工業(yè)互聯(lián)網(wǎng)是以數(shù)字化、網(wǎng)絡(luò)化、智能化為主要特征,通過系統(tǒng)構(gòu)建網(wǎng)絡(luò)、平臺�、安全三大功能體系,打造人�����、機�����、物全面互聯(lián)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施��。應(yīng)堅持國家總體安全觀�����,從國家安全戰(zhàn)略全局出發(fā)�,認識理解工業(yè)互聯(lián)網(wǎng)安全的重大意義,強化頂層設(shè)計和統(tǒng)籌管理����,加快構(gòu)建符合我國國情、滿足工業(yè)互聯(lián)網(wǎng)發(fā)展需要的安全保障體系���。
工業(yè)互聯(lián)網(wǎng)安全威脅分析
工業(yè)互聯(lián)網(wǎng)實現(xiàn)了全系統(tǒng)��、全產(chǎn)業(yè)鏈和全生命周期的互聯(lián)互通��,而與此同時���,互聯(lián)互通的實現(xiàn)也打破傳統(tǒng)工業(yè)相對封閉可信的生產(chǎn)環(huán)境,導(dǎo)致攻擊路徑大大增加��。
現(xiàn)場控制層��、集中調(diào)度層、企業(yè)管理層之間直接通過以太網(wǎng)甚至是互聯(lián)網(wǎng)承載數(shù)據(jù)通信���,越來越多的生產(chǎn)組件和服務(wù)直接或間接與互聯(lián)網(wǎng)連接�,攻擊者從研發(fā)端�、管理端、消費端��、生產(chǎn)端都有可能實現(xiàn)對工業(yè)互聯(lián)網(wǎng)的攻擊或病毒傳播��。
這也直接導(dǎo)致工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)保護難度加大����。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)種類和保護需求多樣��,數(shù)據(jù)流動方向和路徑復(fù)雜��,研發(fā)設(shè)計數(shù)據(jù)�、內(nèi)部生產(chǎn)管理數(shù)據(jù)、操作控制數(shù)據(jù)以及企業(yè)外部數(shù)據(jù)等����,可能分布在大數(shù)據(jù)平臺、用戶端����、生產(chǎn)終端�、設(shè)計服務(wù)器等多種設(shè)施上�����,僅依托單點��、離散的數(shù)據(jù)保護措施難以有效保護工業(yè)互聯(lián)網(wǎng)中流動的工業(yè)數(shù)據(jù)安全�����。
從現(xiàn)實來看�,下層工業(yè)控制網(wǎng)絡(luò)安全性考慮也還不充分。
傳統(tǒng)模式下����,工業(yè)控制網(wǎng)絡(luò)未與外部互聯(lián)網(wǎng)直接聯(lián)通,安全認證機制��,訪問控制手段需求并不迫切�。然而,在工業(yè)互聯(lián)網(wǎng)環(huán)境下�����,攻擊者一旦通過互聯(lián)網(wǎng)通道進入下層工業(yè)控制網(wǎng),只需掌握通信協(xié)議就可以很容易對工業(yè)控制網(wǎng)絡(luò)實現(xiàn)常見的拒絕服務(wù)攻擊���、中間人攻擊等����,輕則影響生產(chǎn)數(shù)據(jù)采集和控制指令的及時性和正確性�,重則造成物理設(shè)施被破壞。
從平臺建設(shè)來看�,虛擬化等平臺技術(shù)成為趨勢,這也加大了工業(yè)數(shù)據(jù)保護難度��。工業(yè)互聯(lián)網(wǎng)平臺中多個客戶共享計算資源���,虛擬機之間的隔離和防護容易受到攻擊,跨虛擬機的非授權(quán)訪問風(fēng)險突出��。而且目前多數(shù)集團或工業(yè)企業(yè)內(nèi)部的生產(chǎn)業(yè)務(wù)平臺安全設(shè)計不足���。
工業(yè)企業(yè)往往更加注重業(yè)務(wù)平臺的功能性��,在設(shè)計之初很少考慮安全架構(gòu)�����,可能存在權(quán)限繞過���、緩沖區(qū)溢出等安全設(shè)計缺陷��,為網(wǎng)絡(luò)攻擊提供路徑�。
工業(yè)互聯(lián)網(wǎng)的相關(guān)定義和技術(shù)架構(gòu)尚未在國際范圍內(nèi)得到充分統(tǒng)一�����,工業(yè)互聯(lián)網(wǎng)在我國的提出和推進也仍然處于初級階段�����。
