以下文章來源于工業(yè)安全產(chǎn)業(yè)聯(lián)盟 ���,作者自動(dòng)化博覽
★ 電力規(guī)劃設(shè)計(jì)總院 張晉賓
摘要:隨著數(shù)字技術(shù)的泛在化和網(wǎng)絡(luò)攻擊的與日俱增,加之AI和量子計(jì)算等顛覆性技術(shù)開始應(yīng)用����,常規(guī)網(wǎng)絡(luò)安全防護(hù)理念及技術(shù)已不能滿足新形勢下關(guān)鍵基礎(chǔ)設(shè)施工控網(wǎng)絡(luò)安全的需求。本文描述了九位一體安全深度防護(hù)�、設(shè)計(jì)安全、默認(rèn)安全等新興安全理念的概念���、模型結(jié)構(gòu)�、特性及應(yīng)用,并簡要分析了邊緣計(jì)算�����、AI����、量子計(jì)算、分布式賬簿��、去中心化網(wǎng)絡(luò)安全管理等新興技術(shù)方面的發(fā)展態(tài)勢��。
關(guān)鍵詞:九位一體安全深度防護(hù)����;設(shè)計(jì)安全;默認(rèn)安全��;邊緣計(jì)算��;AI����;量子計(jì)算���;分布式賬簿��;去中心化網(wǎng)絡(luò)安全管理
隨著工控系統(tǒng)的進(jìn)一步開放互聯(lián)���、數(shù)字化�、網(wǎng)絡(luò)化���、無線化甚至全面云化���,工控系統(tǒng)自身的網(wǎng)絡(luò)安全脆弱性和所面臨來自自然環(huán)境、人為失誤�、設(shè)備故障、惡意軟件��、工業(yè)間諜��、犯罪組織�����、恐怖分子���、境外國家力量���、地區(qū)沖突與戰(zhàn)爭行為等方面的威脅與日俱增�。據(jù)卡巴斯基ICS CERT觀察報(bào)告����,2023年上半年全球有34%的工控系統(tǒng)(ICS)計(jì)算機(jī)探測到并屏蔽了各類惡意對象,2023年第二季度出現(xiàn)了自2019年以來全球最高的季度威脅水平����,26.8%的ICS計(jì)算機(jī)受到影響。
在此背景下�,世界主要經(jīng)濟(jì)體紛紛出臺或修訂相關(guān)網(wǎng)絡(luò)安全法律法規(guī),如中國《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》�,美國《Cybersecurity Act》(網(wǎng)絡(luò)安全法)、NERC CIP(關(guān)鍵基礎(chǔ)設(shè)施保護(hù))系列要求���,歐盟《Directive on Security of Network and Information Systems》(revised)(網(wǎng)絡(luò)與信息系統(tǒng)安全指令2��,簡稱“NIS2指令”����,該指令已于2023年1月生效�,并要求各成員國必須在2024年10月17日之前將該指令轉(zhuǎn)化為國家法律)等��。較之第1版NIS,NIS2適用范圍大增���,所適用的基礎(chǔ)服務(wù)包括能源(電力��、區(qū)域供熱和供冷��、石油�、天然氣���、氫氣)��、藥品及疫苗制造��、飲用水和廢水����、交通�、銀行、金融市場基礎(chǔ)設(shè)施��、健康����、數(shù)字基礎(chǔ)設(shè)施��、信息通信技術(shù)服務(wù)管理��、太空工業(yè)�����、中央及區(qū)域公共管理等���,所適用的重要服務(wù)包括郵政與快遞服務(wù)、廢棄物管理����、化學(xué)品、醫(yī)療器械制造��、電子/電氣/機(jī)械/交通設(shè)備及產(chǎn)品制造�、數(shù)字服務(wù)提供商等,并要求運(yùn)營基礎(chǔ)服務(wù)的組織必需更有效地全鏈條管理IT(信息技術(shù))和OT(運(yùn)營技術(shù))��,以及用于管理�、監(jiān)視、控制���、保護(hù)工業(yè)正常運(yùn)營的控制系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��。
據(jù)MarketsandMarkets報(bào)告���,工業(yè)網(wǎng)絡(luò)安全市場規(guī)模2022年為163億美元,預(yù)計(jì)到2028年將達(dá)到244億美元���,預(yù)計(jì)從2023年到2028年的復(fù)合年增長率將達(dá)到7.7%����。推動(dòng)工業(yè)網(wǎng)絡(luò)安全市場快速增長的要素是國家及社會(huì)對工業(yè)控制系統(tǒng)的關(guān)注度越來越高和其遭受的網(wǎng)絡(luò)攻擊數(shù)量持續(xù)增多�����。傳統(tǒng)的“封堵查殺”網(wǎng)絡(luò)安全手段����,已基本無法有效應(yīng)對新形勢下系統(tǒng)性高強(qiáng)度的網(wǎng)絡(luò)攻擊,也難以滿足更加嚴(yán)格的網(wǎng)絡(luò)安全相關(guān)法律法規(guī)的要求�����。為此��,網(wǎng)絡(luò)安全與功能安全一體化的深度防護(hù)、設(shè)計(jì)安全�、默認(rèn)安全、可信系統(tǒng)�、零信任架構(gòu)等新興的安全理念不斷涌現(xiàn)(限于篇幅,本文重點(diǎn)放在安全一體化深度防護(hù)�����、設(shè)計(jì)安全��、默認(rèn)安全)�。
