查看原文
其他

工业互联网安全风险浅析

工业互联网是新一代信息技术与制造业深度融合的新兴产物,是实现生产制造领域全要素、全产业链、全价值链连接的关键支撑,对未来工业经济发展将产生全方位、深层次、革命性的影响。党中央、国务院高度重视,十九大报告明确提出要加快发展先进制造业,推动互联网、大数据、人工智能和实体经济深度融合,国务院于2017年11月27日发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,进一步作出建设和发展工业互联网的战略部署。安全体系作为工业互联网发展的前提和保障,其相关问题和风险尤为重要。


 一、工业互联网安全威胁和风险日益突出

近年来,网络安全威胁加速向工业领域蔓延,工业互联网安全事件频发,影响经济社会正常运行和国家安全。接连发生的乌克兰断网事件、美国Dyn公司域名系统瘫痪事件及“永恒之蓝”病毒肆虐全球已经为我们敲响警钟。


(一)互联互通导致网络攻击路径增多。工业互联网实现了全要素、全产业链、全生命周期的互联互通,打破传统工业相对封闭可信的生产环境。越来越多的生产组件和服务直接或间接与互联网连接,攻击者从研发、生产、管理、服务等各环节都可能实现对工业互联网的网络攻击和病毒传播。特别是,底层工业控制网络的安全考虑不充分,安全认证机制、访问控制手段的安全防护能力不足,攻击者一旦通过互联网通道进入底层工业控制网络,容易实现网络攻击。


(二)标识解析系统网络安全风险严峻。工业互联网标识解析系统,类似于互联网中的域名系统(DNS),是支撑网络互联互通的神经枢纽。国际上目前存在Handle、OID等多种标识解析方案,但散而弱,并未成熟,对其安全性的考虑则更为滞后。在探索推进工业互联网标识解析系统的过程中应同步规划部署相应的安全措施,需考虑整体架构的安全和实际运行中与DNS系统的互联互通,以及面临的DDoS、缓存感染、系统劫持等网络攻击。


(三)工业互联网平台网络安全风险加剧。工业互联网平台被一旦受到木马病毒感染、拒绝服务攻击、有组织针对性的网络攻击(APT)等,将严重危害生产稳定运行,甚至导致生产事故,威胁人身和国家安全。此外,我国企业推出的工业互联网平台难以与GE、西门子为代表的跨国寡头相抗衡,国外平台在我国的大规模应用部署将导致严重的安全可控风险。


(四)工业互联网面临严峻的数据泄露风险。工业互联网数据种类和保护需求多样,数据流动方向和路径复杂,设计、生产、操控等各类数据分布在云平台、用户端、生产端等多种设施上,仅依托单点、离散的数据保护措施难以有效保护工业互联网中流动的工业数据安全。工业互联网承载着事关企业生产、社会经济命脉乃至国家安全的重要工业数据,一旦被窃取、篡改或流动至境外,将对国家安全造成严重威胁。


二、工业互联网安全保障体系亟待加强

目前,我国工业互联网发展正处于起步阶段,方兴未艾,安全管理体系亟待健全,企业安全防护能力尚显薄弱,安全技术手段仍需加强,产业支撑能力不足,难以有效适应工业互联网快速发展的安全保障现实需求。


(一)安全管理和标准体系不健全。当前,我国针对工业互联网安全的管理体系仍未建立,主管部门、运营单位、工业互联网平台提供商等多方主体在保护工业互联网安全方面的责权义务暂未明确,难以有效督促企业落实工业互联网安全保护要求。此外,工业互联网安全标准体系尚未健全,安全接入、数据保护、平台防护等方面的标准尚未出台。


(二)企业意识淡薄,安全防护能力不足。工业企业普遍存在重发展轻安全的情况,对工业互联网安全缺乏足够认识,安全防护投入较低,安全产品、安全解决方案应用水平不高。中国信息通信研究院前期对部分工业互联网平台进行了安全评估,发现用户口令、身份认证、通信加密等方面均存在大量安全问题。此外,实力薄弱的中小企业更是缺乏配套资金及人力部署安全措施。


(三)科研投入少,国家级技术手段缺失。美国已建立爱达荷、桑迪亚等六大国家实验室,德国成立弗劳恩霍夫应用研究促进协会,夯实工业领域安全技术储备,在工业互联网安全方面具有先发优势。我国整体工业互联网安全才刚开始起步建设,科研投入较少,尚未形成国家级、有组织工业互联网安全监测预警、快速处置和有效溯源的技术手段,应对新型攻击的安全能力不足。


(四)技术产业支撑不够,安全可控问题不容小觑。我国工业互联网使用的组态软件、控制器、传感器、工业云平台等核心软硬件、基础平台多被外商巨头垄断,大多存在安全漏洞且有预置后门风险。同时,在工业互联网安全领域缺乏体系化、针对性的产品和解决方案,产业生态尚未形成,难以满足工业互联网快速发展的安全需求。


三、相关建议

《深化“互联网+先进制造业”发展工业互联网的指导意见》提出打造工业互联网安全保障体系。我国亟需建设满足工业需求的安全技术体系和管理体系,增强设备、网络、控制、应用和数据的安全保障能力,有效识别、抵御和化解安全风险,为工业互联网发展构建安全可信环境。


一是建立健全工业互联网安全管理制度。加强工业互联网安全相关政策法规建设,明确各主体安全责任和监督检查、风险评估、数据保护等安全管理制度。健全工业互联网安全标准体系,推动标识解析系统安全、工业互联网平台安全等重点领域行业标准的研究制定。


二是着力提升工业互联网安全防护能力。推动科研院所、高等院校等建立工业互联网安全实验室,重点突破标识解析系统安全、平台安全、数据安全等核心技术。推动构建工业互联网安全评测体系,制定出台工业互联网安全监测评定办法。


三是建设国家级工业互联网安全技术手段。建设安全监测与风险预警平台,形成中央与地方、重点行业内及行业间等不同维度的安全监测能力,做到对潜在安全风险的及时预警与提前防控。建设安全标准与技术试验验证平台,支撑工业互联网相关企业持续优化其业务系统的安全性并获得最佳的安全实践。建设攻防技术演练平台,提升工业互联网安全防御能力、威慑力及应急处置能力。


四是强化工业互联网安全产业和人才支撑。加大对技术研发和成果转化的支持力度,重点在大型可编程逻辑控制器(PLC)设备、标识解析系统、工业互联网平台等领域开展技术攻关。鼓励高校和安全企业联合开展工业互联网安全复合型人才培养,依托工业互联网产业联盟推动安全人才资质评估认证。



作者简介

杜霖,毕业于北京邮电大学,工学硕士。中国信息通信研究院安全研究所工程师。长期从事工业互联网安全、关键信息基础设施安全、数据安全等领域的技术发展与监管政策研究。

联系方式:dulin@caict.ac.cn。



校  审 | 陈  力、 珊  珊

编  辑 | 凌  霄



欢迎转发分享!

如需转载,请联系授权事宜:

电话:62300198 

Email:media@caict.ac.cn


推荐阅读

美国数据治理有何新动向?

国外工业互联网企业的“前世今生”


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存