本刊編輯部
工業(yè)互聯(lián)網(wǎng)是基于制造業(yè)發(fā)展面臨深刻變革這一背景下提出的,是推動我國制造業(yè)數(shù)字化轉(zhuǎn)型的現(xiàn)實(shí)路徑。當(dāng)前,全球工業(yè)互聯(lián)網(wǎng)正處在產(chǎn)業(yè)格局還沒有確定的關(guān)鍵期,也是大規(guī)模運(yùn)用、規(guī)?;瘮U(kuò)張的窗口期。這在個時期,工業(yè)互聯(lián)網(wǎng)平臺的安全問題顯得非常重要。
國家工業(yè)信息安全發(fā)展研究中心副主任何小龍稱,工業(yè)互聯(lián)網(wǎng)平臺是面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求構(gòu)建,基于海量數(shù)據(jù)采集、匯聚、分析的服務(wù)體系,它向上承載應(yīng)用生態(tài),向下接入系統(tǒng)的設(shè)備,是設(shè)計(jì)、制造、銷售、物流與服務(wù)等全生產(chǎn)鏈、各環(huán)節(jié)實(shí)現(xiàn)協(xié)同制造的一個紐帶,是連接設(shè)備、軟件、產(chǎn)品、工廠、人等工業(yè)全要素的樞紐?!肮I(yè)互聯(lián)網(wǎng)平臺的安全關(guān)系到生產(chǎn)的安全、社會的安全甚至國家的安全。”何小龍說。
據(jù)悉,當(dāng)前我國的工業(yè)互聯(lián)網(wǎng)平臺面臨嚴(yán)峻風(fēng)險(xiǎn),這主要表現(xiàn)在:一是越來越多的工業(yè)設(shè)備、系統(tǒng)暴露在互聯(lián)網(wǎng)上,導(dǎo)致平臺被攻擊的風(fēng)險(xiǎn)加?。欢枪I(yè)互聯(lián)網(wǎng)平臺的數(shù)據(jù)種類和需求呈現(xiàn)多樣化特點(diǎn),目前的數(shù)據(jù)保護(hù)措施難以滿足需求。2018年、2019年,工信部連續(xù)兩年對國內(nèi)主要的一些工業(yè)互聯(lián)網(wǎng)平臺進(jìn)行了檢查與評估,結(jié)果不盡如人意,顯示出工業(yè)互聯(lián)網(wǎng)平臺安全保護(hù)能力薄弱。
這是由于早期的工業(yè)控制系統(tǒng)都是在相對獨(dú)立的網(wǎng)絡(luò)環(huán)境下運(yùn)行,在產(chǎn)品設(shè)計(jì)和網(wǎng)絡(luò)部署時,只考慮了功能性和穩(wěn)定性,對安全性考慮不足。隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)之間互聯(lián)互通的不斷推進(jìn),以及工業(yè)控制系統(tǒng)和工業(yè)設(shè)備接入互聯(lián)網(wǎng)的數(shù)量越來越多,通過互聯(lián)網(wǎng)對工業(yè)控制系統(tǒng)實(shí)施攻擊的可能性越來越大,這些都為工業(yè)互聯(lián)網(wǎng)帶來巨大的安全隱患。
從2011年以后工業(yè)控制系統(tǒng)的各種漏洞每年都在高速的增加,這些漏洞將會成為攻擊工業(yè)控制網(wǎng)絡(luò)的一種主要途徑。通過這些漏洞攻擊可以完成獲取系統(tǒng)權(quán)限、修改工程數(shù)據(jù)和控制流程、非法關(guān)閉現(xiàn)場設(shè)備等操作,造成重大的生產(chǎn)事故和經(jīng)濟(jì)損失。
比較常見的是來自外部網(wǎng)絡(luò)的滲透:工業(yè)互聯(lián)網(wǎng)會有較多的開放服務(wù),攻擊者可以通過掃描發(fā)現(xiàn)開放服務(wù),并利用開放服務(wù)中的漏洞和缺陷登錄到網(wǎng)絡(luò)服務(wù)器獲取企業(yè)關(guān)鍵資料,同進(jìn)還可以利用辦公網(wǎng)絡(luò)作為跳板,逐步滲透到控制網(wǎng)絡(luò)中。通過對于辦公網(wǎng)絡(luò)和控制網(wǎng)絡(luò)一系列的滲透和攻擊,最終獲取企業(yè)重要的生產(chǎn)資料、關(guān)鍵配方,更嚴(yán)重的是隨意更改控制儀表的開關(guān)狀態(tài),惡意修改其控制量,造成重大的生產(chǎn)事故。
