今日頭條
官方微信
官方抖音
資訊頻道作者:
北京燃氣集團有限責任公司 關(guān)鴻鵬
中國電子技術(shù)標準化研究院 李琳
北京燃氣集團有限責任公司 李鑫
北京燃氣集團有限責任公司 姚玉梅
中國電子技術(shù)標準化研究院 徐克超
北京燃氣集團有限責任公司 王顏山
摘要:隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興技術(shù)與傳統(tǒng)工業(yè)生產(chǎn)過程的深度融合,使得工業(yè)互聯(lián)網(wǎng)逐漸成為新興研究熱點之一。本文針對當前我國工業(yè)互聯(lián)網(wǎng)中存在的安全隱患,以及當前該領(lǐng)域相關(guān)標準化工作進展情況,提出工業(yè)互聯(lián)網(wǎng)信息安全標準體系架構(gòu),為工業(yè)互聯(lián)網(wǎng)安全標準化工作的開展提供參考。
關(guān)鍵詞:工業(yè)互聯(lián)網(wǎng);信息安全;標準體系
1 引言
當前,隨著信息技術(shù)和工業(yè)生產(chǎn)的雙向融合,云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興信息技術(shù)在各工業(yè)領(lǐng)域廣泛使用,使得傳統(tǒng)工業(yè)生產(chǎn)過程逐漸由單機走向互聯(lián)、由封閉走向開放。作為互聯(lián)網(wǎng)、新一代信息技術(shù)與工業(yè)系統(tǒng)全方位深度融合所形成的新型產(chǎn)業(yè)和應(yīng)用生態(tài),工業(yè)互聯(lián)網(wǎng)已成為發(fā)展的趨勢之一,引起各界的廣泛關(guān)注。隨著其飛速發(fā)展,工業(yè)互聯(lián)網(wǎng)深刻改變了傳統(tǒng)工業(yè)產(chǎn)業(yè)的生產(chǎn)方式、組織方式和商業(yè)模式,成為不斷推動著全球工業(yè)體系智能化變革的重要方式。
工業(yè)互聯(lián)網(wǎng)是工業(yè)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)、云計算、大數(shù)據(jù)存儲分析、企業(yè)辦公系統(tǒng)、產(chǎn)業(yè)鏈系統(tǒng)等多個組成部分的有機整體。工業(yè)互聯(lián)網(wǎng)的飛速發(fā)展,使得工業(yè)生產(chǎn)活動呈現(xiàn)“數(shù)字化、智能化、網(wǎng)絡(luò)化”的發(fā)展趨勢,工業(yè)產(chǎn)品生產(chǎn)各個生產(chǎn)環(huán)節(jié)的互聯(lián)互通,生產(chǎn)過程跨時間、跨地域的生產(chǎn)模式逐漸成為常態(tài),并形成了“設(shè)計、生產(chǎn)、物流、銷售、服務(wù)”為一體的全產(chǎn)業(yè)鏈上下游緊密結(jié)合的產(chǎn)業(yè)模式。工業(yè)互聯(lián)網(wǎng)的特點,決定了其各環(huán)節(jié)、各組成部分之間需要信息的互聯(lián)互通,信息技術(shù)的高度滲透融合,尤其是工業(yè)生產(chǎn)過程和控制網(wǎng)絡(luò)、互聯(lián)網(wǎng)的緊密結(jié)合,使得工業(yè)生產(chǎn)在提高效率的同時,也面臨著較為嚴重的信息安全風險隱患。近些年來,全球針對工業(yè)控制系統(tǒng)的信息安全事件頻發(fā),遍布諸多工業(yè)行業(yè),且多為水利、能源、交通等事關(guān)國民安全和社會穩(wěn)定的工業(yè)行業(yè),直接威脅人民生命財產(chǎn)安全和社會穩(wěn)定。“震網(wǎng)”病毒、“火焰”病毒等專門針對工業(yè)控制系統(tǒng)病毒的出現(xiàn),使得工業(yè)互聯(lián)網(wǎng)中工業(yè)控制系統(tǒng)也開始面臨著傳統(tǒng)信息安全病毒的惡意入侵,“洋蔥狗”、“食尸鬼行動”等針對能源、石化行業(yè)控制系統(tǒng)的惡意攻擊,也表明工業(yè)互聯(lián)網(wǎng)中存在信息安全隱患,工業(yè)攝像頭被惡意攻擊者非法劫持的事例也表明工業(yè)互聯(lián)網(wǎng)的信息采集層的傳感設(shè)備也存在風險隱患。