趋势报告 | 互联生产体系下的网络数据安全(上)
数字化和网络化为企业带来了巨大的增长潜力,对于未来几年的德国经济也愈发重要[1,2]。据管理和战略咨询公司麦肯锡估计,到2025年,德国公司可以通过持续的数字化额外创造1260亿欧元的附加价值[3]。从整体上看,2018年制造业创造了德国国内生产总值的四分之一以上[4]。尽管数字化能为生产带来巨大的增长潜力,但德国大公司生产中的数字化率只有不到30%--中小型企业的数字化率甚至只有20%[5]。其中最大的障碍之一就是网络安全[6]。过去生产中的重点主要是生产设备的功能安全,而现在封闭的网络物理系统(CPS)转变为开放式,所以网络安全正日益成为人们关注的焦点[7]。然而漫长的生命周期也导致了以下问题,比如系统不再更新,补丁包过时、难以使用,而且可用的网络协议不再安全[8]。
由于全球联网,网络犯罪不再是一个地方性问题,而是涉及所有工业国家的全球性问题。特别是对工业自动化系统的攻击,以及公开的网络安全事件数量正在迅速增加[9, 10]。比如,勒索软件勒索汽车制造商、犯罪分子利用网络对德国一家钢铁厂的高炉进行物理破坏,这些都是网络犯罪的新形式。[11, 12]。
因此,弗劳恩霍夫生产技术研究所(Fraunhofer Institute for Production Technology IPT)根据目前的规范和标准,开发了一个整体的生产安全性检查标准体系(Production Security Readiness Check, PSRC),向制造企业展示他们目前的安全水平以及他们面临的风险。根据公司的安全水平,"PSRC "能够通过一些操作提高公司系统的安全性。
保护对象
电子信息必须受到保护,这对信息技术系统提出了某些要求,即信息技术安全的保护目标[13, 14]——保密性和完整性,防止未经授权者获取机密信息或信息被未经授权的第三方改变[15,16]。同时信息技术系统最好还要实现可用性,也就是对信息的访问应该得到永久的保证[17]。因此数据保护的核心目标就是数据和系统的保密性、完整性和可用性[12, 16]。除了这些核心目标外,还有其他保护目标,包括真实性、问责制、透明度和应急性[18]。对信息技术系统的要求,也就是保护目标,可能是由公司决定的如关键数据的保密存储与处理,也可能是由法律和标准规定的。
以前德国没有统一的、普遍适用的信息技术安全法,与此相关的法律规定分布在众多不同的法律中[19]。2015年《信息技术安全法》的生效有针对性地提高了公司信息技术系统的安全性[20],还能保护关键基础设施的运营商(BSIG,Gesetz über das Bundesamt für Sicherheit in der Informationstechnik)以及电信和电信媒体供应商(TKG & TMG, Telekommunikationsgesetz und Telemediengesetz)[19, 21]。德国的工业制造业及相关的价值链没有被明确地列为保护对象,因此在这个行业,除了一些设计关键基础设施的法律规定之外,没有任何信息技术安全的法律基础[12]。有大量来自不同机构的不同标准和规范涉及信息技术安全[12]。图1显示了促进信息技术安全最重要的法律、标准和机构。
信息技术视角下的工业生产
当今工业生产的一个目标是,提高生产力并降低成本,在生产中使用自动化生产设施就是为了实现这一目标。当今工业自动化的各个领域构成了自动化金字塔(参见图2,左)[23]。
自动化金字塔描绘了公司沟通关系中互相依存的六个不同层次。生产的逐步网络化意味着IT(信息技术)和OT(操作技术)网络正在慢慢合并。生产操作层面和运营管理层面的物理隔离,也就是隔离网闸(Air Gap),事实上正在逐步消解。
过去在IACS(工业自动化和控制系统)环境中以专有协议孤立运行的生产设备现在正在采用IT网络的开放网络协议[26]。过去通常认为生产工厂面临的威胁是可控的,因为从信息技术的角度来看这些工厂因为这些工厂建立了只能从外部进行有限攻击的孤岛[12]。而以工业4.0为基础的自动化金字塔能够使所有系统组件横向和纵向上都相互连接。这也就意味着经典的分层自动化金字塔被打破,自动化网络由此产生了(参考图2,右)。现场层的传感器和执行器不仅能与控制层(PLC/SCADA)交换数据,还可以跨层交换数据[27]。由此现场设备被直接连接到自动化网络,从信息技术安全的角度来看,这意味着现场设备现在可以通过以太网/无线局域网从互联网被直接访问,因此更容易受到攻击。来自PLC或SCADA系统的保护层不复存在。与数据载体的接口也带来了额外的攻击风险[28]。由此,我们能够从图示的自动化金字塔和自动化网络中得出它们为生产带来的风险和挑战。
生产中的风险和挑战
生产中的风险和挑战可以分为操作、技术和管理领域三类[8]。操作领域的一个挑战在于,确保运行能力的同时保持生产设施的可用性。技术方面的风险主要是嵌入式系统、不安全的网络协议以及保证实时性能的需要造成的。在大多数情况下,IACS必须实时运行以管理生产过程。通信延迟和不稳定是操作技术网络(OT-Netzwerk)实时通信的决定性因素。对低延迟的要求使其难以实施加密等耗费资源的安全机制。