摘要:隨著我國當前工業互聯網的飛速發展,工業互聯網平臺安全逐漸引起廣泛重視。本文通過研究工業互聯網平臺安全問題,調研國內外工業互聯網平臺安全防護措施,分析當前安全防護存在的問題,提出下一步工作建議。
關鍵詞:工業互聯網;工業互聯網平臺;信息安全
Abstract: With the rapid development of China's current industrial Internet, the security of the industrial Internet platform has gradually attracted widespread attention. This paper proposes the next step of work by researching the security issues of industrial Internet platforms, investigating the security protection measures of industrial Internet platforms at home and abroad, and analyzing the security problems existing in current security protection..
Key words: Industrial Internet;Industrial Internet platform;Information security
1 工業互聯網平臺
當前,隨著《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》等國家戰略規劃的出臺發布,工業互聯網在我國得到了飛速的發展,已經成為推動制造業轉型升級、發展實體經濟的新型網絡基礎設施。工業互聯網平臺作為工業互聯網的核心,是面向制造業數字化、網絡化、智能化需求,構建基于海量數據的采集、匯聚、分析和服務體系,支撐制造資源泛在連接、彈性供給、高效配置的開放式工業云平臺,通常由邊緣層、工業IaaS層、工業PaaS層以及工業SaaS層組成。各層之間以開展工業生產為目標,緊密銜接、協同合作,通過連接工業生產各方,提升功能工業生產制造水平。
然而,工業互聯網具有的低時延、高可靠、廣覆蓋的典型工業屬性,使得工業互聯網平臺連接業務復雜,連接設備種類繁多,數據格式多樣,在推進智能化、柔性化、協同化生產的同時,安全邊界也越發模糊,受攻擊面不斷擴大,互聯網和工業控制網上的威脅對工業互聯網形成“雙向擠壓”,工業互聯網平臺各層均存在安全風險。
1.1 邊緣終端安全
邊緣終端層處于工業互聯網平臺最底層,作為整個平臺的基礎,主要實現數據采集、協議解析、智能處理等功能。該層主要面臨的安全威脅有:物理攻擊,即針對終端設備本身進行物理上的破壞行為,實現信息竊取、惡意追蹤、非法使用等;資源消耗攻擊和拒絕服務攻擊,即過度占用終端設備有限的計算、存儲等能力,消耗有限的能源等資源,引發服務異常;數據竊取、篡改、偽造、重放等攻擊,即針對終端數據未加密或加密強度低而發起的以數據為目的的各類攻擊;數據完整性與實時性攻擊,即借助于廣播干擾、信道堵塞、電磁輻射等手段進行數據攔截、破壞及延遲,引發系統工作異常。
1.2 工業IaaS安全
作為工業互聯網平臺的基礎設施層,工業IaaS的安全主要是指對基礎設施自身的安全保護,以及因資源虛擬化、多租戶服務引發的信息安全問題。具體而言,工業IaaS的安全問題涉及接入認證安全、傳輸安全、數據安全、服務商管理安全等方面,所面臨的安全威脅主要有設備非法接入、惡意代碼注入、會話控制和劫持、弱密碼攻擊、非法更改或刪除平臺數據、非法竊取數據或計算資源、虛擬機鏡像文件非法訪問和篡改、拒絕服務攻擊、中間人攻擊、SQL注入攻擊等。
1.3 工業PaaS安全
工業PaaS為用戶提供了包括工業應用開發工具、工業微服務組件、工業大數據分析平臺、數據庫、操作系統、開發環境等在內的軟件棧,允許用戶通過網絡來進行應用的遠程開發、配置、部署,并最終在服務商提供的數據中心內運行。工業PaaS所面臨的安全威脅主要有非法竊取或訪問軟硬件資源、拒絕服務攻擊、惡意軟件植入等。可以借助于數據加密、防火墻、訪問控制機制、強制執行最小權限規則、反病毒軟件和入侵檢測工具等技術和管理手段進行安全性增強。
