運(yùn)營技術(shù)（OT）和工業(yè)控制系統(tǒng)（ICS）的網(wǎng)絡(luò)安全性大大落后于企業(yè)IT的網(wǎng)絡(luò)安全性，這樣說毫不為過。隨著工業(yè)物聯(lián)網(wǎng)（IIoT）的發(fā)展，這一差距必須縮小，不僅要對制造過程的安全進(jìn)行防護(hù)，還要保護(hù)能源、健康和運(yùn)輸?shù)汝P(guān)鍵基礎(chǔ)設(shè)施。

?

隨著連接數(shù)的增加，越來越多的設(shè)備接入到網(wǎng)絡(luò)，以實(shí)現(xiàn)遠(yuǎn)程監(jiān)控、軟件更新、更好的數(shù)據(jù)分析以及系統(tǒng)自動(dòng)化，攻擊面隨之大大增加，保護(hù)網(wǎng)絡(luò)免受攻擊成為企業(yè)當(dāng)務(wù)之急。這些攻擊不只是針對關(guān)鍵的基礎(chǔ)架構(gòu)（例如2013/14俄羅斯黑客組織“蜻蜓”攻擊），而是可能發(fā)生在所有系統(tǒng)中（例如由WannaCry演變的惡意軟件導(dǎo)致TSMC在2018年停工）。

據(jù)Verizon發(fā)布的最新數(shù)據(jù)泄露調(diào)查報(bào)告顯示，僅就制造業(yè)而言，過去一年中就有200多次間諜型安全攻擊，以及700多次經(jīng)濟(jì)型攻擊。

行業(yè)標(biāo)準(zhǔn)的制定、認(rèn)可和認(rèn)證對于保護(hù)此類系統(tǒng)發(fā)揮著重要作用。

工業(yè)物聯(lián)網(wǎng)的演進(jìn)

OT的網(wǎng)絡(luò)安全性之所以落后，很大程度是因?yàn)樵S多傳統(tǒng)的系統(tǒng)都是為非聯(lián)網(wǎng)世界而創(chuàng)建的。盡管攻擊事件早在80年代就時(shí)有發(fā)生（例如1982年報(bào)道的CIA對蘇聯(lián)天然氣基礎(chǔ)設(shè)施的攻擊），但那時(shí)的攻擊機(jī)會(huì)要少一些，并且黑客入侵更困難。

實(shí)際上，直到世紀(jì)之交以太網(wǎng)出現(xiàn)以后，OT系統(tǒng)才廣泛連接起來。也就是說，目前在用的許多組件并未針對TCP/IP連接應(yīng)用而設(shè)計(jì)，也未針對工業(yè)電子設(shè)備的某些通信協(xié)議（例如Modbus）進(jìn)行設(shè)計(jì)。

此外，許多擁有這類系統(tǒng)的組織希望從孤立的OT模型轉(zhuǎn)變?yōu)榛ヂ?lián)的IT甚至IIoT模型，從而更有效地使用數(shù)據(jù)。如果使用傳統(tǒng)的舊設(shè)備，將數(shù)據(jù)從工廠的一端傳到另一端時(shí)，必須打開防火墻端口和針孔，這樣會(huì)增加被攻擊的可能。

從本質(zhì)上講，OT系統(tǒng)是分層的，安全標(biāo)準(zhǔn)通常符合Purdue模型。在Purdue模型中，網(wǎng)絡(luò)分為不同的功能層：從第0層（傳感器和執(zhí)行器），往上通過OT環(huán)境，到最高的第5層，即公司的企業(yè)IT網(wǎng)絡(luò)。數(shù)據(jù)流經(jīng)這些層，ICS將根據(jù)工廠數(shù)據(jù)和業(yè)務(wù)的具體情況來調(diào)整性能或設(shè)定交貨時(shí)間表。

