APP下载

工业互联网数据安全的防控方法

2022-11-17李瑞荣雅雯

数字技术与应用 2022年9期
关键词:工业

李瑞 荣雅雯

1.山东省滨海公安局网安支队;2.山东省滨海公安局滨东分局

随着工业信息化的发展,以低时延、高可靠、覆盖范围广的核心网络,对我国的工业、经济发展产生深远的影响,但也必然带来了一些不容忽视的安全隐患。在工业网络发展背景下,传统的网络安全技术已经很难满足新的防护要求,因此必须建立起一种新的、全面的、主动协同的网络安全保障系统。

数据是我国重要的战略性基础资源,对我国的生产、流通、分配和消费都有着深刻的影响。2022年4月,中共中央、国务院发布了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》、《加强工业互联网安全工作的指导意见》等政策文件,都对加强工业信息安全的各项规定进行了阐述。《数据安全法(征求意见稿)》在2020版中也被列入了《中华人民共和国政府信息安全战略》,更是表明了我国工业信息安全的一个发展战略方向。作为“血液”的工业网络数据,其安全性,是工业互联网健康发展的关键。

1 工业互联网的安全威胁

由于大量的生产组件和服务与因特网的连接,使得研发、生产、管理、服务等诸多方面都将受到多途径的网络袭击和病毒侵袭。一旦受到攻击,会导致生产管理服务的中断、系统及业务的崩溃,而一旦无法解决木马病毒、服务袭击及有组织的攻击,就会危及到公司的正常运营,进而会导致生产事故和人员伤亡。由于工业网络涉及各种资料类型以及相关保护要求,所以数据的流向与途径要更加地复杂化。产品的制造、生产、营销、维护等方面的大量数据,仅仅依靠单点、分散式的安保手段已经很难起到很好的防御作用。如果核心技术、产品参数、客户信息等关键工业资料被盗用、篡改或流出国外,对于公司的运营和发展将会造成极大的影响。

2 政府防控

2.1 构建安全政策体系

(1)是按照《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》和《加强工业互联网安全工作的指导意见》的要求,加快建立多部门协同推进、政府监管、企业主责的安全管理格局,明确由各地通信管理局加强工业互联网平台安全监管,并对联网设备、系统进行安全监管[1]。(2)是下发《关于开展工业互联网企业网络安全分类分级管理试点工作的通知》,并提出了实施分类分级管理的意见。(3)是大力推进《工业互联网平台企业网络安全防护规范》、《工业互联网数据安全防护规范》等四个国家标准的制定,并在此基础上,大力发展30多个行业标准,包括安全防护、安全评估、安全测试等。

2.2 推进安全管理工作

(1)是要以法治为先,以立法为导,积极认知《数据安全法》等相关法,为数字信息安全的立法奠定坚实的法律依据。(2)是印发了《电信和互联网行业数据安全标准体系建设指南》等相关文件。(3)是发布了《电信和互联网企业网络数据安全合规性评估要点(2020年)》,制定了规范的指导意见。对主要网络公司进行数据分类分级、重要数据识别和数据安全评估等技术规范的制定,并对关键网络公司进行数据安全管理的评估。

3 模式防控

在工业网络中,必须遵循“协同、综合、主动、动态”的思想,加强网络各方控制保护能力,在认知安全威胁的情况下,主动采取应用,从而真正实现一种工业网络的良好生态模式,并且让企业的发展突破为透过边缘化的云安全保护新机制,包括设备控制、通信策略、端点分析,并且能够充分的实现安全保障机制下的管理与监控模式。

(1)端口。主要有端点的实体防护、受信任的终端基础防护、终端识别防护、终端完整性防护、终端接入控制、终端安全性设定与管理、终端监控、终端资料、终端模型及安全性策略等。(2)连通信。主要有通讯的实体安全性、终端防护、密码防护、信息流防护、网络配置管理、网络监控、动态防护、通讯联络防护等。(3)安全监测。从终端和通信网络中获取整个网络的状态信息,并对其进行分析,从而发现存在的安全违规行为和潜在的系统威胁。(4)配置管理。安全性操作、终端标识、终端组态、通讯组态、安全性模式改变、组态资料防护、更改管理的安全性模式及策略。(5)数据。负责端点数据、通讯数据、配置数据、监控数据等的技术保护。(6)模型策略。系统威胁分析、系统安全性指标、安全性战略、模式、资料防护、终端安全性、通讯连线安全性、监控与剖析安全性政策、组态及管理等。

4 技术防控

安全防控是工业互联网三大体系之一,它为确保整个工业互联网系统的稳定运转提供了有力的支持。从整体安全防护的角度出发,对边缘、基础装置,应用化地进行安全筛选,通过边界警报、数据审计、自动感应、模糊处理等安全机制的有效管理技术,实现了工业的安全保障,从而在整个环境中,实现行为机制一体化的安全保障突破[2]。