1.4 工業SaaS安全
在工業互聯網平臺中,SaaS主要功能是提供工業軟件或服務。由于SaaS的運行以互聯網為基礎,必將面臨復雜的信息安全問題,如身份冒用、資料竊取、IP欺騙、端口掃描、數據包嗅探等??梢越柚谏矸菡J證、數據加密、入侵檢測系統、防火墻、訪問控制機制、數據傳輸控制、網絡實時監控以及SQL攻擊保護等手段進行安全性增強。
2 國內外工業互聯網平臺安全發展現狀
2.1 國內外企業重視工業互聯網平臺安全建設工作
國外大型平臺企業積極推進安全建設。GE在2016年發布的《Predix:工業互聯網平臺》報告中,描述了從隔離用戶環境、操作系統安全等方面加強工業互聯網平臺安全。PTC在ThingWorx平臺采用端到端的安全策略,加強網絡應用程序、用戶和數據安全防護。ABB Ability平臺與微軟合作,通過安全基線、代碼審計保證平臺設計開發過程中的網絡安全,并與安全研究機構合作對平臺開展測試、評估和驗證,提高平臺安全水平。西門子MindSphere平臺在數據傳輸過程中嚴格遵守高標準的安全傳輸協議HTTPS,確保端到端的數據安全,并有相關工業APP幫助用戶發現潛在威脅、安全漏洞和異常情況,提供安全補丁的應對方案。菲尼克斯電氣ProfiCloud平臺中設備之間的通信均采用TLS(安全傳輸層協議)方式加密,保證通信安全。
國內平臺企業逐步加強安全建設。海爾COSMO平臺將安全保護、安全檢測、安全管理可視化、運營化、體系化,形成面向全流程安全威脅點的防護方案,日常安全運營管理、外部威脅情報和態勢感知中心三位一體的安全平臺。樹根互聯RootCloud平臺尤為重視數據安全,從展示層、數據層、服務層三方面出發,采用安全探針監控操作與訪問行為,通過對文件系統、數據庫和應用層加密,保證數據安全可控。石化盈科ProMACE平臺通過串接工業防火墻和安全數采網關進行兩網隔離防護,保證設備安全接入和安全通信。
2.2 國內外機構加強工業互聯網平臺安全頂層設計
國外高度重視工業互聯網平臺安全頂層設計。美國工業互聯網聯盟(IIC)發布工業互聯網安全框架(IISF),從多個角度解決安全、可靠性和隱私問題,旨在為工業互聯網安全研究與實施部署提供指導。德國工業4.0注重安全實施,出版《工業4.0安全指南》、《跨企業安全通信》、《安全身份標識》等相關指導文件,幫助企業加強安全防護。歐洲網絡空間安全組織(ECS)于2018年3月發布《工業4.0與工業控制系統(ICS)行業的網絡安全》,提出了若干策略,鼓勵各行業企業參與研究,并列出了若干行業專題。
國內逐步完善工業互聯網平臺安全頂層設計。我國陸續出臺《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》、《工業互聯網發展行動計劃(2018-2020年)》等文件,指導工業互聯網發展與安全同步推進;國內科研機構發布《工業互聯網平臺標準化白皮書(2018)》、《工業互聯網安全框架(討論稿)》等白皮書,同時立項《工業互聯網平臺安全要求及評估規范》國家標準1項,《工業互聯網平臺安全防護要求》、《工業互聯網平臺安全風險評估規范》等多項行業標準,扎實推進工業互聯網平臺安全標準化工作。
3 我國工業互聯網平臺存在的安全問題
3.1 工業互聯網平臺安全管理體系尚不健全
當前我國陸續出臺《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》、《工業互聯網發展行動計劃(2018-2020年)》等文件,為工業互聯網發展提供頂層政策指導,但工業互聯網企業在實際開展平臺安全設計、建設、運維等活動中,依然存在安全防護工作缺乏政策文件統籌指導,工業互聯網平臺安全主體責任不明等問題,同時,目前僅立項《工業互聯網平臺安全要求及評估規范》1項國家標準,標準體系尚未建立,關鍵技術、管理標準缺失,無法為工業互聯網企業開展安全防護工作提供標準依據。
