工業(yè)互聯(lián)網(wǎng)安全防護(hù)需深入至核心元器件
基于信息技術(shù)與工業(yè)技術(shù)深度融合的工業(yè)互聯(lián)網(wǎng)���,正在改變現(xiàn)代工業(yè)的設(shè)計(jì)��、生產(chǎn)和應(yīng)用模式�,以及我們的生活方式,已上升為我國(guó)建設(shè)制造強(qiáng)國(guó)的國(guó)家戰(zhàn)略�����。目前網(wǎng)絡(luò)空間的對(duì)抗已演變成大國(guó)間對(duì)抗的首選戰(zhàn)場(chǎng)���,工業(yè)互聯(lián)網(wǎng)廣泛涉及到能源�����、智能制造����、交通、電子與通信等眾多重要行業(yè)或領(lǐng)域�����,其安全關(guān)乎國(guó)計(jì)民生���、公共利益和國(guó)家安全�����。震網(wǎng)病毒�����、烏克蘭和委內(nèi)瑞拉電網(wǎng)事件等說(shuō)明工業(yè)互聯(lián)網(wǎng)已經(jīng)成為國(guó)家間對(duì)抗的重要目標(biāo)�,工業(yè)互聯(lián)網(wǎng)安全形勢(shì)不容樂(lè)觀��。工信部等十部門(mén)于2019年8月28日印發(fā)《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)》(簡(jiǎn)稱(chēng)《指導(dǎo)意見(jiàn)》)是非常必要、非常及時(shí)的�,為我國(guó)工業(yè)互聯(lián)網(wǎng)安全指明了階段目標(biāo)和實(shí)施策略。
工業(yè)互聯(lián)網(wǎng)安全涉及到諸多行業(yè)和領(lǐng)域��,與數(shù)千家工業(yè)互聯(lián)網(wǎng)企業(yè)����、管理機(jī)構(gòu)、用戶單位緊密相關(guān)��?���!吨笇?dǎo)意見(jiàn)》的落地是一個(gè)大的系統(tǒng)工程,如何結(jié)合我國(guó)具體情況與國(guó)際形勢(shì)進(jìn)一步落實(shí)《指導(dǎo)意見(jiàn)》�,值得我們每一個(gè)工業(yè)互聯(lián)網(wǎng)安全從業(yè)者深入思考和探討。
我國(guó)工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀令人堪憂����。第一����,我國(guó)基礎(chǔ)設(shè)施和高端制造企業(yè)中存在大量的國(guó)外工業(yè)設(shè)備,這些工業(yè)系統(tǒng)在相當(dāng)長(zhǎng)的時(shí)間內(nèi)還會(huì)繼續(xù)使用��;同時(shí),由于技術(shù)水平和制造能力的限制�,國(guó)內(nèi)高端數(shù)控機(jī)床、高端發(fā)動(dòng)機(jī)����、發(fā)電控制系統(tǒng),以及高端PLC器件等工控設(shè)備依賴(lài)國(guó)外發(fā)達(dá)國(guó)家����,這些核心元器件和設(shè)備的內(nèi)部機(jī)理和通信協(xié)議往往不被我們掌握,以及自身存在設(shè)計(jì)漏洞和被植入后門(mén)的問(wèn)題����,造成重要工業(yè)資產(chǎn)和裝備制造信息可能被國(guó)外非法收集。在國(guó)際開(kāi)發(fā)�����、合作的大環(huán)境下����,如何保證現(xiàn)有進(jìn)口工控設(shè)備的安全成為我國(guó)工業(yè)互聯(lián)網(wǎng)安全必須面對(duì)的重要核心問(wèn)題之一。
