在無錫的一家電子元器件生產基地,這裡被世界經濟論壇評選為「燈塔工廠」。可以像樂高積木一樣組合拼裝的柔性生產線,無論是降低產線投資還是縮短產品上市時間,以數字化重構端到端價值鏈的它,賦予了「智造」新價值。
在產品需求日益多樣化的今天,一家工廠往往需要生產成千上萬種產品,這意味着要統籌上萬種物料,如果為了一些所需產量不大的產品構建一條生產線明顯會造成巨大的浪費。基於5G技術的柔性產線則為生產帶來了極大的靈活性,工廠能夠非常靈活地按照訂單需求進行整個產線的重組,原來通常需要幾周才能布好的生產線,現在可能數小時就可以重新組合,從而大幅提高資產利用率和生產效率。
事實上,受益於數字化等新興技術的發展,各行業製造都在掀起一場數字化變革,工業互聯網成為重要的發展方向。特別是,IT與OT的融合為生產製造賦能、賦智,不斷帶動企業乃至產業整體向價值鏈高端攀升,為中國「智造」帶來了巨大機會。
工業互聯網,賦能新發展
自2017年國務院發佈《關於深化「互聯網+先進制造業」發展工業互聯網的指導意見》以來,工業互聯網發展不斷提速。根據工信部披露的2022上半年數據顯示,目前全國具有一定行業和區域影響力的工業互聯網平台超過150家,其中重點平台的工業設備連接數超過7900萬台(套)、工業APP數量28萬餘個。另據中國信通院統計數據顯示,2021年我國工業互聯網產業規模突破萬億元。
顯然,工業互聯網正加速打造成經濟高質量發展的新產業、新動能。其快速發展的動因不難理解,一方面,國家政策層面發佈了一系列文件和發展行動計劃,給了工業互聯網良好的發展環境;另一方面,在產業升級的大背景下,工業互聯網通過對人、機、物、系統的全面連接,賦能智能化製造、數字化管理和科學生產決策,幫助企業提質降本增效,已是增強競爭力的必走之路。
不過,這也帶來了新的挑戰。
從IT安全到OT安全,「共同與不同」
進入工業互聯網時代,當一台台OT設備逐步「上網」,即打破了傳統工業相對封閉的環境。企業內部工業網絡、管理網絡與互聯網打通,導致大量網絡安全威脅從外網向工業內網延伸,這意味着網絡攻擊可直達生產一線。
試想一下,如果上文所提及的「柔性生產線」一旦遭受網絡攻擊,導致生產參數篡改甚至產線停擺將會帶來什麼樣的巨大損失。事實上,近幾年來我們已然聽到針對工業網絡的各類攻擊事件越來越頻繁,特別是勒索攻擊正在成為大型製造企業的頭號網絡威脅,不勝其擾。
如何應對?
日前,Fortinet聯合合作夥伴施耐德電氣展開了一場圍繞工業互聯網安全的圓桌討論。在Fortinet北亞區首席技術顧問譚傑看來,當前OT系統中已經應用了很多先進的IT思想和技術,同樣地,OT安全也應借鑒IT技術從方法論、技術、流程上規劃安全體系,這是由IT與OT不斷融合導致的必然結果,而不是將兩者撕裂開,形成各自獨立的安全體系。
當然,這並非意味着防護OT安全是對IT安全進行照搬。IT與OT的融合「共同但有區別」,工業互聯網直接涉及工業生產,最大的區別當屬可靠性要求更高。對此,施耐德電氣工業自動化信息安全業務負責人裴淵斗指出,一個OT系統動輒5到10年、甚至20年的持續運行,面臨的最大成本是停機成本,所以在真正的生產運營階段,安全部署往往是特別謹慎的。
作為能源管理和自動化領域的數字化轉型專家,施耐德認為,OT安全應從最基礎的評估、審計開始,只有釐清全部關鍵資產和它們需要面對的信息安全威脅,清楚知道資產之間通信的流量及訪問關係,才能進行有效的安全設計和防護。
之後則是針對性地對安全產品和解決方案的引入,安全運維和策略的制定才能夠有的放矢。
Fortinet D-team負責人王濤舉例說道,白名單技術僅允許可信的流量在OT網絡上傳輸和訪問,能夠最大化地保障生產業務不受影響。EDR能夠學習OT網絡中終端的靜態和動態信息,例如某個應用跟某個IP地址或PLC的關係是什麼,這些信息經過人工確認從而轉換成可執行的安全策略。另外,由於OT網絡環境相對是比較純凈的,這給了蜜罐更好的用武之地,它能夠更容易捕獲攻擊者的攻擊行為,從而提供給安全管理者告警信息排查安全隱患,進而聯動防火牆進行阻斷。進一步地,還可以對OT網絡環境採用微隔離進行訪問控制細化,防止OT環境下某個失陷主機作為跳板,不經過防火牆防護對同網段的其它對象如PLC進行控制或者攻擊的行為發生。
以此看來,以往用於IT環境下的成熟的網絡安全技術和方法,遷移至OT環境有着異曲同工之妙、甚至具備天然優勢,當然首先保證與OT系統和協議兼容的前提下,更要充分考慮對OT系統的可用性、實時性、確定性、耐久性、魯棒性的影響。
補上安全課,護航工業「智造」未來
整體來看,OT技術發展了數十年,存量市場大,但信息安全考慮很少。顯然,IT與OT融合打破了這種狀態,並且不得不為,當前工業互聯網安全仍處於補課階段。但如何補,對於不同的OT行業、不同的OT系統需要適用不同的策略和實踐。
被廣泛認可的普渡模型根據業務功能和覆蓋範圍將整個OT網絡進行了層次化劃分,對每個層面可能產生的安全風險點,Fortinet聯合包括施耐德在內的眾多OT夥伴構建了體系化的安全方案,以應對工業互聯網多元性、專業性和複雜性的挑戰。
當然,長久發展形成的OT系統補上安全課並非一日之功,這需要工業製造企業、OT供應商、網絡安全廠商不斷凝結最佳實踐,為工業互聯網創新排除威脅和風險,進而提升發展質量和效益。
面對挑戰,着眼未來。作為全球領先的綜合性網絡安全廠商,Fortinet將於11月16日舉辦「數字工業 彈性安全」2022年工業互聯網安全發展峰會系列活動,站在全球視角呈現更多工業互聯網安全觀察與行業趨勢,釋放更多前沿信息,值得關注。
峰會已開啟註冊通道,掃描二維碼或點擊下方鏈接,讓我們一起走進「彈性工業安全」。
https://events.fortinet.com.cn/cyy-form/index?pf_uid=29685_2107&id=14528&main_id=29685&wx_id=2107&channel=27855
