今日頭條
官方微信
官方抖音
資訊頻道摘要:隨著我國(guó)當(dāng)前工業(yè)互聯(lián)網(wǎng)的飛速發(fā)展,工業(yè)互聯(lián)網(wǎng)平臺(tái)安全逐漸引起廣泛重視。本文通過研究工業(yè)互聯(lián)網(wǎng)平臺(tái)安全問題,調(diào)研國(guó)內(nèi)外工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)措施,分析當(dāng)前安全防護(hù)存在的問題,提出下一步工作建議。
關(guān)鍵詞:工業(yè)互聯(lián)網(wǎng);工業(yè)互聯(lián)網(wǎng)平臺(tái);信息安全
Abstract: With the rapid development of China's current industrial Internet, the security of the industrial Internet platform has gradually attracted widespread attention. This paper proposes the next step of work by researching the security issues of industrial Internet platforms, investigating the security protection measures of industrial Internet platforms at home and abroad, and analyzing the security problems existing in current security protection..
Key words: Industrial Internet;Industrial Internet platform;Information security
1 工業(yè)互聯(lián)網(wǎng)平臺(tái)
當(dāng)前,隨著《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》等國(guó)家戰(zhàn)略規(guī)劃的出臺(tái)發(fā)布,工業(yè)互聯(lián)網(wǎng)在我國(guó)得到了飛速的發(fā)展,已經(jīng)成為推動(dòng)制造業(yè)轉(zhuǎn)型升級(jí)、發(fā)展實(shí)體經(jīng)濟(jì)的新型網(wǎng)絡(luò)基礎(chǔ)設(shè)施。工業(yè)互聯(lián)網(wǎng)平臺(tái)作為工業(yè)互聯(lián)網(wǎng)的核心,是面向制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化需求,構(gòu)建基于海量數(shù)據(jù)的采集、匯聚、分析和服務(wù)體系,支撐制造資源泛在連接、彈性供給、高效配置的開放式工業(yè)云平臺(tái),通常由邊緣層、工業(yè)IaaS層、工業(yè)PaaS層以及工業(yè)SaaS層組成。各層之間以開展工業(yè)生產(chǎn)為目標(biāo),緊密銜接、協(xié)同合作,通過連接工業(yè)生產(chǎn)各方,提升功能工業(yè)生產(chǎn)制造水平。
然而,工業(yè)互聯(lián)網(wǎng)具有的低時(shí)延、高可靠、廣覆蓋的典型工業(yè)屬性,使得工業(yè)互聯(lián)網(wǎng)平臺(tái)連接業(yè)務(wù)復(fù)雜,連接設(shè)備種類繁多,數(shù)據(jù)格式多樣,在推進(jìn)智能化、柔性化、協(xié)同化生產(chǎn)的同時(shí),安全邊界也越發(fā)模糊,受攻擊面不斷擴(kuò)大,互聯(lián)網(wǎng)和工業(yè)控制網(wǎng)上的威脅對(duì)工業(yè)互聯(lián)網(wǎng)形成“雙向擠壓”,工業(yè)互聯(lián)網(wǎng)平臺(tái)各層均存在安全風(fēng)險(xiǎn)。
1.1 邊緣終端安全
邊緣終端層處于工業(yè)互聯(lián)網(wǎng)平臺(tái)最底層,作為整個(gè)平臺(tái)的基礎(chǔ),主要實(shí)現(xiàn)數(shù)據(jù)采集、協(xié)議解析、智能處理等功能。該層主要面臨的安全威脅有:物理攻擊,即針對(duì)終端設(shè)備本身進(jìn)行物理上的破壞行為,實(shí)現(xiàn)信息竊取、惡意追蹤、非法使用等;資源消耗攻擊和拒絕服務(wù)攻擊,即過度占用終端設(shè)備有限的計(jì)算、存儲(chǔ)等能力,消耗有限的能源等資源,引發(fā)服務(wù)異常;數(shù)據(jù)竊取、篡改、偽造、重放等攻擊,即針對(duì)終端數(shù)據(jù)未加密或加密強(qiáng)度低而發(fā)起的以數(shù)據(jù)為目的的各類攻擊;數(shù)據(jù)完整性與實(shí)時(shí)性攻擊,即借助于廣播干擾、信道堵塞、電磁輻射等手段進(jìn)行數(shù)據(jù)攔截、破壞及延遲,引發(fā)系統(tǒng)工作異常。