(1)安全监测。基于边界紧急处理、协议呼叫、数据自动感应等技术,对多个工业网络区域等进行入侵监测,并记录病毒类型、查询地址来源、侵袭途径等。(2)通报报警。对于外界的监控网络化侵袭,透过协议行为日志等的追踪,及时发布预警,并依据危险等级,进行相应的紧急响应。(3)应急处置。紧急防护,利用整个阶段环境的安全机制进行紧急的全方面“环境杀毒”,不仅包括单一的病毒防护,数据泄露,更重要的是加强边界性的“大环境查杀警报”,随时“大查杀”在利用云安全保护机制,将安全危害最大化的消灭。(4)追踪溯源。利用大数据信息化追踪,对攻击的发生地点进行了探索,对侵袭的整个过程进行云端记录总结、实践剖析,了解了攻击的整体流程,然后快速提出应对措施,以便更好地保障今后的工业信息网络安全。(5)恢复状态。针对遭受攻击的云平台底层架构、虚拟主机、资料库、控制主机、控制网络、现场装置等进行数据的备份、重启以及相关软件的调试,以及在确保安全的情况下开展产业互联网的业务。(6)工作检查。要让工业信息安全的传输与应用,在监管控制完成以后,必须要将多元区域中的每一部分进行监测,包括办公、监控等,以确保正确安全机制能够进行下去。

5 政策防控

(1)做好工业信息体系规划。根据当前的工业互联网安全形势,对于安全防护的综合、协同、主动、动态化的硬性需要足够的重视,另外,从云平台、边缘层、工控设备等多层入手,加强化技术防护和安全防护的结合,制定云基础设施、平台基础能力、基础应用能力的安全防护策略和互联网应用可靠等的必要措施方向[3]。(2)深入企业管理机制。企业要强化对工业网络的安全保护的相关管理规范,并对各个单位的安全要求和工作职责进行清晰的界定。加强对现场的安全监管,并对存在的问题进行整改。根据具体的需求,采购专用的软件和服务,进行风险评估、预警和紧急事件的模拟,做好数据备份、加密保护、访问控制和身份识别等工作。(3)加强安全防护技术。对企业的互联网架构有清晰的认知,构建安全监测风险预警平台、攻防技术演练平台、安全标准技术检测和验证平台,以加强紧急处理侵袭的应对能力,强化专业技术人员的培养,建立良好的协作关系,共同创造一个相对安全的工作氛围。

6 工业互联网平台案例

(1)GE——Predix云平台。美国通用电气公司(GE)是世界上最大的提供技术和服务业务的跨国公司。为使各装置能够可靠地与大量计算机进行连接,并进行分析, GE在2013年推出 Predix软件平台,用于将不同的工业资源装置之间进行互联,并将其与云端进行互联,同时还可以为企业的资源绩效管理(APM)运行最优的业务。通用电气公司的APM体系旨在提高通用电气公司的财务管理能力,并且已经在公司的业务中使用了数年,是一套整合了云端与物联网技术的完整解决方案。2015年8月5日,通用电气公司推出了专门针对工业数据分析的云计算业务—— Predix云,它可以将不同的工业设备连接起来,让不同的客户快速获取、分析海量的工业信息,从而为各个行业提供自己的网络应用。

(2)西门子-Mindsphere云平台。西门子在世界范围内的电子和电力工程行业处于领导地位,其业务包括工业、能源、基础设施、城市和医疗。西门子公司于2016发布MindSphere。它可以将传感器、控制器以及各种工业生产现场的各种工业生产数据,通过安全信道实时传送至云端中,为企业在云端中实现大数据分析挖掘、工业App开发和智能化应用。MindSphere的开发平台由三层组成:边缘连接层、开发运营层和应用层。在此基础上,由边缘连接部向云端平台传送资料,由系统的开发运行端向使用者进行数据的解析,并结合了系统的应用程序和软件的发展,而在系统的底层,则是整合了业界的实践与资料的分析成果。MindSphere的应用程序已经在北美及欧洲超过100个公司进行了测试,并在2017汉诺威展览会上与埃森哲、Evosoft、SAP、微软、亚马逊、Bluvision等公司进行了大量的微型应用。

(3)亚马逊——AWSloT云平台。亚马逊公司Amazon Web Services(AWS)推出AWS IoT物联网云计算平台,将AWS集成,目的是让制造商用户的硬件和软件更容易地与AWS系统进行交互。AWSIoT可以为数以百万计的装置提供数以百万计的信息,同时也可以把它们安全、可靠的送到AWS的终端结点和其他装置。

