文獻標識碼:A
DOI: 10.19358/j.issn.20965133.2018.01.004
中文引用格式:劉仁輝,張尼,吳云峰.構筑工業互聯網安全防護體系為推動先進制造業發展保駕護航[J].信息技術與網絡安全,2018,37(1):2324,29.
2017年11月,國務院印發《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》,作為今后規范和指導我國工業互聯網發展的指導性文件。《指導意見》是以十九大精神為指引,全面落實習近平新時代中國特色社會主義思想,以推進供給側結構性改革為主線,結合實施“中國制造2025”和“互聯網+”,加快建設和發展工業互聯網,促進新一代信息技術與制造業深度融合,這對推動實體經濟轉型升級,大力發展數字經濟,打造制造強國、網絡強國具有重要意義。《指導意見》明確了主要任務,即打造網絡、平臺、安全三大功能體系,推進大型企業集成創新和中小企業應用普及兩類應用,構筑產業、生態、國際化三大支撐七項任務。
在工業領域中,互聯網、大數據、人工智能、云計算等新興技術與傳統的工業控制系統相結合組成了工業互聯網,實現了更大范圍的感知和智能化的控制,形成了信息物理系統(CyberPhysical System,CPS),并通過IT與OT的有機融合和深度協作,使智能生產、智能運營、消費需求與生產制造精確對接,實現生產系統智能化、商業系統智能化,廣泛應用于能源、化工、水利、交通、加工制造、水及污水處理等關系到國計民生的重點行業。
由于工業互聯網中工業網絡與基于Internet技術的商業網絡打通,病毒及黑客威脅隨之而來。近年來全球工業互聯網安全事件頻發,僅2016年就接連發生了“食尸鬼”定向網絡攻擊、伊朗黑客攻擊美國大壩、Mirai僵尸病毒DDoS攻擊、黑帽大會上公開PLC間傳播的蠕蟲病毒PLC-Blaster及后續的Rootkit、俄羅斯黑客公開工控設備默認口令等影響力巨大的安全事件,2017年上半年勒索病毒肆虐全球,國內部分企業也深受其害。盡管我國并非上述所有攻擊的直接受害者,但以他國為鏡,也充分折射出我國工業互聯網的諸多問題,如國外設備后門、工控及IT設備的漏洞、黑色產業鏈共享協作的工業蠕蟲病毒、國外勢力資助的高級持續性威脅(APT)攻擊等。
工業互聯網一般由設備層、控制層、網絡層、應用層、數據層組成,下面從這五個層次分析一下我國工業互聯網面臨的安全挑戰。
(1)設備層安全挑戰:隨著具有聯網通信、安裝應用(APP)能力的智能工業設備不斷增多,導致海量設備直接暴露在工業互聯網上,木馬病毒能在這些暴露的設備之間以指數級的速度感染擴散。另外,這些智能設備所用芯片、嵌入式OS、編碼規范以及功能安全等也均存在后門、漏洞、缺陷等安全風險。
(2)控制層安全挑戰:主要指PLC、DCS、SCADA等工業控制系統,在控制平臺、控制協議、控制軟件設計之初,主要考慮實時性和可靠性,一方面核心元件大都是國外廠家,存在后門、漏洞風險,另一方面諸如完整性校驗、身份認證、授權、加密等信息安全功能都被忽略。IT和OT的融合,打破了傳統的安全可信控制環境,網絡攻擊可從IT層滲透至OT層,但目前還缺乏有效應對高級持續威脅攻擊檢測和防護手段。
(3)網絡層安全挑戰:涵蓋工業網絡、無線網絡、商業互聯網。“兩化融合”消除了原有的工業環境內外部安全邊界,將互聯網、信息系統的安全風險引入工業網絡,包括網絡傳遞過程中常見的拒絕服務(DoS)、中間人攻擊等,傳輸鏈路上的軟硬件安全,無線網絡防護邊界模糊等安全風險。
(4)應用層安全挑戰:企業信息化管理涉及的門戶網站、ERP、PDM、CRM以及云平臺等,除面臨傳統IT安全挑戰中的病毒、木馬、漏洞等威脅外,還面臨云平臺服務虛擬化中的違規接入、內部入侵、多租戶風險、跳板入侵等威脅。
(5)數據層安全挑戰:指企業內部生產管理數據、生產操作數據以及企業外部數據,不管是大數據存儲還是分布式服務器存儲,都面臨數據丟失、竊取、篡改等安全風險。
針對上述工業互聯網安全挑戰的分析,應該從以下幾個方面構建可檢測、可防護、可替代的工業互聯網安全深度防護體系(如圖1所示)。
第一,態勢感知,實時威脅情報和風險通報。綜合分析工業互聯網安全要素,結合商業網絡、企業、工業
圖1工業互聯網安全主動防護體系
網絡狀態,評估工業互聯網的安全狀況,通過信息流感知、物質流感知以及能量流感知,預測攻擊向量及攻擊鏈路,并以可視化的方式展現,實現事前防御、事中控制、事后恢復的目標。態勢感知和未知威脅發現是工業互聯網應對安全挑戰的重要策略。
第二,漏洞管理,及時補丁管理和固件升級。科學地檢測各類服務器、終端和工控系統漏洞,并合理更新補丁是工業互聯網防御的重要組成。研究工業互聯網靜態和動態安全漏洞分析挖掘技術、閉環漏洞規則情報策略管理流程以及工控漏洞載體行為管理分析研判模型,實現基于工控載體權重的多維度全生命周期的漏洞管理。漏洞掃描系統可定期和持續地進行全面可靠的安全評估,提供完整的漏洞管理機制,更大限度地保證工業互聯網的安全性和穩定性。
第三,自主可信,保證工控系統免疫及本質安全。研制基于國產化處理器、嵌入式操作系統、計算機和操作系統,具有自主可控、安全可信的可編程控制器(PLC)產品、邏輯編程軟件、監控組態軟件,真正擺脫國外產品壟斷市場的“卡脖子”、“牽鼻子”、“甩臉子”的現狀。信息安全防護技術采用主動免疫可信計算3.0,以密碼為基因,實施身份識別、狀態度量、保密存儲等功能,及時識別“自己”和“非己”成分,阻止已知、未知的病毒、木馬的運行,使攻擊者攻不進去,竊取保密信息看不懂,系統工作癱不成,通過工控系統自身免疫來保證本質安全。
第四,攻防兼備,持續優化工業互聯網安全防護策略。研究建立工業互聯網入侵及攻擊模型,構建等效于真實場景的仿真模擬環境,驗證防護、攻擊、對抗能力,支持與真實網絡環境等效的紅藍對抗和觀測評測,具有大規模網絡場景逼真復現能力,有效支撐網絡攻防前沿技術的研究、試驗和應用,可進行工控系統安全事件分析、網絡攻防實驗、網絡運行機理規律分析、決策支持和演練等研究。在大規模模擬