防护体系,嵌入式系统安全以及各种新的防护技术成为解决安全问题的重点。同时,工业4.0对信息安全提出了更多、更大的挑战,它意味着更长的链条、更多维度的元素融入。
但是挑战的背后是机遇,工业4.0时代的信息安全问题也为企业解决这一问题提供了机会和空间。过去做安全的思路是被动式的抓“坏人”,而在工业4.0时代,应该化被动为主动,不让“坏人”进入。
西门子过程工业与驱动集团首席执行官Juergen Brandes的一段话很好的诠释了西门子对待信息安全问题的看法,“信息安全的起点是要打造一个牢固坚实的系统,要有清晰的理念来识别出重要性的流程,同时要能够对环境做出观察,这样一旦有黑客试图侵入系统时,就能够探测并理解这种企图,再通过智能化的反制措施来加以制止。”
Juergen Brandes甚至认为做到这些还远远不够,在他看来,一个主动性的信息安全解决方案还要在黑客自己都不知道的情况下,就能够判断出他下一步的意图,并且实现持续不断地保护,能够把网络当中的不同的安全级别给识别出来。“主动的信息安全解决方案要比世界上任何一个黑客都更加聪明。”
正是基于“如何先于黑客发现工业控制系统中的安全漏洞,增强西门子产品安全性”的理念,西门子制定了从检测到保护的研究路线图。
西门子中国研究院为应对控制网络安全挑战已经开发了工业安全测评系统(Styx)这一解决方案,Styx可提供适用于工业自动化环境中的通信协议——比如PROFINET、Modbus/TCP——的安全检测套件。
凭借涵盖26项协议的1000多万个检测用例,Styx能够检测出工业控制系统、软件、设备中的未知安全漏洞。目前,Styx已被集成到西门子产品部门的系统检测流程,另外,Styx的全球推广应用也正在计划之中。
西门子已经面向市场推出的“MindSphere—西门子工业云平台”则是另外一个例子,不同于封闭性的工业云,MindSphere定位为一个开放的生态系统,任何工业企业都可以将其作为数字化服务——譬如预防性维护、能源数据管理以及工厂资源优化——的基础。
“我们给客户提供了MindSphere这一工具,使客户可以非常容易地去把这些数据上传到云平台中,而云平台上的数据都是由客户所掌握。西门子在此基础上又帮助客户进行应用的安装,使这些数据能够以最智能的方式加以利用。”Juergen Brandes说道。
例如,机械设备制造商及工厂建造者可以通过该平台监测其设备机群,以便在全球范围内有效提供服务,缩短设备停工时间,并据此开创新的商业模式。
另外,需要特别强调的是,MindSphere在帮助客户实现最佳运营效率同时,也能够切实保障数据的安全性,使这些数据真正为客户所掌握,而不会外泄。
纵深防御的解决方案令炼化厂受益
信息安全问题在涉及到国家经济命脉的行业中表现尤为突出,这也使石化、制造和医药等行业率先受益于西门子的信息安全解决方案,西门子为这些行业进行风险评估以及保护生产设备免受潜在安全威胁提供了很大帮助。
中石化青岛炼油化工有限责任公司(下称青岛炼化)一期炼油装置的控制系统采用了西门子Simatic PCS 7平台作为过程控制系统,用于一项非常复杂的工作场景。项目投用初期运行良好,但是半年后就有零星的操作员站死机现象出现。
在西门子技术人员的帮助下,发现故障原因是由于系统内感染了网络病毒。西门子利用基于纵深防御理念的过程控制系统安全方案最终在这个系统当中清除了这一病毒。
具体来看,青岛炼化在进行第二阶段改善工厂安全、网络安全和系统完整性项目时,采用了西门子的Janus和工业信息安全基线检测工具(iSBC)提升其生产信息安全性。
西门子的解决方案可让工厂的工作人员无需再手动浏览不同的操作系统和设备应用层,自动检查成千上万的配置,一旦发现控制网络面临攻击即予以拦截。
在应用了上述工具后,青岛炼化的工厂就可以实现纵深防御,通过风险评估和监测将涵盖连接办公室IT与控制系统的接口,杀毒软件将保护基于PC系统,自动化和驱动组件的控制级也将得到保护。