Top
首页 > 信息化 > 互联网与工业融合创新 > 正文

系统层安全成“重灾区”,工业互联网安全如何砌好防火墙?

工业互联网作为制造业与互联网深度融合的产物,推动工业链、产业链、价值链的重塑再造,让设计、生产、服务等全产业链的生产模式成为常态,在提高生产效率的同时,也为工厂信息安全隐患埋下了伏笔,从近年来频发的工业安全事件中我们也不难看出,工业互联网安全需要引起我们的高度重视。
发布时间:2018-06-27 16:42        来源:赛迪网-通信产业网        作者:党博文

工业互联网作为制造业与互联网深度融合的产物,推动工业链、产业链、价值链的重塑再造,让设计、生产、服务等全产业链的生产模式成为常态,在提高生产效率的同时,也为工厂信息安全隐患埋下了伏笔,从近年来频发的工业安全事件中我们也不难看出,工业互联网安全需要引起我们的高度重视。

微信图片_20180627153450.jpg

漏洞威胁日益严重

工业互联网打破了传统工业相对封闭可信的制造环境,也造成了病毒、木马等安全风险对工业产生的威胁,一旦受到网络攻击,将会造成巨大的经济损失和社会影响,如今距离蠕虫勒索病毒“WannaCry”的全球范围大爆发已有一年,然而直到今天,我国每天仍有近千台设备受其感染,导致生产停滞或重要信息丢失。这背后,是我国绝大多数工业控制系统含有漏洞,且在没有防护的情况下持续工作。那么为何工业互联网的安全漏洞如此严重呢?

首先,从工业互联网整体技术基础上看,国外的技术产品还是主流,我们国家也在逐步用自己的产品进行替代,但还没有完全替代。很多地方既有自己的知识产权,也有国外的知识产权,技术体系复杂,也在一定程度上造成不稳定性和安全隐患,根据白皮书对我国近几年重点领域信息安全检查工作统计,数千个工控系统均由外国厂商提供运行维护,大量企业不具备自主维护能力,缺乏对国外产品和服务的监管。

微信图片_20180627153438.jpg

其次,由于网络安全事件具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏了几年都不被发现,隐患长期潜伏,再加上多数工业系统在设计之初是封闭的“单机系统”,没有考虑联网需求,现在随着工业“互联网+”的推进,这些没有防护软件的设备暴露在网络势必也会成为被优先攻击的目标。

最后,工业企业和网络安全企业深度合作较少,从国外情况,工业控制企业通常会与网络安全企业合作,共同研发网络安全方案。这种合作模式目前在国内基本上还没有开始。一方面目前还没有对工业网络必须采用安全方案的强制要求,工业企业对网络安保也没有达到足够的重视程度,难以产生合作需求。另一方面一些工业集成企业希望自己做安全,与网络安全企业合作存在行业壁垒。

系统层成安全“重灾区”

工业互联网贯通整个制造业,是实现智能制造的关键基础,其中系统层作为被病毒、木马主要攻击的区域可谓是工业互联网“重灾区”,把系统层级再细分可以分为设备层、控制层、车间层、企业层和协同层,不同层级承担的功能不同,面临的安全威胁也各不相同。

设备层安全威胁:设备层级包括传感器、仪器仪表、条码、机器、机械等,是企业进行生产活动的基础。目前设备层级的设备信息化程度不高或者仅具有简单的状态感知和逻辑运算功能,通过设备层级的设备进行安全入侵尚有困难,但是我们必须注意到设备终端随着不断“智能化、网络化、扁平化”,安全隐患也会不断上升。

控制层安全威胁:控制层包括可编程逻辑控制器、数据采集与监视控制系统、分布式控制系统和现场总线控制系统等。控制层直接参与生产活动,其中很多生产设备直接影响国计民生,如电力,城市供水灯。入侵控制层设备不仅可能直接导致巨额经济损失,更有可能造成广范围的社会混乱。

微信图片_20180627153441.jpg

车间层安全威胁:车间层级面向工厂、车间的生产管理,包括制造执行系统等。目前车间层处于封闭或半封闭的状态,为满足未来大规模工业定制化生产的要求,车间层与控制层需要构成一体化网络,对于一体化网络以车间层级为跳板就可以实现对控制层的安全入侵。

企业层安全威胁:企业层级实现面向企业的经营管理,包括企业资源计划系统、产品生命周期管理、供应链管理系统和客户关系管理系统等。企业层的信息安全多属于传统的信息安全领域,企业层是安全入侵或信息侦查的第一门户,也是社会工程学攻击的主要对象。

协同层安全威胁:协同层级由产业链上下不同企业通过互联网络共享信息实现协同研发、智能生产、精准物流和智能服务灯。协同层级面临多个方面的安全威胁,需要用户采用纵深防御、网络隔离、入侵防护等多种手段来保证信息安全。

如何应对?

