文獻(xiàn)標(biāo)識(shí)碼:A
DOI: 10.19358/j.issn.20965133.2018.01.004
中文引用格式:劉仁輝,,張尼,,吳云峰.構(gòu)筑工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系為推動(dòng)先進(jìn)制造業(yè)發(fā)展保駕護(hù)航[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018,37(1):2324,29.
2017年11月,,國(guó)務(wù)院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見(jiàn)》,,作為今后規(guī)范和指導(dǎo)我國(guó)工業(yè)互聯(lián)網(wǎng)發(fā)展的指導(dǎo)性文件?!吨笇?dǎo)意見(jiàn)》是以十九大精神為指引,,全面落實(shí)習(xí)近平新時(shí)代中國(guó)特色社會(huì)主義思想,以推進(jìn)供給側(cè)結(jié)構(gòu)性改革為主線(xiàn),,結(jié)合實(shí)施“中國(guó)制造2025”和“互聯(lián)網(wǎng)+”,加快建設(shè)和發(fā)展工業(yè)互聯(lián)網(wǎng),,促進(jìn)新一代信息技術(shù)與制造業(yè)深度融合,,這對(duì)推動(dòng)實(shí)體經(jīng)濟(jì)轉(zhuǎn)型升級(jí),大力發(fā)展數(shù)字經(jīng)濟(jì),,打造制造強(qiáng)國(guó),、網(wǎng)絡(luò)強(qiáng)國(guó)具有重要意義?!吨笇?dǎo)意見(jiàn)》明確了主要任務(wù),,即打造網(wǎng)絡(luò)、平臺(tái),、安全三大功能體系,,推進(jìn)大型企業(yè)集成創(chuàng)新和中小企業(yè)應(yīng)用普及兩類(lèi)應(yīng)用,構(gòu)筑產(chǎn)業(yè),、生態(tài),、國(guó)際化三大支撐七項(xiàng)任務(wù)。
在工業(yè)領(lǐng)域中,,互聯(lián)網(wǎng),、大數(shù)據(jù)、人工智能,、云計(jì)算等新興技術(shù)與傳統(tǒng)的工業(yè)控制系統(tǒng)相結(jié)合組成了工業(yè)互聯(lián)網(wǎng),,實(shí)現(xiàn)了更大范圍的感知和智能化的控制,形成了信息物理系統(tǒng)(CyberPhysical System,,CPS),,并通過(guò)IT與OT的有機(jī)融合和深度協(xié)作,使智能生產(chǎn)、智能運(yùn)營(yíng),、消費(fèi)需求與生產(chǎn)制造精確對(duì)接,,實(shí)現(xiàn)生產(chǎn)系統(tǒng)智能化、商業(yè)系統(tǒng)智能化,,廣泛應(yīng)用于能源,、化工、水利,、交通,、加工制造、水及污水處理等關(guān)系到國(guó)計(jì)民生的重點(diǎn)行業(yè),。
由于工業(yè)互聯(lián)網(wǎng)中工業(yè)網(wǎng)絡(luò)與基于Internet技術(shù)的商業(yè)網(wǎng)絡(luò)打通,,病毒及黑客威脅隨之而來(lái)。近年來(lái)全球工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā),,僅2016年就接連發(fā)生了“食尸鬼”定向網(wǎng)絡(luò)攻擊,、伊朗黑客攻擊美國(guó)大壩、Mirai僵尸病毒DDoS攻擊,、黑帽大會(huì)上公開(kāi)PLC間傳播的蠕蟲(chóng)病毒PLC-Blaster及后續(xù)的Rootkit,、俄羅斯黑客公開(kāi)工控設(shè)備默認(rèn)口令等影響力巨大的安全事件,2017年上半年勒索病毒肆虐全球,,國(guó)內(nèi)部分企業(yè)也深受其害,。盡管我國(guó)并非上述所有攻擊的直接受害者,但以他國(guó)為鏡,,也充分折射出我國(guó)工業(yè)互聯(lián)網(wǎng)的諸多問(wèn)題,,如國(guó)外設(shè)備后門(mén)、工控及IT設(shè)備的漏洞,、黑色產(chǎn)業(yè)鏈共享協(xié)作的工業(yè)蠕蟲(chóng)病毒,、國(guó)外勢(shì)力資助的高級(jí)持續(xù)性威脅(APT)攻擊等。
