工業(yè)互聯網產業(yè)蓬勃發(fā)展背后的安全防護
http://www.moduwu.com 2019-07-17 16:23 來源:《中國信息安全》雜志
工業(yè)互聯網是以數字化、網絡化、智能化為主要特征,通過系統構建網絡、平臺、安全三大功能體系,打造人、機、物全面互聯的新型網絡基礎設施。應堅持國家總體安全觀,從國家安全戰(zhàn)略全局出發(fā),認識理解工業(yè)互聯網安全的重大意義,強化頂層設計和統籌管理,加快構建符合我國國情、滿足工業(yè)互聯網發(fā)展需要的安全保障體系,如圖所示。
工業(yè)互聯網安全威脅分析
工業(yè)互聯網實現了全系統、全產業(yè)鏈和全生命周期的互聯互通,而與此同時,互聯互通的實現也打破傳統工業(yè)相對封閉可信的生產環(huán)境,導致攻擊路徑大大增加。
現場控制層、集中調度層、企業(yè)管理層之間直接通過以太網甚至是互聯網承載數據通信,越來越多的生產組件和服務直接或間接與互聯網連接,攻擊者從研發(fā)端、管理端、消費端、生產端都有可能實現對工業(yè)互聯網的攻擊或病毒傳播。
這也直接導致工業(yè)互聯網數據保護難度加大。工業(yè)互聯網數據種類和保護需求多樣,數據流動方向和路徑復雜,研發(fā)設計數據、內部生產管理數據、操作控制數據以及企業(yè)外部數據等,可能分布在大數據平臺、用戶端、生產終端、設計服務器等多種設施上,僅依托單點、離散的數據保護措施難以有效保護工業(yè)互聯網中流動的工業(yè)數據安全。
從現實來看,下層工業(yè)控制網絡安全性考慮也還不充分。
傳統模式下,工業(yè)控制網絡未與外部互聯網直接聯通,安全認證機制,訪問控制手段需求并不迫切。然而,在工業(yè)互聯網環(huán)境下,攻擊者一旦通過互聯網通道進入下層工業(yè)控制網,只需掌握通信協議就可以很容易對工業(yè)控制網絡實現常見的拒絕服務攻擊、中間人攻擊等,輕則影響生產數據采集和控制指令的及時性和正確性,重則造成物理設施被破壞。
從平臺建設來看,虛擬化等平臺技術成為趨勢,這也加大了工業(yè)數據保護難度。工業(yè)互聯網平臺中多個客戶共享計算資源,虛擬機之間的隔離和防護容易受到攻擊,跨虛擬機的非授權訪問風險突出。而且目前多數集團或工業(yè)企業(yè)內部的生產業(yè)務平臺安全設計不足。
工業(yè)企業(yè)往往更加注重業(yè)務平臺的功能性,在設計之初很少考慮安全架構,可能存在權限繞過、緩沖區(qū)溢出等安全設計缺陷,為網絡攻擊提供路徑。
工業(yè)互聯網的相關定義和技術架構尚未在國際范圍內得到充分統一,工業(yè)互聯網在我國的提出和推進也仍然處于初級階段。
與傳統消費互聯網和商業(yè)互聯網相比,作為新生事物的工業(yè)互聯網需要更高標準的信息安全要求;與傳統工業(yè)控制系統相比,工業(yè)互聯網的安全覆蓋面更為復雜。
當前,我國僅從工業(yè)互聯網的某些局部元素層面開展了相關安全保障工作,且工業(yè)互聯網安全保障可能涉及多個責任部門,需要充分協作、形成合力,打造針對我國工業(yè)互聯網的整體安全保障工作機制。
工業(yè)互聯網安全需求
安全是工業(yè)互聯網的三大核心內容之一。在工業(yè)互聯網總體框架下,安全既是一套獨立功能體系,又滲透融合在網絡和平臺建設使用的全過程,為網絡、平臺提供安全保障。
構建工業(yè)互聯網安全保障體系可從平臺、網絡、終端、數據四個方面考慮,涉及工業(yè)控制系統安全、企業(yè)信息管理系統安全、企業(yè)控制網絡及管理網安全、互聯網寬帶網絡安全、工業(yè)云安全和工業(yè)大數據安全等內容。
1. 責任主體
在傳統工業(yè)制造階段,工業(yè)信息安全作為生產安全的重要組成部分,由工業(yè)企業(yè)作為其安全責任主體,責任邊界較為清晰。
當前工業(yè)互聯互通階段,工業(yè)信息安全主要表征為工業(yè)互聯網安全,工業(yè)互聯網業(yè)務和數據在設備層、數據采集層、基礎網絡層、IaaS層、工業(yè)互聯網平臺層、工業(yè)應用層等多個層級間流轉,安全責任主體涉及工業(yè)企業(yè)、設備供應商、基礎電信運營商、IaaS網絡服務商、工業(yè)互聯網平臺運營商、工業(yè)應用提供商等,安全責任界定和安全監(jiān)管難度加大。