1.2 工業(yè)IaaS安全
作為工業(yè)互聯(lián)網(wǎng)平臺(tái)的基礎(chǔ)設(shè)施層,工業(yè)IaaS的安全主要是指對(duì)基礎(chǔ)設(shè)施自身的安全保護(hù),以及因資源虛擬化、多租戶服務(wù)引發(fā)的信息安全問題。具體而言,工業(yè)IaaS的安全問題涉及接入認(rèn)證安全、傳輸安全、數(shù)據(jù)安全、服務(wù)商管理安全等方面,所面臨的安全威脅主要有設(shè)備非法接入、惡意代碼注入、會(huì)話控制和劫持、弱密碼攻擊、非法更改或刪除平臺(tái)數(shù)據(jù)、非法竊取數(shù)據(jù)或計(jì)算資源、虛擬機(jī)鏡像文件非法訪問和篡改、拒絕服務(wù)攻擊、中間人攻擊、SQL注入攻擊等。
1.3 工業(yè)PaaS安全
工業(yè)PaaS為用戶提供了包括工業(yè)應(yīng)用開發(fā)工具、工業(yè)微服務(wù)組件、工業(yè)大數(shù)據(jù)分析平臺(tái)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、開發(fā)環(huán)境等在內(nèi)的軟件棧,允許用戶通過網(wǎng)絡(luò)來進(jìn)行應(yīng)用的遠(yuǎn)程開發(fā)、配置、部署,并最終在服務(wù)商提供的數(shù)據(jù)中心內(nèi)運(yùn)行。工業(yè)PaaS所面臨的安全威脅主要有非法竊取或訪問軟硬件資源、拒絕服務(wù)攻擊、惡意軟件植入等。可以借助于數(shù)據(jù)加密、防火墻、訪問控制機(jī)制、強(qiáng)制執(zhí)行最小權(quán)限規(guī)則、反病毒軟件和入侵檢測(cè)工具等技術(shù)和管理手段進(jìn)行安全性增強(qiáng)。
1.4 工業(yè)SaaS安全
在工業(yè)互聯(lián)網(wǎng)平臺(tái)中,SaaS主要功能是提供工業(yè)軟件或服務(wù)。由于SaaS的運(yùn)行以互聯(lián)網(wǎng)為基礎(chǔ),必將面臨復(fù)雜的信息安全問題,如身份冒用、資料竊取、IP欺騙、端口掃描、數(shù)據(jù)包嗅探等。可以借助于身份認(rèn)證、數(shù)據(jù)加密、入侵檢測(cè)系統(tǒng)、防火墻、訪問控制機(jī)制、數(shù)據(jù)傳輸控制、網(wǎng)絡(luò)實(shí)時(shí)監(jiān)控以及SQL攻擊保護(hù)等手段進(jìn)行安全性增強(qiáng)。
2 國(guó)內(nèi)外工業(yè)互聯(lián)網(wǎng)平臺(tái)安全發(fā)展現(xiàn)狀
2.1 國(guó)內(nèi)外企業(yè)重視工業(yè)互聯(lián)網(wǎng)平臺(tái)安全建設(shè)工作
國(guó)外大型平臺(tái)企業(yè)積極推進(jìn)安全建設(shè)。GE在2016年發(fā)布的《Predix:工業(yè)互聯(lián)網(wǎng)平臺(tái)》報(bào)告中,描述了從隔離用戶環(huán)境、操作系統(tǒng)安全等方面加強(qiáng)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全。PTC在ThingWorx平臺(tái)采用端到端的安全策略,加強(qiáng)網(wǎng)絡(luò)應(yīng)用程序、用戶和數(shù)據(jù)安全防護(hù)。ABB Ability平臺(tái)與微軟合作,通過安全基線、代碼審計(jì)保證平臺(tái)設(shè)計(jì)開發(fā)過程中的網(wǎng)絡(luò)安全,并與安全研究機(jī)構(gòu)合作對(duì)平臺(tái)開展測(cè)試、評(píng)估和驗(yàn)證,提高平臺(tái)安全水平。西門子MindSphere平臺(tái)在數(shù)據(jù)傳輸過程中嚴(yán)格遵守高標(biāo)準(zhǔn)的安全傳輸協(xié)議HTTPS,確保端到端的數(shù)據(jù)安全,并有相關(guān)工業(yè)APP幫助用戶發(fā)現(xiàn)潛在威脅、安全漏洞和異常情況,提供安全補(bǔ)丁的應(yīng)對(duì)方案。菲尼克斯電氣ProfiCloud平臺(tái)中設(shè)備之間的通信均采用TLS(安全傳輸層協(xié)議)方式加密,保證通信安全。