全球數(shù)字技術(shù)發(fā)展速度之快、輻射范圍之廣�、影響程度之深前所未有,網(wǎng)絡(luò)化��、數(shù)字化����、智能化是大勢所趨,這其中以AI�、量子計(jì)算等為代表的新一代數(shù)字技術(shù)會(huì)給工控網(wǎng)絡(luò)安全的發(fā)展帶來深遠(yuǎn)的影響,必須提前分析預(yù)判�、提前謀劃應(yīng)對。
1 九位一體安全深度防護(hù)
// 1.1 概念
九位一體安全深度防護(hù)是指應(yīng)用多層融合[即人員安全防護(hù)層�����、EPC(設(shè)計(jì)、采購及建造)防護(hù)層�����、物理安全防護(hù)層�����、網(wǎng)絡(luò)安全防護(hù)層���、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層����、事故響應(yīng)及恢復(fù)防護(hù)層、過程自動(dòng)防護(hù)層��、過程設(shè)備防護(hù)層等]的系統(tǒng)防護(hù)方法����,來對被保護(hù)對象(如關(guān)鍵工業(yè)自動(dòng)化及控制系統(tǒng)、關(guān)鍵通信網(wǎng)絡(luò)�、關(guān)鍵物理過程設(shè)備、安全管理中心等)進(jìn)行全面、系統(tǒng)的深度防護(hù)����。九位一體安全深度防護(hù)結(jié)構(gòu)示意圖如圖1所示,從外層至內(nèi)層各層分布分別為:人員安全防護(hù)層+EPC防護(hù)層+物理安全防護(hù)層+網(wǎng)絡(luò)安全防護(hù)層+設(shè)備加固防護(hù)層+應(yīng)用及數(shù)據(jù)安全防護(hù)層+事故響應(yīng)及恢復(fù)防護(hù)層+過程自動(dòng)防護(hù)層+過程設(shè)備防護(hù)層����,該九層構(gòu)成了被防護(hù)對象的風(fēng)險(xiǎn)控制手段或風(fēng)險(xiǎn)控制措施。其中的網(wǎng)絡(luò)安全防護(hù)層��、設(shè)備加固防護(hù)層�、應(yīng)用及數(shù)據(jù)安全防護(hù)層等三層屬于數(shù)字安全控制范疇,物理安全防護(hù)層���、網(wǎng)絡(luò)安全防護(hù)層�����、設(shè)備加固防護(hù)層�����、應(yīng)用及數(shù)據(jù)安全防護(hù)層等四層屬于常規(guī)意義上的網(wǎng)絡(luò)安全范疇��,過程自動(dòng)防護(hù)層���、過程設(shè)備防護(hù)層屬于通常所謂的過程安全�����、功能安全范疇����。
該方法與常規(guī)網(wǎng)絡(luò)安全防護(hù)方法不同�,它是采用多專業(yè)分層理念來對網(wǎng)絡(luò)安全��、過程安全�����、過程工程及組織的交叉風(fēng)險(xiǎn)進(jìn)行綜合管控�����,可視為網(wǎng)絡(luò)安全��、功能安全�、組織安全等多種安全的系統(tǒng)集成或多種安全的融合一體化。
常規(guī)的深度防護(hù)(defense in depth)是一種采用分層����、冗余的防護(hù)機(jī)制來保護(hù)資產(chǎn)免受網(wǎng)絡(luò)攻擊的網(wǎng)絡(luò)安全防護(hù)方法���,其利用組合的網(wǎng)絡(luò)安全措施而不是單一的網(wǎng)絡(luò)安全措施來抵御網(wǎng)絡(luò)攻擊[如由兩個(gè)不同的防火墻所構(gòu)成的DMZ(demilitarized zone),也稱“非軍事區(qū)”“屏蔽子網(wǎng)”���,介于網(wǎng)絡(luò)之間作為“中立區(qū)”的邊界網(wǎng)絡(luò)]����,且有時(shí)還考慮防護(hù)措施的多樣性����,如某防護(hù)層被某種手段攻破后不應(yīng)導(dǎo)致另一防護(hù)層也會(huì)被同一種攻擊手段所攻破(如配置不同訪問控制措施的多個(gè)網(wǎng)段)。從表面上看��,九位一體安全深度防護(hù)似乎與常規(guī)深度防護(hù)一樣����,但實(shí)質(zhì)上兩者有著本質(zhì)的不同。常規(guī)深度防護(hù)只是試圖延緩攻擊者的攻擊時(shí)間��,所構(gòu)建的縱深防御體系并未如九位一體安全深度防護(hù)一樣����,設(shè)置有系統(tǒng)性的多專業(yè)級的網(wǎng)絡(luò)安全與過程安全(功能安全)一體化的綜合防護(hù)措施�。試想若攻擊者攻破深度防護(hù)措施后�����,常規(guī)網(wǎng)絡(luò)安全深度防護(hù)是否還有能阻止或抵御攻擊者的其它工事�?
