《工业互联网安全概述.pdf》由会员分享,可在线阅读,更多相关《工业互联网安全概述.pdf(4页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 1 1工业互联网安全概述工业互联网安全概述 1.1 工业互联网概述工业互联网概述 工业互联网的内涵用于界定工业互联网的范畴和特征,明确工业互联网总体目标,是研究工业互联网的基础和出发点;工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态,是工业智能化发展的关键综合信息基础设施。其本质是以机器、原材料、控制系统、信息系统、产品以及人之间的网络互联为基础,通过对工业数据的全面深度感知、实时传输交换、快速计算处理和高级建模分析,实现智能控制、运营优化和生产组织方式变革。1.2 工业互联网安全架构工业互联网安全架构 工业互联网的安全需求可从工业和互联网两个视角分析。从工
2、业视角看,安全的重点是保障智能化生产的连续性、可靠性,关注智能装备、工业控制设备及系统的安全;从互联网视角看,安全主要保障个性化定制、网络化协同以及服务化延伸等工业互联网应用的安全运行以提供持续的服务能力,防止重要数据的泄露,重点关注工业应用安全、网络安全、工业数据安全以及智能产品的服务安全。因此,从构建工业互联网安全保障体系考虑,工业互联网安全体系框架,如图 所示,主要包括五大重点,设备安全、网络安全、控制安全、应用安全和数据安全。图 1 工业互联网安全体系 设备安全设备安全是指工业智能装备和智能产品的安全,包括芯片安全、嵌入式操作系统安全、相关应用软件安全以及功能安全等。网络安全网络安全是
3、指工厂内有线网络、无线网络的安全,以及工厂外与用户、协作企业等实现互联的公共网络安全。控制安全控制安全是指生产控制系统安全,主要针对 PLC、DCS、SCADA 等工业控制系统的安全,包括控制协议安全、控制平台安全、控制软件安全等。应用安全应用安全是指支撑工业互联网业务运行的应用软件及平台的安全,包括各类移动应用;数据安全数据安全是指工厂内部重要的生产管理数据、生产操作数据以及工厂外部数据(如用户数据)等各类数据的安全。1.3 工业互联网典型安全问题工业互联网典型安全问题 新一轮的工业革命是工业互联网蓬勃发展的原动力。反之,工业互联网的快速发展又改变或催生了工业生产的设计、生产、物流、销售和服
4、务模式。大规模个性化定制、远程运维和工业云等新兴业态崭露头角,并引起广泛关注。同时,“数字化、智能化、网络化”为特征的工业互联网既面临传统 IT 的安全威胁,也面临以物理攻击为主的信息通信技术(简称 ICT)的安全威胁。安全保障能力已成为影响工业互联网创新发展的关键因素。随着互联网与工业融合创新的不断推动,电力、交通、市政等大量关系国计民生的关键信息基础设施日益依赖于网络,并逐步与公共互联网连接,一旦受到网络攻击,不仅会造成巨大的经济损失,更可能造成环境灾难和人员伤亡,危及公众生活和国家安全。工业领域安全防护急需加强和提升。目前,工业领域安全防护采用分层分域的隔离和边界防护思路。工厂内网与工厂
5、外网之间通常部署隔离和边界防护措施,采用防火墙、虚拟专用网络、访问控制等边界防护措施保障工厂内网安全。企业管理层网络主要采用权限管理、访问控制等传统信息系统安全防护措施,与生产控制层之间较多的采用工业防火墙、网闸、入侵防护等隔离设备和技术实现保护“数据安全”。生产控制层以物理隔离为主,工业私有协议应用较多,工业防火墙等隔离设备需针对专门协议设计。企业更关注生产过程的正常进行,一般较少 3 在工作站和控制设备之间部署隔离设备、进行软件升级,一般也不安装病毒防护软件以避免带来功能安全问题。控制协议、控制软件在设计之初也缺少诸如认证、授权、加密等安全功能,生产控制层安全保障措施的缺失成为工业互联网演
6、进过程中的重要安全问题。未来工业互联网安全主要面临以下几方面的问题:(1)生产设备安全问题开始凸现。)生产设备安全问题开始凸现。传统生产设备以机械装备为主,重点关注物理和功能安全。但未来的生产模式更强调终端的生产角色的扁平、协同,导致生产设备数字化、信息化、网络化、智能化水平不断提升;生产环节中人机交互过程逐渐减少甚至消失(如无人工厂、自动驾驶)。上述因素导致一些安全隐患难以发觉,更重要的是导致海量设备直接暴露在网络攻击之下。木马病毒能够在这些暴露的设备之间的以指数级的感染速度进行扩散。这种情况下,工业设备就成为安全攻击的“肉鸡”武器。近期美国域名服务商被大量终端设备攻击事件说明了这种攻击方式
7、的巨大危害。(2)端到端生产模式下的网络安全问题。)端到端生产模式下的网络安全问题。为追求更高的生产效率,工业互联网开始承担从生产需求起至产品交付乃至运维的“端到端”的服务。比如大规模个人定制的服装行业,个性化定制的家电行业已经开始实现从由生产需求起至产品交付“端到端”的生产服务模式。无人化生产模式下,工厂网络迅速向“三化(IP 化、扁平化、无线化)+灵活组网”方向发展,工厂网络开始直接面临众多传统 IT 安全挑战。工业网络灵活组网的需求使网络拓扑的变化更加复杂,导致传统基于静态防护策略和安全域的防护效果下降。工业生产网络对信息交互实时性、可靠性的要求,难以接受复杂的安全机制,极易受到非法入侵
8、、信息泄露、拒绝服务等攻击。“端到端”的生产模式、无人化生产发展趋势使得工业互联网安全防护的边界空前扩张,对安全防护机制的要求空前提高。(3)控制安全问题)控制安全问题。当前工厂控制安全主要关注控制过程的功能安全,信息安全防护能力不足。现有控制协议、控制软件等在设计之初主要基于 IT 和 OT相对隔离以及 OT 环境相对可信这两个前提,同时由于工厂控制的实时性和可靠性要求高,诸如认证、授权和加密等需要附加开销的信息安全功能被舍弃。IT和 OT 的融合打破了传统安全可信的控制环境,网络攻击从 IT 层渗透到 OT 层,从工厂外渗透到工厂内。遗憾的是,目前缺乏有效的应对 APT(Advanced
9、Persistent Threat,高级持续性威胁)攻击检测和防护手段。令业界最为担心的是控制安全问题最接近物理实体安全。从某种意义上,物理空间的损害成为现实。(4)应用安全问题)应用安全问题。网络化协同、服务化延伸、个性化定制等新模式新业态的出现对传统公共互联网的安全能力提出了更高要求。工业应用复杂,安全需求多样,因此对工业应用的业务隔离能力、网络安全保障能力要求都将提高。(5)数据安全问题)数据安全问题。数据是工业互联网的核心,工业数据由少量、单一、单向正在向大量、多维、双向转变,具体表现为工业互联网数据体量大、种类多、结构复杂,并在 IT 和 OT 层、工厂内外双向流动共享。工业领域业务应用复杂,数据种类和保护需求多样,数据流动方向和路径复杂,不仅对网络的可靠、实时传递造成影响,对重要工业数据以及用户数据保护的难度也陡然增大。综上所述,数字化的、网络化、智能化生产设备安全、端到端生产模式下的网络安全,、生产控制系统安全、应用安全和数据安全是工业互联网发展急需解决的问题,其中终端设备安全、生产控制系统安全和数据安全尤为急迫。