工业互联网安全态势及防护对策研究*

2020-11-30张君朱晨鸣魏珂悦

数字技术与应用 2020年11期

张君朱晨鸣魏珂悦

(浙江省电子信息产品检验研究院,浙江杭州 310007)

0 引言

《中国制造2025》中明确提出要在未来一段时间内大力发展信息技术产业中的操作系统与工业软件,在安全领域操作系统等基础软件的研发中实现突破,创建完善的安全测评体系[1]。现阶段来看,我国的工业互联网安全态势现状不容乐观。据国家信息安全漏洞共享平台调查,截止到2020年上半年我国工控系统内的行业漏洞数量已经达到2743个,处于高危等级的漏洞907个,占比33.07%,施耐德电、罗克韦尔等厂商的产品中均发现有安全漏洞的存在[2]。上述调查说明我国在工业互联网的建设进程中,遭受到较大的安全风险威胁,对风险的感知比较迟钝。处于这样的背景之下,工业互联网的发展势必会遭受阻碍与困境,因此针对工业互联网安全态势及防护对策的有关情况加以分析势在必行,通过对安全态势相关问题的分析与探索后,能对当前现状作出客观评价,继而也就为工业互联网安全系数的提升寻找可行性路线。

1 工业互联网内涵

工业互联网指的是在智能化需求的驱动之下的关键网络基础设施,以延时性低、可靠性高、覆盖性广泛为基本特征,在前沿信息通信技术、先进制造业有机融合之后所形成的新兴业态[3]。工业互联网对于传统工业造成巨大冲击,扭转了传统工作的生产理念与管理机制,在技术、业态、产业以及服务等多个层面均实现了巨大的技术突破与创新,顺应了数字经济的发展趋势,是国家现代工业化转型的基石。工业互联网由平台、网络以及安全三个体系所构成,其中,网络属于基础条件,利用互联网将工业系统、产业链条以及价值链条相连接到一起;平台占据核心位置,是实现工业智能的载体,肩负着数据储存、建模、工作标准化与模块化等方面的重任;安全起到保障作用,在安全技术、安全管理的支持下,识别威胁网络与平台安全的潜在风险因素[4]。工业互联网网络是基础,平台是核心,安全是保障。安全体系在工业互联网体系中占据着不可缺少的位置,如果缺乏安全体系所提供的保障,平台将暴露于风险之中,工业互联网也就无法继续运行。

2 工业互联网安全态势分析

2.1 物理环节的漏洞暴露明显

工业互联网安全暴露出的某些安全问题可能会阻碍整个工业互联网的稳定发展,威胁到工业行业企业内的安全和利益,其中在物理环节内的漏洞暴露问题尤为明显。传统的工业生产链条内形成了具有闭环特点的生产网络,整个生产过程都是置于监控、安保、门禁等防护措施之下,而工业互联网的出现则彻底改变了以往的格局,创造了全新的生产链条,传统的监控设备、控制系统等物理环节纷纷接入互联网,进入到互联网的开放环境之中。处于这样的情况下,物理环节中原本存在的安全硬件弱点、安全管理漏洞将毫无保留地公开在互联网环境之中,物理环节下的安全防护无法持续发挥安全保障作用,但同时基于工业互联网的全新安全管理体系却没有及时就位,因此对潜在风险不能及时察觉,感知风险的速度严重滞后。

2.2 设备后门安全隐患严重

工业互联网安全态势中的问题表现在,行业内的设备后门安全隐患严重。受技术水平有限的客观条件限制,当前我国工业互联网建设中的很多关键设备仍然要依赖于进口,包括传感器、MCU等,而这些来自于进口厂商的设备可信赖性有待商榷,很多厂商以品质维护或其他因素为理由,在产品中安装后门,因此在使用过程中,这些设备后门便成为薄弱环节。根据国家信息安全漏洞共享平台调查结果显示,截止到2019年底,包括施耐德电、通用电气、研华科技、罗克韦尔在内的我国工业控制系统主要供应商,均有产品信息安全漏洞的披露记录,这表明工业互联网所依赖的工业控制系统或其他设备,都不能排除信息泄露的安全风险。设备安全后门为不法分子提供了可乘之机,成为不法分子偷窃机密数据的窗口,而对于设备使用者本身而言,无疑是一个高风险,但是却未能及时发现和感知风险,对风险的预知和判断不足。

