工业互联网概述随着工业4.0的引入,在云计算、大数据、人工智能、5G等技术的共同作用下,全球越来越多的制造企业正在开展工业4.0的实践。以新一代信息技术与先进制造技术深度融合为特征的智能制造,已成为这场新工业革命的核心驱动力。工业互联网作为智能制造的基础,以物联网、云计算、大数据、人工智能等新一代信息技术为支撑,加速了IT网络与OT网络的融合,使得工业控制网络不再孤立。作为新一代网络基础设施模型,实现人与人、人与物、物与物的全面互联。具有低时延、高带宽、广覆盖等特点。为现代化、智能化发展提供支撑。工业互联网的渗透效应不仅限于制造业,还迅速扩展到其他重点行业,如电力行业、煤炭行业、水利行业甚至航空行业。基于不同行业特点,形成了独特的网络模型和应用架构,更好地赋能和更好地推动实体经济高质量、高效率、低成本发展。什么是工业互联网安全?随着IT与OT技术的全面深入融合发展,工业互联网已经形成,为企业、行业乃至生态带来机遇。工业互联网已成为企业的必需品。与此同时,工业互联网的安全问题也备受关注。尤其是融合后,企业环境复杂多变,也导致产业安全问题日益突出。作为关键基础设施,其安全问题可能对个人、企业、社会乃至国家构成严重威胁。工业互联网的安全可以从管理和技术两个方面来考虑,涉及的内容一般包括物理设备安全、网络安全、控制安全、应用安全和数据安全五个部分。工业互联网安全发展趋势工业互联网的健康发展离不开安全保驾护航。可以说,安全是工业互联网健康发展的必要条件。未来,随着工业互联网的快速发展和普及,工业互联网安全的发展趋势也将是一个重要的关注点。未来工业互联网安全有如下几个方面值得关注:底层设备到上层应用,可以说已经平台化了。工业互联网平台由于自身的应用,成为企业的核心平台,成为企业重要的转型工具。因此,对于这样一个重要的平台,安全保护自然会受到高度重视。基于平台的应用程序将提供用户和供应商之间的安全认证、设备访问和数据传输。为保障此类应用的安全,访问控制、数据脱敏、行为认证等安全技术将成为刚需。工业互联网安全中的数据:通过工业互联网从底层向上层应用,收集各种工业控制数据和业务数据,利用大数据、人工智能等技术可以更好地分析和发现数据的价值。众所周知,工业互联网数据体量大、种类繁多、结构复杂,在IT和OT层、厂内外两个方向共享。这对工业互联网平台数据的分级分类保护提出了更高的保护要求。未来如何保障数据安全、可视化溯源、隐私和审计将成为保护热点。工业互联网安全运营:无论是IT还是OT,在安全方面都要遵循“三分技术,七分管理”的原则。工业互联网的安全运营必将成为发展趋势之一。工业互联网平台严防只是安全防御的第一步,更重要的是后续的精细化运维工作。通过可视化运维手段,跟踪定位安全风险,在安全威胁对平台运行产生实质性影响前及时发现并处理,实现工业互联网安全整体管控,防止扩散蔓延的安全威胁。安全建设具有阶段性,安全运营是长期战略。工业互联网安全智能联动:孤立的安全防御体系已经不能满足工业互联网背景下的安全防御需求,各种安全防御的立体联动机制将成为重要的发展趋势。面对千变万化、针对性强的安全威胁,单一产品的单边防御能力是不可抗拒的。必须建立多安全平台联动机制,实现主动发现、及时预警、信息共享、策略同步。同时,企业自身的安全机制也应与行业或国家安全平台实现安全联动,统一认识,密切配合,构建多方联动防御体系,进一步完善工业互联网安全风险发现和安全事件处理。处理能力。工业互联网安全法律法规、政策和网络连接从根本上改变了我们的认知,缩短了我们与世界的距离,重新定义了人类的沟通方式和行为方式。其深远的影响也为国家所重视。近年来,IT与OT的融合发展日益凸显,形成了工业互联网热潮。国家也在法律法规、行业标准等方面进行了一系列工作部署和工作要求。例如国家互联网信息办公室2016年12月发布的《国家网络空间安全战略》,提出“采取一切必要措施保护关键信息基础设施及其重要数据免受攻击和破坏”。《中国制造 2025》提出“加强智能制造工控系统网络安全保障能力建设,完善综合保障体系”。2017年6月正式实施的《中华人民共和国网络安全法》要求对包括工控系统在内的“可能严重危害国家安全、国计民生和公共利益的关键信息基础设施”实施重点保护。2017年12月发布的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》以“强化安全保障”为指导思想,以“安全可靠”为基本原则,提出“建立工业互联网安全保障体系,提升安全保障能力”的发展目标,部署了“强化安全保障”的主要任务,工业互联网安全保障工作制定了时间表和路线图。