國(guó)內(nèi)平臺(tái)企業(yè)逐步加強(qiáng)安全建設(shè)。海爾COSMO平臺(tái)將安全保護(hù)、安全檢測(cè)、安全管理可視化、運(yùn)營(yíng)化、體系化,形成面向全流程安全威脅點(diǎn)的防護(hù)方案,日常安全運(yùn)營(yíng)管理、外部威脅情報(bào)和態(tài)勢(shì)感知中心三位一體的安全平臺(tái)。樹根互聯(lián)RootCloud平臺(tái)尤為重視數(shù)據(jù)安全,從展示層、數(shù)據(jù)層、服務(wù)層三方面出發(fā),采用安全探針監(jiān)控操作與訪問行為,通過對(duì)文件系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用層加密,保證數(shù)據(jù)安全可控。石化盈科ProMACE平臺(tái)通過串接工業(yè)防火墻和安全數(shù)采網(wǎng)關(guān)進(jìn)行兩網(wǎng)隔離防護(hù),保證設(shè)備安全接入和安全通信。
2.2 國(guó)內(nèi)外機(jī)構(gòu)加強(qiáng)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全頂層設(shè)計(jì)
國(guó)外高度重視工業(yè)互聯(lián)網(wǎng)平臺(tái)安全頂層設(shè)計(jì)。美國(guó)工業(yè)互聯(lián)網(wǎng)聯(lián)盟(IIC)發(fā)布工業(yè)互聯(lián)網(wǎng)安全框架(IISF),從多個(gè)角度解決安全、可靠性和隱私問題,旨在為工業(yè)互聯(lián)網(wǎng)安全研究與實(shí)施部署提供指導(dǎo)。德國(guó)工業(yè)4.0注重安全實(shí)施,出版《工業(yè)4.0安全指南》、《跨企業(yè)安全通信》、《安全身份標(biāo)識(shí)》等相關(guān)指導(dǎo)文件,幫助企業(yè)加強(qiáng)安全防護(hù)。歐洲網(wǎng)絡(luò)空間安全組織(ECS)于2018年3月發(fā)布《工業(yè)4.0與工業(yè)控制系統(tǒng)(ICS)行業(yè)的網(wǎng)絡(luò)安全》,提出了若干策略,鼓勵(lì)各行業(yè)企業(yè)參與研究,并列出了若干行業(yè)專題。
國(guó)內(nèi)逐步完善工業(yè)互聯(lián)網(wǎng)平臺(tái)安全頂層設(shè)計(jì)。我國(guó)陸續(xù)出臺(tái)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》、《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃(2018-2020年)》等文件,指導(dǎo)工業(yè)互聯(lián)網(wǎng)發(fā)展與安全同步推進(jìn);國(guó)內(nèi)科研機(jī)構(gòu)發(fā)布《工業(yè)互聯(lián)網(wǎng)平臺(tái)標(biāo)準(zhǔn)化白皮書(2018)》、《工業(yè)互聯(lián)網(wǎng)安全框架(討論稿)》等白皮書,同時(shí)立項(xiàng)《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全要求及評(píng)估規(guī)范》國(guó)家標(biāo)準(zhǔn)1項(xiàng),《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)要求》、《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全風(fēng)險(xiǎn)評(píng)估規(guī)范》等多項(xiàng)行業(yè)標(biāo)準(zhǔn),扎實(shí)推進(jìn)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全標(biāo)準(zhǔn)化工作。
3 我國(guó)工業(yè)互聯(lián)網(wǎng)平臺(tái)存在的安全問題
3.1 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全管理體系尚不健全
當(dāng)前我國(guó)陸續(xù)出臺(tái)《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》、《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃(2018-2020年)》等文件,為工業(yè)互聯(lián)網(wǎng)發(fā)展提供頂層政策指導(dǎo),但工業(yè)互聯(lián)網(wǎng)企業(yè)在實(shí)際開展平臺(tái)安全設(shè)計(jì)、建設(shè)、運(yùn)維等活動(dòng)中,依然存在安全防護(hù)工作缺乏政策文件統(tǒng)籌指導(dǎo),工業(yè)互聯(lián)網(wǎng)平臺(tái)安全主體責(zé)任不明等問題,同時(shí),目前僅立項(xiàng)《工業(yè)互聯(lián)網(wǎng)平臺(tái)安全要求及評(píng)估規(guī)范》1項(xiàng)國(guó)家標(biāo)準(zhǔn),標(biāo)準(zhǔn)體系尚未建立,關(guān)鍵技術(shù)、管理標(biāo)準(zhǔn)缺失,無法為工業(yè)互聯(lián)網(wǎng)企業(yè)開展安全防護(hù)工作提供標(biāo)準(zhǔn)依據(jù)。
