Q1:什麼是工業網際網路安全?
答:安全體系作為工業網際網路的三大體系之一,是工業網際網路的重要保障。工業網際網路安全可以從工業和網際網路兩個視角分析。從工業視角看,安全的重點是保護智能化生産的連續性、可靠性,關注智能裝備、工業控制裝置及系統的安全;從網際網路視角看,安全主要保障個性化定制、網絡化協同及服務化延伸等,以提供持續的服務能力,防止重要資料洩露。是以,從建構工業網際網路安全保障體系考慮,工業網際網路安全應包括五大重點,即裝置安全、網絡安全、控制安全、應用安全和資料安全。
Q2:工業網際網路安全有什麼特征?
答:工業網際網路安全有以下三大特征:
一是防護對象擴大,安全場景更豐富。傳統網際網路安全更多關注網絡設施、資訊系統軟/硬體及應用資料安全,工業網際網路安全擴充延伸至企業内部,包含裝置安全(工業智能裝備及産品)、控制安全(資料采集與監視控制系統、分布式控制系統等)、網絡安全(企業内、外網絡)、應用安全(平台應用、軟體及工業APP等)及資料安全(工業生産、平台承載業務及使用者個人資訊等資料)。
二是連接配接範圍更廣,威脅延伸至實體世界。在傳統網際網路安全中,攻擊對象為使用者終端、資訊服務系統、網站等。工業網際網路連通了工業現場與網際網路,使網絡攻擊可直達生産一線。
三是網絡安全和生産安全交織,安全事件危害更嚴重。傳統網際網路安全事件大多表現為利用病毒、木馬、拒絕服務等攻擊手段造成資訊洩露或篡改、服務中斷等,影響工作生活和社會活動。而工業網際網路一旦遭受攻擊,不僅影響工業生産運作,甚至會引發安全生産事故,給人民生命财産造成嚴重損失,若攻擊發生在能源、航空航天等重要領域,還将危害國家總體安全。
Q3:工業網際網路安全為何如此重要?
答:工業網際網路是連接配接工業全系統、全産業鍊、全價值鍊,支撐工業智能化發展的關鍵基礎設施,是網際網路從消費領域向生産領域、從虛拟經濟向實體經濟拓展的核心載體。
工業網際網路以平台為依托,連接配接海量裝置和系統,是工業資料采集、彙聚與分析的載體,是連接配接工業企業、裝置供應商、服務商、開發商及上下遊協作企業的樞紐,安全防線不容有失。一方面,遭受網絡攻擊不僅會造成單個企業利益受損,還将延伸至工業全系統、全産業鍊、全價值鍊,引發大規模實體裝置損壞、生産停滞,影響經濟社會的穩定運作;另一方面,工業生産、設計、工藝、經營管理等敏感資訊保護不當将損害企業核心利益、影響行業發展,重要工業資料洩露還将導緻國家利益受損。
國家高度重視工業網際網路安全保障體系建設,在國務院印發的《關于深化“網際網路+先進制造業”發展工業網際網路的指導意見》中,提出了建構網絡、平台、安全三大功能體系,明确了工業網際網路發展和安全的主攻方向和重大任務,強化了安全在工業網際網路發展中的地位。還提出了提升工業網際網路安全防護能力、建立資料安全保護體系、推動安全技術手段建設等安全保障要求。工業網際網路的安全防護要充分考慮新的工業屬性需求,同步推進産業發展和安全防護,将安全體系建設作為工業網際網路發展的重要組成部分。
2019年7月,十部門聯合印發《加強工業網際網路安全工作的指導意見》,從7個方面部署了17項主要任務:①推動工業網際網路安全責任落實;②建構工業網際網路安全管理體系;③提升企業工業網際網路安全防護水準;④強化工業網際網路資料安全保護能力;⑤建設國家工業網際網路安全技術手段;⑥加強工業網際網路安全公共服務能力;⑦推動工業網際網路安全科技創新與産業發展。同時還明确提出,到2020年年底,初步建立工業網際網路安全保障體系。
Q4:工業網際網路安全的目前安全環境如何?
