圖片來源：西門子

　　作者 | Larry O’Brien

　　“網(wǎng)絡(luò)安全通常是控制系統(tǒng)現(xiàn)代化的催化劑，越來越多的工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施項(xiàng)目會(huì)指定自動(dòng)化產(chǎn)品和系統(tǒng)在設(shè)計(jì)上實(shí)現(xiàn)網(wǎng)絡(luò)安全?！?/p>

　　工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施的技術(shù)人員越來越多地希望尋求本質(zhì)網(wǎng)絡(luò)安全的產(chǎn)品和解決方案。很多情況下，網(wǎng)絡(luò)安全是控制系統(tǒng)現(xiàn)代化項(xiàng)目的催化劑。尤其是當(dāng)用戶發(fā)現(xiàn)，在已安裝的基礎(chǔ)設(shè)施上，他們已經(jīng)無法花費(fèi)更多的時(shí)間和資源來確保網(wǎng)絡(luò)安全時(shí)更是如此。

　　針對工業(yè)和基礎(chǔ)設(shè)施的大多數(shù)網(wǎng)絡(luò)安全措施，大都著力于在現(xiàn)有基礎(chǔ)架構(gòu)之上提供網(wǎng)絡(luò)安全層，而不是采購在某種程度上具有固有網(wǎng)絡(luò)安全特性的產(chǎn)品和應(yīng)用。固有的網(wǎng)絡(luò)安全通常是通過產(chǎn)品設(shè)計(jì)特點(diǎn)和安全開發(fā)生命周期過程的某種組合實(shí)現(xiàn)的。從供應(yīng)鏈的角度來看，很多最終用戶還希望采購本質(zhì)上安全的組件、微處理器和嵌入式系統(tǒng)。

　　除了在選擇過程中對供應(yīng)商進(jìn)行更嚴(yán)格的審查之外，內(nèi)生的、設(shè)計(jì)即安全(SecureBydesign)的方法還要求在整個(gè)系統(tǒng)或產(chǎn)品的整個(gè)生命周期中采用安全的安裝和維護(hù)措施。這里有兩個(gè)獨(dú)立但相關(guān)的生命周期 ：一個(gè)用于產(chǎn)品開發(fā)，一個(gè)用于實(shí)施和支持。

　　尋找符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的產(chǎn)品也是一個(gè)挑戰(zhàn)，比如 ISA/IEC 62443 系列工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)(以前稱為 ISA-99)，因?yàn)楹芏嘤脩舨皇煜じ鞣N認(rèn)證和標(biāo)準(zhǔn)機(jī)構(gòu)。盡管有時(shí)產(chǎn)品并沒有獲得已發(fā)布標(biāo)準(zhǔn)的認(rèn)證，它們也可提供能接受的網(wǎng)絡(luò)安全性，但仍需要對供應(yīng)商產(chǎn)品及其相關(guān)的開發(fā)和采購實(shí)踐進(jìn)行更嚴(yán)格的審查。使用認(rèn)證程序來對潛在產(chǎn)品進(jìn)行預(yù)審，可以為最終用戶節(jié)省大量的時(shí)間和精力。

　　通過設(shè)計(jì)來保證安全性

　　在工業(yè)領(lǐng)域大多數(shù)運(yùn)營技術(shù)(OT)級(jí)別的產(chǎn)品和應(yīng)用，并不是從一開始就設(shè)計(jì)成包含網(wǎng)絡(luò)安全特性的。直到最近，網(wǎng)絡(luò)安全特性、功能和開放網(wǎng)絡(luò)連接才受到更多的關(guān)注。在 20 世紀(jì) 90 年代和 21 世紀(jì)初，朝著“開放” 的方向發(fā)展，形成了一種網(wǎng)絡(luò)安全思維，其重點(diǎn)是在 OT 級(jí)系統(tǒng)中增加網(wǎng)絡(luò)安全層，以解決潛在的漏洞。盡管有效的網(wǎng)絡(luò)安全仍然需要這種模式，但很多最終用戶發(fā)現(xiàn)，在產(chǎn)品開始設(shè)計(jì)時(shí)就考慮安全特性，比在現(xiàn)有產(chǎn)品上增加安全屬性要容易得多，且成本更低。

　　通過設(shè)計(jì)來保證安全性，不應(yīng)僅局限于產(chǎn)品本身以及如何將產(chǎn)品設(shè)計(jì)與應(yīng)用的安全開發(fā)生命周期實(shí)踐相結(jié)合。相同原理也適用于控制系統(tǒng)工程設(shè)計(jì)、安裝和啟動(dòng)過程。最終用戶也正在仔細(xì)研究供應(yīng)鏈的安全性，特別是在系統(tǒng)的開發(fā)和制造方式以及系統(tǒng)是否利用安全組件 和嵌入式系統(tǒng)等方面。

　　對網(wǎng)絡(luò)安全的需求增加

　　從網(wǎng)絡(luò)安全的角度來看，面向工業(yè)物聯(lián)網(wǎng) (IIoT)的新產(chǎn)品層出不窮，例如邊緣計(jì)算設(shè)備、云計(jì)算平臺(tái)、智能互連的傳感器，使最終用戶面臨更復(fù)雜的局面。

