智慧安全3.0引领,构建工业互联网安全保障体系
2021-08-18
一、背景
工业互联网是连接工业全系统、全产业链、全价值链,支撑工业智能化发展的关键基础设施,是新一代信息技术与工业生产深度融合所形成的新兴业态和应用模式,是互联网从消费领域向生产领域、从虚拟经济向实体经济拓展的核心载体。我国工业互联网处于蓬勃发展阶段,先后发布《工业互联网发展行动计划(2018-2020年)》《工业互联网平台建设及推广指南》《工业互联网创新发展行动计划(2021-2023年)》等政策文件,全面部署工业互联网发展。
二、工业互联网安全建设刻不容缓
在新工业革命的大背景下,随着工业互联网建设进程的不断深化,工业互联网平台的数量持续增加,联网工业企业规模迅速扩大,工业互联网的组织模式、生产模式和服务模式正在向跨设备、跨系统、跨厂区、跨地区的互联互通转变。工业互联网脆弱的安全状况以及所面临日益严重的攻击威胁,已经引起了国家的高度重视。
1、工业互联网成为国家级网络空间安全对抗新阵地
网络空间已成为国际战略博弈的新领域,近年来国家级网络空间安全对抗不断升级,网络战风险进一步加大。网络攻击对象也从公共互联网向能源电力、制造业等工业互联网领域转移,网络安全风险威胁进一步向工业企业内网、工业系统和设备、工业互联网平台及应用等更多对象和更大范围延伸。从最早的针对伊朗核设施的“震网病毒”攻击事件,到委内瑞拉数次发生大规模停电事件,我们可以看出工业互联网已经成为国家间实施网络安全威慑、制衡他国经济发展的新重点,工业互联网建设面对的网络空间变得更加复杂,网络安全问题异常严峻。
2、工业互联网的发展增加了工业生产过程遭受网络攻击的可能性
新一代信息技术与工业生产的深度融合是工业互联网发展的必由之路,不仅强化了物理世界与信息世界的联系,使我们享受信息化技术带来的工业高速发展红利,但同时也使工业互联网发展面临着严峻的网络安全挑战。最初封闭的工业控制系统网络边界在工业互联网发展进程中不可避免地被打破,攻击者能够从管理端、生产端、消费端等多个层面发起网络攻击,将信息世界的网络安全威胁引入到物理世界。工业生产中的网络安全事件虽然形式各异,但所带来的危害都不仅仅停留在信息世界的“软攻击”,而是对物理世界的“硬摧毁”,加剧了工业互联网企业遭受网络攻击造成的后果,轻则导致工业生产停摆带来经济损失,重则导致生产安全事故带来人员伤亡,甚至危害国家安全、动摇执政根基。
3、工业互联网安全防护意识和能力不足
工业互联网企业是落实网络安全责任的主体,目前还存在管理制度机制不健全或执行落实不到位,相关从业人员网络安全意识不足的问题。同时,多数企业缺乏针对工业互联网的有效防护措施,整体防护水平相对落后,仍存在工业主机安全防护不到位、工业互联网网络边界防护措施不足、工业控制系统未建立安全配置、未使用身份认证、部分无效服务默认开启等问题。部分企业的工业控制设备暴露于互联网,面临被远程入侵等安全风险。
三、基于智慧安全3.0的工业互联网安全防护体系
智慧安全3.0是以体系化建设为指引,构建“全场景、可信任、实战化”的安全运营能力,实现“全面防护,智能分析,自动响应”的防护效果。
图 1 工业互联网安全视角下的“智慧安全3.0”
面向联网工业企业、工业互联网平台企业以及标识解析企业,秉承智慧安全3.0的“全场景、可信任、实战化”核心理念,打造工业互联网安全防护体系,对终端用户、产业供应链、重要门户网站、核心网络、重要信息系统与工业控制系统的运行等进行全覆盖、全天候、全方位综合安全防护,利用大数据技术通过安全数据采集、汇聚、威胁和事件处理分析,加强风险研判和预警,以网络攻防对抗为出发点,按需调度网络安全能力,提高应对网络安全突发事件的快速反应能力。
