工业互联网安全问题分析及对策建议
摘要:工业互联网是由网络和新一代信息技术与工业系统全方位深度融合所构建而出的一种新时代产业应用生态。其中,“网络”主要是指支撑工业产业内部数据传输、转换、交互的基础;“数据”主要作为驱动工业更趋向于智能化生产的核心存在。此时,开展有效的网络、数据保障工作,对于维护整个工业产业持久、稳定运行,进而最大程度为企业创造生产价值具有关键性作用。但是,工业互联网在运行过程中经常出现多项安全问题,导致整体生产水平下降、生产工作推进受阻,基于此,针对工业互联网的安全挑战及应对策略这一课题展开深入研究相当有必要。
关键词:工业互联网; 网络安全威胁;自主可控
前言:工业生产泛在互联一方面可以提高生产力,提升创新能力,减少工业能源及资源消耗,助力产业模式转型升级,另一方面也会因为互联而诱发一系列网络安全问题,工业控制系统遭受的网络攻击已经成为我们所面临的最严重的国家安全挑战之一。
1工业互联网安全问题分析
1.1开放的工业互联网带来了更多的安全问题
以前我们的工业生产网络是在一个相对封闭的环境中,是一个闭环,通过警卫、摄
像头、门禁等物理环节进行安全防护;但是在工业互联网中,工厂的各个控制系统、设备都接入网络并对外部开放,是一个开环,工业控制系统本身存在的安全漏洞(软硬件缺陷)以及管理漏洞(弱口令)等直接暴露在互联网中,成为攻击者虎视眈眈的目标,仅有的物理环节防护已经失效。
1.2智能制造、柔性制造的数据和代码存在隐患
智能制造和柔性制造强调生产线的智能化和灵活化,在汽车工厂里只要发布一个指令,汽车生产线就会按设定好的程序自动生产汽车,无需人工干预;消费者可以根据自己的喜好选择不同的个性化的配置,生产线马上就可以改变生产程序,按要求生产出客户定制的汽车产品。智能制造和柔性制造的精髓在于生产程序的精准智能和可编辑,精准智能意味着我们给出的数据一定是准确的,只要人为给出错误的数据,产出来的产品将是不合格的;生产程序可编辑意味着软件代码可修改、可替换,就会存在被攻击的机会,面临被篡改的可能。
1.3设备的后门防不胜防
工业互联网中应用最为广泛的传感器、无线通讯模块、微控制芯片(MCU)等当前都严重依赖进口。中高档传感器产品几乎100%从国外进口,90%芯片依赖国外,我国传感器企业95%以上属小型企业,规模小、研发能力弱、规模效益差。无线通讯模块的基带芯片(通信芯片)是核心,占到材料成本的50%左右,上游技术壁垒高,产业高度集中,供应商话语权强,供应商主要集中在国外。2016年NXP、Microchip、Cypress、ST、TI、Samsung、Infineon、Texas Instruments等8大MCU厂商全球市场份额合计达到了88%,我国工控用MCU芯片完全依赖进口。部分境外生产厂商为了便于产品维护或其它的目的,或多或少的在产品中安插了后门,后门一旦被公之于众,就以产品缺陷为托词,
不被发现则暗暗隐藏,关键时候就窃取机密数据或搞破坏,国际上已有不少先例。所以核心部件受制于人,也是我国工业互联网面临的主要安全问题之一。
1.4通讯协议存在安全隐患
当前我们所使用互联网协议和工控协议,绝大多数是以美国为首的西方发达国家所发布和掌控的,我们很多时候只知道使用但不知其所以然,网络设备在什么时候进行传输、传输了什么内容,我们不知道也没有探测手段,它可能使用了某种协议的未公开部分或甚至是一种未公布的协议,一旦我们的设备连接到互联网,就有可能被他人控制或者窃取了机密信息。
1.5安全管理尚未完善