　　盡管很多“工業(yè)邊緣”產(chǎn)品都具有良好的網(wǎng)絡(luò)安全性，例如“零信任”架構(gòu)，但其它產(chǎn)品則沒有。由于其中很多產(chǎn)品正在從信息技術(shù)(IT)領(lǐng)域進(jìn)入 OT 領(lǐng)域，因此必須對其進(jìn)行更嚴(yán)格的審查，以評估網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中的控制系統(tǒng)，通常具有非常長的生命周期。很多分布式控制系統(tǒng)(DCS)和可編程邏輯控制器(PLC)已經(jīng)服役超過 20 年。許多最終用戶發(fā)現(xiàn)老舊設(shè)施的安裝基礎(chǔ)過于復(fù)雜、成本高昂并且容易產(chǎn)生風(fēng)險(xiǎn)，因此無法從網(wǎng)絡(luò)安全的角度繼續(xù)提供支持。這為控制系統(tǒng)的遷移或?qū)嵤┈F(xiàn)代化提供了動(dòng)力。

　　▎過程自動(dòng)化系統(tǒng)部件的平均生命周期表明，對自動(dòng)化的支持不是無限期的， 由于網(wǎng)絡(luò)風(fēng)險(xiǎn)的增加，可能需要更換老舊系統(tǒng)。例如，5 年之內(nèi)就需要考慮更換工作站和控制臺(tái)，而 15 年之內(nèi)就需要考慮更換控制 器。圖片來源 ：ARC 咨詢集團(tuán)

　　設(shè)計(jì)即安全和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)

　　ISA/IEC 62443 系列標(biāo)準(zhǔn)是制造和關(guān)鍵基礎(chǔ)設(shè)施的關(guān)鍵網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。該系列標(biāo)準(zhǔn)獲得國際認(rèn)可，是最終用戶和供應(yīng)商數(shù)十年工作的成果。雖然最初，該標(biāo)準(zhǔn)的重點(diǎn)是描述參考體系結(jié)構(gòu)和諸如深度防御的基本概念，但如今的 IEC 62443 標(biāo)準(zhǔn)涵蓋了工業(yè)網(wǎng)絡(luò)安全的各個(gè)方 面，從產(chǎn)品和應(yīng)用開發(fā)直至整個(gè)生命周期。

　　IEC 62443-4-1 標(biāo)準(zhǔn)規(guī)定了安全開發(fā)用于工業(yè)控制系統(tǒng)(ICS)產(chǎn)品的過程要求。它定義了用于開發(fā)和維護(hù)安全產(chǎn)品的安全開發(fā)生命周期(SDL)。此生命周期包括以下實(shí)踐 ：安全管理 ;安全需求規(guī)范 ;設(shè)計(jì)安全 ;安全實(shí)施 ;安全驗(yàn)證和確認(rèn)測試;管理與安全相關(guān)的問題;安全更新管理 ;以及安全準(zhǔn)則。

　　對于很多 ICS 最終用戶而言，選擇設(shè)計(jì)安全的產(chǎn)品和應(yīng)用可能會(huì)面臨挑戰(zhàn)。很多人還沒有為系統(tǒng)和應(yīng)用制定好的選擇標(biāo)準(zhǔn)。工業(yè)和基礎(chǔ)設(shè)施應(yīng)用中的很多系統(tǒng)，都還沒明確考慮網(wǎng)絡(luò)安全。同時(shí)，越來越多的此類產(chǎn)品開始支持物聯(lián)網(wǎng)功能，這進(jìn)一步增加了風(fēng)險(xiǎn)。

　　盡管大多數(shù)主要的 DCS 供應(yīng)商都提供經(jīng) ISASecure 認(rèn)證的控制器和其它系統(tǒng)部件，但是還有很多供應(yīng)商提供不常見的系統(tǒng)，例如終端自動(dòng)化系統(tǒng)、基于 RTU 的 SCADA 系統(tǒng)、鍋爐控制和壓縮機(jī)控制等，這些系統(tǒng)可能并未考慮設(shè)計(jì)安全原則。

　　擁有良好的選擇和采購流程，也意味著最終用戶組織內(nèi)的不同利益相關(guān)者也必須參與其中。IEC 62443 標(biāo)準(zhǔn)的要求為此類過程奠定了堅(jiān)實(shí)的基礎(chǔ)。

　　更高的投資回報(bào)率

　　在設(shè)計(jì)即安全技術(shù)的上投資，讓很多最終用戶獲得了更高的投資回報(bào)率和更低的生命周期成本，并減少了投入到網(wǎng)絡(luò)安全管理的資源。除了在日常運(yùn)營中增加成本以預(yù)防威脅外，在系統(tǒng)設(shè)計(jì)和工程實(shí)施的網(wǎng)絡(luò)安全方面，也需要增加額外的成本和時(shí)間來完成項(xiàng)目。通過設(shè)計(jì)保證安全性，可以降低工程實(shí)施成本、總體項(xiàng) 目成本以及運(yùn)營和維護(hù)成本。