第二��,我國(guó)的工業(yè)技術(shù)和安全技術(shù)與國(guó)際最發(fā)達(dá)國(guó)家存在一定的差距�����,工業(yè)互聯(lián)網(wǎng)設(shè)備及其安全產(chǎn)品的研發(fā)能力亟待提高。工業(yè)互聯(lián)網(wǎng)建設(shè)與安全保障需要大量的工業(yè)互聯(lián)網(wǎng)安全專(zhuān)業(yè)人才���,然而我國(guó)目前這方面的安全人才缺口很大����,工業(yè)互聯(lián)網(wǎng)安全涉及到工業(yè)控制與自動(dòng)化�、電子信息通信、網(wǎng)絡(luò)安全等多個(gè)學(xué)科��,這種多學(xué)科交叉對(duì)工業(yè)互聯(lián)網(wǎng)安全人才的培養(yǎng)增加了難度�����。
第三����,工業(yè)互聯(lián)網(wǎng)涉及不同行業(yè)的重要程度和安全需求不同,其安全防護(hù)水平和優(yōu)先級(jí)也要區(qū)別對(duì)待��。例如軍工高端制造和能源電力(發(fā)電與電網(wǎng))等行業(yè)涉及到國(guó)家安全�����,也是其它工業(yè)互聯(lián)網(wǎng)行業(yè)的基礎(chǔ)和支撐�����。因此���,此類(lèi)行業(yè)的安全應(yīng)成為首要考慮和關(guān)注的重點(diǎn)����。
如何使工業(yè)互聯(lián)網(wǎng)安全的指導(dǎo)意見(jiàn)發(fā)揮作用����,我們作為安全科研機(jī)構(gòu)結(jié)合自己的基礎(chǔ)積累和研發(fā)經(jīng)驗(yàn),提出如下建議:
第一�,遵照《指導(dǎo)意見(jiàn)》中提出的工業(yè)互聯(lián)網(wǎng)安全要有頂層設(shè)計(jì)的指導(dǎo)原則,結(jié)合我國(guó)工業(yè)互聯(lián)網(wǎng)的現(xiàn)狀和技術(shù)水平����,“從外到內(nèi)、從表到里”地分階段實(shí)施�����。受限于同時(shí)掌握工控系統(tǒng)和安全知識(shí)的研發(fā)人員很少����,現(xiàn)有工控互聯(lián)網(wǎng)安全產(chǎn)品基本處于初始階段����,目前工業(yè)互聯(lián)網(wǎng)的安全方案主要是外部威脅圍堵式或網(wǎng)絡(luò)流表面式的防護(hù)���,很少深入到工業(yè)互聯(lián)網(wǎng)的核心部件���,這應(yīng)逐漸深入到PLC、工控組態(tài)軟件和數(shù)控機(jī)床等核心元器件的安全��,把工控系統(tǒng)的功能安全與信息安全結(jié)合起來(lái)��,實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)的內(nèi)置安全���。
第二����,工業(yè)互聯(lián)網(wǎng)安全的首要任務(wù)是建立安全檢查和風(fēng)險(xiǎn)識(shí)別的能力��。開(kāi)放���、合作����、博弈����、對(duì)抗的國(guó)際環(huán)境下,針對(duì)現(xiàn)階段我國(guó)關(guān)鍵基礎(chǔ)設(shè)施,特別是采用國(guó)外工控設(shè)備的重要設(shè)施和高端制造企業(yè)�,如何檢測(cè)是否已被攻擊、發(fā)現(xiàn)現(xiàn)有系統(tǒng)存在安全隱患�,是各個(gè)工業(yè)互聯(lián)網(wǎng)企業(yè)首先要解決心頭之患的問(wèn)題。對(duì)重要基礎(chǔ)設(shè)施的攻擊往往是國(guó)家級(jí)的高隱蔽行為�����,如何發(fā)現(xiàn)高隱蔽攻擊或未知攻擊是一個(gè)有挑戰(zhàn)性的難題����,需要多維度的協(xié)同才能發(fā)現(xiàn)高隱蔽攻擊。其中�����,高仿真���、高交互的專(zhuān)用工業(yè)入侵誘捕系統(tǒng)(蜜罐/蜜網(wǎng))是在工控企業(yè)發(fā)現(xiàn)未知攻擊的一種最有效工具���。