工業互聯網安全態勢及防護對策研究*

張君 朱晨鳴 魏珂悅

(浙江省電子信息產品檢驗研究院,浙江杭州 310007)

0 引言

《中國制造2025》中明確提出要在未來一段時間內大力發展信息技術產業中的操作系統與工業軟件,在安全領域操作系統等基礎軟件的研發中實現突破,創建完善的安全測評體系[1]。現階段來看,我國的工業互聯網安全態勢現狀不容樂觀。據國家信息安全漏洞共享平臺調查,截止到2020年上半年我國工控系統內的行業漏洞數量已經達到2743個,處于高危等級的漏洞907個,占比33.07%,施耐德電、羅克韋爾等廠商的產品中均發現有安全漏洞的存在[2]。上述調查說明我國在工業互聯網的建設進程中,遭受到較大的安全風險威脅,對風險的感知比較遲鈍。處于這樣的背景之下,工業互聯網的發展勢必會遭受阻礙與困境,因此針對工業互聯網安全態勢及防護對策的有關情況加以分析勢在必行,通過對安全態勢相關問題的分析與探索后,能對當前現狀作出客觀評價,繼而也就為工業互聯網安全系數的提升尋找可行性路線。

1 工業互聯網內涵

工業互聯網指的是在智能化需求的驅動之下的關鍵網絡基礎設施,以延時性低、可靠性高、覆蓋性廣泛為基本特征,在前沿信息通信技術、先進制造業有機融合之后所形成的新興業態[3]。工業互聯網對于傳統工業造成巨大沖擊,扭轉了傳統工作的生產理念與管理機制,在技術、業態、產業以及服務等多個層面均實現了巨大的技術突破與創新,順應了數字經濟的發展趨勢,是國家現代工業化轉型的基石。工業互聯網由平臺、網絡以及安全三個體系所構成,其中,網絡屬于基礎條件,利用互聯網將工業系統、產業鏈條以及價值鏈條相連接到一起;平臺占據核心位置,是實現工業智能的載體,肩負著數據儲存、建模、工作標準化與模塊化等方面的重任;安全起到保障作用,在安全技術、安全管理的支持下,識別威脅網絡與平臺安全的潛在風險因素[4]。工業互聯網網絡是基礎,平臺是核心,安全是保障。安全體系在工業互聯網體系中占據著不可缺少的位置,如果缺乏安全體系所提供的保障,平臺將暴露于風險之中,工業互聯網也就無法繼續運行。

2 工業互聯網安全態勢分析

2.1 物理環節的漏洞暴露明顯

工業互聯網安全暴露出的某些安全問題可能會阻礙整個工業互聯網的穩定發展,威脅到工業行業企業內的安全和利益,其中在物理環節內的漏洞暴露問題尤為明顯。傳統的工業生產鏈條內形成了具有閉環特點的生產網絡,整個生產過程都是置于監控、安保、門禁等防護措施之下,而工業互聯網的出現則徹底改變了以往的格局,創造了全新的生產鏈條,傳統的監控設備、控制系統等物理環節紛紛接入互聯網,進入到互聯網的開放環境之中。處于這樣的情況下,物理環節中原本存在的安全硬件弱點、安全管理漏洞將毫無保留地公開在互聯網環境之中,物理環節下的安全防護無法持續發揮安全保障作用,但同時基于工業互聯網的全新安全管理體系卻沒有及時就位,因此對潛在風險不能及時察覺,感知風險的速度嚴重滯后。

2.2 設備后門安全隱患嚴重

工業互聯網安全態勢中的問題表現在,行業內的設備后門安全隱患嚴重。受技術水平有限的客觀條件限制,當前我國工業互聯網建設中的很多關鍵設備仍然要依賴于進口,包括傳感器、MCU等,而這些來自于進口廠商的設備可信賴性有待商榷,很多廠商以品質維護或其他因素為理由,在產品中安裝后門,因此在使用過程中,這些設備后門便成為薄弱環節。根據國家信息安全漏洞共享平臺調查結果顯示,截止到2019年底,包括施耐德電、通用電氣、研華科技、羅克韋爾在內的我國工業控制系統主要供應商,均有產品信息安全漏洞的披露記錄,這表明工業互聯網所依賴的工業控制系統或其他設備,都不能排除信息泄露的安全風險。設備安全后門為不法分子提供了可乘之機,成為不法分子偷竊機密數據的窗口,而對于設備使用者本身而言,無疑是一個高風險,但是卻未能及時發現和感知風險,對風險的預知和判斷不足。

