工业控制领域正在发生重大的变革,德国和美国相继提出了“工业4.0”、“工业互联网”概念,2015年5月8日中国政府提出“中国制造2025”战略,中国制造业在两化深度融合的基础上继续进行产业结构调整和升级转型。
工业互联网打破了传统工业相对封闭可信的制造环境,这也造成病毒、木马、高级持续性攻击等安全风险对工业生产的威胁日益加剧,一旦受到网络攻击,将会造成巨大经济损失和人员安全,社会影响巨大。因此,工业互联网自身安全可控是确保其在各生产领域能够落地实施的前提,也是产业安全和国家安全的重要基础和保障。
一、工业互联网安全概述
从智能制造看安全威胁
工业互联网分层结构及各层面临的安全威胁如下图,工业互联网位于智能制造系统架构生命周期的所有环节,贯通系统层级所有五个层级:即设备层、控制层、车间层、企业层和协同层,以及智能功能的互联互通。工业互联网的安全防护的重要性也可见一斑。工业互联网的不同层级承担不同功能,面临的安全威胁也各不相同。
从网络框架看安全威胁
工厂内部网络用于连接在制品、智能机器、工业控制系统、人等主体,包含工厂IT(Information Technology,以下简称IT)网络和工厂OT(OperationalTechnology,工业生产与控制网络,以下简称OT)网络。工厂外部网络用于连接企业上下游、企业与智能产品、企业与用户等主体,有多种工业应用运行在工业云平台上。
工厂内部网络呈现“两层三级”的结构,如下图所示。工厂内部网络面临的主要威胁:一是“两层三级”的网络结构导致工业控制网络与工厂信息网络的技术标准各异,传统的IT 安全防护技术难以实现安全的无缝覆盖;二是工厂网络配置动态化的发展趋势,对安全防护和追踪带来非常大的技术困难。
云存储、云计算、虚拟化技术、大数据分析技术,高可靠、实时的无线连接技术等将在工业互联网应用中发挥重要支撑作用。无线接入、复杂多变的网络结构、多样化的应用场景、海量异构的工业数据、高可靠实时性的严苛数据传输、终端管理的扁平化等是工业互联网急需解决的技术难题,也是现有的安全防护技术难以满足实际要求的重要原因。数据安全和业务应用安全本身就成为阻碍工业互联网大规模广泛应用的重要因素之一。
工业互联网安全体系框架
工业互联网的安全需求可从工业和互联网两个视角分析。从工业视角看,安全的重点是保障智能化生产的连续性、可靠性,关注智能装备、工业控制设备及系统的安全;从互联网视角看,安全主要保障个性化定制、网络化协同以及服务化延伸等工业互联网应用的安全运行以提供持续的服务能力,防止重要数据的泄露,重点关注工业应用安全、网络安全、工业数据安全以及智能产品的服务安全。因此,从构建工业互联网安全保障体系考虑,工业互联网安全体系框架如下图所示,主要包括五大重点,设备安全、网络安全、控制安全、应用安全和数据安全。
未来工业互联网安全问题主要面临生产设备安全、端到端生产模式的网络安全、控制安全、应用安全、数据安全,其中终端设备安全、生产控制系统安全和数据安全尤为急迫。
二、工业互联网安全现状
互联网漏洞增长
截至2016 年12 月,据统计,中国国家信息安全漏洞库(CNNVD)新增漏洞8870 个,国家信息安全漏洞平台(CNVD)新增漏洞10281 个,均比去年同期有明显增长。CNVD 收录的2016 年的漏洞数据显示,漏洞类型主要有:Web 应用漏洞、安全产品漏洞、应用程序漏洞、操作系统漏洞、数据库漏洞、网络设备漏洞等。其中应用程序漏洞比重最大,如图,高达62%。
工业互联网安全防护特点
总结工业互联网的安全漏洞分布和部分重点行业的应用场景,可以发现,相比传统的信息安全,工业互联网安全防护具有更加鲜明的特色。
1)工业互联网安全是全局的、多层次的安全;
2)工业生产设备与控制系统的特殊性对安全防护提出了更高的要求;
3)针对数据平台的安全防护将成为重点;
4)工业互联网安全社会意义重大,需多方合力应对。
工业互联网安全现状总结
工业互联网的网络是基础、数据是核心,因此大量使用了大数据、云计算与物联网技术,这也导致工业互联网的安全边界逐渐模糊。工业互联网内的设备可被利用成为攻击跳板,使工业互联网的真正攻击源头更加难以追踪。
工业互联网的安全防护是一个系统工程,设备制造商需要在生产设计阶段就需要为产品内置安全防护能力、并提供产品系统的安全设计与开发流程保障;集成商及网络运营商则应通过系统的脆弱性及合规性安全评估、攻击检测以及安全管理来保证系统运营过程中的安全;用户则需要加强安全意识、规范安全操作流程和合规行为,避免因受到社工攻击而使他们的基础设施和资产受到外来攻击的威胁。
三、工业互联网安全问题总结与发展建议
中国工业互联网安全问题总结
在全球兴起新一轮科技革命和产业变革中,以工业互联网为代表的新一代信息技术与传统行业加速融合,不断催生着新的生产方式、组织方式和商业模式。工业互联网在众多生产制造企业得到广泛应用的同时,其面临的安全形势难言乐观,并呈现如下问题:
1)工业互联网面临更加严峻的安全威胁;
2)工业互联网相关安全标准及法规仍有待完善;
3)工业互联网安全现状不容乐观,企业安全投入不足;
4)攻击手段多元化、专业化,攻击目标更有针对性。
中国工业互联网安全发展建议
工业互联网及其关键系统的安全依赖于功能安全保障能力和信息安全保障能力。中国工业互联网的安全,需要工业互联网的安全体系架构设计、系统建设、供应链、工业系统安全的运维与管理等全方位的提高。因此,为促进中国工业互联网的健康发展,提出如下建议:
1)加快建立和完善工业互联网安全标准体系;
2)推动自主安全可控的技术研发能力建设;
3)强化信息安全和功能安全的融合机制;
4)提升面向工业应用的灵活安全保障能力;
5)共建及时共享的威胁情报平台。
6)积极开展重点行业的试点示范工作;
7)构建开放的工业互联网攻防演练平台;
8)鼓励行业联盟等社会组织在工业互联网安全领域发挥积极作用;
9)工业互联网安全专业人才培养机制的建立。
共有条评论 网友评论