据国家工业信息安全产业发展联盟统计数据显示,全球工业信息安全漏洞呈现连年高发态势,2016年至2017年,漏洞增长率超过50%,其中半数以上为高危漏洞,广泛分布在能源、制造、商业设施、水务、市政等关键领域,如此严重的漏洞威胁我们应如何应对?

微信图片_20180627153413.jpg

工业互联网及其关键系统的安全依赖于功能安全保障能力和信息安全保障能力。工业互联网的安全需要工业互联网的安全体系架构设计、系统建设、供应链、工业系统安全的运维与管理等全方位的提高,对此,《中国工业互联网安全态势报告》中也给出了我们9点建议。

第一、加快建立和完善工业互联网安全标准体系。标准是保障产业发展的基础,促进工业互联网的发展应加快建立和完善工业互联网安全标准体系,组织、协调行业监管部门、研究机构、安全厂商等共同合作,研究制定工业互联网安全相关的管理、技术、测评等标准规范。

第二、推动自主安全可控的技术研发能力建设。在工业互联网刚刚兴起时,安全问题突出,更突显自主、安全、可控技术的重要性。所以要从国家、行业等层面重视针对实际智能制造需求的自主可控的关键技术的研发。一要加紧推动设备内嵌安全机制,而要积极建立主动的动态的网络安全防御机制。

第三、强化信息安全和功能安全的融合机制。工厂控制环境由封闭到开放,信息安全威胁可能直接导致功能安全的实效,因此未来工厂控制安全需要综合考虑功能安全和信息安全的需求,形成综合安全保障能力。

第四、提升面向工业应用的灵活安全保障能力。随着业务应用呈现多样化,未来需要针对不同业务的安全需求提供灵活的安全服务能力,提供统一灵活的认证、授权、审计等安全服务能力,实现工业数据全生命周期的保护。

第五、共建及时共享的威胁情报平台。工业互联网时代,开放协作是保证行业高速健康发展的必由之路,业内监管机构、信息安全厂商、研究机构等各方共同携手努力搭建统一协作的支撑平台,让工业用户受益于工业互联网发展,保障工业生产运行高效稳定。

第六、积极开展重点行业的试点示范工作。在重点行业,如轨道、交通、电力、智能制造等行业,由国家主管部门或企业用户策划启动一些重点行业的工业互联网安全建设的试点工程,提出具有行业特色的工业互联网解决方案。

第七、构建开放的工业互联网攻防演练平台。提升工业互联网安全防御能力,尤其是一些关键工业系统的安全防御能力,不仅需要相关工业领域的专业知识,也需要一定的工业技术装备,构建开放的工业互联网攻防演练平台不仅能降低成本,也能提高安全防御的应急能力。

第八、鼓励行业联盟等社会组织在工业互联网安全领域发挥积极作用。今年发生的工业互联网安全事件表现出明显的组织特性,因此,鼓励安全联盟等社会组织在共享能力、知识、经验中发挥积极作用,有助于提高整体的安全能力。

第九、工业互联网安全专业人才培养机制的建立。工业互联网几乎涉及所有关乎国计民生的重要行业和重要领域,因此在工业互联网发展和规模化的应用过程中,我们需要建立跨界的人才培养机制、培养出更多的工业互联网专业技术人才。

随着工业互联网与制造业的不断深度融合,工业互联网势必会暴露出更多的安全隐患,但我们不应该对工业互联网发展抱有畏惧之心,工业互联网安全离不开政府与产业链的共同推进,工业互联网的积极发展也离不开整个生态的保驾护航。

专题访谈

中国制造2025之“三大转变”

面对快速变化的国内、国际经济形势,中国制...[详细]

合作站点
stat