筑牢工業信息安全防線

文/Nicolas Bennerscheid，Lars StephanBüldt，Sebastian D?nnart

安聯2023 年的風險報告分析稱，除了業務中斷之外，網絡風險是全球企業面臨的最大風險。因此，需要通過做好基礎網絡安全監測與防御，避免企業受到網絡攻擊的可能性。

對于流程工業的任何一家公司來說，一旦受到網絡攻擊，如果不及時采取措施將會遭到致命打擊。2023 年《安聯風險晴雨表》顯示，網絡風險如IT中斷、勒索軟件攻擊或數據泄露，一直被認為是全球企業面臨的最大風險。

網絡攻擊到底是如何實施的？

隨著信息安全技術的高速發展，信息安全技術的全球性、互聯性、信息資源和數據共享性等特點日益突出。使其極易受到各種類型的網絡攻擊，網絡攻擊的不可預測性、危害的連鎖擴散性，大大威脅到信息安全的發展。很多網絡攻擊都是從監視和收集信息開始的，比如網絡“釣魚”或者其他社交工程手段。當獲取目標的信息之后，就會開始初始攻擊。如果網絡“釣魚”攻擊成功，攻擊者就可以方便地訪問目標系統，然后利用獲取的訪問數據實施欺詐等行為。

信息安全管理規范

例如石油天然氣、化工和制藥等許多行業，都制定了嚴格的敏感信息保護規定，包括功能安全參數和一些相關數據。《德國信息技術安全法》和《事故條例》規定了保護設施免受網絡攻擊和檢測網絡攻擊的要求，關鍵信息基礎設施和具有特殊公共利益的公司將承擔更多的責任，關鍵信息基礎設施運營商必須采取技術和組織措施，以防止其信息技術系統、組件或流程的可用性、完整性、可靠性和保密性遭到破壞。

大多數黑客攻擊都是從網絡釣魚攻擊開始的

數據泄露對安全生產的影響

業務流程數字化經常被認為是企業利用新興技術更新現有流程并加強競爭基礎的最有效方式之一。然而隨之也帶來了一系列問題，比如工廠設備的一些關鍵數據需要注意傳輸安全。信息安全的保護目標與職業安全和事故預防也變得更加重要，在數據采集、傳輸和處理過程中，需要采取有效的措施保障數據的安全性和隱私性，防止數據泄露和濫用。

因為當工業企業的數據比如工藝生產設備的一些功能參數遭受破壞、更改、泄露后，工業生產設備、控制系統、信息系統將不能可靠正常運行，工業生產和業務的連續性也得不到保障。當安全參數（如溫度或壓力限值）泄露后，可以提供工廠運行狀態相關信息，這可能會增加攻擊者的成功機會，從而導致運行完整性受損和安全風險增加，甚至會發生安全事故。

假設有一家處理危險化學品的化工廠，其處理、存儲和處置這些化學品的整個工藝流程數據，以及為保護環境而采取的安全措施等信息落入了不法分子之手，不管是數據泄漏或未經授權可以成功訪問系統，都有可能導致工廠處于不安全狀態。為了避免這種情況發生，必須采取必要的措施來保護這些機密數據。

加密過程數據通常包含有關監測系統、警報和應急計劃等安全防范措施信息。惡意攻擊者可以利用這一發現來操縱或繞過安全系統，例如通過更改警報閾值或操縱傳感器配置來延遲停機。如果閥門意外打開或發生故障沒有被正確記錄，這可能導致危險化學品的意外釋放，進而造成環境污染，并對人類和動物造成危害。

這種方法，即有針對性地關閉工業應急系統，特別是控制系統，是現代惡意軟件包的主要功能之一，如“Industroyer2”和“Pipedream”/“Incontroler”，前者于2022 年在烏克蘭使用，目的是破壞供應網絡，后者是在美國發現的一個來源不明的惡意軟件包。

目前有些惡意軟件包就是專門攻擊工控系統，比如美國網絡安全和基礎設施安全局（CISA）等機構已確定“Incontroller/PipeDream”惡意軟件對液化天然氣和電力供應商等能源機構和組織構成嚴重威脅。攻擊者可使用該惡意軟件對目標工業環境進行偵察，并控制PLC，實施可能導致工廠中斷、安全故障和潛在物理災難的破壞活動。

信息保護影響評估

為了評估哪些信息和通信流值得保護，首先必須明確了解或公布這些信息和通信流會產生什么影響。所謂的保護需要評估有助于確定必要的保護措施水平。

首先確定相關信息。這項工作聽起來可能有些瑣碎，但實際上需要對涉及的系統和業務流程進行深入分析，并需要專業部門的參與。因此，擁有良好的系統文檔和成熟的業務流程管理是非常重要的基礎。此外，對過程安全和功能安全概念的全面理解是必要的，特別是在確定過程工程系統中的安全參數的保護要求時。在某些情況下，相關的行業標準和法規已經明確規定了相關要求。如果已知相關數據和信息，就可以評估某個安全目標的損失所造成的影響。同樣這里也需要專業部門，因為只有通過他們才能進行有效地影響評估（業務影響分析）。