然而當(dāng)前只有少量工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)部署工控蜜罐���,而且其對(duì)蜜罐數(shù)據(jù)深入分析發(fā)現(xiàn)攻擊的能力也急需加強(qiáng)。同時(shí)���,應(yīng)加強(qiáng)企業(yè)內(nèi)部�、行業(yè)�、全國(guó)甚至全球工控安全態(tài)勢(shì)的的感知和分析能力,通過(guò)在全球互聯(lián)網(wǎng)上大量部署多類(lèi)型的蜜罐系統(tǒng)�����,有助于主動(dòng)監(jiān)測(cè)和被動(dòng)誘捕相結(jié)合地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊活動(dòng)情況和未知攻擊樣本特征��。
第三�����,《指導(dǎo)意見(jiàn)》要求對(duì)重點(diǎn)行業(yè)和領(lǐng)域要高度重視重點(diǎn)布局�����,發(fā)電行業(yè)、電網(wǎng)系統(tǒng)�、軍工制造企業(yè)、軌道交通����、三峽水利等是工業(yè)互聯(lián)網(wǎng)安全防護(hù)的重中之重,需要多部門(mén)相互協(xié)助���,進(jìn)行針對(duì)性的技術(shù)攻關(guān),具備發(fā)現(xiàn)高等級(jí)網(wǎng)絡(luò)攻擊的能力��,提出多種深度安全防護(hù)的體系化方案����。
第四,針對(duì)多個(gè)重要工業(yè)互聯(lián)網(wǎng)行業(yè)�����,分別構(gòu)建特定的工業(yè)互聯(lián)網(wǎng)攻防演練靶場(chǎng)和仿真測(cè)試平臺(tái)�����,為工控漏洞挖掘��、安全威脅感知、網(wǎng)絡(luò)攻防對(duì)抗與安全防護(hù)等關(guān)鍵技術(shù)研究提供符合真實(shí)現(xiàn)場(chǎng)實(shí)際的基礎(chǔ)科研平臺(tái)�。同時(shí),加強(qiáng)工業(yè)互聯(lián)網(wǎng)和網(wǎng)絡(luò)安全復(fù)合型高端人才的培養(yǎng)���,建立一批工業(yè)互聯(lián)網(wǎng)安全重點(diǎn)實(shí)驗(yàn)室�����,在研究生學(xué)科建設(shè)中增加工業(yè)聯(lián)網(wǎng)安全方向��,加大工業(yè)互聯(lián)網(wǎng)人才的培養(yǎng)力度���。
第五,構(gòu)建工業(yè)互聯(lián)網(wǎng)安全資源庫(kù)���,如工業(yè)協(xié)議庫(kù)���、安全漏洞庫(kù)、惡意代碼病毒庫(kù)和安全威脅信息庫(kù)等���,以及安全應(yīng)急處置����、安全事件現(xiàn)場(chǎng)取證等工具集。由于工業(yè)互聯(lián)網(wǎng)行業(yè)眾多�����,控制協(xié)議��、設(shè)備類(lèi)型和網(wǎng)絡(luò)形態(tài)差異很大��,不同行業(yè)在考慮工業(yè)互聯(lián)網(wǎng)通用需求情況下要構(gòu)建本行業(yè)專(zhuān)用安全資源庫(kù)和安全工具集�����,并在行業(yè)內(nèi)培訓(xùn)和推廣應(yīng)用的同時(shí)��,注意安全資源庫(kù)自身的安全和防泄漏問(wèn)題����。(作者孫利民博士系中國(guó)科學(xué)院信息工程研究所研究員�,博士生導(dǎo)師,物聯(lián)網(wǎng)安全北京市重點(diǎn)實(shí)驗(yàn)室主任����,中國(guó)工業(yè)互聯(lián)網(wǎng)研究院特邀專(zhuān)家)
2020/09/18
瀏覽次數(shù):
浙公網(wǎng)安備 33038202004269號(hào)