工業(yè)互聯(lián)網(wǎng)一般由設(shè)備層,、控制層,、網(wǎng)絡(luò)層、應(yīng)用層,、數(shù)據(jù)層組成,,下面從這五個(gè)層次分析一下我國(guó)工業(yè)互聯(lián)網(wǎng)面臨的安全挑戰(zhàn)。
(1)設(shè)備層安全挑戰(zhàn):隨著具有聯(lián)網(wǎng)通信,、安裝應(yīng)用(APP)能力的智能工業(yè)設(shè)備不斷增多,,導(dǎo)致海量設(shè)備直接暴露在工業(yè)互聯(lián)網(wǎng)上,木馬病毒能在這些暴露的設(shè)備之間以指數(shù)級(jí)的速度感染擴(kuò)散,。另外,,這些智能設(shè)備所用芯片,、嵌入式OS、編碼規(guī)范以及功能安全等也均存在后門(mén),、漏洞,、缺陷等安全風(fēng)險(xiǎn)。
(2)控制層安全挑戰(zhàn):主要指PLC,、DCS,、SCADA等工業(yè)控制系統(tǒng),在控制平臺(tái),、控制協(xié)議,、控制軟件設(shè)計(jì)之初,主要考慮實(shí)時(shí)性和可靠性,,一方面核心元件大都是國(guó)外廠(chǎng)家,,存在后門(mén)、漏洞風(fēng)險(xiǎn),,另一方面諸如完整性校驗(yàn),、身份認(rèn)證、授權(quán),、加密等信息安全功能都被忽略,。IT和OT的融合,打破了傳統(tǒng)的安全可信控制環(huán)境,,網(wǎng)絡(luò)攻擊可從IT層滲透至OT層,但目前還缺乏有效應(yīng)對(duì)高級(jí)持續(xù)威脅攻擊檢測(cè)和防護(hù)手段,。
(3)網(wǎng)絡(luò)層安全挑戰(zhàn):涵蓋工業(yè)網(wǎng)絡(luò),、無(wú)線(xiàn)網(wǎng)絡(luò)、商業(yè)互聯(lián)網(wǎng),?!皟苫诤稀毕嗽械墓I(yè)環(huán)境內(nèi)外部安全邊界,將互聯(lián)網(wǎng),、信息系統(tǒng)的安全風(fēng)險(xiǎn)引入工業(yè)網(wǎng)絡(luò),,包括網(wǎng)絡(luò)傳遞過(guò)程中常見(jiàn)的拒絕服務(wù)(DoS)、中間人攻擊等,,傳輸鏈路上的軟硬件安全,,無(wú)線(xiàn)網(wǎng)絡(luò)防護(hù)邊界模糊等安全風(fēng)險(xiǎn)。
(4)應(yīng)用層安全挑戰(zhàn):企業(yè)信息化管理涉及的門(mén)戶(hù)網(wǎng)站,、ERP,、PDM、CRM以及云平臺(tái)等,,除面臨傳統(tǒng)IT安全挑戰(zhàn)中的病毒,、木馬,、漏洞等威脅外,還面臨云平臺(tái)服務(wù)虛擬化中的違規(guī)接入,、內(nèi)部入侵,、多租戶(hù)風(fēng)險(xiǎn)、跳板入侵等威脅,。
(5)數(shù)據(jù)層安全挑戰(zhàn):指企業(yè)內(nèi)部生產(chǎn)管理數(shù)據(jù),、生產(chǎn)操作數(shù)據(jù)以及企業(yè)外部數(shù)據(jù),不管是大數(shù)據(jù)存儲(chǔ)還是分布式服務(wù)器存儲(chǔ),,都面臨數(shù)據(jù)丟失,、竊取、篡改等安全風(fēng)險(xiǎn),。
針對(duì)上述工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)的分析,,應(yīng)該從以下幾個(gè)方面構(gòu)建可檢測(cè)、可防護(hù),、可替代的工業(yè)互聯(lián)網(wǎng)安全深度防護(hù)體系(如圖1所示),。