工業(yè)互聯(lián)網(wǎng)以物聯(lián)網(wǎng)為基礎(chǔ)實現(xiàn)的萬物互聯(lián)的思想,在實現(xiàn)工業(yè)生產(chǎn)各環(huán)節(jié)、各領(lǐng)域廣泛互聯(lián)的同時,也暴露了更多的風險隱患點,給了惡意攻擊者更多的攻擊渠道。同時,各種新型應(yīng)用在工業(yè)互聯(lián)網(wǎng)的廣泛應(yīng)用,也使得工業(yè)互聯(lián)網(wǎng)面臨著數(shù)據(jù)安全、網(wǎng)絡(luò)安全等多層次的安全問題,故在開展信息安全防護工作時應(yīng)從多方面、多角度,提出綜合性的安全考量。
本文在分析當前工業(yè)互聯(lián)網(wǎng)安全發(fā)展的基礎(chǔ)上,總結(jié)工業(yè)互聯(lián)網(wǎng)相關(guān)標準化工作情況,并結(jié)合當前我國工業(yè)互聯(lián)網(wǎng)相關(guān)標準化工作基礎(chǔ),提出標準體系架構(gòu),為工業(yè)互聯(lián)網(wǎng)標準化工作的發(fā)展提供意見建議。
2 工業(yè)互聯(lián)網(wǎng)安全發(fā)展現(xiàn)狀
隨著工業(yè)互聯(lián)網(wǎng)信息安全問題日益嚴重,工業(yè)互聯(lián)網(wǎng)服務(wù)提供商與各生產(chǎn)企業(yè)已開始著手解決工業(yè)安全防護問題,但是針對工業(yè)互聯(lián)網(wǎng)安全的研究還處于起步階段。當前,工業(yè)互聯(lián)網(wǎng)主要面臨著如下安全風險問題。
一是設(shè)備安全風險。工業(yè)互聯(lián)網(wǎng)作為物聯(lián)網(wǎng)技術(shù)在工業(yè)領(lǐng)域的衍生發(fā)展,使得工業(yè)生產(chǎn)過程的上下游逐步形成有機整體,從工業(yè)生產(chǎn)現(xiàn)場的信息采集、生產(chǎn)過程執(zhí)行等,到工業(yè)生產(chǎn)排產(chǎn)、規(guī)劃調(diào)度,以及產(chǎn)業(yè)上下游企業(yè)的全產(chǎn)業(yè)鏈的信息互聯(lián)互通,都涉及諸多設(shè)備。眾多設(shè)備集成于工業(yè)互聯(lián)網(wǎng)中,在提升工業(yè)互聯(lián)網(wǎng)效率、擴展工業(yè)互聯(lián)網(wǎng)功能的同時,也擴大了安全風險的暴露面積,受攻擊面不斷擴大。例如,工業(yè)互聯(lián)網(wǎng)傳感設(shè)備性能較低,安全防護能力相對不足,工業(yè)控制系統(tǒng)對實時性要求較高,安全防護技術(shù)手段尚不完備,這就使得工業(yè)互聯(lián)網(wǎng)面臨著更多的設(shè)備安全的風險隱患。
二是數(shù)據(jù)安全風險。工業(yè)互聯(lián)網(wǎng)平臺通常需采集工業(yè)生產(chǎn)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、工控系統(tǒng)及設(shè)備狀態(tài)等重要數(shù)據(jù),這些數(shù)據(jù)對于預(yù)測國家經(jīng)濟運行狀況、企業(yè)經(jīng)營情況等具有重要意義,因此針對這些數(shù)據(jù)的傳輸、存儲、應(yīng)用需要重點保護。例如,工業(yè)互聯(lián)網(wǎng)通常需要采集工業(yè)設(shè)備每天運行情況,具體生產(chǎn)數(shù)據(jù)、訂單用戶信息等,同時對于采用云計算、大數(shù)據(jù)等技術(shù)的工業(yè)互聯(lián)網(wǎng),通常還需將上述數(shù)據(jù)跨境傳輸、存儲。這就導(dǎo)致社會公眾利益、個人隱私等面臨著受侵害的風險隱患。
