工业互联网概述
随着工业4.0的提出,全球越来越多的制造企业在云计算、大数据、人工智能和5G等技术的共同作用下开展工业4.0的实践。以新一代信息技术与先进制造技术深度融合为基本特征的智能制造,已成为这次新工业革命的核心驱动力。 工业互联网作为智能制造的基础,以物联网、云计算、大数据、人工智能等新一代信息技术为支撑,加速了 IT 网络与 OT 网络的融合,使工控网不再孤立。作为新一代的网络基础架构模式,使人与人、人与物、物与物全面互联,具备低延时、高带宽、广覆盖的特点,构建起企业数字化转型的基础,为企业数字化、网络化和智能化发展提供支撑。 工业互联网的渗透效应已不仅仅局限在制造业,已经快速向其他重点行业拓展,如电力行业、煤炭行业、水利行业甚至航空业等。基于不同的行业特性,形成各具特色的网络模型和应用架构,更好的赋能,更好的促进了实体经济的高质量、高效率、低成本的发展。
什么是工业互联网安全?
随着 IT 与 OT 技术全面的深度融合与发展,形成工业互联网,为企业、行业甚至生态带来机会,工业互联网已成为一种商业必然。与此同时,工业互联网的安全也备受关注,尤其融合后,企业环境复杂多变,也导致了工业安全问题日益凸显。作为关键基础设施,其安全问题可以对个人、企业、社会、甚至国家造成严重威胁。工业互联网方面的安全可以从管理和技术两个方便进行考虑,涉及内容一般包括物理设备安全、网络安全、控制安全、应用安全和数据安全五大部分。
工业互联网安全发展趋势
工业互联网的健康发展离不开安全的保驾护航,可以说安全是工业互联网健康发展的必要条件,在未来,随着工业互联网的快速发展和普及,工业互联网安全的发展趋势也将成为重要的关注点。在未来,工业互联网安全方面有以下方面值得关注:
-
工业互联网安全地位:
工业互联网已经不仅仅是网络架构的模式变革这么简单,它在不断的发展中,已经汇聚了各类的工业资源和网络资源,互联底层设备到上层应用,可以说已经平台化。工业互联网平台由于自身的应用,已经跻身于企业的核心平台,也成为企业重要的转型工具。所以对于这么重要的平台,安全防护自然将备受重视。平台化的应用将会为使用者与供应者之间提供安全认证、设备访问、数据传输等,为保障此类应用的安全,类似访问控制、数据脱敏和行为认证等安全技术将成为刚需。
-
工业互联网安全中的数据:
通过工业互联网打通了底层到上层的应用,各种工控数据、业务数据将被采集,利用大数据、人工智能等技术可以更好的分析和发掘数据中的价值。众所周知,工业互联网数据体量大、种类多且结构复杂,并在 IT 和 OT 层、工厂内外双向流动共享。这就对工业互联网平台中数据的分级分类保护提出了较高的保护要求,未来如何对数据的安全防护、可视化追溯、隐私和审计,将成为防护的热点。
-
工业互联网安全运营:
无论是 IT 还是 OT ,在安全方面一定是遵循“三分技术七分管理”的原则,工业互联网的安全运营必将成为发展趋势之一。为工业互联网平台进行严密的布防,仅仅是安全防御的第一步,更重要的是后面的精细化运维工作。通过可视化的运维手段,可以对安全风险进行追踪、定位,可以做到在安全威胁对平台运行造成实质性影响之前及时发现并处置,实现对工业互联网安全的全局把控,阻止安全威胁的蔓延。安全建设具有阶段性的属性,而安全运营则是长久之策。
-
工业互联网安全智能联动:
孤岛式的安全防御体系已经无法满足在工业互联网背景下的安全防御要求,各安全防御的立体式联动机制将成为重要的发展趋势。面对不断变化和有针对性的安全威胁,仅靠单一产品的单边防御能力是无法抵抗的。必须建立起多种安全平台的联动机制,做到主动发现、及时预警,信息共享,策略同步。同时企业自身的安全机制也要与行业或者国家的安全平台实现安全联动,统一认识、密切合作,打造多方联动的防御体系,进一步提升工业互联网安全风险发现与安全事件处置能力。
工业互联网安全法律法规政策
网络连接从根本上改变了我们的认知,拉近了我们与世界的距离,重新定义了人类的交流方式和行为。其深远的影响也得到了国家的重视。近年 IT 与 OT 的融合发展越发凸显,形成了工业互联网热潮,国家也从法律法规、行业标准等方面进行了一系列的工作部署和工作要求 。如: 2016 年 12 月国家互联网信息办公室发布的《国家网络空间安全战略》提出要“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”。 《中国制造 2025》提出要“加强智能制造工业控制系统网络安全保障能力建设,健全综合保障体系”。 