圖1：Purdue模型。

Purdue模型也適合IIoT設(shè)備?？梢哉f每個(gè)物聯(lián)網(wǎng)設(shè)備都是一個(gè)現(xiàn)成的Purdue模型，包含一個(gè)傳感器和一個(gè)處理器，并且連接到企業(yè)網(wǎng)絡(luò)。但是，對于遠(yuǎn)程監(jiān)控設(shè)備（如智慧城市中使用的設(shè)備），系統(tǒng)不只是連接到企業(yè)網(wǎng)絡(luò)，還可以直接連接到云（第6層），因而更易受到來自互聯(lián)網(wǎng)的攻擊。

安全標(biāo)準(zhǔn)和法規(guī)

互聯(lián)網(wǎng)對我們的經(jīng)濟(jì)和社會(huì)生活越來越重要，整個(gè)價(jià)值鏈中不斷出現(xiàn)創(chuàng)新，因此需要制定標(biāo)準(zhǔn)和法規(guī)來保護(hù)所有參與者免受惡意攻擊。

在預(yù)定義M2M模型中，系統(tǒng)是由一家（或很少幾家）供應(yīng)商提供的已知設(shè)備構(gòu)成的，每個(gè)設(shè)備都可以信任。這種舊模型意味著專有協(xié)議只能專門針對某一家供應(yīng)商來實(shí)施，例如，ABB或Honeywell，它們各不相同，甚至互相矛盾。現(xiàn)在我們身處的世界已經(jīng)發(fā)生了變化。

變化是因?yàn)槭褂昧薎IoT系統(tǒng)。設(shè)備來自多家供應(yīng)商，傳感器也遠(yuǎn)程連接到LoRa或5G等廣域網(wǎng)（WAN），因此需要為整個(gè)生態(tài)系統(tǒng)制定標(biāo)準(zhǔn)。

然而，可選擇的標(biāo)準(zhǔn)太多是個(gè)大問題，面對如此眾多的標(biāo)準(zhǔn)制定機(jī)構(gòu)，難怪TüV萊茵《2019年網(wǎng)絡(luò)安全趨勢》報(bào)告發(fā)出警告：“工業(yè)物聯(lián)網(wǎng)面臨標(biāo)準(zhǔn)的巨大挑戰(zhàn)?！?/p>

值得一提的標(biāo)準(zhǔn)包括美國國家標(biāo)準(zhǔn)技術(shù)研究院（NIST）的通用標(biāo)準(zhǔn)SP 800-82和ISA/IEC 62443，以及由政府機(jī)構(gòu)制定的一些特定行業(yè)標(biāo)準(zhǔn)和指南。還有由ABB、通用電氣和西門子等大廠提供的特定供應(yīng)商標(biāo)準(zhǔn)。

還要注意的是，沒有哪一種標(biāo)準(zhǔn)從傳感器到云全都適用。另外，標(biāo)準(zhǔn)之間通常存在一些沖突和矛盾，導(dǎo)致不兼容和/或不合規(guī)。但這種情形在OT/IIoT領(lǐng)域變得越來越少見，我們通常會(huì)看到標(biāo)準(zhǔn)的融合。現(xiàn)在，甚至連供應(yīng)商的協(xié)議都引用了其他標(biāo)準(zhǔn)，例如SP 800-82，特別是ISA/IEC 62443。

SP 800-82

SP 800-82由NIST于15年前發(fā)布，是ICS和監(jiān)督控制與數(shù)據(jù)采集（SCADA）系統(tǒng)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。

它專門解決ICS安全威脅和漏洞，涉及風(fēng)險(xiǎn)管理、推薦方法、體系架構(gòu)和工具。每次更新后，例如為重要性分別是低、中、高的ICS設(shè)備添加量身定制的安全基準(zhǔn)，標(biāo)準(zhǔn)會(huì)變得更全面。

NIST也在著手解決中等規(guī)模的公司對ICS安全性的擔(dān)憂，開始增加用于機(jī)器人、智能運(yùn)輸和化學(xué)處理的測試設(shè)備。

