趋势:工业控制正在走向虚拟化
“软件正在吞噬世界,所有过去特定硬件实现的功能,现在都会通过软件实现”,传统封闭的工业控制系统,其通过特定硬件实现的功能在工业互联网或工业4.0时代都将被软件所取代。特别是在工业领域,关键基础设施平台,都已走上软件定义化的旅程,而这一旅程的核心就是网络虚拟化。
网络虚拟化可以指一个大型的集中式云基础设施,也可以指工业控制设备的现场设施,以及上述两点之间的设施。其中的重点是,要将从前运行在特定专用硬件上的应用软件迁移到虚拟化运行环境中,以便优化效率、降低成本、提高部署的灵活性与速度。
担忧:工控网络安全形势不容乐观
然而,在这种朝向虚拟化基础设施的转变趋势中,关于安全性的担忧却在提升。基于软件的系统越来越多地部署在网络边缘。这些地方通常并没有人员在守护,其物理安全也没有保障。如果遭到攻击的是工业控制应用,就可能造成更大的灾难性事件。例如www.cechina.cn,近年来的“震网”、“火焰”、“毒区”、“Havex”等恶意软件严重影响了关键工业基础设施的稳定运行,特别是近期 “臭名昭著”的勒索软件——WannaCry和NotPetya,为国际社会造成了异常惨重的损失。
博思艾伦咨询公司于近期发表一份针对全球314 家运营有工业控制系统的公司的调查报告,发现其中有34% 的企业都在一年内遭遇了2次以上的数据泄露。因此,随着云计算、工业物联网、软件定义等这些新兴技术的快速发展,虽然工业控制领域正面临着颠覆性的变革;但是,工业控制系统运营者所面对的威胁的规模、类型和严重性都在快速增加。
曙光:风河系统开始“现峥嵘”
那么,在工业控制系统走向虚拟化的进程中,该如何保护其安全性呢?
对于各种关键基础设施应用,工业企业都需要确保所部署基于软件的系统全都置于高鲁棒性安全体系架构的保护伞之下,有能力防止未授权的软件被安装进来,无论它们是恶意的还是无意的。而且整个系统一旦上电启用,就应该被全面保护起来,同时又应该支持经过认证授权的软件方便地进行远程安装与更新,以便应对随时出现的任何新的威胁。
针对这种工控安全风险和安全需求,国内外安全厂商、科研机构纷纷投入力量,着手开始工控安全技术的研究和相关安全产品的研发。而风河系统(Wind River),一家可以为工业控制领域提供全面的边缘到云软件产品组合的公司,30年来一直为业界提供信息安全技术和专业知识,面对工控网络安全的种种挑战,凭借其虚拟化软件和工作负载整合解决方案的安全可靠性,发挥出了其独特的优势,开始崭露头角,为工控网络安全领域带来了一抹曙光。
那么,风河系统公司具体是如何做的呢?
对策一: Titanium Cloud虚拟化平台
首先,风河将一整套全面的安全机制纳入最新版本的Wind River Titanium Cloud虚拟化平台之中,为关键性基础设施提供可靠的保障。
面向工业控制应用,这些增强的安全机制已被集成到Titanium Control产品之中,任何提供与管理关键基础设施业务的工业企业,都可借助于Wind River Titanium Cloud产品集,确保其云环境的安全,并且为其业务运维提供最可信赖的防护保障。
在更新或修补期间CONTROL ENGINEERING China版权所有,当导入补丁和ISO映像时,Titanium Cloud 使用加密签名来对文件的真实性和一致性进行验证。只有被风河加密签名的补丁和ISO才可以在Titanium Cloud之中安装。使用这种密码签名,可靠地实现了软件平台在维护操作期间的全面保护。
另外,Titanium Cloud 的一致性测量体系架构(IMA)使用安全引导过程来确保初始引导加载程序和主机平台内核的完整性,保证用户空间环境的一致性,同时检测和报告已经执行过的可执行文件,不论这项执行出自恶意为之还是无意间偶然发生。IMA对主机文件关键子集的完整一致性持续进行监控,当文件被访问时,测量和保存文件的哈希值,以便检测文件是否曾经被篡改,同时记录下任何可能表明主机平台文件完整一致性已遭到破坏的迹象。
不仅如此,在Titanium Cloud中的虚拟可信平台模块(vTPM)功能确保虚拟化功能的安全性至少达到与最新硬件技术所提供的安全级别一样高。对于关键的工业基础设施应用,Titanium Cloud vTPM 功能可以确保完全安全的端到端引导过程。而且,通过Titanium Cloud合作伙伴生态系统,风河与供应商合作还可以提供丰富的安全功能,例如防火墙、安全网关、深度包检测(DPI)和入侵防御系统(IPS)。
可以说,Wind River Titanium Cloud产品集包括业界唯一的全集成化且可即刻部署的虚拟化平台,其正常运行时间、性能和安全性足以满足任何规模的工业应用及控制业务要求。
对策二: 支持ARM架构的VxWorks 653平台
其次,风河升级了VxWorks 653多核版本,现在已经可以支持ARM架构。换句话说,无论你选择Intel架构、Power架构还是ARM架构,都可以使用基于标准的开放型虚拟化平台,来构建新一代工业系统平台,而且运行多种操作环境。
在整个工业控制系统中,大多数工控软件都是运行在通用操作系统上,例如操作员站一般都是采用Linux或Windows平台,由于考虑到系统运行的稳定性,一般系统运行后不会对Linux或Windows平台打补丁;另外,大多工业控制网络都属于专用内部网络,不与互联网相连,即使安装反病毒软件,也不能及时地更新病毒数据库,并且杀毒软件对未知病毒和恶意代码也无能为力。操作系统漏洞无法避免,加之传统防御技术和方式的滞后性www.cechina.cn,给病毒、恶意代码的传染与扩散留下了空间。
而已通过认证的VxWorks 653平台,风河纳入了独特的功能安全性和信息安全性平台产品集,为所有的主流硬件架构提供支持。能够抽象和运行任何类型的工作负载,既包括传统负载,也包括新型负载,而且具备多种安全级别能够满足最具挑战性的环境需求。这就使得客户能够快速适应不断变化的业务需求,并在基础层面上满足日益增长的创新和工作负载集中化的需求www.cechina.cn,并从一开始就为安全关键系统的体系结构打下良好的基础。
一直以来风河的战略核心就是基于多年来的客户信任,旨在将其具备功能安全性和防护安全性的软件产品集应用于工业控制系统和架构之中,这一点一直不断的被证实。2018年,工控网络安全形势依然不容乐观控制工程网版权所有,而风河具备鲁棒性、开放性的多核集中化平台已经日趋成熟,所需的硬件架构和开放的虚拟化平台,都已整装待发。