《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計應(yīng)用 > 構(gòu)筑工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系為推動先進(jìn)制造業(yè)發(fā)展保駕護(hù)航
構(gòu)筑工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系為推動先進(jìn)制造業(yè)發(fā)展保駕護(hù)航
劉仁輝,張尼,吳云峰
(中國電子第六研究所,北京100083)
摘要: 工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與全球工業(yè)系統(tǒng)全方位深度融合集成所形成的產(chǎn)業(yè)和應(yīng)用生態(tài),是工業(yè)智能化發(fā)展的關(guān)鍵綜合信息基礎(chǔ)設(shè)施。網(wǎng)絡(luò)是基礎(chǔ),數(shù)據(jù)是核心,安全是保障。本文通過解讀國務(wù)院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,分析工業(yè)互聯(lián)網(wǎng)各個層級的安全挑戰(zhàn),并給出了如何構(gòu)建深度安全的主動防護(hù)體系。
中圖分類號:TP393.0
文獻(xiàn)標(biāo)識碼:A
DOI: 10.19358/j.issn.20965133.2018.01.004
中文引用格式:劉仁輝,張尼,吳云峰.構(gòu)筑工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系為推動先進(jìn)制造業(yè)發(fā)展保駕護(hù)航[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018,37(1):2324,29.
On Thinking of Constructing an Industrial Internet Security Protection System
LIU Renhui, ZHANG Ni, WU Yunfeng
(The 6th Research Institute of China Electronics Corporation, Beijing 100083, China)
Abstract: Industrial Internet is the industrial and applied ecosystem formed by the integration of the Internet and the new generation of information technology and the global industrial system. It is the key comprehensive information infrastructure for the development of industrial intelligence. The network is the foundation, the data is the core, and the security is the guarantee. In this paper , through the interpretation of the State Council issued “on deepening the” Internet plus “development of advanced manufacturing industry Internet Guidance”, analysis of the various levels of the industrial Internet security challenges, and presents how to construct the depth of active protection system security.
Key words : Industrial Internet; Advanced manufacturing; Information security; Active protection system

2017年11月,國務(wù)院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,作為今后規(guī)范和指導(dǎo)我國工業(yè)互聯(lián)網(wǎng)發(fā)展的指導(dǎo)性文件?!吨笇?dǎo)意見》是以十九大精神為指引,全面落實(shí)習(xí)近平新時代中國特色社會主義思想,以推進(jìn)供給側(cè)結(jié)構(gòu)性改革為主線,結(jié)合實(shí)施“中國制造2025”和“互聯(lián)網(wǎng)+”,加快建設(shè)和發(fā)展工業(yè)互聯(lián)網(wǎng),促進(jìn)新一代信息技術(shù)與制造業(yè)深度融合,這對推動實(shí)體經(jīng)濟(jì)轉(zhuǎn)型升級,大力發(fā)展數(shù)字經(jīng)濟(jì),打造制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國具有重要意義。《指導(dǎo)意見》明確了主要任務(wù),即打造網(wǎng)絡(luò)、平臺、安全三大功能體系,推進(jìn)大型企業(yè)集成創(chuàng)新和中小企業(yè)應(yīng)用普及兩類應(yīng)用,構(gòu)筑產(chǎn)業(yè)、生態(tài)、國際化三大支撐七項任務(wù)。

 

在工業(yè)領(lǐng)域中,互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、云計算等新興技術(shù)與傳統(tǒng)的工業(yè)控制系統(tǒng)相結(jié)合組成了工業(yè)互聯(lián)網(wǎng),實(shí)現(xiàn)了更大范圍的感知和智能化的控制,形成了信息物理系統(tǒng)(CyberPhysical System,CPS),并通過IT與OT的有機(jī)融合和深度協(xié)作,使智能生產(chǎn)、智能運(yùn)營、消費(fèi)需求與生產(chǎn)制造精確對接,實(shí)現(xiàn)生產(chǎn)系統(tǒng)智能化、商業(yè)系統(tǒng)智能化,廣泛應(yīng)用于能源、化工、水利、交通、加工制造、水及污水處理等關(guān)系到國計民生的重點(diǎn)行業(yè)。

 