2016-2017年,工信部先后出台《工业控制系统信息安全防护指南》、《工控系统信息安全事件应急管理工作指南》、《工业控制系统信息安全防护能力评估工作管理办法》等政策文件,明确工控安全防护、应急响应、能力评估等要求,建立工控安全管理体系进一步完善工业信息安全顶层设计。工业互联网安全面临的问题工业互联网安全已经成为企业的重点防御领域。从建设多个工业互联网安全平台的经验来看,主要面临病毒攻击、网络安全、人工安全、数据安全、终端安全等方面的问题:病毒攻击随着许多企业开始逐步进行数字化转型,工业互联网作为必备要素之一,采用大量标准化、通用化的IT技术,实现系统与网络的互通。一张网终于打通了工控网。对办公网络造成猖獗攻击的病毒攻击很容易传播到之前封闭的工控网络。此外,大多数工业控制系统都比较老旧,更换成本高,周期长。导致漏洞得不到及时修复,容易被恶意病毒或代码感染,增加了工业安全防护的复杂度。网络安全随着工业互联网的发展,通信不再局限于人与人,而已经扩展到物与物,这使得IT与OT的界限越来越模糊,越来越多的工控设备被拉入网络。比如物联网的兴起。这导致暴露设备被攻击的几率更大,网络本身的攻击手段呈现出多样化、针对性的发展趋势。出现问题的终端设备更容易被远程控制或引发DDoS攻击、僵尸网络等问题。.虽然工业互联网之后企业已经意识到安全的重要性,但构建网络安全防御体系的时间远比数字化转型的时间要慢,空窗期的挑战不言而喻。人的安全无论是IT网络还是OT网络,人对信息安全的威胁始终存在,这也是信息安全工作面临的最大挑战。工控系统本身具有封闭性和安全防御能力的特点,系统本身的更新频率较低,甚至到了生命末期也不一定更新。因此,工业控制系统是最容易受到病毒攻击的系统。人为安全主要分为有意和无意。故意是最糟糕的一种。为了一定的利益,通过移动媒体等设备将病毒带入网络,进行木马植入等操作,给企业造成重大损失。并不是说管理员的安全意识薄弱。他们为了调试工控设备,习惯性地将自己的电脑或写设备接入工控网络,这样自己电脑中的病毒就可能有机会传播到工控网络,造成损失。在企业中,人的安全意识的管理是一个难题。网络防御能力再强大,也无法解决由内而外的破坏。数据安全数据安全一直是互联网和移动互联网时代信息安全人员关注的重点,也是企业关注的焦点。随着工业互联网平台的普及和发展以及工业控制网络的接入,数据呈现出体量大、类型多样、结构复杂的趋势。从数据的收集、传输、存储、使用到销毁,信息安全是一个很大的挑战。工控数据格式标准不统一,接口封闭,导致数据采集困难,传输协议多,数据缺乏加密和认证,数据存储、传输、分析和共享存在不同的安全隐患。终端安全随着工业物联网的普及,工业控制设备、智能终端、传感器等大量物理实体与网络和软件相结合,增加了暴露面。同时,这些设备的操作系统都比较老旧,没有任何安全防御措施,系统本身更新周期长,容易被恶意病毒或代码感染,系统本身极易受到攻击。工业互联网安全防御体系工业互联网的提出已经有一段时间了。与发达国家相比,我国工业互联网安全发展仍处于发展阶段,面临的挑战较为突出,如标准不统一、资金、设备等资源要素等。工业互联网作为数字化转型的重要手段,得到了国家最高层的引导和支持,如《中国制造2025》战略的提出。据全球移动通信系统协会预测,2016年至2025年间,连接互联网的工业互联网设备数量将从24亿增加到138亿,有望超过消费类物联网设备连接数量到2023年,工业互联网大潮席卷全球,其基础设施安全防御体系建设也成为不容忽视的重点内容。安全技术终端安全防护:随着工业互联网的兴起,越来越多的设备接入并暴露在网络中。现有终端的安全防护能力较差,尤其是传统终端设备,很多在设计时没有考虑安全因素。为了保障终端设备的安全,有以下几点可供参考:1、主机安全:现在越来越多的安全厂商开始关注工控安全,专门开发了类似主机安全卫士的工控软件系统以适应工业控制环境。兼容众多主流操作系统,具有杀毒、软件黑白名单等功能。所以这个软件应该安装在工控主机上。2、外设管理:工业网络的支持和维护一般都是现场进行的。大多数时候,工程师需要使用自己的外围设备(移动存储设备)来访问和调试、下载报告或其他数据。或者说,这种情况是非常普遍和常见的。这种操作方式给了病毒潜入工业控制网络的机会。事实证明,80%的病毒源或入侵攻击源都是通过外部USB设备导入的。因此,为了外设的安全,可以采用加密措施,授权外设使其成为“合法设备”。