今日頭條
官方微信
官方抖音
資訊頻道作者:
北京燃氣集團有限責任公司 關鴻鵬
中國電子技術標準化研究院 李琳
北京燃氣集團有限責任公司 李鑫
北京燃氣集團有限責任公司 姚玉梅
中國電子技術標準化研究院 徐克超
北京燃氣集團有限責任公司 王顏山
摘要:隨著云計算、大數據、物聯(lián)網、人工智能等新興技術與傳統(tǒng)工業(yè)生產過程的深度融合,使得工業(yè)互聯(lián)網逐漸成為新興研究熱點之一。本文針對當前我國工業(yè)互聯(lián)網中存在的安全隱患,以及當前該領域相關標準化工作進展情況,提出工業(yè)互聯(lián)網信息安全標準體系架構,為工業(yè)互聯(lián)網安全標準化工作的開展提供參考。
關鍵詞:工業(yè)互聯(lián)網;信息安全;標準體系
1 引言
當前,隨著信息技術和工業(yè)生產的雙向融合,云計算、大數據、物聯(lián)網、人工智能等新興信息技術在各工業(yè)領域廣泛使用,使得傳統(tǒng)工業(yè)生產過程逐漸由單機走向互聯(lián)、由封閉走向開放。作為互聯(lián)網、新一代信息技術與工業(yè)系統(tǒng)全方位深度融合所形成的新型產業(yè)和應用生態(tài),工業(yè)互聯(lián)網已成為發(fā)展的趨勢之一,引起各界的廣泛關注。隨著其飛速發(fā)展,工業(yè)互聯(lián)網深刻改變了傳統(tǒng)工業(yè)產業(yè)的生產方式、組織方式和商業(yè)模式,成為不斷推動著全球工業(yè)體系智能化變革的重要方式。
工業(yè)互聯(lián)網是工業(yè)控制系統(tǒng)、工業(yè)網絡、云計算、大數據存儲分析、企業(yè)辦公系統(tǒng)、產業(yè)鏈系統(tǒng)等多個組成部分的有機整體。工業(yè)互聯(lián)網的飛速發(fā)展,使得工業(yè)生產活動呈現“數字化、智能化、網絡化”的發(fā)展趨勢,工業(yè)產品生產各個生產環(huán)節(jié)的互聯(lián)互通,生產過程跨時間、跨地域的生產模式逐漸成為常態(tài),并形成了“設計、生產、物流、銷售、服務”為一體的全產業(yè)鏈上下游緊密結合的產業(yè)模式。工業(yè)互聯(lián)網的特點,決定了其各環(huán)節(jié)、各組成部分之間需要信息的互聯(lián)互通,信息技術的高度滲透融合,尤其是工業(yè)生產過程和控制網絡、互聯(lián)網的緊密結合,使得工業(yè)生產在提高效率的同時,也面臨著較為嚴重的信息安全風險隱患。近些年來,全球針對工業(yè)控制系統(tǒng)的信息安全事件頻發(fā),遍布諸多工業(yè)行業(yè),且多為水利、能源、交通等事關國民安全和社會穩(wěn)定的工業(yè)行業(yè),直接威脅人民生命財產安全和社會穩(wěn)定。“震網”病毒、“火焰”病毒等專門針對工業(yè)控制系統(tǒng)病毒的出現,使得工業(yè)互聯(lián)網中工業(yè)控制系統(tǒng)也開始面臨著傳統(tǒng)信息安全病毒的惡意入侵,“洋蔥狗”、“食尸鬼行動”等針對能源、石化行業(yè)控制系統(tǒng)的惡意攻擊,也表明工業(yè)互聯(lián)網中存在信息安全隱患,工業(yè)攝像頭被惡意攻擊者非法劫持的事例也表明工業(yè)互聯(lián)網的信息采集層的傳感設備也存在風險隱患。工業(yè)互聯(lián)網以物聯(lián)網為基礎實現的萬物互聯(lián)的思想,在實現工業(yè)生產各環(huán)節(jié)、各領域廣泛互聯(lián)的同時,也暴露了更多的風險隱患點,給了惡意攻擊者更多的攻擊渠道。同時,各種新型應用在工業(yè)互聯(lián)網的廣泛應用,也使得工業(yè)互聯(lián)網面臨著數據安全、網絡安全等多層次的安全問題,故在開展信息安全防護工作時應從多方面、多角度,提出綜合性的安全考量。