(4)施耐德——EcoStruxure平台。EcoStruxure由三个层次组成。第一个层次是相互联系的产品,包括断路器、驱动器、不间断电源、继电器、仪器和传感器。第二个层次是边界的调节,在边框控制层面上实现任务操作、设计任务、指令和监控,从而减少了复杂的工作流程。第三层是应用、分析和服务,一个程序把设备系统和控制器,经由驱动器或者免费的协定进行合作化。分析法是以操作人员的体验为基础,以建立战略,提高企业的经营管理水平,服务是指以可视的人机界面来完成对企业的控制与管理。EcoStruxure平台在每个级别都有一个内部的Web安全技术,可以实时在云计算上进行配置。EcoStruxure平台已经与9000家的系统集成机构合作。该系统主要面向六个方面:楼宇、资讯科技、工厂、配电、电网及机器。

(5)航天科工——云网INDICS平台。INDICS系统在IaaS层次建立了自己的数据中心,在DaaS层次为企业提供了大量的云端数据分析和服务,PaaS层次则提供了工业服务引擎、软件定义的流程引擎、大数据分析引擎、仿真引擎、 AI引擎等云端工业 PaaS服务;面向开发者的公用服务模块和超过200个的API界面,为各种工业领域的应用开发和迭代服务奠定了坚实的基础。INDICS公司为客户开发了智能IOT和INDICS-OpenAPI接口,为企业的应用提供了强大的技术支撑,该平台向社会开放自主研发和众研应用App 500多个,覆盖智能研发、智能制造、智能服务、智慧企业、生态应用等工业链。

(6)和利时——HiaCloud平台。和利时是集自主研发、制造、服务于一体的PLC、DCS、SCADA产品的企业。和利时在2017推出HiaCloud平台,提供了一个完整的数据汇集、生产运营管理以及App的革新。HiaCloud的开发主要包括工业现场层、工业PaaS和工业SaaS的智能化应用层。在工业领域,可以为企业进行各种数据的采集和局部的应用。在工业 PaaS平台层中,包含了底层环境的数据服务,以及基于业务的服务。工业SaaS的智慧应用是一种以企业PaaS为基础,以各种不同的行业App为基础,涵盖企业资源和业务的最佳化智慧效果。HiaCloud平台提供公有云,私有云和混合云的部署。

(7)华为——OceanConnect IoT平台。华为企业公布的OceanConnect IoT技术平台分为水平和垂直两个方向。从垂直方向看,它分为三个层面:连接管理层、设备管理层和应用支撑。连接管理系统提供SIM卡生命周期管理、记账、统计、企业门户等功能,设备管理提供设备连接、数据采集与存储、设备维护等功能,同时具备了数据处理、规范生成、商业组织设计等方面的能力。

横向上,采用与该系统相连的IoT代理,通过网关连接到每一个工业互联网设备,能够进行充分的实时边界运算。OceanConnect IoT平台目前已覆盖公共事业,且目前已有多项已有的成熟的解决方案,如:车辆网络、石油能源、生产设备管理、智慧家庭等。平台应用实例:汽车网络驱动汽车厂商向服务商转变,一汽公司利用华为OceanConnect IoT技术,对数亿汽车进行高效管理,同时对上百万汽车进行实时数据分析。

7 结语

随着互联网时代的日新月异,各大企业加速了数字化的进程,工业网络的迅猛发展为后危机时期的新的经济发展注入了新的动力。在工业信息化建设中,企业的安全保护工作具有十分关键的意义。安全保护性能的优劣将直接关系到网络的稳定、数据的可靠度以及网络的应用。因此,要加强对工业互联网的保护,必须根据自身的具体情况,运用多种技术与经营手段,构建三维、四维、甚至五维、集成、可控全新工业信息化网络安全保障体系。另外,工业信息化的加密保障机制,是实现以工业网络为基础的企业实现全方位转变的先决条件,同时,也是公司在市场中的平稳运作和安全运营的重要保证。但是,现阶段,我们的理论认知还比较欠缺,技术能力还比较生疏,监管还不够严密,即当前国内的工业网络信息化建设尚处在初级水平,因此,仍需鼓足干劲的建设。

引用

[1] 张雪莹,杨帅锋,王冲华,等.工业互联网数据安全分类分级防护框架研究[J].信息技术与网络安全,2021(1):2-9.

[2] 董悦,李艺,秦国英,等.工业互联网数据安全技术研究[J].信息通信技术与政策,2020(10):38-41.

[3] 张雪莹,陈雪鸿,杨帅锋.工业互联网数据安全标准体系研究[J].网络空间安全,2019(10):86-92.

猜你喜欢

工业
INDUSTRIAL EVOLUTION
谁将成为工业互联网的“BAT”?
工业互联网,在路上
工业人
掌握4大工业元素,一秒变工业风!
融合的工业
锌在模拟工业大气环境下的腐蚀行为研究
“工业4.0”之思考
工业技术
上半年工业经济平稳运行