本刊編輯部
工業(yè)互聯(lián)網(wǎng)是基于制造業(yè)發(fā)展面臨深刻變革這一背景下提出的,是推動(dòng)我國(guó)制造業(yè)數(shù)字化轉(zhuǎn)型的現(xiàn)實(shí)路徑。當(dāng)前,全球工業(yè)互聯(lián)網(wǎng)正處在產(chǎn)業(yè)格局還沒(méi)有確定的關(guān)鍵期,也是大規(guī)模運(yùn)用、規(guī)模化擴(kuò)張的窗口期。這在個(gè)時(shí)期,工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全問(wèn)題顯得非常重要。
國(guó)家工業(yè)信息安全發(fā)展研究中心副主任何小龍稱(chēng),工業(yè)互聯(lián)網(wǎng)平臺(tái)是面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求構(gòu)建,基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系,它向上承載應(yīng)用生態(tài),向下接入系統(tǒng)的設(shè)備,是設(shè)計(jì)、制造、銷(xiāo)售、物流與服務(wù)等全生產(chǎn)鏈、各環(huán)節(jié)實(shí)現(xiàn)協(xié)同制造的一個(gè)紐帶,是連接設(shè)備、軟件、產(chǎn)品、工廠、人等工業(yè)全要素的樞紐。“工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全關(guān)系到生產(chǎn)的安全、社會(huì)的安全甚至國(guó)家的安全?!焙涡↓堈f(shuō)。
據(jù)悉,當(dāng)前我國(guó)的工業(yè)互聯(lián)網(wǎng)平臺(tái)面臨嚴(yán)峻風(fēng)險(xiǎn),這主要表現(xiàn)在:一是越來(lái)越多的工業(yè)設(shè)備、系統(tǒng)暴露在互聯(lián)網(wǎng)上,導(dǎo)致平臺(tái)被攻擊的風(fēng)險(xiǎn)加?。欢枪I(yè)互聯(lián)網(wǎng)平臺(tái)的數(shù)據(jù)種類(lèi)和需求呈現(xiàn)多樣化特點(diǎn),目前的數(shù)據(jù)保護(hù)措施難以滿(mǎn)足需求。2018年、2019年,工信部連續(xù)兩年對(duì)國(guó)內(nèi)主要的一些工業(yè)互聯(lián)網(wǎng)平臺(tái)進(jìn)行了檢查與評(píng)估,結(jié)果不盡如人意,顯示出工業(yè)互聯(lián)網(wǎng)平臺(tái)安全保護(hù)能力薄弱。
這是由于早期的工業(yè)控制系統(tǒng)都是在相對(duì)獨(dú)立的網(wǎng)絡(luò)環(huán)境下運(yùn)行,在產(chǎn)品設(shè)計(jì)和網(wǎng)絡(luò)部署時(shí),只考慮了功能性和穩(wěn)定性,對(duì)安全性考慮不足。隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間互聯(lián)互通的不斷推進(jìn),以及工業(yè)控制系統(tǒng)和工業(yè)設(shè)備接入互聯(lián)網(wǎng)的數(shù)量越來(lái)越多,通過(guò)互聯(lián)網(wǎng)對(duì)工業(yè)控制系統(tǒng)實(shí)施攻擊的可能性越來(lái)越大,這些都為工業(yè)互聯(lián)網(wǎng)帶來(lái)巨大的安全隱患。
從2011年以后工業(yè)控制系統(tǒng)的各種漏洞每年都在高速的增加,這些漏洞將會(huì)成為攻擊工業(yè)控制網(wǎng)絡(luò)的一種主要途徑。通過(guò)這些漏洞攻擊可以完成獲取系統(tǒng)權(quán)限、修改工程數(shù)據(jù)和控制流程、非法關(guān)閉現(xiàn)場(chǎng)設(shè)備等操作,造成重大的生產(chǎn)事故和經(jīng)濟(jì)損失。
比較常見(jiàn)的是來(lái)自外部網(wǎng)絡(luò)的滲透:工業(yè)互聯(lián)網(wǎng)會(huì)有較多的開(kāi)放服務(wù),攻擊者可以通過(guò)掃描發(fā)現(xiàn)開(kāi)放服務(wù),并利用開(kāi)放服務(wù)中的漏洞和缺陷登錄到網(wǎng)絡(luò)服務(wù)器獲取企業(yè)關(guān)鍵資料,同進(jìn)還可以利用辦公網(wǎng)絡(luò)作為跳板,逐步滲透到控制網(wǎng)絡(luò)中。通過(guò)對(duì)于辦公網(wǎng)絡(luò)和控制網(wǎng)絡(luò)一系列的滲透和攻擊,最終獲取企業(yè)重要的生產(chǎn)資料、關(guān)鍵配方,更嚴(yán)重的是隨意更改控制儀表的開(kāi)關(guān)狀態(tài),惡意修改其控制量,造成重大的生產(chǎn)事故。