2. 平臺安全
工業(yè)互聯網平臺是工業(yè)互聯網實施落地與生態(tài)構建的關鍵載體,其安全是工業(yè)互聯網安全的核心和關鍵。
目前,工業(yè)互聯網平臺安全問題主要包括:
-
一是海量設備和系統的接入加大平臺安全防護難度;
-
二是云及虛擬化平臺自身的安全脆弱性日益凸顯;
-
三是API接口開放加大了工業(yè)互聯網平臺面臨的安全風險;
-
四是云環(huán)境下安全風險跨域傳播的級聯效應愈發(fā)明顯;
-
五是云服務模式導致安全主體責任不清晰;
-
六是集團或工業(yè)企業(yè)內部的生產業(yè)務平臺安全設計不足。
3. 網絡安全
工業(yè)互聯網的網絡從建設和管理邊界上可以劃分成企業(yè)內網和企業(yè)外網。
其中,企業(yè)內網包含有生產網、控制網、企業(yè)管理網及集團專用網;企業(yè)外網主要指基于國家骨干網、接入網和城域網建立的互聯網寬帶網絡。
在內網側,安全問題主要包括:
一是傳統靜態(tài)防護策略和安全域劃分方法不能滿足工業(yè)企業(yè)網絡復雜多變、靈活組網的需求;
二是工業(yè)互聯網涉及不同網絡在通信協議、數據格式、傳輸速率等方面的差異性,異構網絡的融合面臨極大挑戰(zhàn);
三是工業(yè)領域傳統協議和網絡體系結構設計之初基本沒有考慮安全性,安全認證機制和訪問控制手段缺失。
在外網側,需要在傳統互聯網安全的基礎上,進一步強化面向工業(yè)互聯網的IPv6安全、軟件定義網絡(SDN)安全、工業(yè)互聯網標識解析安全、5G等新型蜂窩移動通信技術安全等。
4. 終端安全
工業(yè)互聯網中的終端是指工業(yè)領域應用的產品、系統、設備,包含工業(yè)生產控制設備、工業(yè)網絡通信設備、工業(yè)主機設備、工業(yè)生產信息系統、工業(yè)網絡安全設備和其他工業(yè)設備/系統。
終端安全問題形勢嚴峻,主要表現在以下方面:
-
一是傳統工業(yè)環(huán)境中海量工業(yè)軟硬件在生產設計時并未過多地考慮安全問題,可能存在大量安全漏洞;
-
二是由于我國工業(yè)設備自主可控仍處于較低水平,大部分核心設備以國外設備為主;
-
三是我國大部分重要工業(yè)設備日常運維和設備維修也嚴重依賴國外廠商,存在被境外機構操控的風險。
5. 數據安全
工業(yè)數據是指工業(yè)領域中,在業(yè)務活動和過程中所產生、采集、處理、存儲、傳輸和使用的數據的綜合。
目前,企業(yè)通過工業(yè)數據的分析和應用可以去預測需求、預測制造,整合產業(yè)鏈和價值鏈,發(fā)現用戶的價值缺口,發(fā)現和管理不可見的問題,實現為用戶提供定制化的產品和服務,是企業(yè)獲取持續(xù)競爭優(yōu)勢的核心要素。
工業(yè)互聯網使數據存在的范圍和邊界發(fā)生了根本變化,給數據安全帶來巨大挑戰(zhàn)。
工業(yè)互聯網安全防護整體方案
做好工業(yè)互聯網安全的整體保障,才能為工業(yè)互聯網提供一個安全可靠的發(fā)展環(huán)境。
當前,應牢牢把握工業(yè)互聯網發(fā)展的關鍵窗口期,堅持以“本質安全、內外兼顧、業(yè)務優(yōu)先、隱私可控”為安全保障原則,從加強政策規(guī)劃指引、夯實基礎性工作、打造公共服務平臺、促進產業(yè)發(fā)展等多方面入手,建立全面保障工業(yè)互聯網設備安全、網絡安全、平臺安全和數據安全的新型縱深防御安全架構,從整體上強化我國工業(yè)互聯網安全防護水平。
1. 以頂層設計為基礎
2017年12月,工業(yè)和信息化部發(fā)布了《工業(yè)控制系統信息安全行動計劃(2018—2020年)》,從國家層面對工控系統信息安全保障體系建設做出規(guī)劃。
2. 以態(tài)勢感知為條件