ISA/IEC 62443

ISA/IEC 62443可能是最重要的ICS網(wǎng)絡(luò)安全標(biāo)準(zhǔn)，不僅適用于供應(yīng)商，也適用于ICS用戶。

與SP 800-82標(biāo)準(zhǔn)相比，這些規(guī)范更專注于工業(yè)控制應(yīng)用。它們提供了一個(gè)靈活的框架，防止當(dāng)前和未來的工業(yè)自動(dòng)化和控制系統(tǒng)出現(xiàn)安全漏洞。

與SP 800-82一樣，這些規(guī)范旨在防止對公眾和員工造成危害、喪失公信力、違反法規(guī)要求、IP盜竊、經(jīng)濟(jì)損失和國家安全攻擊，已成為許多特定行業(yè)標(biāo)準(zhǔn)的基礎(chǔ)。

與Purdue模型一樣，它們也是分層的，共分為四層：常規(guī)、策略和過程、系統(tǒng)、組件。這些標(biāo)準(zhǔn)目前尚未全部發(fā)布，特別值得一提的有四個(gè)：62443-2-4（系統(tǒng)集成策略）、62443-4-1（安全開發(fā)生命周期要求）、62443-4-2（組件安全規(guī)范）和62443-3-3（安全性要求和等級）。

這些標(biāo)準(zhǔn)十分詳細(xì)，涵蓋整個(gè)工業(yè)控制領(lǐng)域，并且描述了每一層的安全要求，包括保護(hù)正常運(yùn)行、知識產(chǎn)權(quán)和安全性，同時(shí)對IIoT生態(tài)系統(tǒng)中的每個(gè)參與者都有明確的要求?，F(xiàn)在，各供應(yīng)商指南和特定行業(yè)標(biāo)準(zhǔn)（能源產(chǎn)生）通?；?2443，并翻譯了相關(guān)部分以適合該行業(yè)的語言和協(xié)議。

聯(lián)合國歐洲經(jīng)濟(jì)委員會(huì)的通用網(wǎng)絡(luò)安全監(jiān)管框架集成了ISA/IEC 62443，美國的NIST SP 800-82也與它保持一致。

值得一提的是，該標(biāo)準(zhǔn)因收費(fèi)昂貴而受到批評，這可能會(huì)阻止或減緩其應(yīng)用速度。

特定行業(yè)標(biāo)準(zhǔn)

如前所述，許多特定行業(yè)標(biāo)準(zhǔn)都是用來保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的，例如電網(wǎng)。美國能源部與美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）合作開發(fā)了基于ISA/IEC 62443的標(biāo)準(zhǔn)。為了最有效地使用這些標(biāo)準(zhǔn)，該組織以圖表形式提出了建議。

這些標(biāo)準(zhǔn)也符合英國國家網(wǎng)絡(luò)安全中心開發(fā)的能源基礎(chǔ)設(shè)施指南。

標(biāo)準(zhǔn)內(nèi)容經(jīng)常重復(fù)，而且還需要進(jìn)一步的解釋和實(shí)現(xiàn)。如何確保每個(gè)人都以同樣的方式解釋這些標(biāo)準(zhǔn)，以及如何衡量合規(guī)程度？當(dāng)每個(gè)傳感器和每個(gè)控制系統(tǒng)不同時(shí)，可以使用認(rèn)證系統(tǒng)。

現(xiàn)在政府規(guī)定關(guān)鍵基礎(chǔ)架構(gòu)必須滿足一定級別的安全性，安全攻擊通常集中在薄弱點(diǎn)。購買IIoT設(shè)備時(shí)，務(wù)必詢問供應(yīng)商是否對設(shè)備進(jìn)行了充分的滲透測試，以及能否像其他供應(yīng)商一樣滿足所有要求。

以能源為例，如何確保接入網(wǎng)絡(luò)的所有智能電表可以信任？我們必須建立信任，然后通過這些通用標(biāo)準(zhǔn)來實(shí)現(xiàn)信任。

其中一部分正在發(fā)生變化，美國國防部2020年宣布了“網(wǎng)絡(luò)安全成熟度模型認(rèn)證”計(jì)劃。

網(wǎng)絡(luò)安全曾是采購環(huán)節(jié)的第四大要素（其它三大要素是成本、進(jìn)程和績效），現(xiàn)在已逐漸成為采購的基礎(chǔ)。此外，現(xiàn)在還要求第三方評估。