如何小龍所說(shuō),我國(guó)典型工業(yè)互聯(lián)網(wǎng)平臺(tái)在邊緣層、工業(yè)IaaS(基礎(chǔ)設(shè)施即服務(wù))層、PaaS(平臺(tái)即服務(wù))層、SaaS(軟件即服務(wù))層和平臺(tái)數(shù)據(jù)安全層皆面臨一些問(wèn)題。在邊緣層,現(xiàn)有的安全能力側(cè)重點(diǎn)在于設(shè)備接入認(rèn)證、網(wǎng)絡(luò)安全審計(jì)、通信加密策略安全防護(hù)等,而亟須加強(qiáng)邊緣設(shè)備可信驗(yàn)證、工業(yè)協(xié)議深度解析、對(duì)接不同廠商端側(cè)設(shè)備等方面的安全能力;在工業(yè)SaaS層方面,現(xiàn)在平臺(tái)側(cè)重點(diǎn)在身份認(rèn)證、權(quán)限控制、安全審計(jì)等方面把控,亟須加強(qiáng)工業(yè)應(yīng)用安全加固、統(tǒng)一安全運(yùn)維、應(yīng)用日志分析等能力。
工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)了設(shè)備、工廠、人、產(chǎn)品的全方位連接,因此工業(yè)互聯(lián)網(wǎng)安全建設(shè)必須從綜合安全防護(hù)體系的視角對(duì)其進(jìn)行統(tǒng)籌規(guī)劃。
業(yè)內(nèi)人士分析認(rèn)為,從工業(yè)互聯(lián)網(wǎng)的整體架構(gòu)來(lái)看,應(yīng)該在各個(gè)層面實(shí)施相應(yīng)的安全防護(hù)措施,并通過(guò)入侵檢測(cè)、邊界防護(hù)、協(xié)議分析、行為分析、安全審計(jì)、容災(zāi)備份、態(tài)勢(shì)感知等各種安全技術(shù)與安全管理相結(jié)合的方式實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全防護(hù),形成對(duì)工業(yè)互聯(lián)網(wǎng)安全的“監(jiān)測(cè)、報(bào)警、處置、溯源、恢復(fù)、檢查”工作閉環(huán)。
工業(yè)互聯(lián)網(wǎng)平臺(tái)應(yīng)在云基礎(chǔ)設(shè)施、平臺(tái)基礎(chǔ)能力、基礎(chǔ)應(yīng)用能力的安全可信方面制定五個(gè)基本計(jì)劃活動(dòng)——
1.識(shí)別:識(shí)別管理系統(tǒng)、資產(chǎn)、數(shù)據(jù)和功能的安全風(fēng)險(xiǎn);2.防護(hù):對(duì)平臺(tái)實(shí)施安全保障措施,確保工業(yè)互聯(lián)網(wǎng)平臺(tái)能夠提供服務(wù);3.檢測(cè):對(duì)平臺(tái)使用、維護(hù)、管理過(guò)程實(shí)施適當(dāng)?shù)某掷m(xù)性監(jiān)視和檢測(cè)活動(dòng),以識(shí)別安全事件的發(fā)生;4.響應(yīng):對(duì)平臺(tái)使用、維護(hù)、管理過(guò)程制定和實(shí)施適當(dāng)?shù)膽?yīng)對(duì)計(jì)劃,對(duì)檢測(cè)到的安全事件采取行動(dòng);5.恢復(fù):對(duì)平臺(tái)使用、維護(hù)、管理過(guò)程制定和實(shí)施適當(dāng)?shù)幕顒?dòng)及維護(hù)恢復(fù)計(jì)劃,以恢復(fù)由于安全事件而受損的任何能力或服務(wù)。
當(dāng)前需要完成對(duì)安全思維的根本性切換,即應(yīng)該充分意識(shí)到安全防護(hù)是一個(gè)持續(xù)的處理過(guò)程,即從“應(yīng)急響應(yīng)”到“持續(xù)響應(yīng)”。
天融信科技集團(tuán)CEO李雪瑩博士認(rèn)為,工業(yè)企業(yè)接入網(wǎng)絡(luò)之后需盡量減少與生產(chǎn)相關(guān)的資產(chǎn)在互聯(lián)網(wǎng)上的暴露,單點(diǎn)登錄、應(yīng)用代理在一定的防護(hù)基礎(chǔ)上可以暴露于網(wǎng)上,應(yīng)用于業(yè)務(wù)間的協(xié)同,其自身的資產(chǎn)、設(shè)備應(yīng)該在企業(yè)的內(nèi)網(wǎng)側(cè)。在企業(yè)側(cè)最大限度減少非必要資產(chǎn)在互聯(lián)網(wǎng)上的暴露面,達(dá)到安全的要求。在產(chǎn)業(yè)層面,把工業(yè)業(yè)務(wù)分為可見(jiàn)區(qū)域和不可見(jiàn)區(qū)域,生產(chǎn)過(guò)程是不可見(jiàn)的,而企業(yè)間的業(yè)務(wù)協(xié)同是可見(jiàn)的。
“中國(guó)的工業(yè)產(chǎn)品占世界工業(yè)產(chǎn)品的近一半,我國(guó)是一個(gè)名副其實(shí)的工業(yè)大國(guó)。在兩化融合的過(guò)程中,工業(yè)企業(yè)都已逐漸普及信息化,如何利用信息化的優(yōu)勢(shì)和技術(shù)提高產(chǎn)能是工業(yè)發(fā)展的重要方向,工業(yè)互聯(lián)網(wǎng)是實(shí)現(xiàn)上述效果的重要途徑,而在這其中,安全是重中之重,是一切工業(yè)企業(yè)信息化發(fā)展的基石。”李雪瑩說(shuō)。