三是控制安全風險。當前,工業(yè)互聯(lián)網(wǎng)的最終目標是確保工業(yè)生產(chǎn)的高效、順利進行。因此,諸多工業(yè)互聯(lián)網(wǎng)都提供針對工業(yè)生產(chǎn)設(shè)備的控制功能。該功能可通過工業(yè)企業(yè)私有云平臺控制工業(yè)企業(yè)內(nèi)部工業(yè)控制系統(tǒng)實現(xiàn),也可由第三方服務(wù)提供商在工業(yè)生產(chǎn)設(shè)備上加裝輔助控制設(shè)備來實現(xiàn)。聯(lián)網(wǎng)控制工業(yè)生產(chǎn)設(shè)備的實現(xiàn),在方便工業(yè)互聯(lián)網(wǎng)對工業(yè)生產(chǎn)設(shè)備聯(lián)網(wǎng)控制、統(tǒng)一調(diào)配的同時,也帶來了諸多的安全隱患。因此在通過工業(yè)互聯(lián)網(wǎng)連接并控制工業(yè)生產(chǎn)設(shè)備的同時,需重點考慮控制信息的安全性。
四是網(wǎng)絡(luò)安全風險。工業(yè)互聯(lián)網(wǎng)將工業(yè)生產(chǎn)設(shè)備、控制設(shè)備、企業(yè)管理系統(tǒng)、上下游產(chǎn)業(yè)鏈的相關(guān)系統(tǒng)相互連通,在提高生產(chǎn)效率、打通網(wǎng)絡(luò)通信渠道的同時,也將網(wǎng)絡(luò)協(xié)議層的安全風險隱患引入工業(yè)互聯(lián)網(wǎng)中。例如,為實現(xiàn)工業(yè)生產(chǎn)設(shè)備互聯(lián),諸多工業(yè)控制系統(tǒng)需采用統(tǒng)一且公開的工業(yè)協(xié)議,協(xié)議格式內(nèi)容的公開,使得惡意攻擊者可有效研究工業(yè)協(xié)議,并有針對性地開展惡意攻擊。目前已知的工業(yè)控制系統(tǒng)信息安全惡意攻擊事件較多針對通用工業(yè)協(xié)議開展攻擊。此外,工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)層多采用傳統(tǒng)互聯(lián)網(wǎng)協(xié)議,這就將傳統(tǒng)的信息安全風險隱患引入工業(yè)互聯(lián)網(wǎng)中。
3 工業(yè)互聯(lián)網(wǎng)安全標準現(xiàn)狀
為確保工業(yè)互聯(lián)網(wǎng)安全,國外發(fā)達國家長期開展工業(yè)互聯(lián)網(wǎng)安全相關(guān)標準規(guī)范的研究制定工作。工業(yè)互聯(lián)網(wǎng)作為多項技術(shù)融合發(fā)展的產(chǎn)物,包含諸多新型技術(shù)應(yīng)用,故目前針對工業(yè)互聯(lián)網(wǎng)的安全標準較少。但國外發(fā)達國家早已開展如工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)、云計算等工業(yè)互聯(lián)網(wǎng)相關(guān)領(lǐng)域的標準制定工作。
2015年5月2日,美國國家標準與技術(shù)研究院(NIST)發(fā)布了《工業(yè)控制系統(tǒng)(ICS)安全指南》(NIST SP800-82),主要從工控系統(tǒng)架構(gòu)、系統(tǒng)與信息系統(tǒng)的區(qū)別、工控系統(tǒng)的典型威脅和脆弱性分析、工控系統(tǒng)信息安全建設(shè)參考模型、SP 800-53中的安全控制措施在工控系統(tǒng)中的應(yīng)用五個方面論述了工業(yè)控制系統(tǒng)(ICS)安全的重要性和應(yīng)對威脅的安全策略。NIST SP800-82概述了工業(yè)控制系統(tǒng)的系統(tǒng)拓撲結(jié)構(gòu),指出了對于這些系統(tǒng)的典型威脅和脆弱點所在,為消減相關(guān)風險提供了建議性的安全對策。同時,根據(jù)工業(yè)控制系統(tǒng)的潛在安全隱患,以及安全隱患影響水平的不同,指出了保障工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的不同方法和技術(shù)手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的工業(yè)控制系統(tǒng)。除此之外,NIST還陸續(xù)發(fā)布了《聯(lián)邦信息系統(tǒng)和組織的安全控制建議》(NIST SP 800-53)、《系統(tǒng)保護輪廓-工業(yè)控制系統(tǒng)》(NIST IR 7176)、《中等健壯環(huán)境下的SCADA系統(tǒng)現(xiàn)場設(shè)備保護概況》、《智能電網(wǎng)安全指南》(NIST IR 7628)等標準規(guī)范。