同时,工控主机默认禁止所有未授权外设的访问。除了授权之外,工控主机软件还可以对外设进行不同权限的读写设置。确保在不牺牲工程师便利性的情况下安全使用外围设备。如果条件允许,建议购买一批专供工程师使用的专属外设,避免接触到公司外的设备。3、补丁管理:任何系统都会随着时间和技术的发展,暴露出以前开发的弱点,我们称之为漏洞。为此,厂商会写一个专门的补丁来修复它。工业控制网络中的设备一般是长期服役的系统,与世界隔绝,从不联网。系统本身的安全漏洞层出不穷。因此,为了解决这个问题,可以在内部建立一个补丁更新系统,根据补丁的级别和重要性来安装补丁。当然,工业控制网络不同于信息网络。所有补丁必须在至少一周内通过可用性验证和稳定性测试,并建立补丁管理库,方便问题回滚。网络安全防护:随着工业互联网的发展,工业控制网络不再是以前的总线或专用电缆,而是开始向以太网发展,标准逐渐统一,组网方式更加灵活,无线化趋势呈爆发式增长.这给工业互联网环境下的工控系统带来了更大的安全风险,一网多用的模式也大大降低了网络攻击的门槛。为更好地防范网络攻击,建议:1、架构调整:首先,网络安全域应基于工业互联网架构进行调整,在现有传统的基础上增加工业控制网络DMZ区域网络安全域用于一些远程支持系统的发布;增加工控网络安全操作区,用于对各类工控安全设备的管理端进行操作管理。总之,根据不同的工业控制网络,细分网络安全域,最大限度地减少攻击面。2.安全设备:除了IT层面的传统防御能力外,在工控重点区域部署不同的网络安全产品,在IT/OT融合中设置防火墙(最好是七层墙)监控访问的区域。控制。部署工控态势感知系统、工控漏洞监测系统、审计等多种防护措施,打造更加全面高效的工业互联网安全防护体系。应用安全防护:工业互联网是平台和应用的基础设施支撑,支撑范围涵盖研发、制造、营销、售后、服务等各个核心业务环节。通过前面的分析,虽然工业互联网在平台层可以得到一定程度的加强,但应用的安全问题不容忽视,尤其是应用系统本身的漏洞和编码不符合规范。在应用安全方面,严格遵守应用生命周期安全保护模型,从软件开发之初就进行代码级审计,对开发人员进行信息安全培训,降低产生漏洞的概率;系统进行漏洞检查,定期检查运行软件的漏洞,及时修复发现的漏洞;利用各类安全监控系统实时监控应用程序的运行情况,及时防范可疑行为,从而降低未公开漏洞的风险。即将到来的危险。对于已经到了生命周期末期的应用,要及时下架,删除系统中残留的无用文件。数据安全保护:前面已经介绍了数据安全的重要性,本节不再赘述。数据安全的防御不仅要遵循数据的生命周期来部署防御措施,还要提前对数据进行分类,以便于实施不同级别的安全防御措施。具体分类和归类不在本文讨论范围之内。数据治理方面的资料可以参考,这里不再赘述。数据安全涉及数据的收集、传输、存储、使用和销毁。数据采集??阶段,明确具体用途,设置权限控制(黑白名单);传输阶段应进行链路加密,防止窃听;加密存储,不同业务用途分开存储;在使用阶段,根据业务需求对数据进行脱敏处理,并授权访问;在数据销毁阶段,对无用系统的硬盘进行至少4次格式化,不少于5次随机重写,确保数据无法恢复。有条件的企业可以购买专用的硬件碎纸机进行硬盘的碎纸。安全管理、运维管理:信息安全防御体系不仅包括硬件的投入和部署,还包括软件的运行。正所谓三分技术,七分管理。在信息安全方面,硬件的不足很多时候可以通过运营来弥补。对于没有安全运营能力的企业,尤其是传统企业,建议引入专业的第三方运营团队来运营整个工业互联网系统。同时,制定信息安全运营管理办法,规范运营。引入信息安全大屏等手段,实现信息安全事件可视化,及时准确定位信息安全根源,确保实现重大信息安全事件零发生的目标。审计管理:审计管理是揭示工业互联网信息安全风险的最佳方式。定期检讨工业互联网架构安全体系,可以让相关部门更好地了解当前架构的不足,及时制定整改方案,满足信息安全要求。监管要求。建立信息安全审计体系,可以让组织了解自身的信息安全是否满足安全合规要求,同时帮助企业全面了解和掌握信息安全工作的有效性、充分性和适宜性。结语从智能制造和数字化转型的发展趋势来看,工业互联网在智能制造领域的实施是必然的,也是大势所趋。未来,工业互联网将逐步规范化、结构化,更有利于加快企业数字化转型步伐。工业互联网安全的发展必须与工业互联网的发展趋势紧密结合。针对各类保护对象,从具体保护措施和保护管理等方面加强信息安全保护,对发现的问题不断优化改进,更好地引导企业。开展工业互联网信息安全防护工作,提升公司自身工业互联网安全防护能力。