3.1 全场景安全防护
工业互联网全场景安全防护要满足全领域、全要素、全类型三个方面的需求,为工业控制网络、企业经营管理网络以及互联网搭建起信息交互的桥梁。
全领域方面,工业互联网涵盖了信息基础设施、融合基础设施以及创新基础设施。其中,企业经营管理网络和互联网基于信息基础设施并融合了云计算、人工智能、大数据等新一代创新基础设施;工业控制网络已经将通用的操作系统、数据库等IT信息技术与OT操作技术实现了广泛融合与应用,形成了IT与OT紧密结合的融合基础设施领域。
全要素方面,工业互联网带来了控制网络边界的延伸与扩展,将终端用户、内部员工、上下游产业链等各类要素融入工业生产,增加了参与工业生产的人员链、业务链、供应链的对象种类与数量。
全类型方面,工业互联网带来了工业控制网络与企业经营管理网络以及互联网的互联互通,导致工业生产需要面对恶意攻击、内部威胁和无意识滥用等全类型的网络安全风险。
工业互联网的全场景安全防护得益于工业生产环节相对的稳定性与可预见性,我们能够根据信息系统和工业控制系统参与生产作业的流程与范围,按照生产制造边界、价值传递边界进行划分,为工业互联网构筑起针对全场景的安全防护能力,以便能在发生网络安全威胁告警时进行有针对性安全防控,避免威胁范围扩大。
3.2 可信任实现
针对参与工业互联网业务流程的各类人员,应用零信任技术,基于数字证书、身份标识、生物特征、动态口令等多种手段,在区域边界设置满足相应安全要求的技术隔离与细粒度的访问控制措施,有效解决在工业互联网各个环节每一位参与者“是谁”和“能干什么”的人员可信任及行为可信任问题,并形成动态化威胁识别能力,实现对网络边界行为识别、确权、报警以及安全阻断。
工业互联网设备接入可信任方面,面对海量工业智能设备的泛在接入,工业智能设备在进行网络连接时要采取准入机制,只有经过安全验证的可信任设备才允许接入工业互联网,同时能够主动识别未知接入设备所使用的端口、协议、服务等,研判安全风险并采取报警、隔离与阻断措施,避免未经检验授权的设备将恶意代码引入工业互联网。
供应链可信任方面,工业互联网中应用的经营管理系统、工业控制系统、工业云平台等通过采用安全可信、自主可控的处理器、存储、内存、操作系统、应用软件,应用密码技术、安全算法、安全协议等措施保障自身的安全可信任。当条件受限时可以采用安全补偿措施,通过应用层安全加固使上述各类系统和平台具有一定的网络安全防护能力。
数据流转可信任方面,工业互联网承载了企业的生产经营数据,涉及知识产权、商业秘密,甚至有关国家经济与国防安全,具有高度的敏感性,发生数据安全事件会对经济社会发展、国家安全造成直接或间接的损失和影响。为保障数据能够安全、自由地在工业生产各环节中流动,发挥数据的最大价值,针对工业生产数据应采取标记用途、数据加密、访问控制、数据脱敏等多种防护措施,覆盖包括数据采集、传输、存储、处理等在内的全生命周期的各个环节,实现数据“拿不到、看不懂、改不了、赖不掉”。
3.3 网络安全实战化
从攻防实战化视角保障工业互联网网络安全,是推进互联网与工业生产深度融合的基础。
安全能力按需调度方面,针对工业互联网业务实时性、连续性特点,为工业互联网平台提供云化安全能力服务,满足平台侧工业应用安全、数据安全的弹性可扩展需求。工业控制系统网络安全开展边界防护、状态监测与审计、态势感知、威胁情报等安全能力建设,满足业务安全与网络安全协同的合规性需求。
高效攻防方面,基于网络安全对抗即时有效的要求,通过检测工业网络流量获取通信行为信息,借助深度包过滤、终端安全检测、日志审计等掌握工业互联网安全状态,借助外部威胁情报并通过聚合、关联分析形成全局安全态势与威胁预警。
