当前,工业互联网基础设施建设不断加快,云计算、5G、人工智能等新技术广泛应用,工业互联网已经成为制造、能源、交通等行业的核心支撑技术。工业互联网将传统的生产线以及设备系统与先进的信息技术相结合,创造了新的生产效率和市场机会。同时,技术发展也带来了新的安全威胁。
近年来,国内外网络安全形势复杂性与日剧增,针对工业互联网的网络攻击逐年上升。全球范围内发生了诸如委内瑞拉大面积停电、西北工业大学遭美国NSA网络攻击、波音公司遭遇LockBit勒索软件攻击等重大工业互联网安全事件。国家信息安全漏洞共享平台CNVD漏洞库公布数据显示,2023年收录的工控系统漏洞数量较2022年增长179%。在此背景下,保障工业互联网安全成了网络强国和制造强国的重要内容。
工业互联网采用分层的网络结构,将通信分为边缘层、平台层和应用层。边缘层负责数据采集,平台层负责数据存储分析,应用层负责为用户提供服务。各层之间相互通信,把设备、生产链、产品和客户等紧密连通起来,共享各类资源要素,通过自动化、智能化的生产方式,推动制造业资源优化和跨越式发展。
工业互联网面临的安全风险
1.联网工业设备存在的安全风险
工业设备是工业互联网的底座基础,海量工业设备接入网后,一旦被攻击者利用控制向平台发起攻击,后果不堪设想。许多工业设备使用的是老旧设施,在设计之初往往缺乏安全考虑,自身网络安全防护能力不足,存在开放高危端口、未安装防病毒软件、缺乏严格的身份认证等风险,容易遭受恶意软件和木马病毒入侵,对工业企业构成了严重的安全威胁。例如,勒索软件可以加密关键数据,迫使企业支付赎金;未经授权的访问可能导致数据泄漏,包括生产数据、个人信息和知识产权等。
2.工业通信网络存在的安全风险
通信安全是保障工业生产过程正常运行的纽带。随着工业网络互联互通不断深入,传统网络安全威胁向生产系统内部蔓延。部分企业存在网络边界安全防护缺失,安全区域隔离不到位等问题,影响生产的安全问题时有发生,如收到中间人攻击被监听和篡改信令数据,造成设备执行错误操作,遭受DDoS攻击迫使网络无法访问,导致生产停滞。此外,作为工业互联网通信网络神经枢纽的标识解析系统,因存在接口验证码控制无效、缺乏数据安全检验机制等问题,容易发生节点信息、标识数据被窃取等风险。
3.工业互联网平台存在的安全风险
工业互联网平台作为业务交互和数据分析的桥梁中心,是工业互联网的关键核心。它连接着生产链上每个节点,实现了节点间制造协同。然而,工业互联网平台的开放、异构和复杂性的特点增加了安全风险。当前,工业互联网平台软件开源已成为趋势,而开源架构普遍存在网络安全漏洞,加上运营企业和用户安全管理制度不健全,安全经费投入不足,缺乏有效安全标准指导,造成平台大量工业服务存在安全隔离、身份鉴别等不规范问题。用于生产管理、风险监测等的控制平台应用如被攻击,将影响相关工业操作和上下游企业,甚至导致平台瘫痪。
4.新技术引入带来新风险
5G、人工智能和边缘计算等新技术为工业互联网带来了许多优势,同时也带来了新的安全挑战。以5G为例,其高带宽、低延迟的特点为实时控制和远程监控提供了巨大的潜力。然而,5G的网络架构比传统工业网络更加复杂,为攻击者提供了更多的入侵点。AI技术在工业互联网中的应用也日益增多,用于故障维护和优化生产过程,但AI模型可能受到数据污染攻击,导致模型做出错误的决策。边缘计算和云计算的融合为数据处理和存储提供了新的解决方案,但数据的传输和处理过程增加了数据泄漏的风险。
工业互联网安全防护建议举措
1.提高联网工业设备安全性
联网工业设备类别繁多,数量庞大。它们承载着大量工业基础信息,做好联网工业设备安全防护尤其重要。以设备数量最多的工业主机为例,应定期对主机系统进行补丁和病毒库更新,考虑到工业设备的特殊性,安装补丁前要开展可用性和完整性验证,更新病毒库前要开展离线测试。对注册表的操作权限和主机外部接口要进行严格管控,在开展防护策略配置时要留存相关记录。同时,加强对设备软件的安全审查,建立软件全生命周期安全管理,从需求分析、设计实现到测试部署,每个阶段都应开展代码审查和安全测评,及时发现潜在的软硬件安全威胁。
2.加强工业通信网络安全管理
随着工业互联网设备数量的增长,设备间的通信变得越来越复杂。不同的设备、系统和平台都在不断地交换数据,使得通信安全变得十分重要。加强工业互联网安全域划分和做好边界节点防护是做好通信网络管理的重点,要根据业务需求和区域重要性对生产网络划分安全域,合理规划开发环境、测试环境和生产环境,在不同安全域间采取访问控制等安全措施,有效部署工业协议深度包检测、网络安全监测等设备。同时,要提高对标识解析系统节点数据服务的保护和规模化跨域认证,形成安全认证、完整性校验、密钥管理等能力,提升标识解析的安全性。
3.提升工业互联网平台安全防护水平
工业互联网平台是推动制造业升级、提升产业链协同发展的重要载体,应采取多种手段提升平台安全力。首先,要强化平台原生安全。应用可信计算技术,自主开发安全芯片,对工业互联网平台架构进行可信加固,全面身份化管理,形成平台的可信启动、可信认证、可信审计等能力。其次,加强平台安全管理。制定安全管理制度,组建专业的安全团队,定期对平台开展风险评估、安全监测、应急演练等,部署流量攻击防御等安全措施,保障业务安全可靠运行。最后,确保平台数据安全。利用密码技术实时保护平台敏感数据的存储和传输,对关键数据制定细颗粒访问策略,对平台数据进行离线、在线和异地备份,保障各类数据安全。
4.加强新技术+工业互联网安全研究
新技术为工业互联网带来了巨大的机遇和挑战。为了确保这些技术能够安全高效地推进生产,要加强融合安全的研究。要针对5G、物联网等新技术特点,采取分层部署的方式,应用综合立体的安全防护措施,形成监测、研判、处置、核验的闭环安全体系。基于对新技术的监测和技术积累,建立健全特定环境下的漏洞库、病毒库等基础资源库,强化工业互联网安全资源储备。还可以发挥新技术新特点,创新安全模式。例如,基于机器学习的算法实现对入侵行为的检测,通过解析特定协议数据包内容实现威胁感知等。
结语
工业互联网作为我国工业体系数字化转型的基础支撑,其安全仍存在薄弱环节和明显短板。做好工业互联网安全工作,需要政府、科研院所、企业、行业协会等多方密切配合和协同推动,把握好关键领域和核心要素,着眼于工业互联网安全发展面临的突出风险,提升工业互联网在设备、网络、平台、新技术融合等方面的安全防护技术和管理手段,共同构建完备可靠的工业互联网安全保障体系。
来源:《网络安全和信息化》杂志
作者:国家计算机网络应急技术处理协调中心福建分中心 周楠
(本文不涉密)
延伸阅读>>
工业互联网的安全防护策略研究
工业信息安全人才队伍建设研究
五问+一图,读懂《工业控制系统网络安全防护指南》