// 1.2 九位一體安全深度防護(hù)模型結(jié)構(gòu)
在九位一體安全深度防護(hù)模型中(如圖1所示),各個(gè)防護(hù)層之間是互聯(lián)互融的�。從確保滿足綜合防護(hù)高效能視角看,外層和內(nèi)層同等關(guān)鍵�����。
圖1 九位一體安全深度防護(hù)模型結(jié)構(gòu)示意圖
該模型結(jié)構(gòu)詳細(xì)說明如下:
(1)人員安全防護(hù)層���。該層至關(guān)重要,其取決于所有利益相關(guān)方人員的意識��、技能和信任��。人員是安全防護(hù)中最為關(guān)鍵且易忽視的因素���。被保護(hù)資產(chǎn)整個(gè)生命周期涉及到規(guī)劃人員�、設(shè)計(jì)人員�����、制造人員、建造人員�、管理人員(包括系統(tǒng)管理員、審計(jì)管理員和安全管理員等)����、運(yùn)維人員和系統(tǒng)用戶等各類人員。若這些參與安全的相關(guān)人員的安全意識�����、業(yè)務(wù)能力和相互間的溝通信任不能滿足要求�����,則任何一個(gè)被保護(hù)對象都難以達(dá)到真正意義的安全����。因此需對主要人員進(jìn)行身份、安全背景�、專業(yè)資格或資質(zhì)等審查,簽署安全責(zé)任協(xié)議�����,強(qiáng)化安全意識教育和培訓(xùn),嚴(yán)格進(jìn)行人員離崗的管理�,嚴(yán)控關(guān)鍵區(qū)域或關(guān)鍵系統(tǒng)的外部人員訪問等。
(2)EPC防護(hù)層�����。眾所周知���,好產(chǎn)品主要是通過優(yōu)良的設(shè)計(jì)和制造而得到��,而并非是通過校核和檢驗(yàn)而得到���。設(shè)計(jì)、采購和建造對于系統(tǒng)安全也十分重要�����。在設(shè)計(jì)過程中�,需確保所設(shè)計(jì)方案(包括設(shè)計(jì)目標(biāo)�、設(shè)計(jì)策略、設(shè)計(jì)技術(shù)規(guī)范及要求)的合理性���、充分性���、合規(guī)性���。可信必須滲透到所有部件及其子部件�,如圖2所示。在進(jìn)行可信系統(tǒng)設(shè)計(jì)時(shí)�����,應(yīng)基于TCM(Trusted Cryptography Module�����,可信密碼模塊)或TPM(Trusted Platform Module����,可信平臺模塊)建立可信根,構(gòu)建一級度量一級����、一級信任一級、將信任關(guān)系擴(kuò)大到整個(gè)系統(tǒng)的可信鏈����,如圖3所示��,從而確保系統(tǒng)可信驗(yàn)證機(jī)制滿足要求���,也可融入零信任設(shè)計(jì)機(jī)制,進(jìn)一步增強(qiáng)系統(tǒng)的防護(hù)能力���;在采購過程中����,采購技術(shù)規(guī)范書���、采購流程�����、合格供應(yīng)商選取����、所采購的安全產(chǎn)品均需符合相關(guān)要求�����,且對重要產(chǎn)品還需進(jìn)行專業(yè)測評�����、專項(xiàng)測試����,嚴(yán)格控制外包軟件開發(fā)的安全性;在建造階段��,應(yīng)嚴(yán)格進(jìn)行安全工程的過程管理和工程監(jiān)理控制����,按要求做好測試驗(yàn)收,并把好系統(tǒng)交付前的關(guān)口等����。
圖2 可信工控系統(tǒng)各部分間的可信關(guān)系
圖3 構(gòu)成可信對象的可信鏈?zhǔn)疽鈭D
(3)物理安全防護(hù)層。從整個(gè)安全防護(hù)來看�,物理訪問控制是工業(yè)控制系統(tǒng)及關(guān)鍵基礎(chǔ)設(shè)施等保護(hù)對象的安全防護(hù)基礎(chǔ)。常見的物理訪問控制措施有物理位置選擇(如滿足防震��、防風(fēng)���、防雨����、防水、防潮等要求)��、物理訪問控制(如電子門禁)���、防盜竊�����、防破壞���、防雷擊、防火�����、防靜電���、電磁防護(hù)(甚至包括防高空電磁脈沖攻擊)等措施�����。