答:工業網際網路還處在發展初期,安全管理水準和安全防護水準相對較弱,安全事件頻發,主要展現在以下幾方面。
(1)攻擊頻繁影響大、手段專業方法多
工業網際網路安全涉及工業控制、網際網路、資訊安全三個交叉領域,面臨傳統網絡安全和工業控制安全雙重挑戰。自從震網病毒被發現至今,針對工業控制系統進行破壞活動的網絡攻擊頻發。
針對工業控制系統的攻擊,攻擊者的主要目的是擷取商業情報、流程工藝,進行遠端控制或者惡意破壞。從攻擊者所使用的手法來看,攻擊手段已經呈現出多樣化的發展趨勢。
(2)工業控制系統廣暴露,安全漏洞多難補
工業控制系統在網際網路上的暴露問題是工業網際網路安全的一個基本問題。所謂“暴露”,是指我們可以通過網際網路直接對某些與工業控制系統相關的工業元件,如工業控制裝置、協定、軟體、系統等,進行遠端通路或查詢。造成工業控制系統暴露的主要原因之一是“商業網絡”與“工業網絡”的不斷融合。商業網絡與工業網絡的連通在拓展了工業控制系統發展空間的同時,也帶來了工業控制系統的網絡安全問題。
近年來,企業為了管理與控制的一體化,實作生産和管理的高效率、高效益,普遍推進生産執行系統,實作管理資訊網絡與控制網絡之間的資料交換,實作工業控制系統和管理資訊系統的內建。但是,如果未能做好必要的分隔管控工作,就會導緻原本封閉的工業控制系統,通過管理資訊系統與網際網路互通、互聯後,直接面臨網際網路側的各類網絡攻擊風險。
同時,工業網際網路系統,特别是底層的控制主機,由于系統老舊,常存在高危安全漏洞。漏洞在增多,且修複難度很大。通常情況下,修複過程必須保證不能中斷正常生産,同時還必須保證漏洞修複後不會因相容性問題影響正常生産。
(3)病毒木馬不敢殺,應對政策受局限
基于Windows作業系統的個人計算機被廣泛應用于工業網際網路系統,是以易遭受病毒困擾。全球範圍内,每年都會發生數次大規模的病毒爆發事件。
各種政策對于來自網際網路的威脅還缺乏與時俱進的技術思想。
其一,這些政策一般都屬于預置政策,然後防禦,是一種被動的方式,類似“守株待兔”,而現今安全防禦技術的主流思想是主動防禦。
其二,商業網絡與工業網絡被打通後,工業控制系統也将面臨海量商業網絡攻擊樣本的沖擊,而前述各種政策則沒有考慮到海量樣本帶來的安全大資料收集問題。
其三,即便有了海量樣本和安全大資料,這些政策中也沒有系統考慮樣本分析的問題。對于工業企業來說,一般沒有經費和人力去建構強大的分析能力系統。
其四,這些政策中也沒有考慮在多個工業企業之間建立安全資訊分享機制,無法形成協同防禦的能力。
最後,這些政策沒有系統地考慮未知威脅檢測的問題。
是以,工業網際網路實際上需要建立一種能夠跨越實體世界(包括直接可觀測性)、網絡世界(包括保留資料的使用權)和商業世界(包括産權和訂立合同的權利)的一體化安全手段,并且可以對攻擊進行追蹤和溯源。
Q5:企業在OT安全管理方面普遍存在的問題是什麼?
