中国信通院董悦等:工业互联网数据安全技术研究
The following article is from 信息通信技术与政策 Author 董悦,李艺 等
1 引言
随着工业互联网日新月异的发展,给工业控制系统带来操作便捷的同时也带来了一系列安全问题,各种木马病毒、后门等威胁也正向工业领域侵袭[1]。当前工业互联网安全形势严峻,工业安全事件频发,重大工业信息安全事件层出不穷,攻击领域涉及工业、交通、能源、水利、电力等行业。2017年,美国水务公司遭受黑客入侵,导致大量用户信息泄露;2019年3月,位于挪威的铝业巨头海德鲁公司遭受到了黑客组织的恶意网络攻击,导致超过20种的重要机密文件被恶意加密,无法使用,最终造成了超4000 万美元的经济损失;2019年6月,波音、空客等公司的大型飞机零件供应商ASCO也遭到了勒索病毒的攻击,导致该公司全世界范围内的多家企业的运营陷入瘫痪。因此,网络攻击、数据泄露等工业互联网安全问题将影响国家经济乃至国家总体安全[2]。
数据资源商业价值凸显以及工业互联网的互通互联、开放和共享,使得工业数据面临的攻击面极大拓展,针对数据的攻击、窃取、滥用和劫持等活动持续泛滥。而工业互联网数据一旦遭受攻击,会造成工艺信息泄露、商业信息泄露、保密信息泄露、产品质量下降、生产线停转等后果,这类针对数据信息的攻击轻则会对工业企业的正常生产运行造成影响,重则还会造成重大安全生产事故,给人民生命财产造成严重损失。更为甚者,一旦能源、航空航天等重要领域的工业数据信息安全遭到攻击,还将对国家总体安全造成危害,产生不可挽回的严重后果。所以,保证工业互联网的数据信息安全,是关系到工业互联网系统顺利、快速发展的关键因素之一[3]。
2 工业互联网数据特点及安全风险分析
伴随着世界多极化、经济全球化、社会信息化的大潮,数据及其流动成为第四次工业革命的关键支撑,智慧工厂作为一个衍生自工业互联网的智能生产模式,其生产技术核心便是数据信息驱动下的智能生产,而该项核心技术的基础便是全面的数据信息互联。因此,工业互联网数据价值越来越凸显,工业互联网中产生的数据,贯穿于工业的设计、工艺、生产、管理、服务等各个环节,分为现场设备数据、应用系统数据、知识库数据、用户个人数据、企业数据等。工业互联网中数据与互联网中数据存在较大区别:在工业互联网中,数据采集环节由机器人、智能传感器等智能设备完成,工厂与企业内外、信息系统与生产系统的互联互通使工业数据的连接与传输,数据的存储、技术和处理在工厂/企业内外的云端进行。因此,不同于传统互联网中数据信息的小数据量、单一种类、单项传输等特点,在工业互联网中进行双向交互的大量信息,具有数据量大、信息种类丰富、数据结构复杂、数据间关联性强、数据开放程度高、安全需求高等特点,同时一部分数据信息会在工厂内外、 IT层和OT层进行双向交互与共享[4-5]。
在工业生产中,数据信息的安全威胁会位于工业数据采集的各个环节,例如数据采集、传输、存储、处理、共享等,并且不同威胁的成因相对复杂,同时相互交织。在数据传输的环节中,由于遭到攻击,导致流动共享的数据的传输中断,进而造成工业重要敏感数据被截获、篡改、伪造等严重后果;在存储环节中,由于工业数据存储介质的多样性、存储属地的分散性、访问人员的复杂性,会导致数据泄露等问题的出现。其中,工业互联网数据安全风险源于技术漏洞、管理缺位和政策法规的不完善,渗透于数据全生命周期,已经成为工业互联网安全发展中一个重大的难题。在当前的发展环境下,关于工业互联网数据信息安全的风险可以分为几个方面。
一是海量工业数据种类繁多且流动方向和路径复杂,导致保障工业互联网中数据安全的难度变大。在工业互联网中,由于数据信息种类繁多,其对安全防护需求等级也不同,导致开展分类分级困难,难以开展差异化分级防护。
二是工业数据全生命周期过程中涉及的硬件故障、软件脆弱性、网络拓扑结果等各方面因素会使工业数据面临极大的安全风险。工业现场的恶劣环境增加了硬件故障的可能,以及工业SCADA、DCS、PLC等系统中的软件脆弱性会存在可供攻击的诸多漏洞,处理不当会造成数据丢失。