3.2 工業互聯網平臺數據安全風險隱患凸顯
工業互聯網平臺采集、存儲和利用的數據資源存在數據體量大、種類多、關聯性強、價值分布不均、不同領域數據保護利用存在較大差異等特點,因此工業互聯網平臺數據安全存在責任主體邊界模糊、分級分類保護難度較大、事件追蹤溯源困難等問題。同時,工業大數據技術在工業互聯網平臺中的廣泛應用,使得工業互聯網平臺面臨著數據加密存儲技術尚不完善,鑒權技術發展尚不成熟,平臺用戶信息、企業生產信息等敏感信息存在泄露隱患,數據交易權屬不明確、監管責任不清等問題,工業大數據應用存在安全風險。
3.3 工業互聯網平臺安全產業處于起步階段
根據《網絡安全法》中關于關鍵信息基礎設施安全技術措施“同步規劃、同步建設、同步使用”的具體要求,需在工業互聯網設計、建設、運維等全生命周期開展安全防護工作。然而,當前我國工業互聯網平臺安全防護產業發展尚處起步階段,工業互聯網平臺企業多采用傳統信息安全防護技術、設備構建安全防護體系架構,尚無面向工業互聯網平臺安全的專用防護設備,整體安全解決方案還不成熟,關鍵基礎安全技術產品受制于人,安全防護設備有效性缺乏客觀、公正評價, 工業互聯網平臺安全產業發展尚處起步階段。
3.4 工業互聯網平臺安全保障制度急需建立
當前我國已面向工業控制系統開展保障制度建設工作,但工業互聯網平臺安全等工業互聯網發展,依然帶來了諸多工業信息新問題,相關保障制度仍需持續建設。工業互聯網平臺通常連接工業生產上下游企業,以實現泛在連接、彈性供給、高效配置的特點,目前對工業互聯網企業平臺運行情況缺乏安全監測手段,平臺服務提供商、工業互聯網應用提供商資質審查制度尚未建立,相關工業互聯網應用安全檢測技術缺乏,導致工業互聯網平臺安全保障工作缺乏基礎支撐。
4 下一步發展
4.1 加快工業互聯網平臺安全政策標準制定
建立重要工業互聯網平臺目錄清單,研究編制工業互聯網平臺安全防護指南等指導性政策文件,明確相關組織安全主體責任,指導平臺企業做好安全防護工作。持續開展工業互聯網安全標準體系建設工作,結合管理工作及產業發展研制需要,開展平臺安全管理、技術等急用先行標準的發布和應用,開展試點示范,加強宣貫培訓。
4.2 強化工業互聯網平臺數據安全管理制度
根據工業門類,研究制定工業數據分級分類管理制度,明確數據安全管理建設工作思路、工作目標,落實數據擁有者、使用者、管理者責任,研制配套標準,對數據收集、存儲、處理、轉移、刪除等環節提出安全指標及評估方法,推動工業大數據跨境傳輸安全管理制度建設,提升我國工業行業工業大數據安全管理水平。
4.3 促進工業互聯網平臺安全相關產業發展
優化產業環境,營造發展生態,鼓勵支持技術創新,構建多領域、多層次核心技術體系,形成面向工業互聯網平臺的安全解決方案。分行業、分領域、分地區支持一批工業互聯網平臺產業示范園區,集聚地區特色資源,培育龍頭骨干企業,促進產業快速健康發展。
4.4 保障技術手段建設、檢查評估、促進落實
分步驟、分階段開展工業互聯網平臺保障能力建設工作,面向工業互聯網平臺安全保障工作需求,建設安全態勢感知平臺,在線監測預警平臺,工業互聯網APP安全檢測平臺,服務提供商資質審查平臺等,提升工業互聯網平臺漏洞挖掘、滲透測試、防護方案驗證等保障能力。
★基金項目:工信部工控安全評估專項(編號:工信軟函[2016]1181號)
作者簡介:
李琳(1983-)男,山東濟南人,中國電子技術標準化研究院工程師,博士。研究方向為信息安全、數據挖掘,發表SCI、EI十余篇。參與多項信息安全、工業控制系統信息安全項目等。
龔潔中(1983-)男,湖南懷化人,中國電子技術標準化研究院高級工程師,博士,研究方向為物聯網安全,工業信息安全及智能汽車安全。
周睿康(1990-)男,北京人,中國電子技術標準化研究院工程師,碩士。研究方向為工業信息安全、工業互聯網安全,參與多項工業信息安全、工業互聯網安全專項項目等。
夏正敏(1980-)女,江蘇揚州人,上海交通大學電子信息與電氣工程學院工程師,博士。研究方向為信息安全、復雜系統、信號檢測與估計、大數據,參與多項信息安全、等保測評和大數據項目。
摘自《自動化博覽》2018年8月刊