答:許多工業網際網路系統在安全保護建設方面存在根本性的安全缺陷,這些缺陷可以視為工業網際網路系統的内部安全風險,包括以下方面。
(1)工業裝置資産可視性嚴重不足
工業裝置可視性不足嚴重阻礙了安全政策的實施。工業企業的IT團隊一般不負責OT的資産,而是由OT團隊負責OT資産。但因為生産線系統是曆經多年由多個自動化內建商持續建設的,是以OT團隊對OT資産的可視性十分有限,甚至沒有完整的OT資産清單,關于OT資産的漏洞基本無人負責和收集,也不能及時發現安全問題。在出現問題時,也僅能靠人員經驗排查,且排查過程耗費大量人力成本、時間成本。
(2)工業裝置缺乏安全設計
各類機床數控系統、PLC、運動控制器等所使用的控制協定、控制平台、控制軟體等,在設計之初可能未考慮保密性、完整性、身份校驗等安全需求,存在輸入驗證不嚴格,許可、授權與通路控制不嚴格,沒有身份驗證,配置維護不足,憑證管理不嚴,加密算法過時等安全隐患。
(3)OT安全制度不完善,管理不到位
在很多大中型工業企業中,IT安全制度和管理措施一般比較到位,但OT安全制度和管理措施卻較為欠缺。目前,還未形成完整的制度保障OT安全,缺乏工業控制系統規劃、建設、運維、廢止全生命周期的安全需求和管理,欠缺配套的管理體系、處理流程、人員責任等規定。
(4)IT和OT安全責任模糊
很多工業企業的資訊中心管理OT網絡和伺服器的連接配接與安全,但往往對于OT網絡中的生産裝置與控制系統的連接配接沒有管轄權限。而這些裝置、控制系統也是互聯的,有些就是基于IT實作的,如操作員站、工程師站等。是以,常見的IT威脅對OT系統也有影響。OT的運維團隊一般會對生産有效性負責,但往往并不會對網絡安全性負責。對于很多工業企業來說,生産有效性通常都比網絡安全性更重要。
(5)IT安全措施在OT領域幾乎無效
較多工業企業在OT設定中使用IT安全措施,但沒有考慮其對OT的影響。例如,國内某汽車企業,IT安全團隊按照IT安全要求主動掃描OT網絡,結果導緻汽車生産線PLC出現故障,引起停産。
從實踐來看,較多工業企業基本不做OT安全評估,即使做OT安全評估,也是由IT安全服務商執行。而IT安全評估通常不包括OT網絡的過程層和控制層,即使對這兩層進行評估,也隻能采用問卷方式,而不能使用自動化工具。執行這些評估的人員通常是IT安全專家,對OT領域也不甚了解。
(6)工業主機幾乎“裸奔”
工業企業的OT網絡中存在着大量工業主機,如操作員站、工程師站、曆史資料伺服器、備份伺服器等。這些PC或伺服器中運作實時資料庫、監視系統、操作程式設計系統等,向上對IT網絡提供資料,向下對OT中的控制裝置及執行器進行監視和控制,它們是連接配接資訊世界和實體世界的“關鍵之門”。
但在實際生産環境中,這些工業主機基本沒有任何安全防護措施,即使有一部分有防護措施,也常因沒有及時更新而失效,工業主機幾乎處在“裸奔”狀态。近年來不斷發生的各類工業安全事件中,首先遭到攻擊或受影響的往往都是工業主機。
(7)裝置聯網混亂,缺乏安全保障
工業控制系統中越來越多的裝置與網絡相連,如各類數控系統、PLC、應用伺服器通過有線網絡或無線網絡連接配接,形成工業網絡;工業網絡與辦公網絡連接配接,形成企業内部網絡;企業内部網絡與外部雲平台、第三方供應鍊、客戶網絡連接配接,形成工業網際網路。
但很多工業企業的IT和OT網絡并沒有進行有效的隔離,部分工業企業雖然進行了分隔,并設定了通路政策,但有的員工為友善,私自設定各類雙網卡機器,使得IT、OT網絡中存在許多不安全、不被掌握的通信通道。
OT系統往往由不同內建商在不同時間建設,使用不同的安全标準。是以,當需要內建商進行維修、維護時,從業人員經常會開放遠端維護端口,而且這些端口往往不采用任何安全防護措施,甚至存在将常見端口打開後忘記關閉的情況,進而增加了工業網際網路的攻擊面。
工業控制系統各子系統之間沒有進行有效的隔離,系統邊界不清楚,邊界通路控制政策缺失,尤其是采用OPC和Modbus等通信的工業控制網絡,一旦發生安全問題,故障将迅速蔓延。
(8)OT缺乏安全響應預案和恢複機制
IT工作計劃和OT工作計劃往往是兩張皮,IT安全事件響應計劃與OT之間的協調往往十分有限。很多OT網絡在制定生産事故應對計劃時,都沒有考慮過網絡安全事件的處理。同時,由于缺乏備份和恢複機制,OT中的網絡安全事件恢複速度往往很慢。
(9)IT和OT人員安全教育訓練普遍缺失
随着智能制造的網絡化和數字化發展,OT與IT在工業網際網路中高度融合。企業内部人員,如工程師、管理人員、現場操作員、企業高層管理人員等,其“有意識”或“無意識”的行為,可能會破壞工業系統、傳播惡意軟體或忽略異常情況。由于網絡的廣泛使用,這些影響将被放大。很多企業雖然有IT組織負責IT網絡安全,但其往往會忽視IT和OT之間的差異。IT和OT人員的安全教育訓練普遍缺失。
(10)工業資料面臨丢失、洩露、篡改等安全威脅
工業網際網路中的生産管理資料、生産操作資料,以及客戶資訊和訂單資料等各類資料(無論資料是通過大資料平台存儲的,還是分布在使用者、生産終端和設計伺服器等多種裝置中),都可能面臨丢失、洩露和篡改等安全威威脅。
(11)第三方人員管理體制不完善
大部分的企業會将裝置的建設運維工作外包給裝置商或內建商,尤其針對國外廠商,企業多數情況并不了解工業控制裝置的技術細節,對于所有的運維操作無控制、無審計,留有安全隐患。
Q6:工業網際網路安全架構是什麼?
