工业互联网概述
随着工业4.0云计算、大数据、人工智能和全球越来越多的制造商5G在等技术的共同作用下开展工业4.0实践。以新一代信息技术与先进制造技术深度融合为基本特征的智能制造已成为新工业革命的核心驱动力。
以物联网、云计算、大数据、人工智能等新一代信息技术为据、人工智能等新一代信息技术为支撑,加速 IT 网络与 OT 网络的整合使工业控制网络不再孤立。作为新一代网络基础设施模式,人、物、物全面互联,具有延迟低、带宽高、覆盖面广的特点,为企业数字化、网络化、智能化发展奠定了基础。
工业互联网的渗透效应不仅限于制造业,而且已迅速扩展到电力、煤炭、水利甚至航空等其他关键行业。根据不同的行业特点,形成具有自身特色的网络模型和应用架构,更好地授权,更好地促进实体经济的高质量、高效、低成本发展。
工业互联网安全是什么?
随着 IT 与 OT 技术的全面深度整合和发展,形成了工业互联网,为企业、行业甚至生态带来了机遇。工业互联网已成为一种不可避免的商业机会。同时,工业互联网的安全也备受关注。特别是整合后,企业环境复杂多变,也导致工业安全问题日益突出。作为一个关键的基础设施,其安全问题可能对个人、企业、社会甚至国家构成严重威胁。工业互联网的安全可以考虑管理和技术的便利性,包括物理设备安全、网络安全、控制安全、应用安全和数据安全。
工业互联网安全发展趋势
工业互联网的健康发展与安全护送是分不开的。可以说,安全是工业互联网健康发展的必要条件。未来,随着工业互联网的快速发展和普及,工业互联网安全的发展趋势也将成为一个重要的焦点。未来,工业互联网安全应注意以下几个方面:
- 工业互联网安全地位:
工业互联网已经不仅仅是网络架构的模式变革这么简单,它在不断的发展中,已经汇聚了各类的工业资源和网络资源,互联底层设备到上层应用,可以说已经平台化。工业互联网平台由于自身的应用,已经跻身于企业的核心平台,也成为企业重要的转型工具。所以对于这么重要的平台,安全防护自然将备受重视。平台化的应用将会为使用者与供应者之间提供安全认证、设备访问、数据传输等,为保障此类应用的安全,类似访问控制、数据脱敏和行为认证等安全技术将成为刚需。
- 工业互联网安全数据:
通过工业互联网开放从底层到上层的应用,收集各种工业控制数据和业务数据。利用大数据、人工智能等技术,可以更好地分析和探索数据中的价值。众所周知,工业互联网数据量大,种类多,结构复杂,在 IT 和 OT 层,工厂内外双向移动共享。这对工业互联网平台上的数据分类和保护提出了更高的保护要求。如何保护数据的安全、可视化可追溯性、隐私和审计将成为未来保护的热点。
- 工业互联网安全运行:
无论是 IT 还是 OT ,在安全方面,我们必须遵循三点技术七点管理的原则,工业互联网的安全运行将成为发展趋势之一。严格安排工业互联网平台只是安全防御的第一步,更重要的是,以后的精细运行和维护工作。通过可视化的操作和维护手段,可以跟踪和定位安全风险,及时发现和处理安全威胁对平台运行的实质性影响,实现对工业互联网安全的全面控制,防止安全威胁的蔓延。安全建设具有阶段性属性,安全运行是一项长期政策。
- 工业互联网安全智能联动:
岛式安全防御系统已不能满足工业互联网背景下的安全防御要求,各种安全防御的三维联动机制将成为一种重要的发展趋势。面对不断变化和有针对性的安全威胁,单一产品的单边防御能力是不可抗拒的。必须建立各种安全平台的联动机制,实现积极发现、及时预警、信息共享和战略同步。同时,企业自身的安全机制也应与行业或国家安全平台实现安全联动,统一理解和密切合作,建立多联动防御系统,进一步提高工业互联网安全风险发现和安全事件处置能力。
工业互联网安全法律法规政策
网络连接从根本上改变了我们的认知,缩短了我们与世界的距离,重新定义了人类的沟通方式和行为。其深远的影响也受到了国家的重视。近年来 IT 与 OT 的综合发展越来越突出,形成了工业互联网的繁荣。国家还从法律、法规和行业标准等方面进行了一系列的工作部署和工作要求 。
2016 国家互联网信息办公室于12月发布的《国家网络空间安全战略》提出采取一切必要措施保护关键信息基础设施及其重要数据不受攻击和破坏。
中国制造 2025提出加强智能制造业控制系统网络安全能力建设,完善综合安全体系。
2017 自6月起正式实施的《中华人民共和国网络安全法》要求对可能严重危害国家安全、国计民生、公共利益的关键信息基础设施 实施重点保护。
2017 12月发布的《关于深化互联网 先进制造业工业互联网发展的指导意见》提出了建立工业互联网安全体系,提高安全能力的发展目标,部署了加强安全的主要任务,为工业互联网安全工作制定了时间表和路线图。