保護相關系統的機密性

為了確定適當的保護措施，必須區分需要保護的數據和信息的狀態：存儲在硬盤或其他數據載體上的信息和參數，即“靜態數據”；正在傳輸或通信中的數據和參數，即“動態數據”。

在保護“靜態數據”的保密性方面，重點是通過授予權限和選擇加密單個信息或整個硬盤來保護訪問。這里的基礎是組織措施中描述的授權概念。在“動態數據”傳輸的情況下，通信保護是重中之重，如果信息傳輸是必要的和有計劃的，也可以對數據和信息進行加密。此外，還可以通過安全網關和數據二極管自動限制特定的內容、數據類型或通信方向。在工業應用中，這類過濾還可實現控制信號或參數的非加密。基礎設施措施也可在信息保密方面發揮作用，例如在相關區域安裝鏡面窗以實現視覺和竊聽保護，以及用于訪問保護安全系統，防止未經授權訪問隔離系統。這些措施的必要強度取決于個別數據和信息的保護要求，應根據風險確定優先次序。

組織措施保護信息安全

通常情況下，由于一般條件的限制，技術措施可能不可行，或者會在不可持續的程度上阻礙業務流程的順利進行。雖然技術措施能提供更可靠的保護，但在這種情況下也可以采取組織措施。組織措施主要包括描述安全措施和其實施的概念，以及規定相關利益方遵守某些行為的準則和指導方針。最基本的指導方針也是設計后續技術措施所必需的，這涉及信息的分類和分級以及具體如何處理。在此基礎上，一個復雜的授權概念定義了誰可以訪問、更改或刪除哪些數據和信息。如果員工自愿或意外地泄露了信息，即使有再好的技術措施和最佳的組織框架條件也無濟于事。因此，針對特定目標群體的宣傳和增強所有員工的安全意識至關重要，這不僅包括對數據和信息相關性的認識，還包括為什么遵守組織措施能保證實際保護。

反復開展培訓和宣傳活動有助于形成一種“安全習慣”，讓員工能夠在日常工作中直觀地掌握與安全相關的措施，從而為保護數據和信息的機密性做出積極貢獻。

注重生產安全，不僅為了合規

在工藝設備中負責關鍵安全參數和數據的人員必須意識到，保密對工廠的運營安全至關重要。這不僅是為了遵守法律法規，更是為了提高安全性和保障性。合規是安全的底線，安全是合規的目標。企業若只滿足合規要求，就一定會忽略關鍵的漏洞，會使“只追求合規”的公司面臨著他們所不知道的漏洞風險，比如當工廠一些關鍵生產數據被競爭對手掌握時，會導致業務被搶走，甚至有時候還會造成人身安全。因此，安全和合規是相輔相成的，合規是基礎，是核心，合規必定是安全的主線，安全也必定是基于合規的安全。

幸好目前，我們有辦法最大限度地降低這些風險并減輕其影響。通過確保基本的安全措施并對自身的流程和系統進行單獨分析，可以獲得基本的保護，從而能夠在節約資源的同時專注于公司的核心業務。根據公司的情況，可以選擇在內部或外部獲得支持進行分析。這樣，就能有針對性地制定計劃和措施，以滿足每個公司的不同需求，從而為公司的成功做出經濟貢獻。此外，還能夠滿足相關法律要求。

儲罐實例

用流程工業普遍需要使用的儲存設備儲罐，這樣一個簡單而具體的例子，來展示信息失密造成的危害。

B001 儲罐用于儲存一些危險介質（如液體），并通過測量底部壓力LT6213 來監測其液面水平高度。當液面高度超過上限值時，B001 儲罐入口的閥門V-617 將自動關閉。此外，B001 中的臨界液位由音叉液位開關LZA101 監測。當液位達到臨界水平時，入口處的附加安全閥V(Z)-104 會關閉。此外，還有一個機械過量加注保護裝置，當B001 儲罐完全加滿時，允許液體溢流到B002 儲罐。儲罐可通過閥門V-620 關閉的軟管排空，該閥門可在入口關閉的情況下通過現場手動操作打開。

為什么有關系統和組件配置的信息需要嚴格保密呢？比如B001 儲罐存儲了很多危險液體，然而當攻擊者通過蓄意破壞或者改變儲罐一些關鍵參數，這時就會造成儲罐泄漏危險液體。需要注意的是，目前不僅會受到物理攻擊，網絡信息攻擊也能帶來風險。如果攻擊者知道地面壓力傳感器LT6213 關閉閥門V-617 的限值，則可以通過改變相關參數，這樣能破壞儲罐，造成危險發生。特別是在傳感器聯網，參數存儲在數字系統中的現代系統中，這些參數更容易被讀取，工業信息安全易受攻擊，工業安全生產必須得到適當保護。

這個儲罐用于存放周圍部件所需的物料