在无锡的一家电子元器件生产基地,这里被世界经济论坛评选为“灯塔工厂”。可以像乐高积木一样组合拼装的柔性生产线,无论是降低产线投资还是缩短产品上市时间,以数字化重构端到端价值链的它,赋予了“智造”新价值。
在产品需求日益多样化的今天,一家工厂往往需要生产成千上万种产品,这意味着要统筹上万种物料,如果为了一些所需产量不大的产品构建一条生产线明显会造成巨大的浪费。基于5G技术的柔性产线则为生产带来了极大的灵活性,工厂能够非常灵活地按照订单需求进行整个产线的重组,原来通常需要几周才能布好的生产线,现在可能数小时就可以重新组合,从而大幅提高资产利用率和生产效率。
事实上,受益于数字化等新兴技术的发展,各行业制造都在掀起一场数字化变革,工业互联网成为重要的发展方向。特别是,IT与OT的融合为生产制造赋能、赋智,不断带动企业乃至产业整体向价值链高端攀升,为中国“智造”带来了巨大机会。
自2017年国务院发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》以来,工业互联网发展不断提速。根据工信部披露的2022上半年数据显示,目前全国具有一定行业和区域影响力的工业互联网平台超过150家,其中重点平台的工业设备连接数超过7900万台(套)、工业App数量28万余个。另据中国信通院统计数据显示,2021年我国工业互联网产业规模突破万亿元。
显然,工业互联网正加速打造成经济高质量发展的新产业、新动能。其快速发展的动因不难理解,一方面,国家政策层面发布了一系列文件和发展行动计划,给了工业互联网良好的发展环境;另一方面,在产业升级的大背景下,工业互联网通过对人、机、物、系统的全面连接,赋能智能化制造、数字化管理和科学生产决策,帮助企业提质降本增效,已是增强竞争力的必走之路。
不过,这也带来了新的挑战。
进入工业互联网时代,当一台台OT设备逐步“上网”,即打破了传统工业相对封闭的环境。企业内部工业网络、管理网络与互联网打通,导致大量网络安全威胁从外网向工业内网延伸,这意味着网络攻击可直达生产一线。
试想一下,如果上文所提及的“柔性生产线”一旦遭受网络攻击,导致生产参数篡改甚至产线停摆将会带来什么样的巨大损失。事实上,近几年来我们已然听到针对工业网络的各类攻击事件越来越频繁,特别是勒索攻击正在成为大型制造企业的头号网络威胁,不胜其扰。
如何应对?
日前,Fort.NET联合合作伙伴施耐德电气展开了一场围绕工业互联网安全的圆桌讨论。在Fortinet北亚区首席技术顾问谭杰看来,当前OT系统中已经应用了很多先进的IT思想和技术,同样地,OT安全也应借鉴IT技术从方法论、技术、流程上规划安全体系,这是由IT与OT不断融合导致的必然结果,而不是将两者撕裂开,形成各自独立的安全体系。
当然,这并非意味着防护OT安全是对IT安全进行照搬。IT与OT的融合“共同但有区别”,工业互联网直接涉及工业生产,最大的区别当属可靠性要求更高。对此,施耐德电气工业自动化信息安全业务负责人裴渊斗指出,一个OT系统动辄5到10年、甚至20年的持续运行,面临的最大成本是停机成本,所以在真正的生产运营阶段,安全部署往往是特别谨慎的。
作为能源管理和自动化领域的数字化转型专家,施耐德认为,OT安全应从最基础的评估、审计开始,只有厘清全部关键资产和它们需要面对的信息安全威胁,清楚知道资产之间通信的流量及访问关系,才能进行有效的安全设计和防护。
之后则是针对性地对安全产品和解决方案的引入,安全运维和策略的制定才能够有的放矢。
Fortinet D-team负责人王涛举例说道,白名单技术仅允许可信的流量在OT网络上传输和访问,能够最大化地保障生产业务不受影响。EDR能够学习OT网络中终端的静态和动态信息,例如某个应用跟某个IP地址或PLC的关系是什么,这些信息经过人工确认从而转换成可执行的安全策略。另外,由于OT网络环境相对是比较纯净的,这给了蜜罐更好的用武之地,它能够更容易捕获攻击者的攻击行为,从而提供给安全管理者告警信息排查安全隐患,进而联动防火墙进行阻断。进一步地,还可以对OT网络环境采用微隔离进行访问控制细化,防止OT环境下某个失陷主机作为跳板,不经过防火墙防护对同网段的其它对象如PLC进行控制或者攻击的行为发生。
以此看来,以往用于IT环境下的成熟的网络安全技术和方法,迁移至OT环境有着异曲同工之妙、甚至具备天然优势,当然首先保证与OT系统和协议兼容的前提下,更要充分考虑对OT系统的可用性、实时性、确定性、耐久性、鲁棒性的影响。
整体来看,OT技术发展了数十年,存量市场大,但信息安全考虑很少。显然,IT与OT融合打破了这种状态,并且不得不为,当前工业互联网安全仍处于补课阶段。但如何补,对于不同的OT行业、不同的OT系统需要适用不同的策略和实践。
被广泛认可的普渡模型根据业务功能和覆盖范围将整个OT网络进行了层次化划分,对每个层面可能产生的安全风险点,Fortinet联合包括施耐德在内的众多OT伙伴构建了体系化的安全方案,以应对工业互联网多元性、专业性和复杂性的挑战。
当然,长久发展形成的OT系统补上安全课并非一日之功,这需要工业制造企业、OT供应商、网络安全厂商不断凝结最佳实践,为工业互联网创新排除威胁和风险,进而提升发展质量和效益。