答:2018年11月,工業網際網路産業聯盟釋出了《工業網際網路安全架構》,明确了安全架構的内容和範圍。
工業網際網路安全架構從防護對象、防護措施及防護管理三個視角建構,針對不同的防護對象部署相應的安全防護措施,根據實時監測結果發現網絡中存在的或即将發生的安全問題,并及時做出響應。同時加強防護管理,基于安全目标的可持續改進的管理方針,保障工業網際網路的安全。工業網際網路安全架構如圖所示。
其中,防護對象視角涵蓋裝置、控制、網絡、應用和資料五大安全重點;防護措施視角包括威脅防護、監測感覺和處置恢複三大環節,其中,威脅防護環節對五大防護對象部署主被動安全防護措施,監測感覺和處置恢複環節通過資訊共享、監測預警、應急響應等一系列安全措施、機制的部署增強動态安全防護能力;防護管理視角根據工業網際網路安全目标對其面臨的安全風險進行安全評估,并選擇适當的安全政策實作有效的安全管理。
工業網際網路安全架構的三個防護視角之間相對獨立,但彼此之間又互相關聯。從防護對象視角來看,安全架構中的每個防護對象,都需要采用一系列合理的防護措施,并依據完備的防護管理流程對其進行安全防護;從防護措施視角來看,每類防護措施都有其适用的防護對象,并在具體防護管理流程的指導下發揮作用;從防護管理視角來看,防護管理流程的實作離不開防護對象的界定,并需要各類防護措施的有機結合,使其能夠順利運轉。工業網際網路安全架構的三個防護視角相輔相成、互為補充,形成一個完整、動态、持續的防護體系。
Q7:工業網際網路安全防護範圍和保護内容是什麼?
答:《工業網際網路安全架構》中提出工業網際網路按防護對象可分為裝置、控制、網絡、應用、資料。工業網際網路安全防護内容如圖所示。
(1)裝置安全
裝置安全包括工廠内單點智能器件、成套智能終端等智能裝置的安全,以及智能産品的安全,具體涉及作業系統/應用軟體安全與硬體安全兩方面。
工業網際網路的發展使得現場裝置由機械化向高度智能化轉變,并産生了嵌入式作業系統微處理器應用軟體的新模式,這就使得未來海量智能裝置可能會直接暴露在網絡中,面臨攻擊範圍擴大、擴散速度增加和漏洞影響擴大等威脅。
工業網際網路裝置安全具體應分别從作業系統/應用軟體安全與硬體安全兩方面出發部署安全防護措施,可采用的安全機制包括固件安全增強、惡意軟體防護、裝置身份鑒别、通路控制和漏洞修複等。
(2)網絡安全
網絡安全包括承載工業智能生産和應用的工廠内部網絡、外部網絡及辨別解析系統等的安全。
工業網際網路的發展使得工廠内部網絡呈現出IP化、無線化、組網方式靈活化與全局化的特點,工廠外部網絡呈現出資訊網絡與控制網絡逐漸融合、企業專網與網際網路逐漸融合、産品服務日益網際網路化的特點。這就使得傳統網際網路中的網絡安全問題開始向工業網際網路蔓延,具體表現為以下幾方面:工業互聯協定由專有協定向以太網(Ethernet)或基于IP的協定轉變,導緻攻擊門檻極大降低;現有的一些工業以太網交換機(通常是非管理型交換機)缺乏抵禦日益嚴重的DDoS攻擊的能力;工廠網絡互聯、生産、營運逐漸由靜态轉變為動态,安全政策面臨嚴峻挑戰等。此外,随着工廠業務的拓展和新技術的不斷應用,今後還會面臨由于5G/SDN等新技術引入、工廠内外網互聯互通進一步深化等帶來的安全風險。