(4)網(wǎng)絡(luò)安全防護(hù)層���、設(shè)備加固防護(hù)層、應(yīng)用及數(shù)據(jù)安全防護(hù)層����。這三層屬平常所謂的網(wǎng)絡(luò)安全防護(hù)范疇,是網(wǎng)絡(luò)安全等級保護(hù)的核心���。對于工業(yè)自動(dòng)化與控制系統(tǒng)而言���,常見的網(wǎng)絡(luò)安全防護(hù)措施有:邊界防護(hù)、網(wǎng)絡(luò)分段��,訪問控制(如多因子��、雙重控制����、基于角色等),安全分區(qū)或安全域����,入侵防范、惡意代碼和垃圾郵件防范����,保護(hù)報(bào)文完整性�����、網(wǎng)絡(luò)性能監(jiān)控�����;最小化所暴露的攻擊面����、按時(shí)軟件更新��;權(quán)限最小化�,維持軟件完整性、控制可操作性��、可觀察性及實(shí)時(shí)性能���、安全組態(tài)(如讀/寫訪問�、雙重控制等)�;保護(hù)數(shù)據(jù)的完整性、可信性和可用性�,安全審計(jì)等����。
(5)事故響應(yīng)及恢復(fù)防護(hù)層����。本層需具有以下響應(yīng)及恢復(fù)能力:①及時(shí)識別���、定位�����、標(biāo)識和遏制網(wǎng)絡(luò)攻擊���;②根除故障及隱患:識別根原因、受損系統(tǒng)���,恢復(fù)軟件完整性���,消除脆弱性;確保移除惡意代碼��、后門和根工具包�����,限制、關(guān)閉未經(jīng)授權(quán)的訪問點(diǎn)�����;③恢復(fù):數(shù)據(jù)恢復(fù)和災(zāi)難恢復(fù)���,災(zāi)難恢復(fù)包括ICS(工業(yè)自動(dòng)化及控制系統(tǒng))數(shù)據(jù)恢復(fù)重構(gòu)和過程恢復(fù)重構(gòu)等�。
(6)過程自動(dòng)防護(hù)層�����。本層用于①保護(hù)運(yùn)行監(jiān)視完整性����、過程報(bào)警完整性、邏輯完整性�����、功能/順序完整性��、過程穩(wěn)定性等;②保護(hù)控制邏輯����、控制功能、控制流程�,如保護(hù)系統(tǒng)的觸發(fā)條件、聯(lián)鎖�����、順序控制等�����;③保護(hù)過程安全功能�����,防止對控制獨(dú)立性和功能安全的不利影響����;④分立過程控制�����、保護(hù)����,將過程控制與主要保護(hù)分開設(shè)置��,將關(guān)鍵�����、基礎(chǔ)控制與一般�����、常規(guī)控制分開設(shè)置��,確保主要保護(hù)��、基礎(chǔ)控制的獨(dú)立性和分散性����;⑤實(shí)施職責(zé)分離原則�,關(guān)鍵對象或關(guān)鍵功能采用冗余、多樣性手段�,如動(dòng)力源采用電源、氣源���、液壓源等����。
(7)過程設(shè)備防護(hù)層。本層常用防護(hù)手段有:①采用獨(dú)立的保護(hù)驅(qū)動(dòng)裝置等��;②應(yīng)用分隔����、隔離、分離����、分散、冗余��、多樣性等手段���;③應(yīng)用本質(zhì)安全設(shè)計(jì)方法,強(qiáng)化過程(如分布式發(fā)電����、微電網(wǎng)、微反應(yīng)堆����、減少危險(xiǎn)品庫存等)�,衰減或抑制風(fēng)險(xiǎn)(如通過降低運(yùn)行溫度��、快速散熱����、降低熱失控幾率,提前預(yù)警不安全工況���、探測可燃?xì)怏w�����、及時(shí)火災(zāi)報(bào)警及滅火�、防爆設(shè)計(jì)等來抑制鋰離子電池儲(chǔ)能系統(tǒng)運(yùn)行風(fēng)險(xiǎn)等)��;④多樣化動(dòng)力源��、部署由網(wǎng)絡(luò)安全等危急工況觸發(fā)的ESD(緊急跳閘或緊急停車系統(tǒng))等�����。
