首頁 > 關于我們 > 新聞動態 > 深度解讀

工業互聯網核心安全問題、安全需求及國內外所采用先進技術路線詳細分析

發布時間 2020-05-21

工業互聯網是互聯網和新一代信息技術與工業系統全方位深度融合所形成的產業和應用生態,也是工業智能化發展的關鍵綜合信息基礎設施。本文通過對工業互聯網所面臨的核心安全問題、安全需求及國內外所采用先進的技術路線的詳細分析,提出針對工業互聯網安全防護整體解決方案,幫助客戶完善工業互聯網安全體系建設。



工業互聯網面臨的安全問題


? 設備安全問題

智能化使海量生產裝備和產品直接暴露在網絡攻擊之下,木馬病毒在設備之間的傳播擴散速度將呈指數級增長,智能設備的信息安全問題亟待解決。


網絡安全問題

攻擊門檻大大的降低,針對TCP、IP協議的攻擊方法和手段日漸成熟且可被直接利用,而現有工業的以太網交換機性能低,難以抵抗廣播風暴等 DoS(Denial of Service,拒絕服務)攻擊。


控制安全問題

IT和OT的融合打破了傳統安全可信的控制環境,網絡攻擊從IT層滲透到OT層,從工廠外滲透到工廠內,工廠控制面臨極大的安全風險。


數據安全問題

數據保護難度增大,工業領域業務復雜,數據種類和保護需求多樣,數據流動方向和路徑復雜。


應用安全問題

工業應用復雜,安全需求多樣,因此對網絡安全隔離能力、網絡安全保障能力要求都將提高。


云計算安全問題

根據云安全聯盟(CSA)于2018年1月發布的最新版本《12大頂級云安全威脅:行業見解報告》,該報告重點聚焦了12個最嚴重的涉及云計算共享和按需特性方面的威脅;云計算建設以及使用過程中的安全風險、傳統信息安全風險、云計算平臺安全風險、用戶訪問安全風險、安全管理體系風險等。



工業互聯網的核心安全需求


設備安全

包括操作系統以及應用軟件的安全防護,在固件安全增強、補丁升級管理以及漏洞修復加固方面都需要專業的安全防護。


硬件安全

硬件設備的安全防護較為困難,尤其是在后期運行維護管控方面。


控制安全

控制設備自帶協議較多,在出廠時安全就不可控,具體包括控制協議安全、控制軟件安全以及控制功能安全三個方面。


網絡安全

優化網絡設計、網絡接入認證、網絡設備保護、安全監測審計和通信與傳輸保護之外,還應注意網絡邊界安全問題、OT與IT的邊界、內網與外網的邊界。


應用安全

不僅包括基于安全審計、認證授權、DDOS防護、補丁升級、安全隔離和安全監測的工業互聯網平臺安全,還包括工業應用程序安全。


數據安全

對數據進行加密、訪問控制。對于不同類型的業務要對數據進行隔離,在使用數據中要對數據進行脫敏。


監測感知

包含數據的采集,即提取有用有效的數據;提取特征,即提取目標的特殊特征以及進行統一的關聯分析等。


處置恢復

主要體現在響應決策、備份恢復和分析評估。



國內外技術路線分析


? 國外典型平臺的安全建設

1、GE在2016年發布的《Predix:工業互聯網平臺》報告中,描述了從隔離用戶環境、操作系統安全等方面加強工業互聯網平臺安全。

2、PTC在ThingWorx平臺采用端到端的安全策略,加強網絡應用程序、用戶和數據安全防護。

3、ABB Ability平臺與微軟合作,通過安全基線、代碼審計保證平臺設計開發過程中的網絡安全,并與安全研究機構合作對平臺開展測試、評估和驗證,提高平臺安全水平。

4、西門子MindSphere平臺在數據傳輸過程中嚴格遵守高標準的安全傳輸協議HTTPS,確保端到端的數據安全,并有相關工業APP幫助用戶發現潛在威脅、安全漏洞和異常情況,提供安全補丁的應對方案。

5、菲尼克斯電氣ProfiCloud平臺中設備之間的通信均采用TLS(安全傳輸層協議)方式加密,保證通信安全。

……


? 國內目前采取的技術路線

1、海爾COSMO平臺將安全保護、安全檢測、安全管理可視化、運營化、體系化,形成面向全流程安全威脅點的防護方案,日常安全運營管理、外部威脅情報和態勢感知中心三位一體的安全平臺。

2、樹根互聯RootCloud平臺尤為重視數據安全,從展示層、數據層、服務層三方面出發,采用安全探針監控操作與訪問行為,通過對文件系統、數據庫和應用層加密,保證數據安全可控。

