文獻(xiàn)標(biāo)識(shí)碼:A
DOI: 10.19358/j.issn.20965133.2018.01.004
中文引用格式:劉仁輝,,張尼,,吳云峰.構(gòu)筑工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系為推動(dòng)先進(jìn)制造業(yè)發(fā)展保駕護(hù)航[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018,37(1):2324,29.
2017年11月,國務(wù)院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》,,作為今后規(guī)范和指導(dǎo)我國工業(yè)互聯(lián)網(wǎng)發(fā)展的指導(dǎo)性文件,。《指導(dǎo)意見》是以十九大精神為指引,,全面落實(shí)習(xí)近平新時(shí)代中國特色社會(huì)主義思想,,以推進(jìn)供給側(cè)結(jié)構(gòu)性改革為主線,結(jié)合實(shí)施“中國制造2025”和“互聯(lián)網(wǎng)+”,,加快建設(shè)和發(fā)展工業(yè)互聯(lián)網(wǎng),,促進(jìn)新一代信息技術(shù)與制造業(yè)深度融合,這對(duì)推動(dòng)實(shí)體經(jīng)濟(jì)轉(zhuǎn)型升級(jí),,大力發(fā)展數(shù)字經(jīng)濟(jì),,打造制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國具有重要意義,?!吨笇?dǎo)意見》明確了主要任務(wù),即打造網(wǎng)絡(luò),、平臺(tái),、安全三大功能體系,推進(jìn)大型企業(yè)集成創(chuàng)新和中小企業(yè)應(yīng)用普及兩類應(yīng)用,,構(gòu)筑產(chǎn)業(yè),、生態(tài)、國際化三大支撐七項(xiàng)任務(wù),。
在工業(yè)領(lǐng)域中,,互聯(lián)網(wǎng)、大數(shù)據(jù),、人工智能,、云計(jì)算等新興技術(shù)與傳統(tǒng)的工業(yè)控制系統(tǒng)相結(jié)合組成了工業(yè)互聯(lián)網(wǎng),實(shí)現(xiàn)了更大范圍的感知和智能化的控制,,形成了信息物理系統(tǒng)(CyberPhysical System,,CPS),并通過IT與OT的有機(jī)融合和深度協(xié)作,,使智能生產(chǎn),、智能運(yùn)營、消費(fèi)需求與生產(chǎn)制造精確對(duì)接,,實(shí)現(xiàn)生產(chǎn)系統(tǒng)智能化,、商業(yè)系統(tǒng)智能化,廣泛應(yīng)用于能源,、化工,、水利、交通、加工制造,、水及污水處理等關(guān)系到國計(jì)民生的重點(diǎn)行業(yè),。
由于工業(yè)互聯(lián)網(wǎng)中工業(yè)網(wǎng)絡(luò)與基于Internet技術(shù)的商業(yè)網(wǎng)絡(luò)打通,病毒及黑客威脅隨之而來,。近年來全球工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā),,僅2016年就接連發(fā)生了“食尸鬼”定向網(wǎng)絡(luò)攻擊、伊朗黑客攻擊美國大壩,、Mirai僵尸病毒DDoS攻擊,、黑帽大會(huì)上公開PLC間傳播的蠕蟲病毒PLC-Blaster及后續(xù)的Rootkit、俄羅斯黑客公開工控設(shè)備默認(rèn)口令等影響力巨大的安全事件,,2017年上半年勒索病毒肆虐全球,,國內(nèi)部分企業(yè)也深受其害。盡管我國并非上述所有攻擊的直接受害者,,但以他國為鏡,,也充分折射出我國工業(yè)互聯(lián)網(wǎng)的諸多問題,如國外設(shè)備后門,、工控及IT設(shè)備的漏洞,、黑色產(chǎn)業(yè)鏈共享協(xié)作的工業(yè)蠕蟲病毒、國外勢(shì)力資助的高級(jí)持續(xù)性威脅(APT)攻擊等,。