三是大数据分析等技术催生工业数据保护价值。例如,通过使用大数据分析的手段,可以利用原始抓取的相关数据信息计算分析得出一些关键信息,如工艺、导弹射程等信息;基于工业互联网的发展,工厂外的一些个性化定制服务也随之产生,由于这些服务商不隶属于工厂,同时定制化服务又会涉及到大量的用户隐私数据,便会大大增加这些隐私数据泄露的风险。
四是外部攻击威胁加剧工业数据安全风险。一方面,工业互联网攻击对象范围扩大,攻击对象包括工业设备、终端、软硬件等,都有可能成为对工业数据进行篡改和窃取的入口,网络安全和生产安全交织,危害更严重;另一方面,攻击手段更加多样化、智能化。利用人工智能、大数据分析等技术可以对工业原始数据进行推理学习,造成工艺信息泄露、商业信息泄露、保密信息泄露等安全风险。
工业互联网数据面临来自内部和外部的安全风险,构建工业数据的安全保障体系成为建设和发展工业互联网的迫切需求。
3 工业互联网数据安全关键技术
工业互联网数据安全技术架构如图1所示,该架构主要包括数据安全管理、数据安全防护、数据安全监测等方面的技术,同时各类数据安全技术需要深度数据包安全检测(DPI)、大数据技术等基础通用技术的支撑。保障工业互联网数据信息安全,需要综合考虑工业数据的产生、传输、存储、处理、使用及销毁等全生命周期的安全问题,采取相应的安全防护技术手段,防止数据被泄露和篡改,主要技术手段包括接入认证、访问控制、权限管理、网络隔离、数据加密、数据脱敏、数据备份和恢复等,根据数据生命周期不同阶段面临安全威胁的不同,采取不同的数据安全技术进行保护[6-7]。
参考文献
[1] 启明星辰信息技术集团股份有限公司. 工业互联网数据安全解决方案[J] . 自动化博览, 2019, 35(2):92-96.
[2] 高一骄, 潘凡凡, 吴志鹏. 勒索病毒再攻击——浅谈工业互联网数据安全[J]. 中国电信业, 2017(8):66-68.
[3] 叶曜坤. 工业互联网建设须重视技术、数据与安全[J]. 中国电信业, 2017(4):75-77.
[4] 陶耀东, 贾新桐, 崔君荣. 工业互联网IT/OT一体化的安全挑战与应对策略[J]. 电信网技术, 2017(11):8-12.
[5] 王秉政, 李琳, 姚相振. 工业互联网安全研究[J] . 信息技术与标准化, 2018(10):40-43.
[6] 杜霖, 陈诗洋, 姜宇泽, 等. 工业互联网安全关键技术研究[J]. 信息通信技术与政策, 2018(10):10-13.
[7] 李鸿培, 李强. 工业互联网的安全研究与实践[J]. 电信网技术, 2016(8):20-26.
作者简介
董 悦
中国信息通信研究院安全研究所工程师,主要从事工业互联网安全技术等方面的研究工作。
李 艺
中国信息通信研究院安全研究所工程师,主要从事工业互联网安全技术等方面的研究工作。
秦国英
中国信息通信研究院安全研究所工程师,主要从事工业互联网安全技术等方面的研究工作。
李 姗
中国信息通信研究院安全研究所工程师,主要从事工业互联网安全政策、产业等方面的研究工作。
论文引用格式:
董悦,李艺,秦国英,等. 工业互联网数据安全技术研究[J]. 信息通信技术与政策, 2020(10): 38-41.
∗基金项目:2018年工业互联网创新发展工程(工业互联网数据安全防护及评估技术研究与能力建设)项目资助
本文刊于《信息通信技术与政策》2020年第10期
主办:中国信息通信研究院
《信息通信技术与政策》是工业和信息化部主管、中国信息通信研究院主办的专业学术期刊。本刊定位于“信息通信技术前沿的风向标,信息社会政策探究的思想库”,聚焦信息通信领域技术趋势、公共政策、国家/产业/企业战略,发布前沿研究成果、焦点问题分析、热点政策解读等,推动5G、工业互联网、数字经济、人工智能、区块链、大数据、云计算等技术产业的创新与发展,引导国家技术战略选择与产业政策制定,搭建产、学、研、用的高端学术交流平台。
校 审 | 陈 力、珊 珊
编 辑 | 凌 霄
推荐阅读
《新基建》专辑
点亮在看共渡难关