由于工業(yè)互聯(lián)網(wǎng)中工業(yè)網(wǎng)絡(luò)與基于Internet技術(shù)的商業(yè)網(wǎng)絡(luò)打通,病毒及黑客威脅隨之而來。近年來全球工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā),僅2016年就接連發(fā)生了“食尸鬼”定向網(wǎng)絡(luò)攻擊、伊朗黑客攻擊美國大壩、Mirai僵尸病毒DDoS攻擊、黑帽大會上公開PLC間傳播的蠕蟲病毒PLC-Blaster及后續(xù)的Rootkit、俄羅斯黑客公開工控設(shè)備默認(rèn)口令等影響力巨大的安全事件,2017年上半年勒索病毒肆虐全球,國內(nèi)部分企業(yè)也深受其害。盡管我國并非上述所有攻擊的直接受害者,但以他國為鏡,也充分折射出我國工業(yè)互聯(lián)網(wǎng)的諸多問題,如國外設(shè)備后門、工控及IT設(shè)備的漏洞、黑色產(chǎn)業(yè)鏈共享協(xié)作的工業(yè)蠕蟲病毒、國外勢力資助的高級持續(xù)性威脅(APT)攻擊等。

 

工業(yè)互聯(lián)網(wǎng)一般由設(shè)備層、控制層、網(wǎng)絡(luò)層、應(yīng)用層、數(shù)據(jù)層組成,下面從這五個層次分析一下我國工業(yè)互聯(lián)網(wǎng)面臨的安全挑戰(zhàn)。

 

(1)設(shè)備層安全挑戰(zhàn):隨著具有聯(lián)網(wǎng)通信、安裝應(yīng)用(APP)能力的智能工業(yè)設(shè)備不斷增多,導(dǎo)致海量設(shè)備直接暴露在工業(yè)互聯(lián)網(wǎng)上,木馬病毒能在這些暴露的設(shè)備之間以指數(shù)級的速度感染擴(kuò)散。另外,這些智能設(shè)備所用芯片、嵌入式OS、編碼規(guī)范以及功能安全等也均存在后門、漏洞、缺陷等安全風(fēng)險。

 

(2)控制層安全挑戰(zhàn):主要指PLC、DCS、SCADA等工業(yè)控制系統(tǒng),在控制平臺、控制協(xié)議、控制軟件設(shè)計之初,主要考慮實(shí)時性和可靠性,一方面核心元件大都是國外廠家,存在后門、漏洞風(fēng)險,另一方面諸如完整性校驗、身份認(rèn)證、授權(quán)、加密等信息安全功能都被忽略。IT和OT的融合,打破了傳統(tǒng)的安全可信控制環(huán)境,網(wǎng)絡(luò)攻擊可從IT層滲透至OT層,但目前還缺乏有效應(yīng)對高級持續(xù)威脅攻擊檢測和防護(hù)手段。

 

(3)網(wǎng)絡(luò)層安全挑戰(zhàn):涵蓋工業(yè)網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、商業(yè)互聯(lián)網(wǎng)?!皟苫诤稀毕嗽械墓I(yè)環(huán)境內(nèi)外部安全邊界,將互聯(lián)網(wǎng)、信息系統(tǒng)的安全風(fēng)險引入工業(yè)網(wǎng)絡(luò),包括網(wǎng)絡(luò)傳遞過程中常見的拒絕服務(wù)(DoS)、中間人攻擊等,傳輸鏈路上的軟硬件安全,無線網(wǎng)絡(luò)防護(hù)邊界模糊等安全風(fēng)險。

 

(4)應(yīng)用層安全挑戰(zhàn):企業(yè)信息化管理涉及的門戶網(wǎng)站、ERP、PDM、CRM以及云平臺等,除面臨傳統(tǒng)IT安全挑戰(zhàn)中的病毒、木馬、漏洞等威脅外,還面臨云平臺服務(wù)虛擬化中的違規(guī)接入、內(nèi)部入侵、多租戶風(fēng)險、跳板入侵等威脅。

 

(5)數(shù)據(jù)層安全挑戰(zhàn):指企業(yè)內(nèi)部生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及企業(yè)外部數(shù)據(jù),不管是大數(shù)據(jù)存儲還是分布式服務(wù)器存儲,都面臨數(shù)據(jù)丟失、竊取、篡改等安全風(fēng)險。