如何小龍所說,我國典型工業(yè)互聯(lián)網(wǎng)平臺在邊緣層、工業(yè)IaaS(基礎(chǔ)設(shè)施即服務(wù))層、PaaS(平臺即服務(wù))層、SaaS(軟件即服務(wù))層和平臺數(shù)據(jù)安全層皆面臨一些問題。在邊緣層,現(xiàn)有的安全能力側(cè)重點(diǎn)在于設(shè)備接入認(rèn)證、網(wǎng)絡(luò)安全審計(jì)、通信加密策略安全防護(hù)等,而亟須加強(qiáng)邊緣設(shè)備可信驗(yàn)證、工業(yè)協(xié)議深度解析、對接不同廠商端側(cè)設(shè)備等方面的安全能力;在工業(yè)SaaS層方面,現(xiàn)在平臺側(cè)重點(diǎn)在身份認(rèn)證、權(quán)限控制、安全審計(jì)等方面把控,亟須加強(qiáng)工業(yè)應(yīng)用安全加固、統(tǒng)一安全運(yùn)維、應(yīng)用日志分析等能力。
工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)了設(shè)備、工廠、人、產(chǎn)品的全方位連接,因此工業(yè)互聯(lián)網(wǎng)安全建設(shè)必須從綜合安全防護(hù)體系的視角對其進(jìn)行統(tǒng)籌規(guī)劃。
業(yè)內(nèi)人士分析認(rèn)為,從工業(yè)互聯(lián)網(wǎng)的整體架構(gòu)來看,應(yīng)該在各個層面實(shí)施相應(yīng)的安全防護(hù)措施,并通過入侵檢測、邊界防護(hù)、協(xié)議分析、行為分析、安全審計(jì)、容災(zāi)備份、態(tài)勢感知等各種安全技術(shù)與安全管理相結(jié)合的方式實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的安全防護(hù),形成對工業(yè)互聯(lián)網(wǎng)安全的“監(jiān)測、報(bào)警、處置、溯源、恢復(fù)、檢查”工作閉環(huán)。
工業(yè)互聯(lián)網(wǎng)平臺應(yīng)在云基礎(chǔ)設(shè)施、平臺基礎(chǔ)能力、基礎(chǔ)應(yīng)用能力的安全可信方面制定五個基本計(jì)劃活動——
1.識別:識別管理系統(tǒng)、資產(chǎn)、數(shù)據(jù)和功能的安全風(fēng)險(xiǎn);2.防護(hù):對平臺實(shí)施安全保障措施,確保工業(yè)互聯(lián)網(wǎng)平臺能夠提供服務(wù);3.檢測:對平臺使用、維護(hù)、管理過程實(shí)施適當(dāng)?shù)某掷m(xù)性監(jiān)視和檢測活動,以識別安全事件的發(fā)生;4.響應(yīng):對平臺使用、維護(hù)、管理過程制定和實(shí)施適當(dāng)?shù)膽?yīng)對計(jì)劃,對檢測到的安全事件采取行動;5.恢復(fù):對平臺使用、維護(hù)、管理過程制定和實(shí)施適當(dāng)?shù)幕顒蛹熬S護(hù)恢復(fù)計(jì)劃,以恢復(fù)由于安全事件而受損的任何能力或服務(wù)。
當(dāng)前需要完成對安全思維的根本性切換,即應(yīng)該充分意識到安全防護(hù)是一個持續(xù)的處理過程,即從“應(yīng)急響應(yīng)”到“持續(xù)響應(yīng)”。
天融信科技集團(tuán)CEO李雪瑩博士認(rèn)為,工業(yè)企業(yè)接入網(wǎng)絡(luò)之后需盡量減少與生產(chǎn)相關(guān)的資產(chǎn)在互聯(lián)網(wǎng)上的暴露,單點(diǎn)登錄、應(yīng)用代理在一定的防護(hù)基礎(chǔ)上可以暴露于網(wǎng)上,應(yīng)用于業(yè)務(wù)間的協(xié)同,其自身的資產(chǎn)、設(shè)備應(yīng)該在企業(yè)的內(nèi)網(wǎng)側(cè)。在企業(yè)側(cè)最大限度減少非必要資產(chǎn)在互聯(lián)網(wǎng)上的暴露面,達(dá)到安全的要求。在產(chǎn)業(yè)層面,把工業(yè)業(yè)務(wù)分為可見區(qū)域和不可見區(qū)域,生產(chǎn)過程是不可見的,而企業(yè)間的業(yè)務(wù)協(xié)同是可見的。
“中國的工業(yè)產(chǎn)品占世界工業(yè)產(chǎn)品的近一半,我國是一個名副其實(shí)的工業(yè)大國。在兩化融合的過程中,工業(yè)企業(yè)都已逐漸普及信息化,如何利用信息化的優(yōu)勢和技術(shù)提高產(chǎn)能是工業(yè)發(fā)展的重要方向,工業(yè)互聯(lián)網(wǎng)是實(shí)現(xiàn)上述效果的重要途徑,而在這其中,安全是重中之重,是一切工業(yè)企業(yè)信息化發(fā)展的基石?!崩钛┈撜f。