2.3 工业信息安全技术水平偏低

现阶段的工业信息安全技术防护水平普遍偏低。由于我国在工业互联网方面的建设时间尚短,发展时间不长,因此在工业信息安全管理中所掌握的技术水平相对较低,安全管理的技术方法与手段不够成熟。受发展时间不足的先天条件限制,当前我国在工业互联网安全管理方面的整体发展速度比较滞后,网络及信息安全管理缺失是一个比较普遍的现象,具体表现在工业信息的安全管理方法比较传统和保守,仍然沿用传统的安全管理技术手段,没有根据当前的实际情况引入全新的安全技术体系,缺乏强劲的安全信息管理基础,对风险的感知和响应速度迟缓。同时,很大一部分工业企业尚且未能认识到工业互联网建设进程中信息安全管理的必要性及其价值,没有体现出对信息安全管理的足够重视,工业信息安全技术的水平也无从提高。

2.4 高水平网络安全人才缺口大

工业互联网安全态势的问题在于,到目前为止我国仍然没有建立起一支高水平的工业互联网安全专业人才队伍,对于高精尖既懂工业又懂网络安全的复合型工业互联网安全人才的需求缺口较大。任何行业领域的发展都离不开人才的支撑,甚至可以说人才配备是否足够,将会直接影响到一个行业的发展进程,因此当前工业互联网安全态势防护工作便陷入了人才极度欠缺的困境之中。工业互联网在国内的起步时间不久,现有人才很多是从互联网技术、网络安全、物联网等相关行业转型而来,但是真正以工业互联网安全防护、安全管理等为专业的人才数量相对有限;高校在人才培养方面的速度比较滞后,因此便产生了工业互联网安全防护领域内人才缺口较大的现象,尤其工业互联网安全防护对于高精尖人才的需求较高,在风险感知方面具备敏锐的洞察力、准确的预判力,但这些人才处于更加紧缺的局面中。基于工业互联网态势的分析可以发现,现阶段对于潜在安全漏洞、安全风险与威胁的感知不及时,甚至可以说是完全空缺的状态,无法做到在第一时间内对风险进行预警,这使得工业互联网的安全得不到全面的保障,甚至会蒙受巨大的损失。

3 工业互联网安全态势防护对策

3.1 加快安全保障体系建设进程

基于现阶段我国工业互联网安全态势防护方面所产生的种种问题,加快对安全保障体系的建设进程已然成为当务之急。随着工业互联网建设的全面推进,工业企业必须要紧跟发展步伐,及时完成网络态势防护的转型、升级工作,加快对安全态势系统的建设过程,搭建全面的安全技术保障、技术支持以及信息安全防护机制。在此过程中必须要充分认识到,处于互联网开放环境之中遭受到恶意攻击是无法彻底规避的,从企业的角度来看,只能积极迎接挑战,面对来自互联网的恶意攻击,要及时察觉和发现,尽快做出相应和有效的抵御,从而降低风险系数。此外,工业互联网安全态势防护需要对工业网络入侵加以检测,在平台内设置工业互联网入侵检测模块,结合数据采集与分析的基础上,对可能产生安全威胁的入侵提出警告,并给出安全策略;随后,对工业互联网安全的重大漏洞僵木蠕展开安全态势感知,经过识别、追踪溯源的过程,发现并定位命令控制服务器,对受控制主机进行反查,以此达到感知僵木蠕安全态势的目标。例如,引入多元化的检测模型,创建异常检测体系;定期补充、升级防火墙;及时更新病毒查杀及异常入侵的检测软件等;建立紧急突发事件的相应制度,在工业互联网遭受非法入侵后及时启动,尽可能将非法入侵所造成的破坏缩减到最低,减少损失。

