今日頭條
官方微信
官方抖音
資訊頻道一、工業(yè)互聯(lián)網(wǎng)安全形勢
工業(yè)互聯(lián)網(wǎng)作為新一代信息技術與制造業(yè)深度融合的產(chǎn)物,日益成為新工業(yè)革命的關鍵支撐和深化“互聯(lián)網(wǎng)+先進制造業(yè)”的重要基石,對未來工業(yè)發(fā)展產(chǎn)生全方位、深層次、革命性影響。工業(yè)互聯(lián)網(wǎng)推動當前以“人與人”連接為核心的互聯(lián)網(wǎng)走向“人-機-物”全面互聯(lián),極大擴展了網(wǎng)絡空間的邊界和功能,與此同時,工業(yè)互聯(lián)網(wǎng)也打破了工業(yè)控制系統(tǒng)傳統(tǒng)的封閉格局,使工業(yè)互聯(lián)網(wǎng)控制層、設備層、網(wǎng)絡層、平臺層、數(shù)據(jù)層等安全問題大量暴露出來,線上線下安全風險交織疊加放大,安全形勢更為復雜。國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2019年工業(yè)信息安全態(tài)勢展望報告》顯示,目前網(wǎng)絡安全風險不斷向工業(yè)領域轉(zhuǎn)移,安全形勢愈加復雜,風險日益加大,工業(yè)互聯(lián)網(wǎng)正在成為網(wǎng)絡安全的主戰(zhàn)場。
工業(yè)互聯(lián)網(wǎng)安全關注度持續(xù)升溫。國家制造強國建設領導小組下設立工業(yè)互聯(lián)網(wǎng)專項工作組,統(tǒng)籌協(xié)調(diào)我國工業(yè)互聯(lián)網(wǎng)發(fā)展工作。工信部發(fā)布《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》作為我國工業(yè)互聯(lián)網(wǎng)安全的頂層設計指導文件,設立工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程(安全方向),開展工業(yè)互聯(lián)網(wǎng)安全項目試點示范項目,旨在加快工業(yè)互聯(lián)網(wǎng)安全創(chuàng)新發(fā)展。可以說,當前在政策層面已經(jīng)為工業(yè)互聯(lián)網(wǎng)安全的發(fā)展鋪好了堅實有力的道路,工業(yè)互聯(lián)網(wǎng)安全的關注度持續(xù)升溫。
網(wǎng)絡攻擊威脅向工業(yè)互聯(lián)網(wǎng)領域滲透。一方面,隨著信息化和工業(yè)化的融合不斷深入,越來越多的工業(yè)企業(yè)的工業(yè)生產(chǎn)系統(tǒng)直接或間接的與企業(yè)管理網(wǎng)甚至是互聯(lián)網(wǎng)連接,大量工控系統(tǒng)和設備暴露在網(wǎng)絡空間。設備和控制信息處于工業(yè)互聯(lián)網(wǎng)的“端”側(cè),作為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的來源,加劇了工業(yè)互聯(lián)網(wǎng)面臨的安全風險。另一方面,標識解析作為新一代工業(yè)互聯(lián)網(wǎng)重要網(wǎng)絡基礎設施,連接“端”與“云”,其應用生態(tài)逐步凸顯;工業(yè)互聯(lián)網(wǎng)平臺處于工業(yè)互聯(lián)網(wǎng)“云”側(cè),支撐制造資源實現(xiàn)泛在連接、彈性供給、高效配置,上承應用生態(tài)、下連系統(tǒng)設備,匯聚海量工業(yè)數(shù)據(jù)。標識解析和工業(yè)互聯(lián)網(wǎng)平臺等新型安全威脅逐步被攻擊者滲透。
工業(yè)互聯(lián)網(wǎng)更易成為主要攻擊目標。全球網(wǎng)絡安全空間呈現(xiàn)出越來越明顯的政治化、軍事化趨勢,網(wǎng)絡安全與其它傳統(tǒng)安全越來越緊密的相互交織和滲透,隨著攻擊難度和攻擊成本越來越低,工業(yè)控制系統(tǒng)、工業(yè)互聯(lián)網(wǎng)標識解析、工業(yè)互聯(lián)網(wǎng)平臺等作為國家關鍵基礎設施的重要組成部分,或已成為國家之間網(wǎng)絡對抗、有組織的黑客以及極端勢力“網(wǎng)絡精確打擊”的重要目標。
二、工業(yè)互聯(lián)網(wǎng)安全與傳統(tǒng)網(wǎng)絡安全對比分析
傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡層級較少,基于TCP/IP的通信協(xié)議安全機制也比較完善,對網(wǎng)絡時延的容忍度比較高,運行的信息系統(tǒng)更關注保密性和完整性,數(shù)據(jù)安全以信息數(shù)據(jù)保護為重點,遭受到網(wǎng)絡攻擊后多面臨經(jīng)濟損失。相比傳統(tǒng)互聯(lián)網(wǎng)安全,工業(yè)互聯(lián)網(wǎng)安全具有以下新的特征:
防護對象擴大,安全場景更豐富。傳統(tǒng)互聯(lián)網(wǎng)安全更多關注網(wǎng)絡設施、信息系統(tǒng)軟硬件以及應用數(shù)據(jù)安全。而工業(yè)互聯(lián)網(wǎng)安全擴展延伸至工廠內(nèi)部并伴隨多種新型安全防護對象,包含設備安全、控制安全、網(wǎng)絡(含標識解析)安全、平臺安全和數(shù)據(jù)安全。
連接范圍更廣,威脅延伸至物理世界。傳統(tǒng)互聯(lián)網(wǎng)安全中攻擊對象主要為用戶終端、信息服務系統(tǒng)、網(wǎng)站等。工業(yè)互聯(lián)網(wǎng)打通了工業(yè)現(xiàn)場與互聯(lián)網(wǎng),使網(wǎng)絡攻擊可直達生產(chǎn)一線。現(xiàn)場控制層、集中調(diào)度層、企業(yè)管理層之間直接通過以太網(wǎng)甚至是互聯(lián)網(wǎng)承載數(shù)據(jù)通信,越來越多的生產(chǎn)組件和服務直接或間接與互聯(lián)網(wǎng)連接,攻擊者從研發(fā)端、管理端、消費端、生產(chǎn)端都有可能實現(xiàn)對工業(yè)互聯(lián)網(wǎng)的攻擊或病毒傳播。
工業(yè)互聯(lián)網(wǎng)缺乏安全機制的協(xié)議種類繁多,互通難度大。傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡層級較少,基于TCP/IP的通信協(xié)議安全機制也較為完善 而工業(yè)互聯(lián)網(wǎng)是基于泛在連接的復雜網(wǎng)絡,運行著超過1000種缺乏安全機制的工業(yè)控制、現(xiàn)場總線、工業(yè)通信等協(xié)議,且不同企業(yè)接口不一、較為封閉等特點加大了安全協(xié)議分析的難度。
工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類多樣,缺乏防護重點。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類和保護需求多樣,數(shù)據(jù)流動方向和路徑復雜,研發(fā)設計數(shù)據(jù)、內(nèi)部生產(chǎn)管理數(shù)據(jù)、操作控制數(shù)據(jù)以及企業(yè)外部數(shù)據(jù)等,可能分布在大數(shù)據(jù)平臺、生產(chǎn)終端、工業(yè)互聯(lián)網(wǎng)平臺、設計服務器等多種設施上,僅依托單點、離散的數(shù)據(jù)保護措施難以有效保護工業(yè)互聯(lián)網(wǎng)中流動的工業(yè)數(shù)據(jù)安全。
網(wǎng)絡安全和生產(chǎn)安全交織,安全事件危害更嚴重。傳統(tǒng)網(wǎng)絡安全遭受到網(wǎng)絡攻擊后多面臨經(jīng)濟損失,工業(yè)互聯(lián)網(wǎng)一旦遭受攻擊,不僅影響經(jīng)濟損失,更可影響工業(yè)生產(chǎn)運行,引發(fā)安全生產(chǎn)事故,對國民經(jīng)濟造成重創(chuàng),影響社會穩(wěn)定,甚至對國家安全構成威脅。
新興技術應用帶來新的安全風險。工業(yè)互聯(lián)網(wǎng)技術與大數(shù)據(jù)、云計算、人工智能、區(qū)塊鏈、5G、邊緣計算等新技術的融合,以及第三方協(xié)作服務的深度介入增加了信息泄露、數(shù)據(jù)竊取的風險。隨著5G的協(xié)議全面互聯(lián)網(wǎng)化,被外部攻擊的可能性著增加,同時提升了應用5G的工業(yè)互聯(lián)網(wǎng)相關場景的安全挑戰(zhàn)。邊緣計算對工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)就近處理減少了敏感數(shù)據(jù)泄漏的風險,但其安全防護能力不及云中心,而且對原有的集中式內(nèi)容監(jiān)管模式帶來挑戰(zhàn)。
三、工業(yè)互聯(lián)網(wǎng)安全技術框架及發(fā)展的思考
現(xiàn)有網(wǎng)絡安全框架主要有OSI網(wǎng)絡安全體系架構、P2DR安全模型、IATF信息保障技術框架、NIST安全風險評估框架等。其中,OSI網(wǎng)絡安全體系架構提出了一種分層保護的思想,P2DR模型提出一種閉環(huán)的動態(tài)安全模型將網(wǎng)絡安全劃分為防護、檢測和響應三個階段,IATF框架將網(wǎng)絡系統(tǒng)的安全防護分為網(wǎng)絡及基礎設施防護、網(wǎng)絡邊界防護、局域網(wǎng)防護和支撐性基礎設施防護,形成對網(wǎng)絡系統(tǒng)的縱深防御。