在已形成的工業(yè)控制系統在線監(jiān)測預警能力基礎上,建設面向公共互聯網、企業(yè)內網/專網和工業(yè)控制網絡的國家級工業(yè)互聯網監(jiān)測預警與態(tài)勢感知平臺,結合在線監(jiān)測、誘捕探測、結構化/非結構化威脅數據感知等手段,通過大數據分析技術,形成全天候、全方位感知工業(yè)互聯網安全態(tài)勢的能力。
3. 以檢查評估為抓手
健全工業(yè)互聯網安全防護體系,檢查評估必不可少:
首先,建立面向工業(yè)企業(yè)的工業(yè)互聯網安全檢查和安全評估常態(tài)化工作機制,通過檢查評估及時發(fā)現工業(yè)互聯網的設備、網絡、平臺和數據安全問題,指導工業(yè)企業(yè)提升工業(yè)互聯網安全防護水平。
同時,探索開展工業(yè)互聯網平臺第三方安全審查,確保工業(yè)互聯網平臺產品和服務的安全性、可控性。研究工業(yè)互聯網平臺上線前安全測試制度,及時發(fā)現平臺安全漏洞、配置不合理、非授權訪問、身份冒用、不必要網絡服務開放等安全隱患,確保平臺上線后運行安全。
4. 以通報應急為重點
建設工業(yè)互聯網風險信息通報與應急處置工作體系,建設工業(yè)互聯網安全應急專業(yè)技術隊伍,提高應對工業(yè)互聯網安全事件和重大風險的組織協調與應急處置水平,預防和減少安全事件造成的損失和危害,形成集工業(yè)互聯網安全風險信息的收集、匯總、核查研判、通報發(fā)布、消減處置、跟蹤復查等于一體的閉環(huán)應急處置工作機制。
相關新聞
- ? AI+工業(yè)互聯網,卡奧斯為經濟高質量發(fā)展注入科技動能
- ? 卡奧斯 AI+工業(yè)互聯網落地加速,融合發(fā)展開新局
- ? AI創(chuàng)造用戶價值!卡奧斯賦能全球凈水行業(yè)首座“燈塔”
- ? 海克斯康智慧礦山與加納Tarkwa金礦攜手,打造更安全的作業(yè)環(huán)境
- ? 蟬聯最高A級評價,卡奧斯連續(xù)七年位居國家級雙跨平臺首位
- ? 中國工業(yè)互聯網:十年范式革命開新局
- ? 工信部:將實施工業(yè)互聯網與重點產業(yè)鏈“鏈網協同”行動
- ? 第七屆工業(yè)互聯網大賽新興產業(yè)賽:聚焦前沿 共筑未來創(chuàng)新生態(tài)
- ? 工業(yè)和信息化部啟動2025年工業(yè)互聯網“鏈網協同”典型案例征集工作
- ? 數據+智能雙驅動,卡奧斯打造AI時代新型“工業(yè)大腦”
編輯精選
- ? 首個人形機器人與具身智能標準體系發(fā)布
- ? 2 月份中國制造業(yè)景氣度創(chuàng)五年來最強勁改善率
- ? 匯川攜手中國聯通發(fā)布Universe平臺
- ? 舍弗勒宣布樂聚為首個中國具身智能合作伙伴,人形機器人走向全球產業(yè)協同
- ? 埃斯頓港股上市,“A+H”雙資本平臺戰(zhàn)略加速國際化布局
- ? 《2025年人形機器人市場研究報告》發(fā)布
- ? ABB機器人攜手英偉達 加速工業(yè)級物理AI規(guī)模化落地
- ? 打造“5G+工業(yè)互聯網”升級版 為智能經濟注入強勁動能
- ? 2026成都國際工業(yè)博覽會開幕,西部智造"向綠向智"加速跑
- ? 康佳特aReady.YOURS提供快速可靠的全定制嵌入式設計
工控原創(chuàng)
- ? ADI:人形機器人爆發(fā)背后,連接與感知仍是關鍵挑戰(zhàn)
- ? 春啟智造新篇!2026年3月工業(yè)自動化資訊全覽
- ? 當AI跨越虛實鴻溝,西門子如何在物理世界重寫工業(yè)規(guī)則?
- ? 會造成工控系統失控等安全風險!工信部旗下單位發(fā)布工業(yè)領域OpenClaw應用風險通報
- ? ABB機器人攜手英偉達 加速工業(yè)級物理AI規(guī)模化落地
- ? 舍弗勒宣布樂聚為首個中國具身智能合作伙伴,人形機器人走向全球產業(yè)協同
- ? 營收首破400億歐元大關 施耐德電氣2025財年交出強勁業(yè)績
- ? 高效電機市場強勁復蘇,2030年規(guī)模預計翻番至31億美元
- ? 美的剝離伺服資產,聚焦核心部件突圍
- ? 六十載創(chuàng)新積淀,ADI開啟邊緣智能新篇章