與傳統(tǒng)消費互聯(lián)網(wǎng)和商業(yè)互聯(lián)網(wǎng)相比�,作為新生事物的工業(yè)互聯(lián)網(wǎng)需要更高標(biāo)準(zhǔn)的信息安全要求;與傳統(tǒng)工業(yè)控制系統(tǒng)相比�����,工業(yè)互聯(lián)網(wǎng)的安全覆蓋面更為復(fù)雜����。
當(dāng)前,我國僅從工業(yè)互聯(lián)網(wǎng)的某些局部元素層面開展了相關(guān)安全保障工作,且工業(yè)互聯(lián)網(wǎng)安全保障可能涉及多個責(zé)任部門����,需要充分協(xié)作、形成合力����,打造針對我國工業(yè)互聯(lián)網(wǎng)的整體安全保障工作機制。
工業(yè)互聯(lián)網(wǎng)安全需求
安全是工業(yè)互聯(lián)網(wǎng)的三大核心內(nèi)容之一��。在工業(yè)互聯(lián)網(wǎng)總體框架下�����,安全既是一套獨立功能體系����,又滲透融合在網(wǎng)絡(luò)和平臺建設(shè)使用的全過程,為網(wǎng)絡(luò)�、平臺提供安全保障���。
構(gòu)建工業(yè)互聯(lián)網(wǎng)安全保障體系可從平臺�、網(wǎng)絡(luò)�����、終端、數(shù)據(jù)四個方面考慮�,涉及工業(yè)控制系統(tǒng)安全、企業(yè)信息管理系統(tǒng)安全�、企業(yè)控制網(wǎng)絡(luò)及管理網(wǎng)安全、互聯(lián)網(wǎng)寬帶網(wǎng)絡(luò)安全�����、工業(yè)云安全和工業(yè)大數(shù)據(jù)安全等內(nèi)容�����。
1.責(zé)任主體
在傳統(tǒng)工業(yè)制造階段�,工業(yè)信息安全作為生產(chǎn)安全的重要組成部分,由工業(yè)企業(yè)作為其安全責(zé)任主體���,責(zé)任邊界較為清晰�。
當(dāng)前工業(yè)互聯(lián)互通階段�,工業(yè)信息安全主要表征為工業(yè)互聯(lián)網(wǎng)安全,工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)和數(shù)據(jù)在設(shè)備層����、數(shù)據(jù)采集層����、基礎(chǔ)網(wǎng)絡(luò)層��、IaaS層�、工業(yè)互聯(lián)網(wǎng)平臺層、工業(yè)應(yīng)用層等多個層級間流轉(zhuǎn)�,安全責(zé)任主體涉及工業(yè)企業(yè)、設(shè)備供應(yīng)商��、基礎(chǔ)電信運營商���、IaaS網(wǎng)絡(luò)服務(wù)商����、工業(yè)互聯(lián)網(wǎng)平臺運營商����、工業(yè)應(yīng)用提供商等,安全責(zé)任界定和安全監(jiān)管難度加大�����。
2.平臺安全
工業(yè)互聯(lián)網(wǎng)平臺是工業(yè)互聯(lián)網(wǎng)實施落地與生態(tài)構(gòu)建的關(guān)鍵載體��,其安全是工業(yè)互聯(lián)網(wǎng)安全的核心和關(guān)鍵�。
目前,工業(yè)互聯(lián)網(wǎng)平臺安全問題主要包括:
一是海量設(shè)備和系統(tǒng)的接入加大平臺安全防護難度����;
二是云及虛擬化平臺自身的安全脆弱性日益凸顯;
三是API接口開放加大了工業(yè)互聯(lián)網(wǎng)平臺面臨的安全風(fēng)險�����;
四是云環(huán)境下安全風(fēng)險跨域傳播的級聯(lián)效應(yīng)愈發(fā)明顯�;
五是云服務(wù)模式導(dǎo)致安全主體責(zé)任不清晰;
六是集團或工業(yè)企業(yè)內(nèi)部的生產(chǎn)業(yè)務(wù)平臺安全設(shè)計不足��。
5.數(shù)據(jù)安全
工業(yè)數(shù)據(jù)是指工業(yè)領(lǐng)域中���,在業(yè)務(wù)活動和過程中所產(chǎn)生���、采集、處理�����、存儲��、傳輸和使用的數(shù)據(jù)的綜合。目前�����,企業(yè)通過工業(yè)數(shù)據(jù)的分析和應(yīng)用可以去預(yù)測需求��、預(yù)測制造����,整合產(chǎn)業(yè)鏈和價值鏈,發(fā)現(xiàn)用戶的價值缺口��,發(fā)現(xiàn)和管理不可見的問題�,實現(xiàn)為用戶提供定制化的產(chǎn)品和服務(wù),是企業(yè)獲取持續(xù)競爭優(yōu)勢的核心要素����。工業(yè)互聯(lián)網(wǎng)使數(shù)據(jù)存在的范圍和邊界發(fā)生了根本變化,給數(shù)據(jù)安全帶來巨大挑戰(zhàn)�����。