2016 至 2017年 ,工业和信息化部发布了《工业控制系统信息安全保护指南》、《工业控制系统信息安全事件应急管理指南》、《工业控制系统信息安全保护能力评价管理办法》等政策文件,明确了工业控制安全保护、应急和能力评价的工作要求,建立了工业控制安全管理体系,进一步完善了工业信息安全顶层设计 。
工业互联网安全面临的问题
工业互联网安全已成为企业的重点防御领域。根据多个工业互联网安全平台的建设经验,主要面临病毒攻击、网络安全、人为安全、数据安全和终端安全问题:
病毒攻击
随着许多企业开始逐步进行数字化转型,工业互联网作为必要元素之一,采用了大量的标准化和通用 IT 技术,实现系统和网络之间的交换,网络最终打开了工业控制网络。因此,在办公网络中肆虐的病毒攻击行为很容易传输到以前封闭的工业控制网络。此外,大多数工业控制系统相对较旧,更新成本高,周期长,导致漏洞未及时修复,容易被恶意病毒或代码感染,提高了工业安全保护的复杂性。
网络安全
随着工业互联网的发展,通信不再局限于人,已经扩展到物与物,使 IT 与OT 的边界越来越模糊,越来越多的工业控制设备被拉入网络,如物联网的崛起。这导致更有可能暴露攻击设备,网络上的攻击方法呈现出多样化和有针对性的发展趋势,有问题的终端设备更容易被远程控制或引起DDoS攻击、僵尸网络和其他问题。虽然企业已经意识到工业互联网后安全的重要性,但建立网络安全防御系统的时间远慢于数字转型的时间,因此窗口期的挑战是不言而喻的。
人为安全
无论是 IT 网络还是 OT 网络,人们对信息安全的威胁总是存在的,这也是信息安全工作面临的最大挑战。工业控制系统本身具有封闭和安全防御能力的特点。该系统本身的更新频率较低,甚至在死亡时也不一定会更新。因此,工业控制系统是最容易被病毒破坏的系统。人为安全主要分为有意的和无意的。故意属于最糟糕的一种,为了某种利益,通过移动介质和其他设备将病毒带入网络,进行木马植入等操作,给企业造成重大损失。无意的是,管理员的安全意识薄弱,为了调试工业控制设备,习惯性地将计算机或编写设备连接到工业控制网络,使病毒有机会进入工业控制网络,造成损失。在企业中,人类安全意识管理是一个难题,无论网络防御能力有多强,都无法解决由内而外的损害。
数据安全
在互联网和移动互联网时代,数据安全一直是信息安全人员关注的焦点,也是企业关注的焦点。随着工业互联网平台的普及和发展,与工业控制网络相连,数据呈现出体积大、种类多、结构复杂的趋势。从数据收集、传输、存储、使用到销毁,这对信息安全来说是一个巨大的挑战。
工业控制数据格式标准不统一,接口关闭,数据采集困难,传输协议多,数据由于缺乏加密认证,数据存储、传输、分析和共享存在不同的安全风险。
终端安全
随着工业物联网的普及,大量的工业控制设备、智能终端、传感器等物理实体与网络和软件集成,增加了曝光率。同时,这些设备的操作系统相对较旧,甚至没有任何安全防御措施,系统本身升级更新周期长,容易被恶意病毒或代码感染,系统本身的脆弱性非常高。
工业互联网安全防御系统
工业互联网的提出已经有一段时间了。与发达国家相比,我国工业互联网的安全发展仍处于发展的中期阶段,面临着标准不统一、缺乏资金、设备等资源要素保障能力、缺乏专业人员等突出挑战。
工业互联网作为数字化转型的重要手段,从中国制造 2025 战略提出等最高层次指导和支持。据全球移动通信系统协会预测,2016年至2025年,工业互联网设备数量将从24亿增加到138亿,预计到2023年将超过消费物联网设备数量。
可见,工业互联网大潮已席卷全球,其基础设施的安全防御体系的建设也成为了不可忽视的重点内容。
安全技术
- 终端安全防护:
随着工业互联网的兴起,越来越多的设备被连接并暴露在网络上。现有终端的安全保护能力较差,特别是传统的终端设备,在设计中不考虑安全因素。为了确保终端设备的安全,请参考以下几点:
1.主机安全:
如今,越来越多的安全制造商开始关注工业控制安全。专门为工业控制系统开发了类似主机安全卫士的软件,既适应了工业控制环境,又兼容了许多主流操作系统,具有杀毒、软件黑白名单等功能。因此,该软件应安装在工业控制主机上。
2.外设管理:
工业网络的支持和维护通常是现场的。大多数时候,工程师需要使用自己的外设(移动存储设备)进行访问、调试、下载报告或其他数据。或者这种情况非常普遍和普通。这种操作模式给了病毒潜入工业控制网络的机会。