2.3 工業信息安全技術水平偏低

現階段的工業信息安全技術防護水平普遍偏低。由于我國在工業互聯網方面的建設時間尚短,發展時間不長,因此在工業信息安全管理中所掌握的技術水平相對較低,安全管理的技術方法與手段不夠成熟。受發展時間不足的先天條件限制,當前我國在工業互聯網安全管理方面的整體發展速度比較滯后,網絡及信息安全管理缺失是一個比較普遍的現象,具體表現在工業信息的安全管理方法比較傳統和保守,仍然沿用傳統的安全管理技術手段,沒有根據當前的實際情況引入全新的安全技術體系,缺乏強勁的安全信息管理基礎,對風險的感知和響應速度遲緩。同時,很大一部分工業企業尚且未能認識到工業互聯網建設進程中信息安全管理的必要性及其價值,沒有體現出對信息安全管理的足夠重視,工業信息安全技術的水平也無從提高。

2.4 高水平網絡安全人才缺口大

工業互聯網安全態勢的問題在于,到目前為止我國仍然沒有建立起一支高水平的工業互聯網安全專業人才隊伍,對于高精尖既懂工業又懂網絡安全的復合型工業互聯網安全人才的需求缺口較大。任何行業領域的發展都離不開人才的支撐,甚至可以說人才配備是否足夠,將會直接影響到一個行業的發展進程,因此當前工業互聯網安全態勢防護工作便陷入了人才極度欠缺的困境之中。工業互聯網在國內的起步時間不久,現有人才很多是從互聯網技術、網絡安全、物聯網等相關行業轉型而來,但是真正以工業互聯網安全防護、安全管理等為專業的人才數量相對有限;高校在人才培養方面的速度比較滯后,因此便產生了工業互聯網安全防護領域內人才缺口較大的現象,尤其工業互聯網安全防護對于高精尖人才的需求較高,在風險感知方面具備敏銳的洞察力、準確的預判力,但這些人才處于更加緊缺的局面中。基于工業互聯網態勢的分析可以發現,現階段對于潛在安全漏洞、安全風險與威脅的感知不及時,甚至可以說是完全空缺的狀態,無法做到在第一時間內對風險進行預警,這使得工業互聯網的安全得不到全面的保障,甚至會蒙受巨大的損失。

3 工業互聯網安全態勢防護對策

3.1 加快安全保障體系建設進程

基于現階段我國工業互聯網安全態勢防護方面所產生的種種問題,加快對安全保障體系的建設進程已然成為當務之急。隨著工業互聯網建設的全面推進,工業企業必須要緊跟發展步伐,及時完成網絡態勢防護的轉型、升級工作,加快對安全態勢系統的建設過程,搭建全面的安全技術保障、技術支持以及信息安全防護機制。在此過程中必須要充分認識到,處于互聯網開放環境之中遭受到惡意攻擊是無法徹底規避的,從企業的角度來看,只能積極迎接挑戰,面對來自互聯網的惡意攻擊,要及時察覺和發現,盡快做出相應和有效的抵御,從而降低風險系數。此外,工業互聯網安全態勢防護需要對工業網絡入侵加以檢測,在平臺內設置工業互聯網入侵檢測模塊,結合數據采集與分析的基礎上,對可能產生安全威脅的入侵提出警告,并給出安全策略;隨后,對工業互聯網安全的重大漏洞僵木蠕展開安全態勢感知,經過識別、追蹤溯源的過程,發現并定位命令控制服務器,對受控制主機進行反查,以此達到感知僵木蠕安全態勢的目標。例如,引入多元化的檢測模型,創建異常檢測體系;定期補充、升級防火墻;及時更新病毒查殺及異常入侵的檢測軟件等;建立緊急突發事件的相應制度,在工業互聯網遭受非法入侵后及時啟動,盡可能將非法入侵所造成的破壞縮減到最低,減少損失。