我國(guó)高度重視工業(yè)互聯(lián)網(wǎng)安全,國(guó)務(wù)院于2017年11月發(fā)布《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》(以下簡(jiǎn)稱(chēng)《指導(dǎo)意見(jiàn)》)提出,要加快發(fā)展工業(yè)互聯(lián)網(wǎng)建設(shè),構(gòu)建網(wǎng)絡(luò)、平臺(tái)、安全三大體系,強(qiáng)化工業(yè)互聯(lián)網(wǎng)的安全保障。《指導(dǎo)意見(jiàn)》突出了我國(guó)工業(yè)互聯(lián)網(wǎng)安全的基礎(chǔ)性和戰(zhàn)略性的地位,也為今后工業(yè)互聯(lián)網(wǎng)的安全制定了時(shí)間表和路線(xiàn)圖。
何小龍說(shuō),為了貫徹落實(shí)國(guó)家相關(guān)政策和文件要求,有效應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn),特別是互聯(lián)網(wǎng)向工業(yè)領(lǐng)域的連接、IT和OT的連接,國(guó)家工業(yè)信息安全發(fā)展研究中心更加聚焦工業(yè)領(lǐng)域信息安全。據(jù)介紹,國(guó)家工業(yè)信息安全發(fā)展研究中心積極響應(yīng)工業(yè)互聯(lián)網(wǎng)發(fā)展的戰(zhàn)略部署,在工業(yè)和信息化部的指導(dǎo)下,針對(duì)政策標(biāo)準(zhǔn)制定、技術(shù)保障能力構(gòu)建、產(chǎn)業(yè)發(fā)展和人才隊(duì)伍培養(yǎng)等方面做了多項(xiàng)工作。
2020年,工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)管理辦法》(征求意見(jiàn)稿)指導(dǎo)我國(guó)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析建設(shè),促進(jìn)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)健康有序發(fā)展和應(yīng)用,規(guī)范工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)服務(wù),保護(hù)用戶(hù)合法權(quán)益,保障工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)系統(tǒng)安全、可靠運(yùn)行。
近日,工業(yè)和信息化部、應(yīng)急管理部也聯(lián)合發(fā)布了《“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動(dòng)計(jì)劃(2021-2023年)》,圍繞建設(shè)新型基礎(chǔ)設(shè)施、打造新型能力、深化融合應(yīng)用、構(gòu)建支撐體系四個(gè)方面提出了重點(diǎn)任務(wù),其中建設(shè)新型基礎(chǔ)設(shè)施是基礎(chǔ),建設(shè)新型能力是核心,深化融合應(yīng)用是重點(diǎn),構(gòu)建支撐體系是保障。
政策助力、市場(chǎng)需求,使得工業(yè)互聯(lián)網(wǎng)安全也成為一個(gè)正在快速增長(zhǎng)的新市場(chǎng)。國(guó)家工業(yè)信息安全發(fā)展研究中心工程師賈若倫分析:“在產(chǎn)業(yè)未來(lái)的發(fā)展趨勢(shì)上,大致有四個(gè)方面的預(yù)測(cè):一是工業(yè)信息安全產(chǎn)業(yè)政策紅利進(jìn)一步釋放,隨著各項(xiàng)國(guó)家政策規(guī)劃的穩(wěn)步推進(jìn),工業(yè)信息安全產(chǎn)業(yè)的環(huán)境將持續(xù)優(yōu)化,產(chǎn)業(yè)聚集效應(yīng)逐漸形成;二是我國(guó)工業(yè)信息安全產(chǎn)業(yè)規(guī)模將持續(xù)保持高速增長(zhǎng);三是新一代信息技術(shù)促進(jìn)新興業(yè)態(tài)安全技術(shù)研發(fā);四是工業(yè)信息安全產(chǎn)業(yè)鏈上下游企業(yè)加速協(xié)同互動(dòng),工業(yè)信息安全廠商與工業(yè)控制系統(tǒng)廠商、IT系統(tǒng)廠商將開(kāi)展多層次、多維度的合作。”
對(duì)工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全領(lǐng)域而言,挑戰(zhàn)和機(jī)遇并存,個(gè)中企業(yè)唯有真刀真槍的實(shí)網(wǎng)攻防,在此過(guò)程中不斷增強(qiáng)自身的防御能力,才能有效地保護(hù)平臺(tái)健康發(fā)展。