余涛
海尔数字科技(上海)有限公司
摘要:在云计算、大数据、人工智能、物联网、5G、边缘计算等新兴IT技术的推动下,我国工业互联网在近几年获得了快速发展,工业网络边界不断扩大、模糊使得工业互联网面临的安全问题日益突出[1]。工业互联网安全是我国工业互联网产业高质量发展的重要前提和保障,是建设有影响力的工业互联网国家和生产力战略的关键因素。为了探索工业互联网安全问题的解决方案,本文研究分析了工业互联网安全技术的发展趋势,并指出了几种极具发展前景的工业互联网安全技术。
关键词:工业互联网安全;零信任;安全策略编排;密码算法;拟态防御
前言
工业互联网是工业企业数字化转型过程中,工业体系和互联网体系深度融合的产物[2],是企业数字化转型的关键基础。工业互联网打破了传统工业环境用物理隔离构筑的安全防护状态,网络安全风险已经逐步蔓延到工控终端、工业平台、工控网络、工业应用等诸多环节和场景[1]。云计算、边缘计算、大数据、人工智能、5G、物联网、智能制造等技术的创新发展对工业互联网安全提出了新的挑战。
1工业互联网安全技术分析
1.1工业互联网安全技术
随着物联网、云计算、大数据、边缘计算、人工智能、5G等信息技术(IT)与工业控制技术(OT)不断融合[3],工业信息系统从封闭系统向开放系统发展,工业网络安全威胁已经从边界蔓延到内部工业环境。内部办公网络、运维管理网络、工业控制网络的网络化程度不断提高,内外部网络交互越来越多,给工业企业网络安全带来重大威胁。另一方面,工业控制系统供应商往往因为侧重于最大程度实现系统功能而忽视系统安全性,导致工业控制系统出厂即存在安全性考虑不足的缺陷。
工业互联网安全技术体系和管理体系建设,需要从设备安全、控制安全、网络安全、平台安全和数据安全角度进行综合考虑[4]。工业互联网安全架构[5]如图1所示。
.png)
设备安全指的是工业生产环境中所有机器、设备的安全,包括相关设备、集成操作系统和相关软件的安全。
控制安全是指工业控制系统安全,如控制装置、执行机构、信令通道、控制协议等安全。
网络安全是指企业办公网、应用服务网、工业生产网等企业内部网络的健康、稳定、安全运行。
平台安全是指包含企业办公系统和工业应用APP在内的工业互联网平台的整体安全[6]。
数据安全是指工业互联网平台及其相关的工业应用、控制系统、工控设备等在生产管理中产生的业务数据、控制命令、操作日志、状态记录等数据的安全。
1.2工业互联网主要的防护技术分类
资产发现技术。资产发现是资产防护的前提和基础,通过资产发现能够明确防护对象。资产发现主要通过IP、端口扫描等扫描技术发现网络中所有硬件和软件资产,并对资产进行分类、打标签。
漏洞防护技术。工业控制器、工控终端等设备在操作系统、应用软件上存在漏洞风险,这类风险可以通过主机漏洞扫描、补丁加固等技术手段进行防护。
端口管控技术:接口类安全风险主要是指使用串口、端口、USB口等接口连接移动介质或与外部通信时引入木马、病毒等外部威胁,这类风险可以通过端口禁用、移动介质管控等技术手段进行防护。
边界隔离技术。边界隔离主要由访问控制技术实现,具体产品有防火墙(安全网关)、入侵防御、VPN等,借助边界隔离技术及相关产品可以实现基础的边界安全防护。
态势感知技术。通过收集现网的系统日志、网络流量、系统告警等安全数据进行综合关联分析,实现对整个工控网络环境的安全趋势进行智能感知、实时预警。
2工业互联网安全技术发展趋势
2.1安全架构从边界安全向零信任安全发展
设备联网、应用上云、数据交换共享致使工业互联网的安全边界逐渐模糊、淡化甚至消失,传统的依靠边界隔离实现的工业系统安全已不再可靠[7]。基于用户身份、终端身份、网络环境构建持续信任评估和动态访问控制的零信任网络安全架构[8],已成为工业互联网安全的主流探索方向。该体系架构如下图所示:
.png)
2.2防护理念从被动防御向主动防御转变
传统的被动防御手段已经不足以处置新形势下的安全风险。新形势要求工业互联网安全防护体系必须能够提供以主动监控、流量分析、主动感知为基础的风险告警、事件预警、自动化处置、溯源反制安全能力,实现从被动防御向主动防御的转变[9]。
2.3安全技术从传统分析向智能感知发展
工业互联网安全技术正在与云计算、大数据分析、人工智能新兴技术结合[10],提高安全检测和安全分析能力,提升威胁预警、态势感知的精度和安全事件自动化处置水平[11]。依靠特征检测、状态识别的传统安全技术,在物联网、5G、边缘计算、大数据等场景下已经不再能够有效分析海量安全数据和精准识别安全风险。
2.4安全能力从产品化向SaaS化转变
传统的安全产品采购式的安全能力升级方式已经不能够快速满足新形势下的安全防御需求。安全资源虚拟化、服务化(SaaS)为安全能力的快速升级、迭代提供了新的思路和解决方案。
3工业互联网安全技术难点及挑战
3.1工业互联网安全技术难点
我国工业互联网以及工业互联网安全技术的均处于初步发展阶段[12],我国工业互联网安全技术仍然面临诸多技术难点。
?实现工控设备的芯片级自主可控和国密加密
我国工业系统的关键技术、核心部件、工控设备、加密算法等都依赖国外,存在注入后门、恶意代码等安全隐患。工控设备需要在国产化的进程中逐步实现自主可控,实现芯片级的设备安全和国密算法加密。