本文在分析當前工業(yè)互聯(lián)網安全發(fā)展的基礎上,總結工業(yè)互聯(lián)網相關標準化工作情況,并結合當前我國工業(yè)互聯(lián)網相關標準化工作基礎,提出標準體系架構,為工業(yè)互聯(lián)網標準化工作的發(fā)展提供意見建議。
2 工業(yè)互聯(lián)網安全發(fā)展現狀
隨著工業(yè)互聯(lián)網信息安全問題日益嚴重,工業(yè)互聯(lián)網服務提供商與各生產企業(yè)已開始著手解決工業(yè)安全防護問題,但是針對工業(yè)互聯(lián)網安全的研究還處于起步階段。當前,工業(yè)互聯(lián)網主要面臨著如下安全風險問題。
一是設備安全風險。工業(yè)互聯(lián)網作為物聯(lián)網技術在工業(yè)領域的衍生發(fā)展,使得工業(yè)生產過程的上下游逐步形成有機整體,從工業(yè)生產現場的信息采集、生產過程執(zhí)行等,到工業(yè)生產排產、規(guī)劃調度,以及產業(yè)上下游企業(yè)的全產業(yè)鏈的信息互聯(lián)互通,都涉及諸多設備。眾多設備集成于工業(yè)互聯(lián)網中,在提升工業(yè)互聯(lián)網效率、擴展工業(yè)互聯(lián)網功能的同時,也擴大了安全風險的暴露面積,受攻擊面不斷擴大。例如,工業(yè)互聯(lián)網傳感設備性能較低,安全防護能力相對不足,工業(yè)控制系統(tǒng)對實時性要求較高,安全防護技術手段尚不完備,這就使得工業(yè)互聯(lián)網面臨著更多的設備安全的風險隱患。
二是數據安全風險。工業(yè)互聯(lián)網平臺通常需采集工業(yè)生產數據、業(yè)務數據、工控系統(tǒng)及設備狀態(tài)等重要數據,這些數據對于預測國家經濟運行狀況、企業(yè)經營情況等具有重要意義,因此針對這些數據的傳輸、存儲、應用需要重點保護。例如,工業(yè)互聯(lián)網通常需要采集工業(yè)設備每天運行情況,具體生產數據、訂單用戶信息等,同時對于采用云計算、大數據等技術的工業(yè)互聯(lián)網,通常還需將上述數據跨境傳輸、存儲。這就導致社會公眾利益、個人隱私等面臨著受侵害的風險隱患。
三是控制安全風險。當前,工業(yè)互聯(lián)網的最終目標是確保工業(yè)生產的高效、順利進行。因此,諸多工業(yè)互聯(lián)網都提供針對工業(yè)生產設備的控制功能。該功能可通過工業(yè)企業(yè)私有云平臺控制工業(yè)企業(yè)內部工業(yè)控制系統(tǒng)實現,也可由第三方服務提供商在工業(yè)生產設備上加裝輔助控制設備來實現。聯(lián)網控制工業(yè)生產設備的實現,在方便工業(yè)互聯(lián)網對工業(yè)生產設備聯(lián)網控制、統(tǒng)一調配的同時,也帶來了諸多的安全隱患。因此在通過工業(yè)互聯(lián)網連接并控制工業(yè)生產設備的同時,需重點考慮控制信息的安全性。
四是網絡安全風險。工業(yè)互聯(lián)網將工業(yè)生產設備、控制設備、企業(yè)管理系統(tǒng)、上下游產業(yè)鏈的相關系統(tǒng)相互連通,在提高生產效率、打通網絡通信渠道的同時,也將網絡協(xié)議層的安全風險隱患引入工業(yè)互聯(lián)網中。例如,為實現工業(yè)生產設備互聯(lián),諸多工業(yè)控制系統(tǒng)需采用統(tǒng)一且公開的工業(yè)協(xié)議,協(xié)議格式內容的公開,使得惡意攻擊者可有效研究工業(yè)協(xié)議,并有針對性地開展惡意攻擊。目前已知的工業(yè)控制系統(tǒng)信息安全惡意攻擊事件較多針對通用工業(yè)協(xié)議開展攻擊。此外,工業(yè)互聯(lián)網網絡層多采用傳統(tǒng)互聯(lián)網協(xié)議,這就將傳統(tǒng)的信息安全風險隱患引入工業(yè)互聯(lián)網中。
3 工業(yè)互聯(lián)網安全標準現狀
