一、背景
工業網際網路是連線工業全系統、全產業鏈、全價值鏈,支撐工業智慧化發展的關鍵基礎設施,是新一代資訊科技與工業生產深度融合所形成的新興業態和應用模式,是網際網路從消費領域向生產領域、從虛擬經濟向實體經濟擴充的核心載體。我國工業網際網路處於蓬勃發展階段,先後釋出《工業網際網路發展行動計劃(2018-2020年)》《工業網際網路平臺建設及推廣指南》《工業網際網路創新發展行動計劃(2021-2023年)》等政策檔案,全面部署工業網際網路發展。
二、工業網際網路安全建設刻不容緩
在新工業革命的大背景下,隨著工業網際網路建設程式的不斷深化,工業網際網路平臺的數量持續增加,聯網工業企業規模迅速擴大,工業網際網路的組織模式、生產模式和服務模式正在向跨裝置、跨系統、跨廠區、跨地區的互聯互通轉變。工業網際網路脆弱的安全狀況以及所面臨日益嚴重的攻擊威脅,已經引起了國家的高度重視。
1、工業網際網路成為國家級網路空間安全對抗新陣地
網路空間已成為國際戰略博弈的新領域,近年來國家級網路空間安全對抗不斷升級,網路戰風險進一步加大。網路攻擊物件也從公共網際網路向能源電力、製造業等工業網際網路領域轉移,網路安全風險威脅進一步向工業企業內網、工業系統和裝置、工業網際網路平臺及應用等更多物件和更大範圍延伸。從最早的針對伊朗核設施的“震網病毒”攻擊事件,到委內瑞拉數次發生大規模停電事件,我們可以看出工業網際網路已經成為國家間實施網路安全威懾、制衡他國經濟發展的新重點,工業網際網路建設面對的網路空間變得更加複雜,網路安全問題異常嚴峻。
2、工業網際網路的發展增加了工業生產過程遭受網路攻擊的可能性
新一代資訊科技與工業生產的深度融合是工業網際網路發展的必由之路,不僅強化了物理世界與資訊世界的聯絡,使我們享受資訊化技術帶來的工業高速發展紅利,但同時也使工業網際網路發展面臨著嚴峻的網路安全挑戰。最初封閉的工業控制系統網路邊界在工業網際網路發展程式中不可避免地被打破,攻擊者能夠從管理端、生產端、消費端等多個層面發起網路攻擊,將資訊世界的網路安全威脅引入到物理世界。工業生產中的網路安全事件雖然形式各異,但所帶來的危害都不僅僅停留在資訊世界的“軟攻擊”,而是對物理世界的“硬摧毀”,加劇了工業網際網路企業遭受網路攻擊造成的後果,輕則導致工業生產停擺帶來經濟損失,重則導致生產安全事故帶來人員傷亡,甚至危害國家安全、動搖執政根基。
3、工業網際網路安全防護意識和能力不足
工業網際網路企業是落實網路安全責任的主體,目前還存在管理制度機制不健全或執行落實不到位,相關從業人員網路安全意識不足的問題。同時,多數企業缺乏針對工業網際網路的有效防護措施,整體防護水平相對落後,仍存在工業主機安全防護不到位、工業網際網路網路邊界防護措施不足、工業控制系統未建立安全配置、未使用身份認證、部分無效服務預設開啟等問題。部分企業的工業控制裝置暴露於網際網路,面臨被遠端入侵等安全風險。
三、基於智慧安全3.0的工業網際網路安全防護體系
智慧安全3.0是以體系化建設為指引,構建“全場景、可信任、實戰化”的安全運營能力,實現“全面防護,智慧分析,自動響應”的防護效果。
圖 1 工業網際網路安全視角下的“智慧安全3.0”
面向聯網工業企業、工業網際網路平臺企業以及標識解析企業,秉承智慧安全3.0的“全場景、可信任、實戰化”核心理念,打造工業網際網路安全防護體系,對終端使用者、產業供應鏈、重要入口網站、核心網路、重要資訊系統與工業控制系統的執行等進行全覆蓋、全天候、全方位綜合安全防護,利用大資料技術透過安全資料採集、匯聚、威脅和事件處理分析,加強風險研判和預警,以網路攻防對抗為出發點,按需排程網路安全能力,提高應對網路安全突發事件的快速反應能力。
3.1 全場景安全防護