2017 年 6 月起正式实施的《中华人民共和国网络安全法》要求对包括工控系统在内的“可能严重危害国家安全、国计民生、公共利益的关键信息基础设施” 实行重点保护。 2017 年 12 月发布的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》以“强化安全保障”为指导思想、“安全可靠”为基本原则,提出“建立工业互联网安全保障体系、提升安全保障能力”的发展目标,部署“强化安全保障”的主要任务, 为工业互联网安全保障工作制定了时间表和路线图。 2016 至 2017 年间,工业和信息化部陆续发布《工业控制系统信息安全防护指南》、《工控系统信息安全事件应急管理工作指南》和《工业控制系统信息安全防护能力评估工作管理办法》等政策文件,明确工控安全防护、应急以及能力评估等工作要求,构建了工控安全管理体系,进一步完善了工业信息安全顶层设计 。
工业互联网安全面临的问题
工业互联网安全已经成为企业的重点防御领域,根据多个工业互联网的安全平台建设经验,主要面临病毒攻击、网络安全、人为安全、数据安全和终端安全方面的问题:
病毒攻击
随着众多的企业开始逐渐进行数字化转型,工业互联网作为必要元素之一,大量的采用了标准化且通用的 IT 技术,实现各系统间及网络间的互通,一网到底打通了工控网。导致在办公网肆虐的病毒攻击行为易传输到以前封闭的工控网。加之大多数工控系统较为老旧,且更新换代成本高、周期长,导致漏洞未被及时修复,易被恶意病毒或代码感染,提高了工业安全防护的复杂程度。
网络安全
随着工业互联网的发展,通信不再局限于人与人,已经拓展到物与物,这就使得 IT 与OT 的边界越来越模糊,越来越多的工控设备被拉入网络,如物联网的崛起。这就导致受攻击的设备暴露的几率更大,本身网络上的攻击方法就呈现多样性、针对性的发展态势,有问题的终端设备就更容易被远程控制或者引发DDoS攻击,僵尸网络等问题。虽然企业已经认识到工业互联网后安全的重要性,但是建设网络安全防御体系的时间要远慢于数字化转型的时间,所以空窗期的挑战不言而喻。
人为安全
无论是 IT 网络还是 OT 网络,人对于信息安全的威胁永远存在,这也是信息安全工作面临的最大挑战。工控系统本身具备封闭性、安全防御能力的特性,系统自身更新频率低,甚至到了寿终正寝的时候,都不一定更新过。所以说工控系统是最容易被病毒攻破的系统。人为安全主要分有意为之和无意为之。有意为之属于最恶劣的一种,为了某种利益,通过移动介质等设备将病毒带入网络,进行木马植入等操作,给企业造成重大损失。无意为之是说管理员安全意识薄弱,为了调试工控设备,习惯性的把自己的电脑或者编写设备连入工控网络,使自身电脑中的病毒有机会传入工控网络,造成损失。在企业中,人的安全意识管理是个难题,再强有力的网络防御能力,也无法解决由内而外的破坏。
数据安全
数据安全在互联网、移动互联网时代一直都是信息安全人员关注的重点,也是企业聚焦的重点。随着工业互联网平台的普及和发展,接入了工控网,数据更呈现体量大、种类多、结构复杂的态势。从数据的采集、传输、存储、使用到销毁阶段,对信息安全都是一个不小的挑战。 工控数据格式标准不统一,接口封闭,导致数据采集难度大、传输协议多、数据缺乏加密认证,数据的存储、传输、分析与共享都存在不同的安全风险。
终端安全
随着工业物联网的普及,大量的工控设备、智能终端、传感器等物理实体与网络和软件进行集成,增大了暴露面。同时这些设备的操作系统较为老旧,甚至不带任何的安全防御措施,且系统自身升级更新周期长,易被恶意病毒或代码感染,系统自身的脆弱性极高 。
工业互联网安全防御体系
工业互联网的提出已经有一段时间,相对于发达国家,我国的工业互联网安全发展仍处于发展中阶段,面临的挑战也比较突出,如标准不统一、资金及设备等资源要素保障能力缺乏,专业人员缺失等。 工业互联网作为数字化转型的重要手段,国家从最高层面进行了指引和支持,如中国制造 2025 战略的提出。据全球移动通信系统协会预测,2016年至2025年间,工业互联网设备联网数量将从24亿增加到138亿,预计到2023年将超过消费物联网设备联网数量。 可见,工业互联网大潮已席卷全球,其基础设施的安全防御体系的建设也成为了不可忽视的重点内容。
安全技术
-
终端安全防护:
随着工业互联网的崛起,越来越多的设备被连接并曝露在网络上。现有终端的安全防护能力较差,尤其是传统的终端设备,很多在设计的时候并没有考虑安全因素。为保证终端设备的安全有以下几点可以
转载请注明:IT运维空间 » 安全防护 » 工业互联网安全备受关注,防御体系该如何建设?
发表评论