為確保工業(yè)互聯(lián)網安全,國外發(fā)達國家長期開展工業(yè)互聯(lián)網安全相關標準規(guī)范的研究制定工作。工業(yè)互聯(lián)網作為多項技術融合發(fā)展的產物,包含諸多新型技術應用,故目前針對工業(yè)互聯(lián)網的安全標準較少。但國外發(fā)達國家早已開展如工業(yè)控制系統(tǒng)、物聯(lián)網、云計算等工業(yè)互聯(lián)網相關領域的標準制定工作。
2015年5月2日,美國國家標準與技術研究院(NIST)發(fā)布了《工業(yè)控制系統(tǒng)(ICS)安全指南》(NIST SP800-82),主要從工控系統(tǒng)架構、系統(tǒng)與信息系統(tǒng)的區(qū)別、工控系統(tǒng)的典型威脅和脆弱性分析、工控系統(tǒng)信息安全建設參考模型、SP 800-53中的安全控制措施在工控系統(tǒng)中的應用五個方面論述了工業(yè)控制系統(tǒng)(ICS)安全的重要性和應對威脅的安全策略。NIST SP800-82概述了工業(yè)控制系統(tǒng)的系統(tǒng)拓撲結構,指出了對于這些系統(tǒng)的典型威脅和脆弱點所在,為消減相關風險提供了建議性的安全對策。同時,根據工業(yè)控制系統(tǒng)的潛在安全隱患,以及安全隱患影響水平的不同,指出了保障工業(yè)控制系統(tǒng)網絡安全的不同方法和技術手段。該指南適用于電力、水利、石化、交通、化工、制藥等行業(yè)的工業(yè)控制系統(tǒng)。除此之外,NIST還陸續(xù)發(fā)布了《聯(lián)邦信息系統(tǒng)和組織的安全控制建議》(NIST SP 800-53)、《系統(tǒng)保護輪廓-工業(yè)控制系統(tǒng)》(NIST IR 7176)、《中等健壯環(huán)境下的SCADA系統(tǒng)現場設備保護概況》、《智能電網安全指南》(NIST IR 7628)等標準規(guī)范。
在國內,我國自2010年前后已陸續(xù)開展工業(yè)控制系統(tǒng)信息安全相關標準的研究制定工作。截至目前,全國已有多個相關標委會開展了該領域標準執(zhí)行工作。全國工業(yè)過程測量和控制標準化技術委員會從自動化領域入手,借鑒IEC62443等系列標準,研究制定了《工業(yè)通信網絡-網絡和系統(tǒng)安全-第2-1部分:建立工業(yè)自動化和控制系統(tǒng)信息安全程序》、《工業(yè)控制系統(tǒng)信息安全 第1部分:評估規(guī)范》、《工業(yè)控制系統(tǒng)信息安全第2部分:驗收規(guī)范》等工業(yè)控制系統(tǒng)的安全標準。全國信息安全標準化技術委員會(TC260)作為全國信息安全領域標準化歸口組織,歸口管理全國信息安全領域的相關國家標準化工作。截至目前,已發(fā)布《信息安全技術 工業(yè)控制系統(tǒng)安全控制應用指南》等相關國家標準,同時國標立項標準十余項。相關立項標準如表1所示。
除此之外,我國還針對傳感器、數據傳輸、網絡應用等方面,立項研制了相關標準,如針對視頻監(jiān)控安全,全國安全防范報警系統(tǒng)標準化技術委員會(TC100)已制定視頻安防監(jiān)控系統(tǒng)相關安全國家標準5項,含2項強制性標準,行業(yè)標準25項,包含管理、技術、測試驗收等方面。
4 工業(yè)互聯(lián)網標準體系
由表1可知,當前我國工業(yè)互聯(lián)網相關標準多為物聯(lián)網、工業(yè)控制系統(tǒng)、云計算等領域標準,專門針對工業(yè)互聯(lián)網安全的標準尚未立項研制。綜合考慮國家、平臺運營商和企業(yè)用戶等層面面臨的安全威脅,圍繞“基礎+技術+管理+服務”標準體系,加快研制《工業(yè)互聯(lián)網安全接入基本要求》、《工業(yè)互聯(lián)網數據安全防護基本要求》、《工業(yè)互聯(lián)網平臺應用安全要求》、《工業(yè)互聯(lián)網平臺安全管理基本要求》、《工業(yè)互聯(lián)網安全防護產品基本要求》、《工業(yè)互聯(lián)網網絡安全評估實施指南》等重點急需標準,支撐工信部工業(yè)互聯(lián)網安全管理工作。