3.2 構建聯動機制,實施整體防御

針對目前我國在工業互聯網安全態勢防護中所面臨的困境,應當構建聯動機制,實施整體防御。工業互聯網安全態勢防護工作需要多方的共同參與,包括政府主管部門、工業企業、工業互聯網供應商、系統服務商、網絡安全服務商等均在此范圍之中,只有在多方的共同配合,才能夠為工業互聯網安全態勢防護工作的有序開展奠定扎實基礎。因此,上述與工業互聯網相關的部門、單位應當建立起彼此相聯系的聯通機制,形成整體防御的完整鏈條,提高對安全態勢的相應速度。同時,創建工業互聯網之下的風險信息共享平臺,專門面向工業互聯網安全態勢提供服務,設置信息上傳、信息發布、信息共享等功能,為安全態勢的感知及安全風險的預測提供大數據支撐,將工業企業從信息孤島之中拯救出來。例如,基于運營商核心路由器的規則過濾,對工業專線流量加以選擇,以鏡像方式將流量與工業互聯網探針相連接,利用工業互聯網探針為工業協議的解析和設備指紋的提取提供支持等,同時生成全息日志,從而對實現全程的監測。

3.3 提升安全防護的技術能力

為解決現存問題,在工業互聯網安全態勢防護中,應當要提高安全防護方法與技術手段實踐應用的水平與成熟度。工業互聯網從互聯網之中衍生而來,因此,盡管兩者對于安全防護的需求并不完全一致,但必然也存在一些共通之處,這代表著工業互聯網在探索自身安全防護技術方法時,可以適當的借鑒引用互聯網的成功經驗,學習互聯網在安全防護領域內的成功案例,為工業互聯網安全方法技術與方法的提高尋找可能的路徑。例如,通過網絡審計技術的提升,及時發現異常流量的潛在威脅,第一時間展開對病毒等惡意軟件的感知與防護;對于網絡邊界模糊的問題,采取終端違規接入的控制措施;加快在模型入侵檢測技術、ICS場景指紋異常檢測技術、模型入侵檢測技術等方面的技術研發力度。基于安全防護方法和技術水平的提升,工業互聯網安全態勢防護工作的整體實力才有可能加強并不斷進步。例如,工業控制系統漏洞掃描的完善中,主要是負責系統漏洞的掃描以及配置的檢查,如FTP服務、TELNET服務、郵件服務等均在此范疇之內,對Oracle、MSsql、Mysql主流數據庫也可實現漏洞掃描,通過掃描的過程及時發現并排查風險。

3.4 培養復合型的工業互聯網網絡安全人才

針對現存問題,工業互聯網安全態勢防護工作中,應當要把培養高水平的網絡安全人才提上日程,盡快建立專業化網絡安全人才隊伍,為網絡安全防護提供強有力的保障。高校肩負著向社會輸送人才的重擔,當社會對人才的需求產生變化后,高校便需要做出預判,結合各個行業內未來一段時間內對人才技能的需求情況,來對教學活動做出適當的調整,為社會培養更多有潛力的優秀人才。因此,處于當前工業互聯網安全防護人才緊缺的局面中,高校也必須要加快人才培養步伐,根據現階段我國的工業互聯網安全態勢現狀,培養大量的網絡安全人才,滿足行業內對人才的需求,填滿人才缺口。同時,從人才成長速度及實踐能力的需求考慮,引入產教融合與校企聯合的培養機制,為學生提供更多參與實踐鍛煉的機會,讓學生進入工作崗位后,能盡快適應工作環境,快速成長。

4 結語

綜上所述,在現代化、智能化、信息化工業轉型的進程中,安全問題始終不容忽視,同樣這也是工業互聯網進程中所不能繞開的話題。在工業互聯網安全態勢防護中,應當要加快安全保障體系建設進程,提高安全防護方法的技術水平,搭建聯動機制,實施整體防御,加快培養復合型的工業互聯網網絡安全人才隊伍。希望能夠為我國工業互聯網的安全體系創建和完善搭建橋梁,及時察覺、判斷和感知風險,利用現代化的風險預警技術,為工業互聯網的平臺與網絡提供保證與支持。