在應(yīng)用該模型時(shí)�,需注意風(fēng)險(xiǎn)和安全是兩個(gè)交織在一起的概念����。一方面為了實(shí)現(xiàn)所期望的安全�,首先需識別、評估所面臨的風(fēng)險(xiǎn)�,通過識別和分析潛在的威脅和脆弱性,提出更有效的安全策略��,所實(shí)施的安全措施對所識別的風(fēng)險(xiǎn)應(yīng)具有針對性��、有效性�����;另一方面也應(yīng)謹(jǐn)記絕對的安全常常是難以達(dá)到的��,過度嚴(yán)格的安全措施或手段不僅成本高昂而且也常常不現(xiàn)實(shí)或帶來副作用��。因此�����,應(yīng)基于法律法規(guī)����、監(jiān)管機(jī)構(gòu)的要求,結(jié)合基于過程安全分析方法[如過程安全HAZOP(危險(xiǎn)與可操作性分析)�、LOPA(保護(hù)層分析)、BIA(商業(yè)影響分析)]的分析結(jié)果與基于物理攻擊場景和網(wǎng)絡(luò)攻擊場景的風(fēng)險(xiǎn)評估��,識別出潛在后果及損失��,來確立合適的風(fēng)險(xiǎn)準(zhǔn)則�����,以使所采用的安全防護(hù)措施或手段(預(yù)防�、探測、減輕)與組織可接受的風(fēng)險(xiǎn)等級相平衡�����、相匹配�����。
2 設(shè)計(jì)安全及默認(rèn)安全
// 2.1 概念
長期以來����,IT(信息技術(shù))界一直循著供應(yīng)商供應(yīng)產(chǎn)品—用戶部署產(chǎn)品后發(fā)現(xiàn)脆弱性(漏洞)—用戶自行打補(bǔ)丁修復(fù)漏洞的惡性循環(huán)。為了打破該惡性循環(huán)����,美國CISA(網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)����、NSA(國家安全局)����、FBI(聯(lián)邦調(diào)查局)與澳大利亞、加拿大�、英國、德國����、荷蘭、新西蘭等國家網(wǎng)絡(luò)安全相關(guān)管理部門��,于2023年4月聯(lián)合提出了在產(chǎn)品設(shè)計(jì)和開發(fā)過程中���,產(chǎn)品供應(yīng)商宜遵循“設(shè)計(jì)安全”(security-by-design)和“默認(rèn)安全”(securityby-default)的原則和方法�����,來確保產(chǎn)品在整個(gè)生命周期的高安全性及用戶維護(hù)工作量的最小化����,以防止將易受攻擊的產(chǎn)品投入市場����。
所謂“設(shè)計(jì)安全”是指供應(yīng)商應(yīng)將用戶的產(chǎn)品網(wǎng)絡(luò)安全作為其核心業(yè)務(wù)目標(biāo)要求,而不僅僅是只考慮實(shí)現(xiàn)產(chǎn)品的單純技術(shù)功能����。在產(chǎn)品全生命周期的設(shè)計(jì)開發(fā)階段,供應(yīng)商就應(yīng)實(shí)施secure-by-design(通過設(shè)計(jì)確保網(wǎng)絡(luò)安全)設(shè)計(jì)安全原則�,在產(chǎn)品被投入市場廣泛使用或消費(fèi)之前,就應(yīng)大幅減少產(chǎn)品自身網(wǎng)絡(luò)安全缺陷的數(shù)量���,并采取合理的防護(hù)措施來防止惡意網(wǎng)絡(luò)行為者成功獲得對設(shè)備�、數(shù)據(jù)和連接的基礎(chǔ)設(shè)施的訪問權(quán)限�。例如,軟件開發(fā)商在軟件設(shè)計(jì)開發(fā)階段�,先進(jìn)行網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估,以識別和枚舉對關(guān)鍵系統(tǒng)存在的普遍網(wǎng)絡(luò)威脅和漏洞�����,在設(shè)計(jì)方案中就納入應(yīng)對不斷演變的網(wǎng)絡(luò)威脅形勢的相應(yīng)保護(hù)措施�����。