　　很多用于工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施應(yīng)用的產(chǎn)品，通過采用設(shè)計(jì)安全原則可以幫助最終用戶降低生命周期成本并提高網(wǎng)絡(luò)安全性。一些產(chǎn) 品在其固有的設(shè)計(jì)或物理特性中提供設(shè)計(jì)安全。這包括像數(shù)據(jù)二極管或單向網(wǎng)關(guān)之類的組件，它們提供安全的單向或甚至雙向通信。

　　數(shù)據(jù)二極管可在產(chǎn)品的設(shè)計(jì)中，或者通過安全軟件和網(wǎng)絡(luò)設(shè)計(jì)的各個(gè)層來實(shí)現(xiàn)增強(qiáng)的安全性。例如，一些供應(yīng)商提供了一種數(shù)據(jù)二極管，可利用光纖通信在物理上實(shí)現(xiàn)僅發(fā)送和僅接收的電路。另外一些數(shù)據(jù)二極管供應(yīng)商則使用 COTS 部件來構(gòu)建其數(shù)據(jù)二極管，但采用了專門的內(nèi)容檢查引擎和其它基于軟件的方法，來確保安全的單向通信。

　　很多其它產(chǎn)品也將設(shè)計(jì)安全原則納入到自動(dòng)化和控制系統(tǒng)或儀表中。這可能包括獨(dú)特的背板設(shè)計(jì)、端口鎖定功能以及其它功能。例如，一些規(guī)模較小但更具創(chuàng)新精神的自動(dòng)化供應(yīng)商，可能會(huì)在其多個(gè)系統(tǒng)組件(包括背板、電源等)中提供固有的“設(shè)計(jì)安全”原則。有關(guān)產(chǎn)品中是否集成了設(shè)計(jì)安全功能，請咨詢自動(dòng)化供應(yīng)商或工業(yè)網(wǎng)絡(luò)安全供應(yīng)商。

　　設(shè)計(jì)安全性的另一維度是系統(tǒng)和網(wǎng)絡(luò)實(shí)施。一些供應(yīng)商可以為系統(tǒng)和網(wǎng)絡(luò)設(shè)計(jì)提供經(jīng)過測試和驗(yàn)證的參考體系結(jié)構(gòu)，這些體系結(jié)構(gòu)具有最高程度的固有安全性。這通常是專業(yè)網(wǎng)絡(luò)供應(yīng)商和自動(dòng)化供應(yīng)商之間合作的 成果。

　　還有一些自動(dòng)化供應(yīng)商在過程安全系統(tǒng)中提供設(shè)計(jì)功能，以防止未經(jīng)授權(quán)的用戶訪問設(shè)備。所有系統(tǒng)供應(yīng)商都在整合這些或類似功能。新功能不斷推出，這意味著用戶應(yīng)評估現(xiàn)有和潛在供應(yīng)商所提供的服務(wù)。

　　網(wǎng)絡(luò)安全產(chǎn)品測試和認(rèn)證

　　另外一些產(chǎn)品則通過認(rèn)證或注冊，并根據(jù)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對其進(jìn)行測試，從而在設(shè)計(jì)上提供安全性。一個(gè)例子是 ISASecure 系列的認(rèn)證產(chǎn)品，它是根據(jù) ISA/IEC 62443 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)測試的。ISASecure 可為控制器、PLC、網(wǎng)關(guān)和路由器等物理產(chǎn)品提供認(rèn)證。同時(shí)也適用于系統(tǒng)，包括過程自動(dòng)化系統(tǒng)和過程安全系統(tǒng)。它還為認(rèn)證供應(yīng)商開發(fā)的系統(tǒng)和應(yīng)用提供安全的軟件開發(fā)生命周期認(rèn)證。

　　保護(hù)層是必要的。但是，將設(shè)計(jì)安全原則融入產(chǎn)品和應(yīng)用中，以在一定程度上實(shí)現(xiàn)“開箱即用”的安全性或許更為重要。通過設(shè)計(jì)確保設(shè)備的安全是很多網(wǎng)絡(luò)安全工作的目標(biāo)，例如 ANSI/CAN/UL2900 網(wǎng)絡(luò)可連接產(chǎn)品軟件網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。設(shè)計(jì)安全原則適用于軟件、設(shè)備和網(wǎng)絡(luò)。

　　在系統(tǒng)設(shè)計(jì)過程中，安全性的其它方面也變得越來越重要。其中包括供應(yīng)鏈網(wǎng)絡(luò)安全、來源(確定芯片組等系統(tǒng)計(jì)算組件的來源以及 其固有的安全級(jí)別)以及其它事項(xiàng)。

　　盡管很重要，但“設(shè)計(jì)即安全”不是萬能的。最終用戶仍然需要遵循良好的網(wǎng)絡(luò)安全實(shí)踐、項(xiàng)目實(shí)施或運(yùn)營工作流程。遵循設(shè)計(jì)安全原則，只是成熟的網(wǎng)絡(luò)安全組織和策略的一個(gè)方面。