工业设备生命周期长,最初设计这些控制系统时,网络安全问题还不突出,没有引起设备制造商的足够重视。这有意无意的造成了漏洞客观存在。
一方面企业在安全意识 、安全教育培训方面要有足够的重视,制定相应的措施。同时,对于设备日常操作、维修维护等环节都要有相应的安全措施,把安全作为一个动态的日常的工作,而并非是上个系统就可以一劳永逸的事情。
我们做的工作,并非是要替代企业原有的信息系统,只是将原有系统里面的数据进行规范,让企业所有的数据充分关联和结构化,便于开展计算和分析,从而让企业所有的数据都能产生价值,支持企业的业务和决策。
《中国制造2025》发布以来,制造业企业纷纷加入数字化、智能化转型升级的队伍中,期待以此作为企业在数字经济时代提升竞争力的契机。但是,企业在新一轮的智能制造建设过程中,原来独立运行的仪器设备要联网、原来在企业内部的信息要云化,如何保障智能制造建设中的信息安全就成为企业在转型过程中必须意识到并给于妥善解决的问题。
那么,当下中国制造企业的数字化状况如何?信息安全方面有哪些隐患?德国、美国等制造强国对于这些问题态度如何,我国有哪些应对措施?中国航天科工二院七〇六所智能制造事业部赵甫就这些问题接受了ENI经济和信息化网的采访,并就其服务于军工和其他制造企业的经验分享了自己的观点。
安全隐患,无论你知不知道,它就在那里
“事实上,在智能制造快速推进过程中,很多的信息安全方面的隐患,大部分企业还没有完全意识到”。不久前,七〇六所组织了一场智能制造信息安全的培训交流活动。会上,赵甫分享了进口机床、仪器等设备当下存在的安全隐患,以及在联网状态下有可能出现的信息泄漏等问题时,在座的企业负责人大多感到惊讶。
并非是管理者的安全意识不强,只是隐患并未酿成安全事件,因此这些问题也往往会被误判和忽略。目前,我国的数控机床、科研仪器等设备,还有相当比例要依赖于进口。在进口的过程中,国外厂家会有一些明确的限制条款,尤其是某些高端的软件功能模块禁止出口。这使得我们进口的设备在功能、性能上受到一定限制。与此同时,很多进口设备在信息安全方面的脆弱点是其自身固有的。工业设备生命周期长,最初设计这些控制系统时,网络安全问题还不突出,没有引起设备制造商的足够重视。这有意无意的造成了漏洞客观存在。
赵甫谈到,进入联网时代,这些漏洞引发的安全隐患会越来越明显。前段时间出现的勒索病毒,就是一个明显的例证,勒索病毒在很多联网的设备中显现,说明了问题的严重性。同时,企业如何安全入云,企业数据如何受到保护,这些都是进入智能制造的时代需要考虑的问题。
这些问题在工业4.0的发源地德国也倍受重视。赵甫谈到,集团公司组织到德国考察学习时,大家发现包括弗朗霍夫研究院在内的多个机构,不约而同的把制造业的信息安全问题列入重点研究内容。目前他们研究的成果,正在抓紧制定标准。德国设计了设备联网的代理机制,称为“管理外壳”。这个管理外壳被定义了很多功能,包括可以替代设备描述自身,例如应该是什么样的设备,有什么样的能力、参数。同时这个设备具有的能力和数据,可以在管理外壳这个部分做一定的过滤或定制。通过管理外壳,避免了设备直接呈现在网络中存在的风险。
同时,美国也推出了一套工业互联网安全标准。通过对终端、网络、数据进行层层划分,通过对终端的特别保护和对网络域的边界防护思路保障信息安全。
结合德美两国的实践经验,七〇六所也形成了一套自己的安全防护体系思路和方案。即建立一套安全防护体系,把重点设备防护、网络边界防护、主机防护、威胁监测有机的结合起来,组成一个体系,应对安全隐患。例如,针对设备重点防护的问题,赵甫介绍,他们研发了专门加强工业终端设备的网络、串口、USB等接口防护的安全设备,该设备可接管工业设备的常用外部接口,对工业设备进行安全加固。比如,经过对USB接口的接管,对于车间内的移动存储介质,就可以由该设备进行监管和审计,技术上就可以控制一个车间内仅有若干合法的USB介质使用。合法列表外的USB在使用时,就会视为不合法而引发报警。除此之外,主机、网络、边界各有措施,共同保障智能车间安全。
即使有了技术防范,赵甫认为安全仍需要技术和管理并重。一方面企业在安全意识 、安全教育培训方面要有足够的重视,制定相应的措施。同时,对于设备日常操作、维修维护等环节都要有相应的安全措施,把安全作为一个动态的日常的工作,而并非是上个系统就可以一劳永逸的事情。