所謂“默認(rèn)安全”是指產(chǎn)品無需額外收費(fèi),開箱即可安全使用�,一經(jīng)投運(yùn)即具備能夠抵御盛行的脆弱性和威脅利用技術(shù)。也就是說����,安全配置是默認(rèn)基線,如所有車輛標(biāo)配安全帶一樣��,所設(shè)計(jì)的“默認(rèn)安全”產(chǎn)品可抵御最普遍的威脅和漏洞�����,用戶無需采取其它額外措施�����,“默認(rèn)安全”產(chǎn)品投運(yùn)后即自動(dòng)啟用����,保護(hù)用戶免受惡意網(wǎng)絡(luò)行為者攻擊所需的最重要的安全控制措施,并具備使用和進(jìn)一步配置增強(qiáng)安全控制手段的能力����。用戶需意識到,當(dāng)應(yīng)用中偏離安全默認(rèn)時(shí),除非施加額外的補(bǔ)償控制措施�,否則會(huì)增加產(chǎn)品脆弱性。通過應(yīng)用設(shè)計(jì)安全和默認(rèn)安全原則�,可一定程度上實(shí)現(xiàn)產(chǎn)品的網(wǎng)絡(luò)安全�����,提高可靠性和韌性��。
// 2.2 應(yīng)用
產(chǎn)品供應(yīng)商應(yīng)遵循以下3個(gè)核心原則����,在產(chǎn)品研發(fā)、設(shè)計(jì)���、制造階段����,在產(chǎn)品配置組態(tài)���、發(fā)貨前�����,將產(chǎn)品網(wǎng)絡(luò)安全特性融入產(chǎn)品設(shè)計(jì)過程中��。
(1)網(wǎng)絡(luò)安全責(zé)任不應(yīng)只落在用戶肩膀上�����。產(chǎn)品供應(yīng)商也應(yīng)承擔(dān)所供應(yīng)產(chǎn)品的網(wǎng)絡(luò)安全責(zé)任�����,并相應(yīng)提升其產(chǎn)品的網(wǎng)絡(luò)安全防護(hù)水平����。
(2)積極提高透明度和問責(zé)制。產(chǎn)品供應(yīng)商需承諾為用戶提供滿足通常網(wǎng)絡(luò)安全要求的產(chǎn)品����,默認(rèn)情況下使用強(qiáng)大的身份鑒別機(jī)制,以能為用戶提供安全可靠的產(chǎn)品而自豪��,并分享所掌握的網(wǎng)絡(luò)安全信息(如脆弱性咨詢���、通用漏洞披露等)���。
(3)建立實(shí)現(xiàn)“設(shè)計(jì)安全”和“默認(rèn)安全”目標(biāo)的組織機(jī)構(gòu)和領(lǐng)導(dǎo)力。不僅掌握專業(yè)技術(shù)知識的技術(shù)人員對產(chǎn)品安全至關(guān)重要,而且高級管理人員是組織實(shí)施變革的主要決策者����,其作用力也不容小覷。
以安全軟件開發(fā)為例���,在設(shè)計(jì)過程中需始終貫徹“設(shè)計(jì)安全”原則����,參考SSDF(安全軟件開發(fā)架構(gòu))要求�����,至少遵循以下最佳實(shí)踐�����,以確保軟件按照程序員的意圖運(yùn)行����,而不是按照攻擊者的欺騙方式運(yùn)行:
· 內(nèi)存安全編程語言����。內(nèi)存處于網(wǎng)絡(luò)倒金字塔的最底層,如圖4所示,是網(wǎng)絡(luò)安全的基礎(chǔ)����,應(yīng)盡可能優(yōu)先使用內(nèi)存安全編程語言。
圖4 網(wǎng)絡(luò)金字塔
· 安全硬件基礎(chǔ)����。采用具備細(xì)顆粒度內(nèi)存保護(hù)功能的體系架構(gòu),如CHERI(能力硬件增強(qiáng)RISC指令)�。
· 安全軟件組件。采購已驗(yàn)證的且具有良好安全性能的軟件組件(如軟件庫�、模塊、中間件��、框架等)并保持其處于最佳狀態(tài)�。
· Web模板框架。采用具備用戶輸入自動(dòng)轉(zhuǎn)義功能的Web模板框架�����,以避免如跨站點(diǎn)腳本等Web攻擊�。
· 參數(shù)化查詢。使用參數(shù)化查詢��,而不是在查詢中包含用戶輸入����,以避免SQL注入攻擊��。
· 靜態(tài)和動(dòng)態(tài)應(yīng)用程序安全測試(SAST/DAST)�。使用SAST/DAST工具來分析產(chǎn)品源代碼和應(yīng)用程序行為���,以檢測出錯(cuò)誤���。
· 代碼評審。通過開發(fā)人員的同行評審����,以確保代碼的高質(zhì)量���。
· 軟件材料清單(SBOM)��。創(chuàng)建SBOM����,以納入產(chǎn)品的軟件集����。
· 漏洞披露計(jì)劃�。建立漏洞披露計(jì)劃�,采取必要的措施識別安全漏洞和隱患。