工業(yè)互聯(lián)網(wǎng)安全防護整體方案
做好工業(yè)互聯(lián)網(wǎng)安全的整體保障����,才能為工業(yè)互聯(lián)網(wǎng)提供一個安全可靠的發(fā)展環(huán)境����。
當(dāng)前�����,應(yīng)牢牢把握工業(yè)互聯(lián)網(wǎng)發(fā)展的關(guān)鍵窗口期�����,堅持以“本質(zhì)安全�、內(nèi)外兼顧�、業(yè)務(wù)優(yōu)先、隱私可控”為安全保障原則��,從加強政策規(guī)劃指引�����、夯實基礎(chǔ)性工作�����、打造公共服務(wù)平臺����、促進產(chǎn)業(yè)發(fā)展等多方面入手�,建立全面保障工業(yè)互聯(lián)網(wǎng)設(shè)備安全��、網(wǎng)絡(luò)安全��、平臺安全和數(shù)據(jù)安全的新型縱深防御安全架構(gòu)��,從整體上強化我國工業(yè)互聯(lián)網(wǎng)安全防護水平�。
1.以頂層設(shè)計為基礎(chǔ)
2017年12月,工業(yè)和信息化部發(fā)布了《工業(yè)控制系統(tǒng)信息安全行動計劃(2018—2020年)》����,從國家層面對工控系統(tǒng)信息安全保障體系建設(shè)做出規(guī)劃。
2.以態(tài)勢感知為條件
在已形成的工業(yè)控制系統(tǒng)在線監(jiān)測預(yù)警能力基礎(chǔ)上�����,建設(shè)面向公共互聯(lián)網(wǎng)���、企業(yè)內(nèi)網(wǎng)/專網(wǎng)和工業(yè)控制網(wǎng)絡(luò)的國家工業(yè)互聯(lián)網(wǎng)監(jiān)測預(yù)警與態(tài)勢感知平臺�,結(jié)合在線監(jiān)測�����、誘捕探測、結(jié)構(gòu)化/非結(jié)構(gòu)化威脅數(shù)據(jù)感知等手段��,通過大數(shù)據(jù)分析技術(shù)����,形成全天候���、全方位感知工業(yè)互聯(lián)網(wǎng)安全態(tài)勢的能力��。
3.以檢查評估為抓手
健全工業(yè)互聯(lián)網(wǎng)安全防護體系��,檢查評估必不可少:
首先�����,建立面向工業(yè)企業(yè)的工業(yè)互聯(lián)網(wǎng)安全檢查和安全評估常態(tài)化工作機制��,通過檢查評估及時發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)的設(shè)備���、網(wǎng)絡(luò)、平臺和數(shù)據(jù)安全問題���,指導(dǎo)工業(yè)企業(yè)提升工業(yè)互聯(lián)網(wǎng)安全防護水平�。
同時,探索開展工業(yè)互聯(lián)網(wǎng)平臺第三方安全審查����,確保工業(yè)互聯(lián)網(wǎng)平臺產(chǎn)品和服務(wù)的安全性、可控性���。研究工業(yè)互聯(lián)網(wǎng)平臺上線前安全測試制度���,及時發(fā)現(xiàn)平臺安全漏洞、配置不合理�、非授權(quán)訪問、身份冒用�、不必要網(wǎng)絡(luò)服務(wù)開放等安全隱患,確保平臺上線后運行安全�����。
4.以通報應(yīng)急為重點
建設(shè)工業(yè)互聯(lián)網(wǎng)風(fēng)險信息通報與應(yīng)急處置工作體系���,建設(shè)工業(yè)互聯(lián)網(wǎng)安全應(yīng)急專業(yè)技術(shù)隊伍����,提高應(yīng)對工業(yè)互聯(lián)網(wǎng)安全事件和重大風(fēng)險的組織協(xié)調(diào)與應(yīng)急處置水平,預(yù)防和減少安全事件造成的損失和危害����,形成集工業(yè)互聯(lián)網(wǎng)安全風(fēng)險信息的收集、匯總�、核查研判、通報發(fā)布���、消減處置�、跟蹤復(fù)查等于一體的閉環(huán)應(yīng)急處置工作機制����。