針對當前我國工業(yè)互聯(lián)網產業(yè)發(fā)展需求,結合當前相關技術應用融合情況,總體提出如圖1所示標準體系。該標準體系從基礎共性、技術要求、管理要求、服務規(guī)范四個方面,開展工業(yè)互聯(lián)網安全標準的規(guī)劃工作。
在基礎共性標準方面,重點開展工業(yè)互聯(lián)網的術語與定義的標準制定工作,針對工業(yè)互聯(lián)網領域的專有名詞,相關技術、產品等的術語,給出規(guī)范化的標準指導。同時針對工業(yè)互聯(lián)網實際情況,研究提出工業(yè)互聯(lián)網安全參考架構和通用參考模型,為工業(yè)互聯(lián)網的設計、建設、運維過程中的安全提供參考依據。
在技術要求部分,重點考慮設備、系統(tǒng)、網絡、數據和應用等領域的安全性要求,從物理防護、訪問控制、安全管理、標識和鑒別、通信安全、運維安全等方面,對工業(yè)互聯(lián)網各組成部分的安全防護、安全防護設備等提出技術性要求。
在管理要求方面,結合工業(yè)云平臺數據、運維以及工業(yè)控制系統(tǒng)的特點,提出數據安全管理、平臺運維安全管理、工業(yè)系統(tǒng)安全管理的相關標準,指導當前我國工業(yè)互聯(lián)網安全管理工作的開展。
在服務規(guī)范方面,針對工業(yè)互聯(lián)網服務提供主體的不同,從工業(yè)互聯(lián)網自營服務、第三方服務兩個方面制定標準。其中自營服務重點針對工業(yè)互聯(lián)網平臺提供方為主體提供的服務,而第三方服務則側重于針對工業(yè)互聯(lián)網平臺為工業(yè)企業(yè)和用戶提供平臺門戶、云制造、大數據應用、創(chuàng)新創(chuàng)業(yè)、工業(yè)品共享中心等產業(yè)服務中的安全性提供標準化指導。
5 總結
工業(yè)互聯(lián)網作為多種新興技術深度交叉融合的產物,正在改變著傳統(tǒng)工業(yè)企業(yè)工業(yè)生產的方式。隨之而來的,也衍生出了數據安全、接入安全、控制安全等諸多方面的安全問題。本文針對當前我國工業(yè)互聯(lián)網發(fā)展狀況,分析風險隱患,并結合當前我國相關領域標準化工作的實際情況,提出標準體系,為后續(xù)標準化工作的開展提供借鑒參考。
作者簡介:
關鴻鵬(1968-)男,北京人,高級工程師,學士,現任北京燃氣集團有限責任公司運營調度中心副主任,主要研究方向為燃氣供應、燃氣調度、燃氣管網安全管理、工業(yè)控制系統(tǒng)信息安全。
李琳(1983-)男,山東人,博士,現任中國電子技術標準化研究院工程師,研究方向為信息安全、數據挖掘。發(fā)表SCI、EI十余篇,參與多項信息安全、工業(yè)控制系統(tǒng)信息安全等。
李鑫(1981-),男,北京人,碩士,現任北京燃氣集團有限責任公司工程師,主要研究方向為燃氣工業(yè)控制系統(tǒng)安全、網絡與信息安全。
姚玉梅(1964-),女,河北人,學士,現任北京燃氣集團有限責任公司高級工程師,主要研究方向為燃氣工業(yè)控制系統(tǒng)安全、網絡與信息安全。
徐克超(1981-),男,山東人,碩士,現任中國電子技術標準化研究院工程師,研究方向為網絡與信息安全。在國內外期刊發(fā)表論文十余篇,先后負責和參與國家科技支撐計劃、國家科技重大專項、國家發(fā)改委產業(yè)化專項、中央網信辦網絡安全專項、工信部工控安全評估專項,國家重點研發(fā)計劃等科研項目20余項。
王顏山(1993-),男,山西人,學士,現任北京燃氣集團有限責任公司助理工程師,主要研究方向工業(yè)控制系統(tǒng)安全、網絡與信息安全。
北京市公安局海淀分局備案號:11010802023656號