· CVE完整性����。確保發(fā)布的CVE(通用漏洞披露)包括根原因或通用弱點(diǎn)枚舉(CWE),以實(shí)現(xiàn)軟件安全根原因的行業(yè)分析�。
· 深度防御。設(shè)計(jì)深度防御基礎(chǔ)架構(gòu)�,以使單個(gè)安全控制措施的損壞不會(huì)導(dǎo)致整個(gè)系統(tǒng)遭受破壞。
· 網(wǎng)絡(luò)性能目標(biāo)�。設(shè)計(jì)符合基本安全實(shí)踐的產(chǎn)品。
此外����,在貫徹“默認(rèn)安全”原則時(shí),可執(zhí)行根除默認(rèn)密碼����、特權(quán)用戶強(qiáng)制采用多因子鑒別、單點(diǎn)登錄(SSO)����、安全日志記錄(包括審計(jì)日志)、軟件授權(quán)配置文件����、向前安全優(yōu)于向后兼容��、考慮安全設(shè)置對用戶體驗(yàn)的影響等良好實(shí)踐�����。
3 網(wǎng)絡(luò)安全發(fā)展分析
隨著數(shù)字化轉(zhuǎn)型的不斷推進(jìn)�,數(shù)字技術(shù)已深入到工業(yè)過程的各個(gè)點(diǎn)線面�����。邊緣計(jì)算��、去中心化的安全管理���、AI(人工智能)、量子計(jì)算����、分布式賬簿等不斷涌現(xiàn)的數(shù)字技術(shù),對工控網(wǎng)絡(luò)安全的發(fā)展產(chǎn)生了深遠(yuǎn)的影響����。
// 3.1 邊緣計(jì)算
隨著微處理器����、存儲(chǔ)器密度���、分布式計(jì)算��、通信等技術(shù)/經(jīng)濟(jì)層面的快速進(jìn)步����,加之智慧城市����、智能工廠等新基建建設(shè)進(jìn)程的快速推進(jìn),邊緣計(jì)算的應(yīng)用逐漸增多���。嵌入工業(yè)微服務(wù)的邊緣設(shè)備可進(jìn)行高效的自主決策����,現(xiàn)場測量感知�、采集的信息不需要傳輸?shù)郊泄芾韺樱纯赏ㄟ^邊緣計(jì)算智能功能做出快速處理和響應(yīng)�。隨著邊緣計(jì)算能力的增強(qiáng),可在現(xiàn)場設(shè)備中直接集成增強(qiáng)的網(wǎng)絡(luò)安全功能�����,進(jìn)行更加有效實(shí)時(shí)的工控網(wǎng)絡(luò)安全管理。
// 3.2 去中心化的網(wǎng)絡(luò)安全管理
隨著數(shù)字設(shè)備�、智能設(shè)備的泛在化,常規(guī)集中網(wǎng)絡(luò)安全管理系統(tǒng)的實(shí)施難度����、運(yùn)營效力和實(shí)時(shí)效率堪憂。相反��,充分利用SDN(軟件定義網(wǎng)絡(luò))���、SDP(軟件定義平臺)���、端點(diǎn)設(shè)備私鑰、分鑰等技術(shù)�,將網(wǎng)絡(luò)安全單獨(dú)嵌入到各個(gè)現(xiàn)場設(shè)備中,并為設(shè)備建立做出安全決策所需的安全策略和規(guī)則�����,由智能設(shè)備自主做出決策和應(yīng)對����,從而提升通信的安全性、端點(diǎn)的完整性和安全性�,已經(jīng)成為一種更具可擴(kuò)展性的新方法。
// 3.3 工業(yè)AI
AI在多數(shù)工程和技術(shù)相關(guān)領(lǐng)域已無處不在��,在網(wǎng)絡(luò)安全領(lǐng)域尤其如此���。AI一方面已被防御者用于快速高效分析海量數(shù)據(jù)���,實(shí)時(shí)探測安全威脅和惡意活動(dòng),甚至是預(yù)測將發(fā)生的威脅和惡意活動(dòng)�,并實(shí)時(shí)進(jìn)行自主響應(yīng);另一方面也被攻擊者用以進(jìn)行社會(huì)工程攻擊和制造新型惡意軟件等網(wǎng)絡(luò)犯罪行為�����?��?蛇\(yùn)用AI技術(shù)來增強(qiáng)工控系統(tǒng)的網(wǎng)絡(luò)安全防御能力:
(1)快速高效地分析存儲(chǔ)在數(shù)據(jù)湖���、數(shù)據(jù)倉庫(包括實(shí)時(shí)或歷史數(shù)據(jù)庫)中的感知、測量�、執(zhí)行、控制、通信等海量數(shù)據(jù)信號�,以及結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù);