四、基于智慧安全3.0的工业互联网安全解决方案
工业互联网涉及位于互联网的工业云平台、位于管理信息网络的企业资源层,以及位于工业控制网络的制造执行层、过程控制层、现场控制层和现场设备层。互联网工业云平台实现工业行业知识和应用的智能集成,支撑工业生产资源泛在连接、弹性供给、高效配置,打通数据和应用的烟囱式孤岛,提高工作效率,保障知识传递的真实性。工业控制系统实现企业生产业务的自动化运行,管理信息系统借助跨网数据交换实现企业生产经营数据与工业现场生产数据的交换共享,从而对生产作业活动进行智能调配。通信网络为两者之间的数据交换提供支撑。
图2 基于智慧安全3.0的工业互联网网络安全防护技术体系拓扑图
4.1 多场景边界安全防护
在区域边界部署防火墙设备,对流经区域边界的数据包依据相应的访问控制策略进行控制,阻断非授权访问,并对违反策略的操作行为进行记录并形成日志,定期对日志进行分析处理。
工业网闸实现控制网络与管理信息网络从物理层面和逻辑层面断开直接连接,杜绝网络威胁通过办公网络入侵控制系统的可能。
4.2 工业互联网安全可信任
在操作系统层面对工业互联网设备进行安全加固,更新厂商发布的核心安全补丁,并在更新补丁之前在测试系统中进行测试,制订详细的回退计划。在进行远程运维管理时对通过网络传输的认证信息、数据报文等采取加密、散列等措施进行安全防护,避免敏感信息被窃听、截取或篡改。
采用加密认证装置对接入控制网络的工业互联网设备进行身份认证,并基于密码技术对传输数据进行机密性、完整性保护。
在网络交换机旁路部署入侵检测系统,对网络流量的镜像数据进行基于协议与行为的深度检测,及时发现应用端口传输的恶意代码,避免服务器遭受应用层攻击。
利用数据库加密系统对数据进行传输加密以及存储加密,实现数据库安全策略管理、访问监测、日志审计等功能。利用数据脱敏设备、数据分级分类模块、数据加密和加密资源检索模块、敏感数据审计模块,实现敏感数据发现、系统实时脱敏、脱敏风险评估、数据脱敏结果验证、数据自动分类分级、数据加密和加密资源检索、数据使用合规性监管等数据安全性防护手段。利用数据审计系统实现对数据库增、删、改、查等操作的审计,实时记录每个数据的操作过程。
4.3 实战化安全态势管控
部署网络安全监测预警平台,实现对工业控制网络和管理信息网络安全态势的全面掌控。通过采集网络流量和安全设备、网络设备的日志信息、配置信息进行集中分析和处理,结合绿盟威胁情报分析和共享平台提供的威胁情报数据,及时洞悉工业互联网资产面临的安全威胁,了解最新的威胁动态,实施积极主动的威胁防御和快速响应策略,并准确地进行威胁追踪和攻击溯源,实现网络综合态势管理、攻击链和业务行为基线的风险预警管理等,对网络攻击等事件以及恶意软件传播等攻击行为产生报警,统筹管理网络安全设备,建立高效防控体系。
图3 工业互联网安全态势管控架构图
采用“软件定义安全 SDS” 架构,将虚拟化安全设备和传统硬件安全设备进行资源池化的整合,形成云安全集中管理平台。通过该平台实现安全设备服务化和管理的集中化,以及安全能力的“按需调度、弹性扩展”,加强针对性安全能力适配客户的合规性需求。工业互联网平台安全部署如下图所示。
图4 工业互联网平台安全部署图
五、结语
工业互联网带来工业生产网络边界的融合以及数据的融合,传统的相对静态、被动和孤立的攻击检测和防御体系已经无法有效应对当前以规模化、自动化、0day高级持续性攻击为特征的各种安全威胁,必须采取积极主动的防御策略,构建由边界管控、权限控制、威胁监控、态势感知、快速响应和全面追溯反制组成的“智慧安全”工业互联网防御体系。在借助信息化帮助工业企业快速应对市场需求、提升效率的同时,有效地保障工业互联网网络安全。