工業網際網路全場景安全防護要滿足全領域、全要素、全型別三個方面的需求,為工業控制網路、企業經營管理網路以及網際網路搭建起資訊互動的橋樑。
全領域方面,工業網際網路涵蓋了資訊基礎設施、融合基礎設施以及創新基礎設施。其中,企業經營管理網路和網際網路基於資訊基礎設施並融合了雲端計算、人工智慧、大資料等新一代創新基礎設施;工業控制網路已經將通用的作業系統、資料庫等IT資訊科技與OT操作技術實現了廣泛融合與應用,形成了IT與OT緊密結合的融合基礎設施領域。
全要素方面,工業網際網路帶來了控制網路邊界的延伸與擴充套件,將終端使用者、內部員工、上下游產業鏈等各類要素融入工業生產,增加了參與工業生產的人員鏈、業務鏈、供應鏈的物件種類與數量。
全型別方面,工業網際網路帶來了工業控制網路與企業經營管理網路以及網際網路的互聯互通,導致工業生產需要面對惡意攻擊、內部威脅和無意識濫用等全型別的網路安全風險。
工業網際網路的全場景安全防護得益於工業生產環節相對的穩定性與可預見性,我們能夠根據資訊系統和工業控制系統參與生產作業的流程與範圍,按照生產製造邊界、價值傳遞邊界進行劃分,為工業網際網路構築起針對全場景的安全防護能力,以便能在發生網路安全威脅告警時進行有針對性安全防控,避免威脅範圍擴大。
3.2 可信任實現
針對參與工業網際網路業務流程的各類人員,應用零信任技術,基於數字證書、身份標識、生物特徵、動態口令等多種手段,在區域邊界設定滿足相應安全要求的技術隔離與細粒度的訪問控制措施,有效解決在工業網際網路各個環節每一位參與者“是誰”和“能幹什麼”的人員可信任及行為可信任問題,並形成動態化威脅識別能力,實現對網路邊界行為識別、確權、報警以及安全阻斷。
工業網際網路裝置接入可信任方面,面對海量工業智慧裝置的泛在接入,工業智慧裝置在進行網路連線時要採取准入機制,只有經過安全驗證的可信任裝置才允許接入工業網際網路,同時能夠主動識別未知接入裝置所使用的埠、協議、服務等,研判安全風險並採取報警、隔離與阻斷措施,避免未經檢驗授權的裝置將惡意程式碼引入工業網際網路。
供應鏈可信任方面,工業網際網路中應用的經營管理系統、工業控制系統、工業雲平臺等透過採用安全可信、自主可控的處理器、儲存、記憶體、作業系統、應用軟體,應用密碼技術、安全演算法、安全協議等措施保障自身的安全可信任。當條件受限時可以採用安全補償措施,透過應用層安全加固使上述各類系統和平臺具有一定的網路安全防護能力。
資料流轉可信任方面,工業網際網路承載了企業的生產經營資料,涉及智慧財產權、商業秘密,甚至有關國家經濟與國防安全,具有高度的敏感性,發生資料安全事件會對經濟社會發展、國家安全造成直接或間接的損失和影響。為保障資料能夠安全、自由地在工業生產各環節中流動,發揮資料的最大價值,針對工業生產資料應採取標記用途、資料加密、訪問控制、資料脫敏等多種防護措施,覆蓋包括資料採集、傳輸、儲存、處理等在內的全生命週期的各個環節,實現資料“拿不到、看不懂、改不了、賴不掉”。
3.3 網路安全實戰化
從攻防實戰化視角保障工業網際網路網路安全,是推進網際網路與工業生產深度融合的基礎。
安全能力按需排程方面,針對工業網際網路業務實時性、連續性特點,為工業網際網路平臺提供雲化安全能力服務,滿足平臺側工業應用安全、資料安全的彈性可擴充套件需求。工業控制系統網路安全開展邊界防護、狀態監測與審計、態勢感知、威脅情報等安全能力建設,滿足業務安全與網路安全協同的合規性需求。
高效攻防方面,基於網路安全對抗即時有效的要求,透過檢測工業網路流量獲取通訊行為資訊,藉助深度包過濾、終端安全檢測、日誌審計等掌握工業網際網路安全狀態,藉助外部威脅情報並透過聚合、關聯分析形成全域性安全態勢與威脅預警。
