工业互联网安全现状堪忧 防护需深入至核心元器件

时间:2019-09-08 13:15      

基于信息技术与工业技术深度融合的工业互联网,正在改变现代工业的设计、生产和应用模式,以及我们的生活方式,已上升为我国建设制造强国的国家战略。目前网络空间的对抗已演变成大国间对抗的首选战场,工业互联网广泛涉及到能源、智能制造、交通、电子与通信等众多重要行业或领域,其安全关乎国计民生、公共利益和国家安全。震网病毒、乌克兰和委内瑞拉电网事件等说明工业互联网已经成为国家间对抗的重要目标,工业互联网安全形势不容乐观。工信部等十部门于2019年8月28日印发《加强工业互联网安全工作的指导意见》(简称《指导意见》)是非常必要、非常及时的,为我国工业互联网安全指明了阶段目标和实施策略。

工业互联网安全涉及到诸多行业和领域,与数千家工业互联网企业、管理机构、用户单位紧密相关。《指导意见》的落地是一个大的系统工程,如何结合我国具体情况与国际形势进一步落实《指导意见》,值得我们每一个工业互联网安全从业者深入思考和探讨。

我国工业互联网安全现状令人堪忧。第一,我国基础设施和高端制造企业中存在大量的国外工业设备,这些工业系统在相当长的时间内还会继续使用;同时,由于技术水平和制造能力的限制,国内高端数控机床、高端发动机、发电控制系统,以及高端PLC器件等工控设备依赖国外发达国家,这些核心元器件和设备的内部机理和通信协议往往不被我们掌握,以及自身存在设计漏洞和被植入后门的问题,造成重要工业资产和装备制造信息可能被国外非法收集。在国际开发、合作的大环境下,如何保证现有进口工控设备的安全成为我国工业互联网安全必须面对的重要核心问题之一。第二,我国的工业技术和安全技术与国际最发达国家存在一定的差距,工业互联网设备及其安全产品的研发能力亟待提高。工业互联网建设与安全保障需要大量的工业互联网安全专业人才,然而我国目前这方面的安全人才缺口很大,工业互联网安全涉及到工业控制与自动化、电子信息通信、网络安全等多个学科,这种多学科交叉对工业互联网安全人才的培养增加了难度。第三,工业互联网涉及不同行业的重要程度和安全需求不同,其安全防护水平和优先级也要区别对待。例如军工高端制造和能源电力(发电与电网)等行业涉及到国家安全,也是其它工业互联网行业的基础和支撑。因此,此类行业的安全应成为首要考虑和关注的重点。

如何使工业互联网安全的指导意见发挥作用,我们作为安全科研机构结合自己的基础积累和研发经验,提出如下建议:第一,遵照《指导意见》中提出的工业互联网安全要有顶层设计的指导原则,结合我国工业互联网的现状和技术水平,“从外到内、从表到里”地分阶段实施。受限于同时掌握工控系统和安全知识的研发人员很少,现有工控互联网安全产品基本处于初始阶段,目前工业互联网的安全方案主要是外部威胁围堵式或网络流表面式的防护,很少深入到工业互联网的核心部件,这应逐渐深入到PLC、工控组态软件和数控机床等核心元器件的安全,把工控系统的功能安全与信息安全结合起来,实现工业互联网的内置安全;第二,工业互联网安全的首要任务是建立安全检查和风险识别的能力。开放、合作、博弈、对抗的国际环境下,针对现阶段我国关键基础设施,特别是采用国外工控设备的重要设施和高端制造企业,如何检测是否已被攻击、发现现有系统存在安全隐患,是各个工业互联网企业首先要解决心头之患的问题。对重要基础设施的攻击往往是国家级的高隐蔽行为,如何发现高隐蔽攻击或未知攻击是一个有挑战性的难题,需要多维度的协同才能发现高隐蔽攻击。其中,高仿真、高交互的专用工业入侵诱捕系统(蜜罐/蜜网)是在工控企业发现未知攻击的一种最有效工具。然而当前只有少量工业互联网企业内部署工控蜜罐,而且其对蜜罐数据深入分析发现攻击的能力也急需加强。同时,应加强企业内部、行业、全国甚至全球工控安全态势的的感知和分析能力,通过在全球互联网上大量部署多类型的蜜罐系统,有助于主动监测和被动诱捕相结合地发现网络攻击活动情况和未知攻击样本特征。第三,《指导意见》要求对重点行业和领域要高度重视重点布局,发电行业、电网系统、军工制造企业、轨道交通、三峡水利等是工业互联网安全防护的重中之重,需要多部门相互协助,进行针对性的技术攻关,具备发现高等级网络攻击的能力,提出多种深度安全防护的体系化方案;第四,针对多个重要工业互联网行业,分别构建特定的工业互联网攻防演练靶场和仿真测试平台,为工控漏洞挖掘、安全威胁感知、网络攻防对抗与安全防护等关键技术研究提供符合真实现场实际的基础科研平台。同时,加强工业互联网和网络安全复合型高端人才的培养,建立一批工业互联网安全重点实验室,在研究生学科建设中增加工业联网安全方向,加大工业互联网人才的培养力度。第五,构建工业互联网安全资源库,如工业协议库、安全漏洞库、恶意代码病毒库和安全威胁信息库等,以及安全应急处置、安全事件现场取证等工具集。由于工业互联网行业众多,控制协议、设备类型和网络形态差异很大,不同行业在考虑工业互联网通用需求情况下要构建本行业专用安全资源库和安全工具集,并在行业内培训和推广应用的同时,注意安全资源库自身的安全和防泄漏问题。(作者孙利民博士系中国科学院信息工程研究所研究员,博士生导师,物联网安全北京市重点实验室主任)

 

(责编:赵春晓、吕骞)

杏彩网页版