事实证明,80%的病毒来源或入侵攻击来源都是外部的USB设备导入。因此,为了外设的安全,外设可以通过加密措施授权,使其成为合法设备。同时,工业控制主机默认禁止所有未经授权的外设访问。除了授权外,工业控制主机软件还可以设置不同权限的外设读写设置。确保外设的安全使用,而不牺牲工程师的便利。如有条件,建议购买一批独家外设,仅供工程师使用,以避免公司以外的设备访问。
3.补丁管理:
随着时间和技术的发展,任何系统都会暴露出以前开发的弱点,我们称之为漏洞。因此,制造商将编写一个特殊的补丁进行修复。工业控制网络中的设备一般为服务时间较长的系统,与世隔绝,从不连接网络,系统本身的安全漏洞源源不断地涌现。因此,为了解决这个问题,可以建立一个补丁更新系统,并根据补丁的水平和重要性进行补丁安装。当然,工业控制网络不同于信息网络。所有补丁必须经过可用性验证,并在至少一周内进行稳定性测试。建立补丁管理在出现问题时返回。
- 网络安全防护:
随着工业互联网的发展,工业控制网络不再是以前的总线或特殊电缆,开始向以太网发展,逐渐标准统一,网络模式更加灵活,无线也呈现爆炸性趋势,给工业控制系统带来更大的安全风险 ,网络模式也大大降低了网络攻击门槛。
建议:
1.架构调整:
首先,网络安全域要根据工业互联网的架构进行调整,在现有传统网络安全域的基础上增加工控网络 DMZ 区域用于发布一些远程支持系统;增加工业控制网络安全运行区域,用于各种工业控制安全设备管理端的运行和管理。简而言之,根据不同的工业控制网络,细分网络安全区域,最大限度地减少攻击面。
2.安全设备:
除了 IT 除了传统的防御能力外,不同的网络安全产品署不同的网络安全产品I T/OT 集成区应设置防火墙(条件最好为七层墙),以控制访问。部署工业控制情况感知系统、工业控制漏洞监测系统、审计等保护措施,建立更全面、更高效的工业互联网安全保护系统。
- 安全防护的应用:
工业互联网是对平台和应用程序的基础设施支持,支持范围涵盖R&D、制造、营销、售后、服务等各种核心业务环节。通过前面的分析,虽然工业互联网可以在平台层进行一定的安全加固,但应用的安全性不容忽视,尤其是应用系统本身的漏洞和编码不符合规范。在应用安全方面,要严格遵守应用程序生命周期的安全防护模式,从软件开发之初就进行代码级审计,对开发人员进行信息安全培训,降低制造漏洞的概率;在程序运行过程中,应使用漏洞扫描工具定期检查系统的漏洞,定期检查运行中的软件的漏洞,及时修复发现的漏洞;利用各种安全监控系统实时监控应用程序的运行,及时发现可疑行为,及时防止,从而减少未披露漏洞造成的危害。对于终身应用,应及时删除系统中残留的无用文件。
- 数据安全防护:
数据安全的重复数据安全的重要性。数据安全的防御不仅要遵循数据生命周期的防御措施,还要提前对数据进行分类,以促进不同级别安全防御措施的实施。具体的分类分类不在本文的讨论范围内,您可以参考数据处理材料,这里不详细说明。数据安全涉及数据采集、传输、存储、使用和销毁环节,在数据采集阶段标记具体用途,设置访问控制(黑白名单);传输阶段加密链路,防止窃听;存储阶段加密存储数据,分离存储不同的业务用途;根据业务要求脱敏、授权访问;数据销毁阶段格式化无用系统硬盘至少4次,随机复制不少于5次,确保数据无法恢复,有条件的公司可以购买特殊的硬件破碎机。
安全管理
- 运维管理:
信息安全防御系统不仅包括硬件的投资和部署,还包括软件的操作。这就是所谓的三点技术,七点管理。在信息安全方面,在许多情况下,可以通过操作来弥补硬件的不足。对于无安全操作能力的企业,特别是传统企业,建议引入专业的第三方操作团队,运行整个工业互联网系统。同时,制定信息安全操作管理措施,规范操作。引入大型信息安全屏幕等手段,可视化信息安全事件,及时准确定位信息安全的根源,确保重大信息安全事件为零。
- 审计管理:
审计管理是揭示工业互联网信息安全风险的最佳手段。定期审查工业互联网架构的安全体系,使相关部门能够更好地了解当前架构的不足,及时制定纠正计划,满足信息安全合规的要求。建立信息安全审计体系,可以使组织掌握其信息安全是否符合安全合规要求,帮助企业充分了解和掌握其信息安全工作的有效性、充分性和适宜性。
结束语
从智能制造和数字化转型的发展趋势来看,工业互联网在智能制造领域的实施是不可避免的 ,也是《纽约时报》的趋势。未来,工业互联网将逐步标准化和结构化,更有利于加快企业实现数字化转型的步伐。
工业互联网安全的发展必须紧密结合工业互联网的发展趋势,针对各种保护对象,从具体的保护措施和保护管理角度加强信息安全保护,优化和改进发现的问题,更好地指导企业开展工业互联网信息安全保护工作,提高企业自身的工业互联网安全保护能力。