 

針對上述工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)的分析,應(yīng)該從以下幾個方面構(gòu)建可檢測、可防護(hù)、可替代的工業(yè)互聯(lián)網(wǎng)安全深度防護(hù)體系(如圖1所示)。

 

 

第一,態(tài)勢感知,實(shí)時威脅情報和風(fēng)險通報。綜合分析工業(yè)互聯(lián)網(wǎng)安全要素,結(jié)合商業(yè)網(wǎng)絡(luò)、企業(yè)、工業(yè)

 

 

圖1工業(yè)互聯(lián)網(wǎng)安全主動防護(hù)體系

 

 

網(wǎng)絡(luò)狀態(tài),評估工業(yè)互聯(lián)網(wǎng)的安全狀況,通過信息流感知、物質(zhì)流感知以及能量流感知,預(yù)測攻擊向量及攻擊鏈路,并以可視化的方式展現(xiàn),實(shí)現(xiàn)事前防御、事中控制、事后恢復(fù)的目標(biāo)。態(tài)勢感知和未知威脅發(fā)現(xiàn)是工業(yè)互聯(lián)網(wǎng)應(yīng)對安全挑戰(zhàn)的重要策略。

 

第二,漏洞管理,及時補(bǔ)丁管理和固件升級??茖W(xué)地檢測各類服務(wù)器、終端和工控系統(tǒng)漏洞,并合理更新補(bǔ)丁是工業(yè)互聯(lián)網(wǎng)防御的重要組成。研究工業(yè)互聯(lián)網(wǎng)靜態(tài)和動態(tài)安全漏洞分析挖掘技術(shù)、閉環(huán)漏洞規(guī)則情報策略管理流程以及工控漏洞載體行為管理分析研判模型,實(shí)現(xiàn)基于工控載體權(quán)重的多維度全生命周期的漏洞管理。漏洞掃描系統(tǒng)可定期和持續(xù)地進(jìn)行全面可靠的安全評估,提供完整的漏洞管理機(jī)制,更大限度地保證工業(yè)互聯(lián)網(wǎng)的安全性和穩(wěn)定性。

 

 

第三,自主可信,保證工控系統(tǒng)免疫及本質(zhì)安全。研制基于國產(chǎn)化處理器、嵌入式操作系統(tǒng)、計算機(jī)和操作系統(tǒng),具有自主可控、安全可信的可編程控制器(PLC)產(chǎn)品、邏輯編程軟件、監(jiān)控組態(tài)軟件,真正擺脫國外產(chǎn)品壟斷市場的“卡脖子”、“牽鼻子”、“甩臉子”的現(xiàn)狀。信息安全防護(hù)技術(shù)采用主動免疫可信計算3.0,以密碼為基因,實(shí)施身份識別、狀態(tài)度量、保密存儲等功能,及時識別“自己”和“非己”成分,阻止已知、未知的病毒、木馬的運(yùn)行,使攻擊者攻不進(jìn)去,竊取保密信息看不懂,系統(tǒng)工作癱不成,通過工控系統(tǒng)自身免疫來保證本質(zhì)安全。

 

第四,攻防兼?zhèn)?,持續(xù)優(yōu)化工業(yè)互聯(lián)網(wǎng)安全防護(hù)策略。研究建立工業(yè)互聯(lián)網(wǎng)入侵及攻擊模型,構(gòu)建等效于真實(shí)場景的仿真模擬環(huán)境,驗證防護(hù)、攻擊、對抗能力,支持與真實(shí)網(wǎng)絡(luò)環(huán)境等效的紅藍(lán)對抗和觀測評測,具有大規(guī)模網(wǎng)絡(luò)場景逼真復(fù)現(xiàn)能力,有效支撐網(wǎng)絡(luò)攻防前沿技術(shù)的研究、試驗和應(yīng)用,可進(jìn)行工控系統(tǒng)安全事件分析、網(wǎng)絡(luò)攻防實(shí)驗、網(wǎng)絡(luò)運(yùn)行機(jī)理規(guī)律分析、決策支持和演練等研究。在大規(guī)模模擬


此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。