四、基於智慧安全3.0的工業網際網路安全解決方案
工業網際網路涉及位於網際網路的工業雲平臺、位於管理資訊網路的企業資源層,以及位於工業控制網路的製造執行層、過程控制層、現場控制層和現場裝置層。網際網路工業雲平臺實現工業行業知識和應用的智慧整合,支撐工業生產資源泛在連線、彈性供給、高效配置,打通資料和應用的煙囪式孤島,提高工作效率,保障知識傳遞的真實性。工業控制系統實現企業生產業務的自動化執行,管理資訊系統藉助跨網資料交換實現企業生產經營資料與工業現場生產資料的交換共享,從而對生產作業活動進行智慧調配。通訊網路為兩者之間的資料交換提供支撐。
圖2 基於智慧安全3.0的工業網際網路網路安全防護技術體系拓撲圖
4.1 多場景邊界安全防護
在區域邊界部署防火牆裝置,對流經區域邊界的資料包依據相應的訪問控制策略進行控制,阻斷非授權訪問,並對違反策略的操作行為進行記錄並形成日誌,定期對日誌進行分析處理。
工業網閘實現控制網路與管理資訊網路從物理層面和邏輯層面斷開直接連線,杜絕網路威脅透過辦公網路入侵控制系統的可能。
4.2 工業網際網路安全可信任
在作業系統層面對工業網際網路裝置進行安全加固,更新廠商釋出的核心安全補丁,並在更新補丁之前在測試系統中進行測試,制訂詳細的回退計劃。在進行遠端運維管理時對透過網路傳輸的認證資訊、資料包文等採取加密、雜湊等措施進行安全防護,避免敏感資訊被竊聽、擷取或篡改。
採用加密認證裝置對接入控制網路的工業網際網路裝置進行身份認證,並基於密碼技術對傳輸資料進行機密性、完整性保護。
在網路交換機旁路部署入侵檢測系統,對網路流量的映象資料進行基於協議與行為的深度檢測,及時發現應用埠傳輸的惡意程式碼,避免伺服器遭受應用層攻擊。
利用資料庫加密系統對資料進行傳輸加密以及儲存加密,實現資料庫安全策略管理、訪問監測、日誌審計等功能。利用資料脫敏裝置、資料分級分類模組、資料加密和加密資源檢索模組、敏感資料審計模組,實現敏感資料發現、系統實時脫敏、脫敏風險評估、資料脫敏結果驗證、資料自動分類分級、資料加密和加密資源檢索、資料使用合規性監管等資料安全性防護手段。利用資料審計系統實現對資料庫增、刪、改、查等操作的審計,實時記錄每個資料的操作過程。
4.3 實戰化安全態勢管控
部署網路安全監測預警平臺,實現對工業控制網路和管理資訊網路安全態勢的全面掌控。透過採集網路流量和安全裝置、網路裝置的日誌資訊、配置資訊進行集中分析和處理,結合綠盟威脅情報分析和共享平臺提供的威脅情報資料,及時洞悉工業網際網路資產面臨的安全威脅,瞭解最新的威脅動態,實施積極主動的威脅防禦和快速響應策略,並準確地進行威脅追蹤和攻擊溯源,實現網路綜合態勢管理、攻擊鏈和業務行為基線的風險預警管理等,對網路攻擊等事件以及惡意軟體傳播等攻擊行為產生報警,統籌管理網路安全裝置,建立高效防控體系。
圖3 工業網際網路安全態勢管控架構圖
採用“軟體定義安全 SDS” 架構,將虛擬化安全裝置和傳統硬體安全裝置進行資源池化的整合,形成雲安全集中管理平臺。透過該平臺實現安全裝置服務化和管理的集中化,以及安全能力的“按需排程、彈性擴充套件”,加強針對性安全能力適配客戶的合規性需求。工業網際網路平臺安全部署如下圖所示。
圖4 工業網際網路平臺安全部署圖
五、結語
工業網際網路帶來工業生產網路邊界的融合以及資料的融合,傳統的相對靜態、被動和孤立的攻擊檢測和防禦體系已經無法有效應對當前以規模化、自動化、0day高階持續性攻擊為特徵的各種安全威脅,必須採取積極主動的防禦策略,構建由邊界管控、許可權控制、威脅監控、態勢感知、快速響應和全面追溯反制組成的“智慧安全”工業網際網路防禦體系。在藉助資訊化幫助工業企業快速應對市場需求、提升效率的同時,有效地保障工業網際網路網路安全。