在國內(nèi),我國自2010年前后已陸續(xù)開展工業(yè)控制系統(tǒng)信息安全相關(guān)標準的研究制定工作。截至目前,全國已有多個相關(guān)標委會開展了該領(lǐng)域標準執(zhí)行工作。全國工業(yè)過程測量和控制標準化技術(shù)委員會從自動化領(lǐng)域入手,借鑒IEC62443等系列標準,研究制定了《工業(yè)通信網(wǎng)絡(luò)-網(wǎng)絡(luò)和系統(tǒng)安全-第2-1部分:建立工業(yè)自動化和控制系統(tǒng)信息安全程序》、《工業(yè)控制系統(tǒng)信息安全 第1部分:評估規(guī)范》、《工業(yè)控制系統(tǒng)信息安全第2部分:驗收規(guī)范》等工業(yè)控制系統(tǒng)的安全標準。全國信息安全標準化技術(shù)委員會(TC260)作為全國信息安全領(lǐng)域標準化歸口組織,歸口管理全國信息安全領(lǐng)域的相關(guān)國家標準化工作。截至目前,已發(fā)布《信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》等相關(guān)國家標準,同時國標立項標準十余項。相關(guān)立項標準如表1所示。
除此之外,我國還針對傳感器、數(shù)據(jù)傳輸、網(wǎng)絡(luò)應(yīng)用等方面,立項研制了相關(guān)標準,如針對視頻監(jiān)控安全,全國安全防范報警系統(tǒng)標準化技術(shù)委員會(TC100)已制定視頻安防監(jiān)控系統(tǒng)相關(guān)安全國家標準5項,含2項強制性標準,行業(yè)標準25項,包含管理、技術(shù)、測試驗收等方面。
4 工業(yè)互聯(lián)網(wǎng)標準體系
由表1可知,當前我國工業(yè)互聯(lián)網(wǎng)相關(guān)標準多為物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、云計算等領(lǐng)域標準,專門針對工業(yè)互聯(lián)網(wǎng)安全的標準尚未立項研制。綜合考慮國家、平臺運營商和企業(yè)用戶等層面面臨的安全威脅,圍繞“基礎(chǔ)+技術(shù)+管理+服務(wù)”標準體系,加快研制《工業(yè)互聯(lián)網(wǎng)安全接入基本要求》、《工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全防護基本要求》、《工業(yè)互聯(lián)網(wǎng)平臺應(yīng)用安全要求》、《工業(yè)互聯(lián)網(wǎng)平臺安全管理基本要求》、《工業(yè)互聯(lián)網(wǎng)安全防護產(chǎn)品基本要求》、《工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全評估實施指南》等重點急需標準,支撐工信部工業(yè)互聯(lián)網(wǎng)安全管理工作。
針對當前我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展需求,結(jié)合當前相關(guān)技術(shù)應(yīng)用融合情況,總體提出如圖1所示標準體系。該標準體系從基礎(chǔ)共性、技術(shù)要求、管理要求、服務(wù)規(guī)范四個方面,開展工業(yè)互聯(lián)網(wǎng)安全標準的規(guī)劃工作。
在基礎(chǔ)共性標準方面,重點開展工業(yè)互聯(lián)網(wǎng)的術(shù)語與定義的標準制定工作,針對工業(yè)互聯(lián)網(wǎng)領(lǐng)域的專有名詞,相關(guān)技術(shù)、產(chǎn)品等的術(shù)語,給出規(guī)范化的標準指導(dǎo)。同時針對工業(yè)互聯(lián)網(wǎng)實際情況,研究提出工業(yè)互聯(lián)網(wǎng)安全參考架構(gòu)和通用參考模型,為工業(yè)互聯(lián)網(wǎng)的設(shè)計、建設(shè)、運維過程中的安全提供參考依據(jù)。