3.2 工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全風(fēng)險(xiǎn)隱患凸顯
工業(yè)互聯(lián)網(wǎng)平臺(tái)采集、存儲(chǔ)和利用的數(shù)據(jù)資源存在數(shù)據(jù)體量大、種類多、關(guān)聯(lián)性強(qiáng)、價(jià)值分布不均、不同領(lǐng)域數(shù)據(jù)保護(hù)利用存在較大差異等特點(diǎn),因此工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全存在責(zé)任主體邊界模糊、分級(jí)分類保護(hù)難度較大、事件追蹤溯源困難等問題。同時(shí),工業(yè)大數(shù)據(jù)技術(shù)在工業(yè)互聯(lián)網(wǎng)平臺(tái)中的廣泛應(yīng)用,使得工業(yè)互聯(lián)網(wǎng)平臺(tái)面臨著數(shù)據(jù)加密存儲(chǔ)技術(shù)尚不完善,鑒權(quán)技術(shù)發(fā)展尚不成熟,平臺(tái)用戶信息、企業(yè)生產(chǎn)信息等敏感信息存在泄露隱患,數(shù)據(jù)交易權(quán)屬不明確、監(jiān)管責(zé)任不清等問題,工業(yè)大數(shù)據(jù)應(yīng)用存在安全風(fēng)險(xiǎn)。
3.3 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全產(chǎn)業(yè)處于起步階段
根據(jù)《網(wǎng)絡(luò)安全法》中關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)措施“同步規(guī)劃、同步建設(shè)、同步使用”的具體要求,需在工業(yè)互聯(lián)網(wǎng)設(shè)計(jì)、建設(shè)、運(yùn)維等全生命周期開展安全防護(hù)工作。然而,當(dāng)前我國(guó)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)產(chǎn)業(yè)發(fā)展尚處起步階段,工業(yè)互聯(lián)網(wǎng)平臺(tái)企業(yè)多采用傳統(tǒng)信息安全防護(hù)技術(shù)、設(shè)備構(gòu)建安全防護(hù)體系架構(gòu),尚無面向工業(yè)互聯(lián)網(wǎng)平臺(tái)安全的專用防護(hù)設(shè)備,整體安全解決方案還不成熟,關(guān)鍵基礎(chǔ)安全技術(shù)產(chǎn)品受制于人,安全防護(hù)設(shè)備有效性缺乏客觀、公正評(píng)價(jià), 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全產(chǎn)業(yè)發(fā)展尚處起步階段。
3.4 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全保障制度急需建立
當(dāng)前我國(guó)已面向工業(yè)控制系統(tǒng)開展保障制度建設(shè)工作,但工業(yè)互聯(lián)網(wǎng)平臺(tái)安全等工業(yè)互聯(lián)網(wǎng)發(fā)展,依然帶來了諸多工業(yè)信息新問題,相關(guān)保障制度仍需持續(xù)建設(shè)。工業(yè)互聯(lián)網(wǎng)平臺(tái)通常連接工業(yè)生產(chǎn)上下游企業(yè),以實(shí)現(xiàn)泛在連接、彈性供給、高效配置的特點(diǎn),目前對(duì)工業(yè)互聯(lián)網(wǎng)企業(yè)平臺(tái)運(yùn)行情況缺乏安全監(jiān)測(cè)手段,平臺(tái)服務(wù)提供商、工業(yè)互聯(lián)網(wǎng)應(yīng)用提供商資質(zhì)審查制度尚未建立,相關(guān)工業(yè)互聯(lián)網(wǎng)應(yīng)用安全檢測(cè)技術(shù)缺乏,導(dǎo)致工業(yè)互聯(lián)網(wǎng)平臺(tái)安全保障工作缺乏基礎(chǔ)支撐。
4 下一步發(fā)展
4.1 加快工業(yè)互聯(lián)網(wǎng)平臺(tái)安全政策標(biāo)準(zhǔn)制定