面向工業(yè)互聯(lián)網(wǎng)安全防護對象擴大、連接范圍更廣、協(xié)議與數(shù)據(jù)種類繁多、安全事件危害更嚴重以及新興技術應用帶來新的挑戰(zhàn)等新特征與新需求,需提出面向工業(yè)互聯(lián)網(wǎng)的新型安全技術框架。具體可見即將發(fā)布的《工業(yè)互聯(lián)網(wǎng)安全技術與應用白皮書(2020)》。面對工業(yè)互聯(lián)網(wǎng)安全的新特征與新需求,工業(yè)互聯(lián)網(wǎng)安全技術也將不斷完善,對其技術發(fā)展需求做如下思考:
工業(yè)互聯(lián)網(wǎng)安全技術遷移需因事為制。工業(yè)互聯(lián)網(wǎng)涉及工業(yè)生產(chǎn)全流程,傳統(tǒng)互聯(lián)網(wǎng)安全技術的對象和方法與工業(yè)互聯(lián)網(wǎng)并不完全一致,不考慮區(qū)別直接套用會導致防護效果不佳,存在安全風險。工業(yè)互聯(lián)網(wǎng)安全技術應該從傳統(tǒng)互聯(lián)網(wǎng)安全技術中借鑒方法,研發(fā)適合工業(yè)互聯(lián)網(wǎng)防護對象的新技術,針對工業(yè)生產(chǎn)全流程進行整體安全設計,做到統(tǒng)籌兼顧。
工業(yè)互聯(lián)網(wǎng)安全需構建全新的身份信任體系。傳統(tǒng)護城河式的邊界防護安全架構已經(jīng)無法滿足工業(yè)互聯(lián)網(wǎng)安全的需求,需要重新評估和審視邊界防護安全架構的認知盲點,構建全新的身份信任體系重構訪問控制的信任基礎,去解決工業(yè)互聯(lián)網(wǎng)安全問題。零信任的思想可引導安全體系架構從網(wǎng)絡中心化走向身份中心化,以身份為中心進行動態(tài)訪問控制。
工業(yè)互聯(lián)網(wǎng)安全技術需要具備持續(xù)對抗的能力。工業(yè)互聯(lián)網(wǎng)漏洞可存在于工業(yè)APP、平臺、設備、控制系統(tǒng)、傳感器甚至基礎云資源中,單純工業(yè)安全硬件、軟件防護無法滿足需求,需要工業(yè)互聯(lián)網(wǎng)設備制造商、工業(yè)互聯(lián)網(wǎng)平臺服務商、網(wǎng)絡運營商和工業(yè)企業(yè)聯(lián)合采取措施確保工業(yè)互聯(lián)網(wǎng)安全。工業(yè)互聯(lián)網(wǎng)安全技術需要具備一種持續(xù)對抗的能力,在工業(yè)互聯(lián)網(wǎng)生產(chǎn)運行的各個階段提供持續(xù)性的安全服務能力。
工業(yè)互聯(lián)網(wǎng)安全技術需要具備面對未知變化做出響應的能力。工業(yè)互聯(lián)網(wǎng)通過實時性數(shù)據(jù)采集、數(shù)據(jù)集成和監(jiān)控,能夠根據(jù)感知到的環(huán)境變化信息,自適應地對外部變化做出有效響應。工業(yè)互聯(lián)網(wǎng)安全技術需要隨著網(wǎng)絡結(jié)構和功能動態(tài)演化而自主演進,具備不斷自我演進與學習提升的能力。主動式、智能化的威脅檢測與安全防護技術將不斷發(fā)展,未來對于工業(yè)互聯(lián)網(wǎng)安全防護的思維模式將從傳統(tǒng)的事件響應式向持續(xù)智能響應式轉(zhuǎn)變,旨在構建全面的預測、基礎防護、響應和恢復能力,抵御不斷演變的高級威脅。工業(yè)互聯(lián)網(wǎng)安全技術架構的重心也將從被動防護向持續(xù)普遍性的監(jiān)測響應及自動化、智能化的安全防護轉(zhuǎn)移。
工業(yè)互聯(lián)網(wǎng)安全技術與新技術的融合需更為緊密。隨著區(qū)塊鏈、可信計算、威脅情報等技術的發(fā)展,可為工業(yè)互聯(lián)網(wǎng)安全助力賦能。區(qū)塊鏈具有可信協(xié)作、隱私保護等技術優(yōu)勢,可在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)交換共享、確權、確責以及海量設備接入認證與安全管控等方面注入新的安全能力。可信計算可為工業(yè)互聯(lián)網(wǎng)體系結(jié)構、應用行為、數(shù)據(jù)存儲、策略管理等各個環(huán)節(jié)提供安全免疫能力,是實施主動防御的重要技術手段。威脅情報技術能夠收集整合分散的攻擊與安全事件信息,支撐選擇響應策略,支持智能化攻擊追蹤溯源,實現(xiàn)大規(guī)模網(wǎng)絡攻擊的防護與對抗,進而構建融合聯(lián)動的工業(yè)互聯(lián)網(wǎng)安全防護體系。
來源:中國信息安全
北京市公安局海淀分局備案號:11010802023656號