表1
在技術(shù)要求部分,重點考慮設(shè)備、系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用等領(lǐng)域的安全性要求,從物理防護、訪問控制、安全管理、標識和鑒別、通信安全、運維安全等方面,對工業(yè)互聯(lián)網(wǎng)各組成部分的安全防護、安全防護設(shè)備等提出技術(shù)性要求。
在管理要求方面,結(jié)合工業(yè)云平臺數(shù)據(jù)、運維以及工業(yè)控制系統(tǒng)的特點,提出數(shù)據(jù)安全管理、平臺運維安全管理、工業(yè)系統(tǒng)安全管理的相關(guān)標準,指導(dǎo)當前我國工業(yè)互聯(lián)網(wǎng)安全管理工作的開展。
在服務(wù)規(guī)范方面,針對工業(yè)互聯(lián)網(wǎng)服務(wù)提供主體的不同,從工業(yè)互聯(lián)網(wǎng)自營服務(wù)、第三方服務(wù)兩個方面制定標準。其中自營服務(wù)重點針對工業(yè)互聯(lián)網(wǎng)平臺提供方為主體提供的服務(wù),而第三方服務(wù)則側(cè)重于針對工業(yè)互聯(lián)網(wǎng)平臺為工業(yè)企業(yè)和用戶提供平臺門戶、云制造、大數(shù)據(jù)應(yīng)用、創(chuàng)新創(chuàng)業(yè)、工業(yè)品共享中心等產(chǎn)業(yè)服務(wù)中的安全性提供標準化指導(dǎo)。
圖1 工業(yè)互聯(lián)網(wǎng)安全標準體系
5 總結(jié)
工業(yè)互聯(lián)網(wǎng)作為多種新興技術(shù)深度交叉融合的產(chǎn)物,正在改變著傳統(tǒng)工業(yè)企業(yè)工業(yè)生產(chǎn)的方式。隨之而來的,也衍生出了數(shù)據(jù)安全、接入安全、控制安全等諸多方面的安全問題。本文針對當前我國工業(yè)互聯(lián)網(wǎng)發(fā)展狀況,分析風險隱患,并結(jié)合當前我國相關(guān)領(lǐng)域標準化工作的實際情況,提出標準體系,為后續(xù)標準化工作的開展提供借鑒參考。
作者簡介:
關(guān)鴻鵬(1968-)男,北京人,高級工程師,學(xué)士,現(xiàn)任北京燃氣集團有限責任公司運營調(diào)度中心副主任,主要研究方向為燃氣供應(yīng)、燃氣調(diào)度、燃氣管網(wǎng)安全管理、工業(yè)控制系統(tǒng)信息安全。
李琳(1983-)男,山東人,博士,現(xiàn)任中國電子技術(shù)標準化研究院工程師,研究方向為信息安全、數(shù)據(jù)挖掘。發(fā)表SCI、EI十余篇,參與多項信息安全、工業(yè)控制系統(tǒng)信息安全等。
李鑫(1981-),男,北京人,碩士,現(xiàn)任北京燃氣集團有限責任公司工程師,主要研究方向為燃氣工業(yè)控制系統(tǒng)安全、網(wǎng)絡(luò)與信息安全。
姚玉梅(1964-),女,河北人,學(xué)士,現(xiàn)任北京燃氣集團有限責任公司高級工程師,主要研究方向為燃氣工業(yè)控制系統(tǒng)安全、網(wǎng)絡(luò)與信息安全。
徐克超(1981-),男,山東人,碩士,現(xiàn)任中國電子技術(shù)標準化研究院工程師,研究方向為網(wǎng)絡(luò)與信息安全。在國內(nèi)外期刊發(fā)表論文十余篇,先后負責和參與國家科技支撐計劃、國家科技重大專項、國家發(fā)改委產(chǎn)業(yè)化專項、中央網(wǎng)信辦網(wǎng)絡(luò)安全專項、工信部工控安全評估專項,國家重點研發(fā)計劃等科研項目20余項。
王顏山(1993-),男,山西人,學(xué)士,現(xiàn)任北京燃氣集團有限責任公司助理工程師,主要研究方向工業(yè)控制系統(tǒng)安全、網(wǎng)絡(luò)與信息安全。
摘自《自動化博覽》2018年3月刊
北京市公安局海淀分局備案號:11010802023656號