以测促用 从工控本质看工业互联网安全
国务院印发的《关于深化“互联网+先进制造业”发展工业互联网的指导意见》指出,工业互联网通过系统构建网络、平台、安全三大功能体系,打造人、机、物全面互联的新型网络基础设施,形成智能化发展的新兴业态和应用模式,是推进制造强国和网络强国建设的重要基础,是全面建成小康社会和建设社会主义现代化强国的有力支撑。
近年来,两化深度融合催生互联网在工业控制系统中的应用,打破了传统工业控制系统相对封闭可信的环境,将互联网上的传统安全威胁渗透进了工业领域,使得网络型攻击可以直达生产现场,造成生产中断甚至危及人员生命。针对工业控制系统的各种安全事件日益增多。例如,乌克兰氯气站被攻击、委内瑞拉全国性断电等安全事件,目前通过网络攻击,“勒索病毒”可以直接利用被控制的控制器进行勒索,在工厂侧,被“锁屏勒索”的安全事件也屡见不鲜。
近日,工业和信息化部等十部委共同印发的《加强工业互联网安全工作的指导意见》为工业互联网安全能力建设提出了有效的发展思路,遵循其任务内容和指导思想,中国软件评测中心结合自身测评服务实践,不断强化能力建设,为我国工业互联网安全进行保障。
从工控本质看工业互联网安全挑战
工业控制系统的本质目标是控制,互联网的核心目标是交换。相较于传统互联网采用平等关系的点对点传输模式,工业互联网多采用基于主从关系的非对等网络。工业互联网面临的安全挑战需从工业控制系统的安全防护能力的视角来看。从工业控制系统设计思路上看,工业控制系统的传统设计都是使用专用的相对封闭可信的通信线路。但随着工业控制系统向互联网的转移,与企业其他业务应用程序的整合,也越来越容易遭遇来自互联网的攻击,暴露了许多先天缺陷。比如基于离线系统技术要求的设计思路,没有考虑规划设计安全防护机制;比如由于控制器的弱计算力,只设计了对于弱计算力的防护机制。从工业控制系统运维来看,很多企业出于工业控制系统是封闭的考虑,开放了远程调试功能,同时没有考虑远程调试的访问控制,很多攻击是利用了远程调试的访问控制漏洞实现渗透。从工业控制系统通信协议看,绝大多数的工业控制系统通信协议,设计之初都未考虑机密性问题,基本采用明文传输,且国内尚未建立自有的、安全的工业互联网通信协议、数据交换协议。
当前,面临严峻的工业互联网安全挑战,很多工业控制系统查漏补缺存在难度,是长久战。明确责任,建立规范安全规程、操作准则和安全管理体系,加强意识宣贯和人才培育,逐步完善工业互联网安全体系,显得尤为重要。
从工业互联网安全指导意见看能力提升举措
为全面落实《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》(以下简称《指导意见》)部署要求,加快构建工业互联网安全保障体系,提升工业互联网安全保障能力,促进工业互联网高质量发展,推动现代化经济体系建设,护航制造强国和网络强国战略实施,工业和信息化部会同有关部门起草发布了《关于加强工业互联网安全工作的指导意见》。
《指导意见》指出了企业、监管部门和专业机构的能力建设方向。在企业侧,针对工业设备、工业网络、工业互联网平台和工业APP四方面指导工业企业强化防护能力。强化工业设备的安全接入和防护,提升设备和控制系统的本质安全;强化工业互联网安全,提升企业内外网的安全防护能力;强化平台安全,针对边缘层、IaaS层、工业PaaS层、工业SaaS层分层部署安全防护措施;强化工业APP安全,建立健全工业APP应用前安全检测机制,强化应用过程中用户信息和数据安全保护。在监管部门侧,建设国家、省、企业三级协同的工业互联网安全技术保障平台,强化地方、企业与国家平台之间的系统对接、数据共享、业务协作,打造整体态势感知、信息共享和应急协同能力。在专业机构侧,指导第三方专业机构建设工业互联网企业持续开展安全能力评测评估服务能力。鼓励建设检测评估、安全监测、攻防测试、应急响应等公共服务能力,面向机械制造、电子信息、汽车、石油化工等行业领域提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。
返回顶部