?构建基于账号、网络、业务的身份持续评估和动态可信
构建基于可信身份的零信任安全体系,需要在现有安全体系的基础上对既有系统、应用等资源进行整合、改造,实现对人员、设备的基于场景的动态访问控制、按需权限分配、持续信任评估、自适应风险识别。
?面向工控专有协议的深度数据包解析
传统安全产品不能深度解析Modbus、OPC等工控协议[13]。新型安全技术在对各种主流工控协议数据包进行深度解析和风险信息检测的同时需要满足生产系统的通信效率和工作性能等要求。
3.2工业互联网安全技术挑战
防御手段升级滞后:传统的安全产品采购方式的安全能力升级、迭代方式周期长、扩展性差、能力应用不均衡,在面对攻击手段、级别快速升级的新型攻击时显得捉襟见肘。
身份可信难以保证:随着工业朝着用户深度定制化方向的发展,以及越来越多的系统人员可以进行工业控制系统的配置修改、系统维护,如何识别各种场景下保障资源访问的可信和受控成为又一挑战。
工控环境漏洞多:工控环境中,工控设备种类繁多、数量庞大且普遍无法及时升级系统、修复漏洞、加固补丁,且大多采用私有工业协议且标准不统一,协议本身漏洞难以及时发现和加固。
4工业互联网安全关键技术
针对上述技术难点和挑战,当前工业互联网安全需要从国产密码算法、安全策略编排、拟态防御等安全防护关键技术进行深入研究和应用。
4.1国产密码算法技术
针对工业互联网环境下的身份可信认证、敏感数据保护等需求,需要研究基于国产密码算法的加解密、数字签名、数据脱敏等技术[12],为工业互联网平台的数据加密、身份认证提供安全可靠的算法体系保障。
4.2安全策略编排技术
通过安全策略进行编排可以充分实现威胁检测、威胁阻断、访问控制、动态可信的高度自动化。安全策略编排的核心在于安全检测能力和防护能力之间的联动响应,即安全检测能力发现安全威胁后,要能够及时调度安全防护能力及时阻断相应威胁,相应地要能够对身份可信的访问者及时放行。
4.3拟态安全防御技术
拟态安全防御是一种通过冗余、异构的手段隐藏防护目标自身漏洞的主动安全防护技术。多个功能相同、技术异构的执行体对相同输入进行计算,然后对输出结果进行比较发现有无异常结果,从而感知系统有无被入侵、漏洞利用。
5对策建议
5.1 构建SaaS化全方位多角度安全能力体系
根据SaaS化思想将所有安全能力进行资源化、服务化封转、纳管,形成按需分配、弹性扩展的安全能力资源池,构建全面覆盖工业APP安全、工业云平台安全、终端安全、数据安全等工业安全需求的安全能力体系。
5.3构建基于身份的动态可信认证体系
运用身份识别与管理(IAM)、软件定义边界(SDP)及微隔离(MSG)等零信任技术,结合动态访问控制、最小权限、持续信任评估机制,构建基于身份的实时、动态可信认证体系,实现对人、设备、系统的全面、动态、智能的访问控制。
结语
新一代信息技术与工业互联网日益深度融合,工业互联网的安全性也日益受到挑战,提高工业互联网领域的安全技术能力已成为我国工业互联网高质量发展的先决条件和重要保障。本文在分析工业互联网安全的发展趋势及面临挑战的基础上,提出了若干有效的安全防护关键技术,如国产密码算法、安全策略编排与自动化响应、拟态安全防御等,为企业的工业互联网安全能力建设提供有价值的参考。
参考文献
[1] 张尼,刘廉如,田志宏,等. 工业互联网安全进展与趋势[J]. 广州大学学报(自然科学版), 2019, 18(3): 68-76.
[2] 李少波. 工业互联网:制造业数字化转型的关键支撑[J]. 当代贵州, 2019, 529(15): 80.
[3] 洪学海,蔡迪. 面向“互联网+”的OT与IT融合发展研究[J]. 中国工程科学, 2020, 22(4): 18-23.
[4] 国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见(选编)[J]. 中国计量, 2018, 267(2): 32-37.
[5] 刘晓曼. 浅谈工业互联网安全框架与未来发展趋势[J]. 信息通信技术, 2019, 13(5): 23-27, 39.
[6] 王冲华,李俊,陈雪鸿. 工业互联网平台安全防护体系研究[J]. 信息网络安全, 2019, 225(9): 6-10.
[7] 刘松. 新基建背景下的工业互联网[J]. 中国经贸导刊, 2020, 975(14): 38-41.
[8] 朱莉蓉. 云环境下融合动态信任管理的认证服务系统研究[D]. 广西大学, 2015.
[9] 康双勇,胡万里. 工业互联网安全技术研究及我国工业互联网安全产业发展情况分析[J]. 保密科学技术, 2020, 116(5): 27-31.
[10] 余晓晖,杨希,蒋昕昊. 工业互联网的发展实践与未来方向[J]. 新经济导刊, 2019, 273(2): 34-38.
[11] 李正发. 人工智能技术在网络安全中的应用探析[J]. 信息技术与信息化, 2020, 241(4): 185-187.
[12] 郭启光,王薇. 我国工业互联网产业高质量发展研究[J]. 理论研究, 2020, 361(5): 68-73.
[13] 高明,张玲. 关于工业控制网络的安全问题分析及解决思路[J]. 数字通信世界, 2018, 165(9): 71-72.