第一,態(tài)勢(shì)感知,,實(shí)時(shí)威脅情報(bào)和風(fēng)險(xiǎn)通報(bào),。綜合分析工業(yè)互聯(lián)網(wǎng)安全要素,結(jié)合商業(yè)網(wǎng)絡(luò),、企業(yè),、工業(yè)
圖1工業(yè)互聯(lián)網(wǎng)安全主動(dòng)防護(hù)體系
網(wǎng)絡(luò)狀態(tài),評(píng)估工業(yè)互聯(lián)網(wǎng)的安全狀況,,通過(guò)信息流感知,、物質(zhì)流感知以及能量流感知,預(yù)測(cè)攻擊向量及攻擊鏈路,,并以可視化的方式展現(xiàn),,實(shí)現(xiàn)事前防御、事中控制,、事后恢復(fù)的目標(biāo),。態(tài)勢(shì)感知和未知威脅發(fā)現(xiàn)是工業(yè)互聯(lián)網(wǎng)應(yīng)對(duì)安全挑戰(zhàn)的重要策略。
第二,,漏洞管理,,及時(shí)補(bǔ)丁管理和固件升級(jí)??茖W(xué)地檢測(cè)各類(lèi)服務(wù)器,、終端和工控系統(tǒng)漏洞,并合理更新補(bǔ)丁是工業(yè)互聯(lián)網(wǎng)防御的重要組成,。研究工業(yè)互聯(lián)網(wǎng)靜態(tài)和動(dòng)態(tài)安全漏洞分析挖掘技術(shù),、閉環(huán)漏洞規(guī)則情報(bào)策略管理流程以及工控漏洞載體行為管理分析研判模型,,實(shí)現(xiàn)基于工控載體權(quán)重的多維度全生命周期的漏洞管理。漏洞掃描系統(tǒng)可定期和持續(xù)地進(jìn)行全面可靠的安全評(píng)估,,提供完整的漏洞管理機(jī)制,,更大限度地保證工業(yè)互聯(lián)網(wǎng)的安全性和穩(wěn)定性。
第三,,自主可信,,保證工控系統(tǒng)免疫及本質(zhì)安全。研制基于國(guó)產(chǎn)化處理器,、嵌入式操作系統(tǒng),、計(jì)算機(jī)和操作系統(tǒng),具有自主可控,、安全可信的可編程控制器(PLC)產(chǎn)品,、邏輯編程軟件、監(jiān)控組態(tài)軟件,,真正擺脫國(guó)外產(chǎn)品壟斷市場(chǎng)的“卡脖子”,、“牽鼻子”、“甩臉子”的現(xiàn)狀,。信息安全防護(hù)技術(shù)采用主動(dòng)免疫可信計(jì)算3.0,,以密碼為基因,實(shí)施身份識(shí)別,、狀態(tài)度量,、保密存儲(chǔ)等功能,及時(shí)識(shí)別“自己”和“非己”成分,,阻止已知,、未知的病毒、木馬的運(yùn)行,,使攻擊者攻不進(jìn)去,竊取保密信息看不懂,,系統(tǒng)工作癱不成,,通過(guò)工控系統(tǒng)自身免疫來(lái)保證本質(zhì)安全。
第四,,攻防兼?zhèn)?,持續(xù)優(yōu)化工業(yè)互聯(lián)網(wǎng)安全防護(hù)策略。研究建立工業(yè)互聯(lián)網(wǎng)入侵及攻擊模型,,構(gòu)建等效于真實(shí)場(chǎng)景的仿真模擬環(huán)境,,驗(yàn)證防護(hù)、攻擊,、對(duì)抗能力,,支持與真實(shí)網(wǎng)絡(luò)環(huán)境等效的紅藍(lán)對(duì)抗和觀(guān)測(cè)評(píng)測(cè),,具有大規(guī)模網(wǎng)絡(luò)場(chǎng)景逼真復(fù)現(xiàn)能力,有效支撐網(wǎng)絡(luò)攻防前沿技術(shù)的研究,、試驗(yàn)和應(yīng)用,,可進(jìn)行工控系統(tǒng)安全事件分析、網(wǎng)絡(luò)攻防實(shí)驗(yàn),、網(wǎng)絡(luò)運(yùn)行機(jī)理規(guī)律分析,、決策支持和演練等研究。在大規(guī)模模擬