3.2 构建联动机制,实施整体防御

针对目前我国在工业互联网安全态势防护中所面临的困境,应当构建联动机制,实施整体防御。工业互联网安全态势防护工作需要多方的共同参与,包括政府主管部门、工业企业、工业互联网供应商、系统服务商、网络安全服务商等均在此范围之中,只有在多方的共同配合,才能够为工业互联网安全态势防护工作的有序开展奠定扎实基础。因此,上述与工业互联网相关的部门、单位应当建立起彼此相联系的联通机制,形成整体防御的完整链条,提高对安全态势的相应速度。同时,创建工业互联网之下的风险信息共享平台,专门面向工业互联网安全态势提供服务,设置信息上传、信息发布、信息共享等功能,为安全态势的感知及安全风险的预测提供大数据支撑,将工业企业从信息孤岛之中拯救出来。例如,基于运营商核心路由器的规则过滤,对工业专线流量加以选择,以镜像方式将流量与工业互联网探针相连接,利用工业互联网探针为工业协议的解析和设备指纹的提取提供支持等,同时生成全息日志,从而对实现全程的监测。

3.3 提升安全防护的技术能力

为解决现存问题,在工业互联网安全态势防护中,应当要提高安全防护方法与技术手段实践应用的水平与成熟度。工业互联网从互联网之中衍生而来,因此,尽管两者对于安全防护的需求并不完全一致,但必然也存在一些共通之处,这代表着工业互联网在探索自身安全防护技术方法时,可以适当的借鉴引用互联网的成功经验,学习互联网在安全防护领域内的成功案例,为工业互联网安全方法技术与方法的提高寻找可能的路径。例如,通过网络审计技术的提升,及时发现异常流量的潜在威胁,第一时间展开对病毒等恶意软件的感知与防护;对于网络边界模糊的问题,采取终端违规接入的控制措施;加快在模型入侵检测技术、ICS场景指纹异常检测技术、模型入侵检测技术等方面的技术研发力度。基于安全防护方法和技术水平的提升,工业互联网安全态势防护工作的整体实力才有可能加强并不断进步。例如,工业控制系统漏洞扫描的完善中,主要是负责系统漏洞的扫描以及配置的检查,如FTP服务、TELNET服务、邮件服务等均在此范畴之内,对Oracle、MSsql、Mysql主流数据库也可实现漏洞扫描,通过扫描的过程及时发现并排查风险。

3.4 培养复合型的工业互联网网络安全人才

针对现存问题,工业互联网安全态势防护工作中,应当要把培养高水平的网络安全人才提上日程,尽快建立专业化网络安全人才队伍,为网络安全防护提供强有力的保障。高校肩负着向社会输送人才的重担,当社会对人才的需求产生变化后,高校便需要做出预判,结合各个行业内未来一段时间内对人才技能的需求情况,来对教学活动做出适当的调整,为社会培养更多有潜力的优秀人才。因此,处于当前工业互联网安全防护人才紧缺的局面中,高校也必须要加快人才培养步伐,根据现阶段我国的工业互联网安全态势现状,培养大量的网络安全人才,满足行业内对人才的需求,填满人才缺口。同时,从人才成长速度及实践能力的需求考虑,引入产教融合与校企联合的培养机制,为学生提供更多参与实践锻炼的机会,让学生进入工作岗位后,能尽快适应工作环境,快速成长。

4 结语

综上所述,在现代化、智能化、信息化工业转型的进程中,安全问题始终不容忽视,同样这也是工业互联网进程中所不能绕开的话题。在工业互联网安全态势防护中,应当要加快安全保障体系建设进程,提高安全防护方法的技术水平,搭建联动机制,实施整体防御,加快培养复合型的工业互联网网络安全人才队伍。希望能够为我国工业互联网的安全体系创建和完善搭建桥梁,及时察觉、判断和感知风险,利用现代化的风险预警技术,为工业互联网的平台与网络提供保证与支持。