我國高度重視工業(yè)互聯(lián)網(wǎng)安全,國務(wù)院于2017年11月發(fā)布《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》(以下簡稱《指導(dǎo)意見》)提出,要加快發(fā)展工業(yè)互聯(lián)網(wǎng)建設(shè),構(gòu)建網(wǎng)絡(luò)、平臺、安全三大體系,強(qiáng)化工業(yè)互聯(lián)網(wǎng)的安全保障?!吨笇?dǎo)意見》突出了我國工業(yè)互聯(lián)網(wǎng)安全的基礎(chǔ)性和戰(zhàn)略性的地位,也為今后工業(yè)互聯(lián)網(wǎng)的安全制定了時間表和路線圖。
何小龍說,為了貫徹落實(shí)國家相關(guān)政策和文件要求,有效應(yīng)對工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn),特別是互聯(lián)網(wǎng)向工業(yè)領(lǐng)域的連接、IT和OT的連接,國家工業(yè)信息安全發(fā)展研究中心更加聚焦工業(yè)領(lǐng)域信息安全。據(jù)介紹,國家工業(yè)信息安全發(fā)展研究中心積極響應(yīng)工業(yè)互聯(lián)網(wǎng)發(fā)展的戰(zhàn)略部署,在工業(yè)和信息化部的指導(dǎo)下,針對政策標(biāo)準(zhǔn)制定、技術(shù)保障能力構(gòu)建、產(chǎn)業(yè)發(fā)展和人才隊(duì)伍培養(yǎng)等方面做了多項(xiàng)工作。
2020年,工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)標(biāo)識管理辦法》(征求意見稿)指導(dǎo)我國工業(yè)互聯(lián)網(wǎng)標(biāo)識解析建設(shè),促進(jìn)工業(yè)互聯(lián)網(wǎng)標(biāo)識健康有序發(fā)展和應(yīng)用,規(guī)范工業(yè)互聯(lián)網(wǎng)標(biāo)識服務(wù),保護(hù)用戶合法權(quán)益,保障工業(yè)互聯(lián)網(wǎng)標(biāo)識系統(tǒng)安全、可靠運(yùn)行。
近日,工業(yè)和信息化部、應(yīng)急管理部也聯(lián)合發(fā)布了《“工業(yè)互聯(lián)網(wǎng)+安全生產(chǎn)”行動計(jì)劃(2021-2023年)》,圍繞建設(shè)新型基礎(chǔ)設(shè)施、打造新型能力、深化融合應(yīng)用、構(gòu)建支撐體系四個方面提出了重點(diǎn)任務(wù),其中建設(shè)新型基礎(chǔ)設(shè)施是基礎(chǔ),建設(shè)新型能力是核心,深化融合應(yīng)用是重點(diǎn),構(gòu)建支撐體系是保障。
政策助力、市場需求,使得工業(yè)互聯(lián)網(wǎng)安全也成為一個正在快速增長的新市場。國家工業(yè)信息安全發(fā)展研究中心工程師賈若倫分析:“在產(chǎn)業(yè)未來的發(fā)展趨勢上,大致有四個方面的預(yù)測:一是工業(yè)信息安全產(chǎn)業(yè)政策紅利進(jìn)一步釋放,隨著各項(xiàng)國家政策規(guī)劃的穩(wěn)步推進(jìn),工業(yè)信息安全產(chǎn)業(yè)的環(huán)境將持續(xù)優(yōu)化,產(chǎn)業(yè)聚集效應(yīng)逐漸形成;二是我國工業(yè)信息安全產(chǎn)業(yè)規(guī)模將持續(xù)保持高速增長;三是新一代信息技術(shù)促進(jìn)新興業(yè)態(tài)安全技術(shù)研發(fā);四是工業(yè)信息安全產(chǎn)業(yè)鏈上下游企業(yè)加速協(xié)同互動,工業(yè)信息安全廠商與工業(yè)控制系統(tǒng)廠商、IT系統(tǒng)廠商將開展多層次、多維度的合作?!?/p>
對工業(yè)互聯(lián)網(wǎng)平臺的安全領(lǐng)域而言,挑戰(zhàn)和機(jī)遇并存,個中企業(yè)唯有真刀真槍的實(shí)網(wǎng)攻防,在此過程中不斷增強(qiáng)自身的防御能力,才能有效地保護(hù)平臺健康發(fā)展。