建立重要工業(yè)互聯(lián)網(wǎng)平臺(tái)目錄清單,研究編制工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)指南等指導(dǎo)性政策文件,明確相關(guān)組織安全主體責(zé)任,指導(dǎo)平臺(tái)企業(yè)做好安全防護(hù)工作。持續(xù)開展工業(yè)互聯(lián)網(wǎng)安全標(biāo)準(zhǔn)體系建設(shè)工作,結(jié)合管理工作及產(chǎn)業(yè)發(fā)展研制需要,開展平臺(tái)安全管理、技術(shù)等急用先行標(biāo)準(zhǔn)的發(fā)布和應(yīng)用,開展試點(diǎn)示范,加強(qiáng)宣貫培訓(xùn)。
4.2 強(qiáng)化工業(yè)互聯(lián)網(wǎng)平臺(tái)數(shù)據(jù)安全管理制度
根據(jù)工業(yè)門類,研究制定工業(yè)數(shù)據(jù)分級(jí)分類管理制度,明確數(shù)據(jù)安全管理建設(shè)工作思路、工作目標(biāo),落實(shí)數(shù)據(jù)擁有者、使用者、管理者責(zé)任,研制配套標(biāo)準(zhǔn),對(duì)數(shù)據(jù)收集、存儲(chǔ)、處理、轉(zhuǎn)移、刪除等環(huán)節(jié)提出安全指標(biāo)及評(píng)估方法,推動(dòng)工業(yè)大數(shù)據(jù)跨境傳輸安全管理制度建設(shè),提升我國(guó)工業(yè)行業(yè)工業(yè)大數(shù)據(jù)安全管理水平。
4.3 促進(jìn)工業(yè)互聯(lián)網(wǎng)平臺(tái)安全相關(guān)產(chǎn)業(yè)發(fā)展
優(yōu)化產(chǎn)業(yè)環(huán)境,營(yíng)造發(fā)展生態(tài),鼓勵(lì)支持技術(shù)創(chuàng)新,構(gòu)建多領(lǐng)域、多層次核心技術(shù)體系,形成面向工業(yè)互聯(lián)網(wǎng)平臺(tái)的安全解決方案。分行業(yè)、分領(lǐng)域、分地區(qū)支持一批工業(yè)互聯(lián)網(wǎng)平臺(tái)產(chǎn)業(yè)示范園區(qū),集聚地區(qū)特色資源,培育龍頭骨干企業(yè),促進(jìn)產(chǎn)業(yè)快速健康發(fā)展。
4.4 保障技術(shù)手段建設(shè)、檢查評(píng)估、促進(jìn)落實(shí)
分步驟、分階段開展工業(yè)互聯(lián)網(wǎng)平臺(tái)保障能力建設(shè)工作,面向工業(yè)互聯(lián)網(wǎng)平臺(tái)安全保障工作需求,建設(shè)安全態(tài)勢(shì)感知平臺(tái),在線監(jiān)測(cè)預(yù)警平臺(tái),工業(yè)互聯(lián)網(wǎng)APP安全檢測(cè)平臺(tái),服務(wù)提供商資質(zhì)審查平臺(tái)等,提升工業(yè)互聯(lián)網(wǎng)平臺(tái)漏洞挖掘、滲透測(cè)試、防護(hù)方案驗(yàn)證等保障能力。
★基金項(xiàng)目:工信部工控安全評(píng)估專項(xiàng)(編號(hào):工信軟函[2016]1181號(hào))
作者簡(jiǎn)介:
李琳(1983-)男,山東濟(jì)南人,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院工程師,博士。研究方向?yàn)樾畔踩?shù)據(jù)挖掘,發(fā)表SCI、EI十余篇。參與多項(xiàng)信息安全、工業(yè)控制系統(tǒng)信息安全項(xiàng)目等。
龔潔中(1983-)男,湖南懷化人,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院高級(jí)工程師,博士,研究方向?yàn)槲锫?lián)網(wǎng)安全,工業(yè)信息安全及智能汽車安全。
周睿康(1990-)男,北京人,中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院工程師,碩士。研究方向?yàn)楣I(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全,參與多項(xiàng)工業(yè)信息安全、工業(yè)互聯(lián)網(wǎng)安全專項(xiàng)項(xiàng)目等。
夏正敏(1980-)女,江蘇揚(yáng)州人,上海交通大學(xué)電子信息與電氣工程學(xué)院工程師,博士。研究方向?yàn)樾畔踩?fù)雜系統(tǒng)、信號(hào)檢測(cè)與估計(jì)、大數(shù)據(jù),參與多項(xiàng)信息安全、等保測(cè)評(píng)和大數(shù)據(jù)項(xiàng)目。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)