专家独家解读:工业控制信息安全现状及解决方案



2019年1月18日 | 产品安全

      

早期的工控系统和企业管理系统是封闭、隔离的。随着信息化与工业化交互融合,以及物联网技术的迅速发展,工控系统的环境变得更加开放、多变,其脆弱性随之暴露,传统工控系统的潜在安全性正遭受严重的挑战,潜在威胁极大。为此,德国莱茵TÜV工业服务总经理赵斌在工业控制安全领域为我们深度剖析市场现状及未来走向,助力企业平稳有序发展。

 

1. 在工业环境中,企业对信息安全的需求是怎么样的?

目前在欧洲颁发了信息安全指令。几乎所有的企业都比较重视这块,尤其在工业控制领域,目前一些主要的PLC厂家、可编程逻辑控制器厂家,这些厂家已经在莱茵拿到了信息安全相关的证书。他们拿到证书后对行业的影响是比较大的。如果不做信息安全考虑,不使用这样的系统,会影响信息安全。也就是说你的工控系统有可能会被黑客控制,受到一些破坏。现阶段,不少业主也逐渐开始有这方面的要求。虽然市场属于初期阶段,但是发展的速度还是比较看好的。

 

2. 目前,市场现状是怎样的?

这个标准是刚刚发布不久。市场是从没有标准到有标准了,逐渐就开始有客户问询。这我们也能感觉到市场是比较热切地想去了解这个标准,想去使用这个标准。所以我相信这也是未来的一个趋势。

 

3. 如何满足在工业控制系统上的信息安全需求?

这个问题实际上要从三个方面去考虑。

第一,我们从管理角度进行管理。比如说公司管理不善,门开着有人进来了,把U盘插到你的电脑系统里,进行黑客活动。这是一种潜在隐患。所以我们要从管理上就杜绝这个问题。

另外,我们要从整个系统设计的角度。例如我在工厂中,我们的工控系统包括信息系统,在系统设计的时候我们就要进行考虑防护。如何从系统级对各个控制器,各个相关的生产控制上进行防护。

第三,我们从产品进行考虑。我也提到过PLC。PLC本身如果出现了一些设计上的问题缺陷,也可能黑客通过一些相应的攻击手段就能进入工控系统里面,从而控制你整个的生产过程。有些生产过程一旦出现控制上的失效,有可能会造成一些人员、生产上的事故。

另外这是从三个大的层次方面。信息安全同时也是从三个维度去考虑,第一,我们称为保密性:confidential。第二就是完整性:integrity。第三个方面就是 可用性availability。缩写就是CIA。

 

4. 未来几年内,工控领域信息安全的可能走向是怎样?

未来三年的走向将主要在过程工业和核电领域。核电也有开始做自己的信息安全标准。据我们德国同事透露,明年汽车行业会正式发布一个信息安全标准。从我个人的这些经历来看,汽车行业的发展速度是非常快的,尤其近几年车联网的大量应用。汽车行业逐渐转向了一些智能控制以及和云相关的控制、资料的下载、数据的下载。这些问题就有可能带来信息安全相关问题的发生。所以汽车行业是我相信在未来三年发展最为迅速的一个行业。

 

5. TÜV莱茵如何帮助企业实现信息安全?

我们在这方面有很多的优势。第一,我们从德国方面拿到相关的资质,就是DaKKs的资质能够颁发信息安全的证书。另外,美国的ISASecure资质我们也同样持有。就是说我们可以一次测试,帮助企业颁发2个国家的证书。这是我们非常大的一个优势。

 

同时我们TÜV莱茵为企业提供一站式的解决方案,其中包括三个方面。第一个方面就是针对产品级的信息安全认证,也就是我刚才提到的PLC进行产品级的检验测试认证,颁发产品级的证书。这个服务其实是我们为信息安全行业做的一个基础性的服务,将来我们要达到信息安全标准的要求,整个系统整个管理都是建立在基础的零部件是要符合信息安全要求的基础上。所以产品级的认证是一个基础服务。

在这个服务基础上,越来越多的产品达到了信息安全的要求,我们就开始做信息安全系统级的评估。就是说如何把这些认证过的安全零部件,IT的信息安全的零部件,组合成系统进行防护,来防止黑客的一些攻击。这是我们的第二个层面就是针对系统级的评估。

我们还有第三个级别的服务就是我们对企业的管理进行评估。我们可以帮助企业建立一套信息安全的管理体系。

从而解决管理混乱而带来的信息安全问题。

 

质者见质

赵斌

德国莱茵TÜV工业服务总经理

在TÜV莱茵近15年工作经验,目前主要负责TÜV莱茵在大中华区内的功能安全及信息安全培训、咨询、审核、认证等安全解决方案。
曾经参与多个涉及轨道交通、汽车电子、过程自动化、工厂自动化、电动扶梯安全控制等领域安全产品相关的功能安全及信息安全认证、咨询、评估等相关项目。