(2)更高效地管理工控系統(tǒng)的脆弱性���;
(3)實(shí)時(shí)探測或預(yù)測安全威脅和惡意活動(dòng)�;
(4)減少與安全相關(guān)的人為錯(cuò)誤����;
(5)根據(jù)安全策略或規(guī)則,快速進(jìn)行自主響應(yīng)��。
// 3.4 量子計(jì)算
敏感數(shù)據(jù)(如遠(yuǎn)程控制��、銀行轉(zhuǎn)賬�、企業(yè)間商業(yè)秘密等)目前使用公鑰加密技術(shù)進(jìn)行數(shù)據(jù)保護(hù),這些加密技術(shù)是基于常規(guī)計(jì)算機(jī)無法輕易解決的數(shù)學(xué)問題�。量子計(jì)算機(jī)現(xiàn)仍處于初級階段,但量子計(jì)算潛在的強(qiáng)大算力����,會(huì)使現(xiàn)行的公鑰密碼學(xué)“注定失效”,從而使組織無法確保其所依賴的運(yùn)行��、交易及其它敏感數(shù)據(jù)的機(jī)密性�、完整性和可用性���。
NIST(美國國家標(biāo)準(zhǔn)與技術(shù)研究院)從2016年起開始研發(fā)能抗量子計(jì)算的密碼算法�����,當(dāng)前已提出了CRYSTALS-Kyber(擬用于通用的加密��,如創(chuàng)建安全網(wǎng)站)�����、CRYSTALS-Dilithium(擬用于數(shù)字簽名)����、SPHINCS+(擬用于數(shù)字簽名)和FALCON(擬用于數(shù)字簽名)等4種后量子時(shí)代的密碼算法標(biāo)準(zhǔn)草案,并正在全球密碼界征集對標(biāo)準(zhǔn)草案的反饋���。
// 3.5 分布式賬簿
DLT(分布式賬簿技術(shù))或區(qū)塊鏈技術(shù)是分布式數(shù)據(jù)存儲(chǔ)����、點(diǎn)對點(diǎn)傳輸����、共識機(jī)制、加密算法等計(jì)算機(jī)技術(shù)的新型集成應(yīng)用模式或范式。工控系統(tǒng)�����,特別是IIoT(工業(yè)物聯(lián)網(wǎng))系統(tǒng)����,可用DLT生成不可篡改的網(wǎng)絡(luò)安全日志、審計(jì)報(bào)告���,以及與IIoT組件的交互日志或網(wǎng)絡(luò)安全供應(yīng)鏈協(xié)議記錄等��。使用不同的賬簿數(shù)據(jù)庫技術(shù)��、不同的共識算法和不同的合約語言來定義交易的DLT實(shí)現(xiàn)會(huì)逐漸增多�����,這使得DLT技術(shù)能夠應(yīng)用于涉及多個(gè)參與方的安全用例�,如分布式網(wǎng)絡(luò)安全通信����、分布式安全審計(jì)、分布式存儲(chǔ)數(shù)據(jù)等場合�。
4 結(jié)語
數(shù)字經(jīng)濟(jì)無處不在���,新興數(shù)字技術(shù)層出不窮,隨之而來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也與日俱增��。傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)理念��、機(jī)制等已不能很好地適應(yīng)新形勢��、新環(huán)境��、新法規(guī)的要求���。為此,應(yīng)緊密跟蹤對網(wǎng)絡(luò)安全有著潛在較大影響的新技術(shù)��,并加大對新興網(wǎng)絡(luò)安全理念及技術(shù)的研究�、試驗(yàn)示范和推廣應(yīng)用。
參考文獻(xiàn)略��。
作者簡介:
張晉賓(1967-)����,男,山西陽城人����,正高級工程師����,工學(xué)碩士�����,現(xiàn)就職于電力規(guī)劃設(shè)計(jì)總院����,主要從事自動(dòng)化、信息化工程設(shè)計(jì)�、智庫及管理方面的研究。
來源 | 《自動(dòng)化博覽》2024年第一期暨《工業(yè)控制系統(tǒng)信息安全?����?ǖ谑嫞?/span>
在線咨詢
在線咨詢
0371-63319761