網絡安全防護應面向工廠内部網絡、外部網絡及辨別解析系統等方面,具體包括網絡結構優化、邊界安全防護、接入認證、通信内容防護、通信裝置防護、安全監測審計等多種防護措施,構築全面高效的網絡安全防護體系。
(3)控制安全
控制安全包括控制協定安全、控制軟體安全及控制功能安全。
工業網際網路使得生産控制由分層、封閉、局部逐漸向扁平、開放、全局方向發展。其中在控制環境方面表現為IT與OT融合,控制網絡由封閉走向開放;在控制布局方面表現為控制範圍從局部擴充至全局,并伴随着控制監測上移與實時控制下移。上述變化改變了傳統生産控制過程封閉、可信的特點,造成安全事件危害範圍擴大、危害程度加深,以及網絡安全與功能安全問題交織等。
對于工業網際網路控制安全,主要從控制協定安全、控控制軟體安全及控制功能安全三個方面考慮,可采用的安全機制包括協定安全加強、軟體安全加強、惡意軟體防護、更新檔更新、漏洞修複和安全監測審計等。
(4)應用安全
工業網際網路應用主要包括工業網際網路平台與軟體兩大類,其範圍覆寫智能化生産、網絡化協同、個性化定制、服務化延伸等方面。目前工業網際網路平台面臨的安全風險主要包括資料洩露、篡改、丢失、權限控制異常、系統漏洞利用、賬戶劫持和裝置接入安全等。對軟體而言,最大的風險來自安全漏洞,包括開發過程中編碼不符合安全規範而導緻的軟體本身的漏洞,以及由于使用不安全的第三方庫而出現的漏洞等。
相應地,應用安全也應從工業網際網路平台安全與軟體安全兩方面考慮。對于工業網際網路平台,可采取的安全措施包括安全審計、認證授權和DDoS攻擊防護等。對于軟體,建議采用全生命周期的安全防護,在軟體的開發過程中進行代碼審計,并對開發人員進行教育訓練,以減少漏洞的引入;對運作中的軟體定期進行漏洞排查,對其内部流程進行稽核和測試,并對公開漏洞和後門加以修補;對軟體的行為進行實時監測,以發現可疑行為并進行阻止,進而降低未公開漏洞帶來的危害。
(5)資料安全
資料安全包括生産管理資料安全、生産操作資料安全、工廠外部資料安全,涉及采集、傳輸、存儲、處理等各個環節的資料及使用者資訊的安全。工業網際網路相關的資料按照其屬性或特征,可以分為四大類:裝置資料、業務系統資料、知識庫資料和使用者個人資料。根據資料敏感程度的不同,可将工業網際網路資料分為一般資料、重要資料和敏感資料三種。随着工廠資料由少量、單一和單向向大量、多元和雙向轉變,工業網際網路資料體量不斷增大、種類不斷增多、結構日趨複雜,并出現資料在工廠内部與外部網絡之間的雙向流動共享。由此帶來的安全風險主要包括資料洩露、非授權分析和使用者個人資訊洩露等。
對于工業網際網路的資料安全防護,應采取明示用途、資料加密、通路控制、業務隔離、接入認證、資料脫敏等多種防護措施,覆寫包括資料采集、傳輸、存儲和處理等在内的全生命周期的各個環節。
Q8:工業網際網路面臨哪些安全挑戰?