3、石化盈科ProMACE平臺通過串接工業防火墻和安全數采網關進行兩網隔離防護,保證設備安全接入和安全通信。

……



技術路線總結分析


加強安全頂層設計

盡快制定出臺工業互聯網安全相關指導性文件,明確行業、企業、平臺提供商等產業鏈各環節不同主體的安全責任和義務,規范和指引工業互聯網安全發展。


加快標準研究制定

圍繞工業互聯網設備、平臺、控制、數據等 層面的安全需求,加快研制安全防護、測試、評估等方面的國家標準。


推動技術和產品研發攻關

推動產學研用合作,研究提出適合當前我國工業互聯網發展的安全防護解決方案,加強工業互聯網設備層、平臺層、控制層等安全防護關鍵技術攻關,重點突破攻擊防護、漏洞挖掘、入侵發現、態勢感知、安全審計、可信芯片等相關產品和服務的研發。


促進工業互聯網安全產業發展

推動設立工業互聯網安全專項資金,鼓勵股權投資基金、創業投資基金等社會資本參與,支持工業互聯網安全產業集聚發展,以試點示范為抓手,選取重點領域、遴選最佳實踐并促進安全技術推廣與應用,引導高端市場降低對國產化安全防護設備、產品和服務的準入門檻。依托產業聯盟等力量,推動產學研用聯合攻關與供需對接,培育一批具有產業整合能力的龍頭企業,發揮主泵作用,做大做強工業互聯網安全產業。


啟明星辰整體解決方案設計


啟明星辰通過對多個典型行業、企業及工業互聯網的應用架構分析,參考國內外工業互聯網安全研究成果,從平臺安全、網絡安全、數據安全、設備安全和安全運營等多個維度和視角,整理和挖掘工業互聯網在宏觀運營和微觀防護方面的安全需求,致力于為國家、行業和用戶提供完整的、高細粒度的工業互聯網網絡安全解決方案。


啟明星辰工業互聯網網絡安全架構設計


安全防護層


統一安全管理層

核心功能包括整體安全態勢感知、統一安全管理、應急指揮調度和數據安全交換地圖。它是整個工業互聯網網絡安全的集中管理、運維、調度和應急指揮的核心,也是解決工業互聯網宏觀安全運營需求的重要基礎及實現工業互聯網安全運營高效率運作、精細化管理的關鍵措施。


平臺安全層

在典型云環境下(OpenStack、VMware等),云計算安全是工業互聯網網絡安全建設的重點,主要涵蓋工業互聯網云計算平臺及其承載和運行的各類業務系統、虛擬化資源等。


數據安全交換層

工業互聯網的建設基本都是在原有信息系統、網絡和工控網絡架構的基礎上完成改造和建設的,每個系統間的業務及數據都是獨立的,而不同系統間異構數據如何實現安全共享,這就需要通過數據安全交換層來實現。


基礎網絡防護層

基礎網絡防護層是工業互聯網網絡安全的最基本要求,其建設內容參考遵循國家等級保護標準(GB/T 22239-2008 信息安全技術 信息系統安全等級保護基本要求),符合相關安全等級的具體要求。


安全匯聚與接入層

工業互聯網融合了包括工業控制網絡、工業物聯網、移動互聯網在內的多種類型的網絡。各類工業生產設備、工業物聯網終端設備、移動設備均通過匯聚和接入節點連接到工業互聯網中,而隨著工業智能化設備、物聯網終端設備的安全問題不斷出現,如何確保這些接入設備的安全性,是需要在安全匯聚與接入層具備的主要能力。


現場設備防護層

主要包括工業現場和物聯網現場的各類上位機、操作員站、物聯網終端設備的安全防護。


安全管理軸


“三分技術,七分管理”。隨著工業互聯網網絡安全作為獨立的建設內容,安全管理工作的重要性不言而喻,其內容不僅涵蓋管理制度、流程等基本要素,還包括安全建設、運營、維護、應急、指揮等多個方面的內容。


因此,在工業互聯網網絡安全架構設計中,如果將工業互聯網比作一臺正在高速運轉的發動機,我們將安全管理稱之為“軸”,貫穿每一個安全層次的各個安全要素和節點,連接各類安全技術措施,發揮安全防護體系效能的核心紐帶。


啟明星辰在工業互聯網領域已經形成了完善的整體解決方案和專業的安全服務能力,并推出了云、網、端針對工業互聯網安全防護體系,實現云平臺安全防護、移動智能終端安全加固、物聯網終端安全感知、全網設備安全統一監測和防護、安全風險集中分析和展現,幫助用戶建立全生命周期安全管理,實現物聯網安全可知、可防、可測,打造協同共生時代的工業互聯網安全。

上一篇 下一篇