工业互联网作为我国建设制造强国的核心手段,也是近期大家津津乐道的“新基建”之一。那么,今天我们要说的工业互联网安全的保护对象有哪些呢?一般来说,工业互联网安全防护的对象包括工业现场设备、工业控制系统、网络基础设施、工业应用和工业数据等,如下图所示:确定了防护对象后,我们应该如何部署防护措施?【理论基础安全】第一,设备安全。在使用工业机器人、智能仪表、传感器等现场设备时,主要的安全考虑是认证和控制。安全措施包括:(1)利用认证机制对接入工业互联网的设备进行身份识别,确保数据来自真实设备;(2)制定访问控制列表等安全策略,实现访问控制,并赋予设备管理用户所需的最小权限,实现设备管理用户的权限分离;(3)对登录设备的用户进行识别和认证,身份认证信息满足相应的复杂度(4)为设备配置登录失败处理功能,启用结束会话、限制非法次数等相关措施登录,登录连接超时自动退出;(5)做好设备的用户管理,如账号及权限管理、默认账号管理、过期账号管理等;(6)对设备采取基本的入侵防御措施,例如只安装执行任务所必需的组件和应用程序,关闭设备中不必要的系统服务、默认共享端口和高风险端口;(七)设置终端接入方式或者网络地址范围,限制通过网络管理的终端;(八)及时修复漏洞;(9)对设备进行安全审计,审计覆盖设备每个运维用户对重要用户行为和重要安全事件进行审计,做好审计记录管理;第二,控制安全。对于传统制造业来说,为了保证整条流水线的协同生产,每个工厂都有严格的过程控制,这也是为什么控制安全在整个工业互联网中也扮演着重要的角色。在控制安全方面,主要针对控制软件和控制协议采取安全措施:(1)对登录控制软件的用户进行身份识别和认证,身份认证信息满足相应的复杂度要求并定期更换;(2)配置登录控制软件运行过程中的登录失败处理功能,并启用结束会话、限制非法登录次数、登录连接超时自动退出等相关措施;(3)做好中控软件的用户管理,如账号及权限管理、默认账号管理、过期账号管理等;(四)对控制软件启用安全审计功能,审计记录符合法律法规要求;(5)对控制软件采取基本的入侵防御措施,如只安装必要的组件和程序,关闭设备中不需要的系统服务、默认共享端口和高危端口等;(6)对控制协议采用完整性保证机制,保证控制协议中的各种指令不被非法篡改和破坏;(7)安装反恶意代码软件或具有相应功能的软件,并定期升级、更新反恶意代码库;(8)采用资源控制策略,限制单个用户或进程对系统资源的最大使用。第三,网络安全。主要针对工厂的内外网络和边界采取安全措施,防止外部入侵:(1)内部网络。根据业务特点划分不同的安全域,安全域之间采用技术隔离手段。并采用适应工厂内部网络特点的完整性验证机制,实现网络数据传输的完整性保护;(2)外网。为保证数据传输过程的机密性和完整性,可采用信道加密技术或部署加密机等方法;(3)网络边界安全。明确内外网络边界,对边界采取安全措施,如在边界设置工控防火墙、网守、网关等安全隔离设备,在网络关键节点部署入侵防御设备等.(4)监控网络通信数据、访问异常、业务操作异常、网络和设备流量、工作周期、抖动值、运行模式、各站点状态、冗余机制等,并在异常时报警;对无线网络攻击的潜在威胁和可能造成的后果进行风险分析,对可能遭受无线攻击(信息泄露)和侵入(非法篡改)的设备进行信息屏蔽;(6)对网络进行安全审计,审计覆盖每一位用户,对重要用户行为和重要安全事件进行审计;(7)实现网络的集中管理和控制,包括对网络链路、安全设备、网络设备和服务器的运行状态进行集中监控。第四,应用安全。工业互联网平台和工业应用至少需要身份认证和访问控制技术。(一)对使用工业互联网平台和工业应用的用户身份进行识别和认证。身份认证信息满足复杂性要求并定期更换,强制用户首次登录修改初始密码;(2)工业互联网平台和工业应用登录过程应提供并启用登录失败处理功能,并在多次登录失败后采取必要的保护措施;(3)为使用工业互联网平台和工业应用的用户分配账号并明确相应的访问和操作权限,根据访问控制策略,对工业互联网平台开发者、工业应用及其用户调用工业应用进行访问控制互联网平台开发接口,做好用户管理;(4)工业互联网平台和工业应用需要具备数据合规性检查功能,确保通过人机界面或通信接口输入的内容满足其设定要求;(5)工业互联网平台和工业应用程序可提供安全审计功能,对工业互联网平台和工业应用程序进行上线前检查。其安全性经过测试以检测可能的恶意代码;(六)确保产业应用供应链安全可靠。第五,数据安全。工业数据的安全直接关系到工业生产线的稳定性。数据丢失和篡改将影响生产线。工业数据采取的安全措施包括:(1)建立数据安全管理制度,定期备份重要数据;(2)数据加密,从数据存储和数据传输两个环节出发,使用加密算法对数据进行加密,利用VPN等技术实现传输加密;(3)部署数据防泄露系统,对数据操作行为进行监控和审计;(4)建立数据销毁机制,明确销毁方式和销毁要求;(五)工业互联网平台用户的账号信息、身份信息、系统信息等必须符合个人信息保护规定。【案例分析】1、工业互联网典型安全风险2、安全防护案例3、安全防护技术在工业互联网中的应用(概要)(1)边界安全边界安全通常通过部署工控防火墙、网守、还可以增加网关等安全隔离设备,如使用防火墙或在路由器上设置访问控制列表,进行子网间的访问控制和数据隔离,还可以增加用户身份认证系统和用户权限管理系统,限制非法用户访问,保证用户真实性,合法记录用户对网络资源的访问日志,便于后续审计追溯。(2)访问控制1)通过堡垒机等设备实现网络访问管理,包括网络边界识别和资产识别、在线终端自动识别、终端类型智能识别等;3)网络接入终端IP实名注册和网络信息生命周期管理,准确识别非法接入和修改IP、MAC等行为。(3)安全审计通常部署安全监控审计系统。很多工控安防厂商都有。目的是实现网络流量监控和告警,被动收集网络中的数据包。通过分析工控网络流量,深入分析工控协议,智能匹配系统内置协议特征库和设备对象,实现实时流量监控和异常活动告警,掌握工控运行状态实时监控网络,发现潜在的网络安全问题。通过设置状态白名单基线,可以在未知设备接入网络或网络故障时触发实时告警信息。(4)安全态势感知通过收集和存储网络环境中的资产、运行状态、漏洞收集、安全配置、日志、流量信息、情报信息等安全相关数据,利用态势预测模型进行分析计算全面了解网络安全态势不间断地监测网络空间,发现和挖掘网络中的异常攻击和威胁事件;如果部署态势感知,选择大厂的好处是有广泛的威胁情报渠道和自己的平台。选择态势感知的两个技术指标是:1)具有对威胁或攻击的调查分析和可视化功能,能够快速定位与威胁或攻击相关的攻击路径、攻击目标、手段和影响范围,从而能够快速有效地进行自动化的安全决策支持和响应;2)具备安全预警机制。当然,它并不完整。从第2章的案例可以看出,不同的行业有不同的解决方案。产品和服务的选择是根据自身的业务属性和存在的安全风险,择优而优,但也存在一些共性的安全问题。