答:工業網際網路流量安全分析是工業網際網路網絡安全檢查、分析、管理的重要抓手。為有效提升工業網際網路流量安全分析能力水準,亟需從多角度出發,建構工業網際網路流量安全分析技術架構,為相關機構、企業有效利用工業網際網路流量進行安全分析、線上監測、安全營運提供參考。
以下是工業網際網路面臨的七大安全挑戰:
(1)工業網際網路業務複雜難以形成通用方案
工業網際網路涉及鋼鐵、能源、化工、制造等衆多領域,涉及智能制造、自動化生産、智能排程等各種應用場景,其中不同的工業網際網路應用場景采用不同的裝置、操作和業務邏輯,使得工業網際網路流量因領域、場景不同呈現不同的分布及統計規律特性,難以形成通用方案。為提高工業網際網路流量安全分析的實際應用效果,需根據不同領域、不同業務場景定制化解決方案。
(2)工業網際網路海量資料流對處理性能提出更高要求
工業網際網路的大量裝置、辨別解析節點、平台互聯互通産生了海量的流量,不同的工業系統、辨別解析協定也産生了各種類型的流量。出于工業裝置高實時性要求,在滿足流量海量高并發的同時,要求處理的時延控制在毫秒級甚至微秒級,為工業網際網路流量的快速解析、精确識别、高效處理帶來了挑戰。
(3)工業網際網路終端海量異構導緻流量資料難以采集
工業網際網路将接入海量的終端,未來終端資料将是工業網際網路流量的重要組成部分。然而,工業網際網路終端的海量異構,為流量采集與分析帶來了挑戰。一是大部分工業網際網路終端設計時并沒有考慮流量采集接口問題,使得終端流量資料難以擷取;二是工業裝置種類繁多,難以形成通用采集方案,定制化采集方案成本過高;三是部分終端資料将涉及企業的核心業務資訊,使得該部分資料無法開放,為工業網際網路終端資料采集和标注帶來挑戰。
(4)新型網絡架構引入為工業網際網路安全分析帶來困難
随着5G+工業網際網路落地與實施,引入5G、TSN等新型網絡技術的同時對流量采集與安全分析帶來了挑戰。在5G新型網絡中,因為時延要求引入切片技術,新型業務在不同切片的靈活配置,使得5G網絡流量采集涉及面廣,流量安全分析需要具備海量應用識别能力和快速更新疊代能力,導緻安全分析難度加大。
(5)加密手段為工業網際網路流量識别帶來挑戰
出于保障資料傳輸安全性的考慮,部分工業網際網路平台或系統會采用支援加密的工業網際網路協定進行安全傳輸,例如工業控制協定OPC-UA、S7comm-PLUS,工業物聯網協定MQTT、CoAP,辨別解析協定Handle等,在保證資料隐私安全的同時,導緻資料解析、實體識别、資源識别、檔案識别和有害惡意特征簽名檢測等傳統流量分析檢測技術失效,為工業網際網路加密流量安全分析帶來挑戰。
(6)工業網際網路異構導緻協定識别與特征提取難度巨大
由于工業網際網路業務場景具有高度的複雜性,使得工業網際網路協定異構且複雜,且其中大多為私有協定,具有封閉性、排他性的特點,使得針對工業網際網路流量進行安全分析不僅需要具備識别和分析工業資産、廠商、傳輸協定、應用協定等多元度技術能力,還需具備對未知協定識别分析的增量擴充能力。此外,工業網際網路終端、控制系統、平台等要素會産生海量、高維、非線性、時序性強的流量資料,應用場景各異會導緻不同場景下的流量特征不同,使得業務流量特征提取和模組化成本較高,給工業網際網路的安全流量分析帶來了巨大困難。
(7)流量安全分析粒度不足,存在一定局限性
目前工業網際網路安全流量分析在能力支撐方面存在一定的局限性。一方面是安全感覺能力不足,目前工業網際網路流量識别粒度粗,可分析的資訊有限,僅能識别流量相關的協定、五元組等粗粒度資訊,無法感覺細粒度、具有安全價值的資訊,影響工業網際網路安全态勢感覺覆寫範圍;另一方面流量溯源能力不足,現有安全流量分析手段無法有效溯源敏感流量的流向、流量資料來源等,亟需提升流量分析對安全分析的支撐能力。
參照電子工業出版社的《工業網際網路安全百問百答》一書。