工業(yè)互聯(lián)網(wǎng)一般由設(shè)備層,、控制層、網(wǎng)絡(luò)層,、應(yīng)用層,、數(shù)據(jù)層組成,下面從這五個(gè)層次分析一下我國工業(yè)互聯(lián)網(wǎng)面臨的安全挑戰(zhàn),。
(1)設(shè)備層安全挑戰(zhàn):隨著具有聯(lián)網(wǎng)通信,、安裝應(yīng)用(APP)能力的智能工業(yè)設(shè)備不斷增多,,導(dǎo)致海量設(shè)備直接暴露在工業(yè)互聯(lián)網(wǎng)上,,木馬病毒能在這些暴露的設(shè)備之間以指數(shù)級(jí)的速度感染擴(kuò)散。另外,,這些智能設(shè)備所用芯片,、嵌入式OS、編碼規(guī)范以及功能安全等也均存在后門,、漏洞,、缺陷等安全風(fēng)險(xiǎn)。
(2)控制層安全挑戰(zhàn):主要指PLC,、DCS,、SCADA等工業(yè)控制系統(tǒng),在控制平臺(tái)、控制協(xié)議,、控制軟件設(shè)計(jì)之初,,主要考慮實(shí)時(shí)性和可靠性,一方面核心元件大都是國外廠家,,存在后門,、漏洞風(fēng)險(xiǎn),另一方面諸如完整性校驗(yàn),、身份認(rèn)證,、授權(quán)、加密等信息安全功能都被忽略,。IT和OT的融合,,打破了傳統(tǒng)的安全可信控制環(huán)境,網(wǎng)絡(luò)攻擊可從IT層滲透至OT層,,但目前還缺乏有效應(yīng)對(duì)高級(jí)持續(xù)威脅攻擊檢測(cè)和防護(hù)手段,。
(3)網(wǎng)絡(luò)層安全挑戰(zhàn):涵蓋工業(yè)網(wǎng)絡(luò)、無線網(wǎng)絡(luò),、商業(yè)互聯(lián)網(wǎng),。“兩化融合”消除了原有的工業(yè)環(huán)境內(nèi)外部安全邊界,,將互聯(lián)網(wǎng),、信息系統(tǒng)的安全風(fēng)險(xiǎn)引入工業(yè)網(wǎng)絡(luò),包括網(wǎng)絡(luò)傳遞過程中常見的拒絕服務(wù)(DoS),、中間人攻擊等,,傳輸鏈路上的軟硬件安全,無線網(wǎng)絡(luò)防護(hù)邊界模糊等安全風(fēng)險(xiǎn),。
(4)應(yīng)用層安全挑戰(zhàn):企業(yè)信息化管理涉及的門戶網(wǎng)站,、ERP、PDM,、CRM以及云平臺(tái)等,,除面臨傳統(tǒng)IT安全挑戰(zhàn)中的病毒、木馬,、漏洞等威脅外,,還面臨云平臺(tái)服務(wù)虛擬化中的違規(guī)接入、內(nèi)部入侵,、多租戶風(fēng)險(xiǎn),、跳板入侵等威脅。
(5)數(shù)據(jù)層安全挑戰(zhàn):指企業(yè)內(nèi)部生產(chǎn)管理數(shù)據(jù),、生產(chǎn)操作數(shù)據(jù)以及企業(yè)外部數(shù)據(jù),,不管是大數(shù)據(jù)存儲(chǔ)還是分布式服務(wù)器存儲(chǔ),,都面臨數(shù)據(jù)丟失、竊取,、篡改等安全風(fēng)險(xiǎn),。
針對(duì)上述工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)的分析,應(yīng)該從以下幾個(gè)方面構(gòu)建可檢測(cè),、可防護(hù),、可替代的工業(yè)互聯(lián)網(wǎng)安全深度防護(hù)體系(如圖1所示)。