国家工信部在2016年工信部发布《工业控制系统信息安全防护指南》,部分企业逐步意识到工业信息安全管理的重要性,但从2016年广西网络安全检查和2017年某省工控安全检查的数据来看,约有2/3的工控企业未建立工业信息安全领导小组,约有1/2的工控企业未设立工业信息安全专职部门,约有1/3的工控企业没有安排年度工业信息安全专项经费,可见我们工业信息安全的管理尚未跟上信息化安全发展的需求。
1.6人员管理安全挑战
伴随着经济全球化时代的来临,工业生产与计算机科学技术的结合运用已经成为提升企业经济效益的重要手段。但是,由于受到科学技术的研发限制,多数互联网技术的应用背后依旧需要人力进行管理维护。相对于机器来讲,人总会在“有意识”、“无意识”状态下做出违反相关规范的行为。例如企业工程师、一线作业人员利用企业网络进行非法
网站浏览,使得恶意软件植入企业网络系统中,可能就会造成工业系统工作异常。另外,网络上大部分的网络病毒攻击都是由于企业员工个人不注意敏感信息的保护造成的,所以,解决该种问题也是企业互联网安全管理者的工作重点。
2工业互联网安全对策建议
开放的工业互联网威胁无刻不在,如何保障工业互联网的安全,需要多部门各行业联合统筹,发挥各自的优势,构建一个至上而下、安全可信的保障体系,以下将从五个方面提出对策建议:
1.加快建立工业互联网标识解析系统和认证工作。工业互联网标识解析体系,既是工业互联网网络架构的重要组成部分,又是支撑工业互联网互联互通的神经枢纽,类似于互联网域名解析,通过赋予每一个产品、零部件、机器设备唯一的“身份证”,实现全网资源的灵活区分和信息管理。我国在建设工业互联网之初就应着手建设工业互联网标识解析体系,建设“物”的身份证库,把相关信息牢牢掌握在自己手中,并积极开展标识的传递和认证工作,做好“物”的身份证的发放、转换和销毁工作,保证每个物品的标识唯一和可信。
2.大力开展可信计算在工业互联网中的应用。为了保障工业互联网安全,必须构建安全计算环境、可靠的安全传输数据机制,充分应用可信计算技术,保证运行的程序可信,数据的传输、存储和应用可信,大力推广可信产品在工业领域的应用。
3.建立健全法律体系、提倡自主可控。加快工业信息安全法制建设,在《中华人民共和国网络安全法》的基础上,制定和发布实施细则,将工业互联网安全纳入法律保护体系,积极开展工业互联网产品和系统的安全审查工作,对故意留有后门的厂商予以重罚。
通过财税政策支持国产工业信息安全产品的研发和生产,鼓励各企业广泛使用自主可控的产品。
4.开展工控安全研究、实践、评估和攻防演练。安全的本质是技术对抗,要摸清工业互联网各个环节和产品组件的安全问题,必须持续不断的开展研究,研究传感器、控制设备、通讯设备、控制软件等的安全问题,通过实践不断摸索产品安全测试的方法和手段,建立测试方法库并汇编成测试标准,定期开展重要工业互联网和系统的安全评估,督促相关行业进行安全建设和整改,定期开展工业互联网的攻防演练,以实操锻炼攻防队伍,提升应急处置的能力。
5.大力开展人员意识和技能培训。工业互联网安全目前面临的最大的挑战是管理人员的安全意识淡薄、工业互联网安全专业技术人才紧缺。行业主管部门需制定人才培养的策略和机制,定期开展人员安全意识和技术技能培训,关键岗位人员实行持证上岗制。
结语:为了保障国家战略的稳定有序推进,必须做好工业互联网安全保障工作,一方面我们要积极推进工业互联网安全相关法律和标准体系的建设,另一方面要积极开展相关技术人才的培训培养工作,再一方面就是要加强自主可控产品的研发力度并积极推广应用,实现自主可控才能保障工业互联网本质上的安全。
参考文献:
[1]杨东洁,工业互联网中的标识解析技术.2017.
[2]李大桥.工业互联网安全问题分析及对策建议.2017.
因篇幅问题不能全部显示,请点此查看更多更全内容