但是成本與安全性是互相沖突的，若要對這些系統(tǒng)進(jìn)行全面認(rèn)證，成本極高。再加上缺乏認(rèn)證機(jī)構(gòu)，就很容易理解為什么許多行業(yè)現(xiàn)在仍在使用自我認(rèn)證。

由于不存在一種普適的方法，所以各組織仍然必須根據(jù)具體情況來制定標(biāo)準(zhǔn)。很重要的一點(diǎn)是這些組織需要擁有足夠的專家，從運(yùn)營和戰(zhàn)略上來確定自身情況，然后進(jìn)行最好的實(shí)踐。但是目前專業(yè)人才嚴(yán)重短缺。

零信任，向IIoT、云和邊緣計(jì)算發(fā)展

基礎(chǔ)架構(gòu)的管理方式已發(fā)生了巨大變化?，F(xiàn)在，傳感器遠(yuǎn)程安裝并通過WAN返回信息，在這種情況下，隔離其中一些功能（包括控制和分析功能）變得更加困難。

在Covid-19疫情下，需要為在家上班的人們提供遠(yuǎn)程接入監(jiān)控系統(tǒng)，增強(qiáng)安全性的要求變得更加迫切。

因此，需要在ISA/IEC 62443和NIST SP 800-82之外制定新的標(biāo)準(zhǔn)，使其更好地應(yīng)用于IIoT以及在工業(yè)環(huán)境中引入云和邊緣計(jì)算的情況。

從歷史來看，OT安全源于絕對信任，而這又建立在假定網(wǎng)絡(luò)可以信任的基礎(chǔ)上。系統(tǒng)不再由某一個(gè)供應(yīng)商提供。不同供應(yīng)商提供的IIoT設(shè)備數(shù)量越來越多，依靠絕對信任已經(jīng)不夠了。我們需要“零信任”網(wǎng)絡(luò)，在這種網(wǎng)絡(luò)中，設(shè)備關(guān)系和安全狀態(tài)可以信任，設(shè)備抵抗不可信環(huán)境的能力更強(qiáng)。實(shí)際上，這是聯(lián)網(wǎng)安全基金會(huì)智能建筑工作組的重心。

IT正朝著這個(gè)方向發(fā)展，IIoT世界也應(yīng)如此。確實(shí)，供應(yīng)商和標(biāo)準(zhǔn)組織一直觀注著設(shè)備的自動(dòng)部署，例如，英特爾已向FIDO聯(lián)盟提交了“安全設(shè)備啟用”方案。

在現(xiàn)實(shí)世界中（如智慧城市部署），這意味著未來的傳感器可以即插即用，設(shè)備知道在與基礎(chǔ)設(shè)施的其他部分建立信任關(guān)系時(shí)要跟誰聯(lián)系。

邊緣計(jì)算和AI的部署將加速其發(fā)展，傳感器、執(zhí)行器和控制系統(tǒng)將變得更加智能：在收集數(shù)據(jù)時(shí)，他們還可以檢查數(shù)據(jù)的有效性。

安全可靠的芯片、軟件和基于云的管理系統(tǒng)，它們之間的通信也必須安全和可信，才能得到強(qiáng)健的基礎(chǔ)設(shè)施。但這也意味著必須建立標(biāo)準(zhǔn)和認(rèn)證。

隨著連接性的不斷增加，安全漏洞越來越多，防火墻并不是有效的解決方案。防火墻會(huì)導(dǎo)致人們產(chǎn)生錯(cuò)誤的安全感，實(shí)際上并不能真正保護(hù)關(guān)鍵的系統(tǒng)。在我們身處的世界，所有人都可以發(fā)揮作用，確保連接安全。人們希望IIoT系統(tǒng)更加智能，謹(jǐn)記：“如果不安全，那就不智能。”
? ? ? ?責(zé)任編輯:pj