第一,,態(tài)勢(shì)感知,,實(shí)時(shí)威脅情報(bào)和風(fēng)險(xiǎn)通報(bào)。綜合分析工業(yè)互聯(lián)網(wǎng)安全要素,,結(jié)合商業(yè)網(wǎng)絡(luò),、企業(yè)、工業(yè)
圖1工業(yè)互聯(lián)網(wǎng)安全主動(dòng)防護(hù)體系
網(wǎng)絡(luò)狀態(tài),,評(píng)估工業(yè)互聯(lián)網(wǎng)的安全狀況,,通過信息流感知、物質(zhì)流感知以及能量流感知,,預(yù)測(cè)攻擊向量及攻擊鏈路,,并以可視化的方式展現(xiàn),實(shí)現(xiàn)事前防御,、事中控制,、事后恢復(fù)的目標(biāo)。態(tài)勢(shì)感知和未知威脅發(fā)現(xiàn)是工業(yè)互聯(lián)網(wǎng)應(yīng)對(duì)安全挑戰(zhàn)的重要策略,。
第二,,漏洞管理,及時(shí)補(bǔ)丁管理和固件升級(jí),??茖W(xué)地檢測(cè)各類服務(wù)器、終端和工控系統(tǒng)漏洞,,并合理更新補(bǔ)丁是工業(yè)互聯(lián)網(wǎng)防御的重要組成,。研究工業(yè)互聯(lián)網(wǎng)靜態(tài)和動(dòng)態(tài)安全漏洞分析挖掘技術(shù)、閉環(huán)漏洞規(guī)則情報(bào)策略管理流程以及工控漏洞載體行為管理分析研判模型,,實(shí)現(xiàn)基于工控載體權(quán)重的多維度全生命周期的漏洞管理,。漏洞掃描系統(tǒng)可定期和持續(xù)地進(jìn)行全面可靠的安全評(píng)估,,提供完整的漏洞管理機(jī)制,,更大限度地保證工業(yè)互聯(lián)網(wǎng)的安全性和穩(wěn)定性。
第三,,自主可信,,保證工控系統(tǒng)免疫及本質(zhì)安全,。研制基于國產(chǎn)化處理器、嵌入式操作系統(tǒng),、計(jì)算機(jī)和操作系統(tǒng),,具有自主可控、安全可信的可編程控制器(PLC)產(chǎn)品,、邏輯編程軟件,、監(jiān)控組態(tài)軟件,真正擺脫國外產(chǎn)品壟斷市場(chǎng)的“卡脖子”,、“牽鼻子”,、“甩臉子”的現(xiàn)狀。信息安全防護(hù)技術(shù)采用主動(dòng)免疫可信計(jì)算3.0,,以密碼為基因,,實(shí)施身份識(shí)別、狀態(tài)度量,、保密存儲(chǔ)等功能,,及時(shí)識(shí)別“自己”和“非己”成分,阻止已知,、未知的病毒,、木馬的運(yùn)行,使攻擊者攻不進(jìn)去,,竊取保密信息看不懂,,系統(tǒng)工作癱不成,通過工控系統(tǒng)自身免疫來保證本質(zhì)安全,。
第四,,攻防兼?zhèn)洌掷m(xù)優(yōu)化工業(yè)互聯(lián)網(wǎng)安全防護(hù)策略,。研究建立工業(yè)互聯(lián)網(wǎng)入侵及攻擊模型,,構(gòu)建等效于真實(shí)場(chǎng)景的仿真模擬環(huán)境,驗(yàn)證防護(hù),、攻擊,、對(duì)抗能力,支持與真實(shí)網(wǎng)絡(luò)環(huán)境等效的紅藍(lán)對(duì)抗和觀測(cè)評(píng)測(cè),,具有大規(guī)模網(wǎng)絡(luò)場(chǎng)景逼真復(fù)現(xiàn)能力,,有效支撐網(wǎng)絡(luò)攻防前沿技術(shù)的研究、試驗(yàn)和應(yīng)用,,可進(jìn)行工控系統(tǒng)安全事件分析,、網(wǎng)絡(luò)攻防實(shí)驗(yàn)、網(wǎng)絡(luò)運(yùn)行機(jī)理規(guī)律分析,、決策支持和演練等研究,。在大規(guī)模模擬