做网站一定要用到dw,长治个人网站建设,网站建设策划基本流程图,上海营销型网站报价从国家层面完善工业互联网设备的网络安全准入机制#xff0c;建立设备网络安全检测认证体系#xff0c;促进设备的网络安全架构研究和工程应用#xff0c;强化设备的网络安全风险监测感知。
一、前言
工业互联网是新一代信息通信技术与工业体系融合的产物#xff0c;做好…从国家层面完善工业互联网设备的网络安全准入机制建立设备网络安全检测认证体系促进设备的网络安全架构研究和工程应用强化设备的网络安全风险监测感知。
一、前言
工业互联网是新一代信息通信技术与工业体系融合的产物做好产业融合转型保障建设工业互联网安全保障体系是工业互联网安全的发展前提。网络连接、数据互通趋势下的工业体系加速开放融合传统工业体系相对封闭隔离环境下以生产安全为导向的安全管理、运维模式无法适应复杂多变的工业互联网应用环境。与此同时工业控制系统、设备本身也存在漏洞和后门加之工业控制系统与设备的脆弱性、高实时性要求难以像传统信息系统那样进行安全防护因此相关网络安全能力建设成为关键内容。
信息技术与传统工业运营技术的融合日益深化工业互联网设备的网络安全防护能力将直接影响工业生产和业务运行成为网络安全政策管控、产业保护实践的重要组成部分。近年来设备产品安全逐渐成为传统工业强国的关注重点被视为强化网络安全管控、保障供应链安全及产业发展的关键内容。例如美国建立了以网络安全审查为手段的供应链管控体系制定了《物联网网络安全改进法案》。当前在工业设备测量、运营、维护、质量管理方面开展了较多的研究与应用注重利用设备质量控制、预测性维护、高精度测量、故障分析、远程监控等手段来保障设备的功能安全及性能 [1~4]在设备功能安全应用方面积极开展工业大数据、人工智能AI等新技术应用研究 [5~8]。从已有进展来看工业互联网设备的网络安全研究整体上依然缺乏无论是设备自身功能性能的安全保障还是利用新技术强化设备健康管理和监控 都不应忽视工业设备面临的网络安全问题。
本文着眼于工业互联网设备的网络安全问题 分析需求、梳理现状、研判问题、论证路径提出具体的发展建议以期为领域内的基础与政策研究提供思路参考。
二、工业互联网设备的安全防护概念及需求分析
一工业互联网设备的安全防护概念
工业互联网设备指在新一代信息技术与工业生产、制造、运营、管理等环节的融合应用过程中通过有线或无线方式接入工业互联网网络的装置或设备具有类型、功能、应用形态多样的特点。工业互联网设备分为工业控制设备如可编辑逻辑控制器PLC、远程终端单元RTU工业网络和安全设备如工业交换机、工业防火墙工业智能终端设备如数据采集网关、视频监控设备、物联网相关设备。从设备安全性及其应用过程防护的角度来看工业互联网设备的安全防护细分为硬件安全、网络通信安全、系统服务安全、应用开发安全、数据安全等见图1。
图1 工业互联网设备的网络安全防护范畴
硬件安全包括设备调试接口权限控制、芯片安全保护、防范针对设备功耗等信息进行统计分析所伴生的威胁风险。目前多数的网络设备、物联网设备保留了硬件调试接口部分接口甚至无需验证即可获取权限操作极有可能成为恶意攻击、数据窃取的入口进而导致设备密钥、认证等信息泄漏。
网络通信安全包括通信认证鉴权、通信加密 后者进一步划分为网络层加密、传输层加密、应用层数据加密等。若设备网络通信的访问权限控制不足攻击者即可通过身份伪造在设备间、设备与主机系统间实施“中间人攻击”极有可能快速传播形成僵尸网络僵尸网络进而作为被控端对网络实施大规模攻击。此外设备的通信加密能力不足容易出现黑客窃取用户或设备的身份信息、重要工业数据泄露等情况。
系统服务安全包括设备操作系统的权限控制、基线安全配置系统更新的安全机制保护系统入侵防范、恶意代码防范等。攻击者可利用设备系统或固件存在的漏洞或缺陷入侵设备在升级过程中植入恶意代码增加了事后溯源与排查难度。
应用开发安全包括组件资源间的访问控制与用户的认证授权、外部接口安全、配置文件及重要数据的安全保护、通信协议加密、第三方组件库漏洞隐患排查、代码自身安全设计等。若设备自身安全机制不足攻击者即可利用应用安全漏洞或缺陷入侵设备和系统发起针对性攻击。
数据安全包括数据完整性、隐私性、可用性保护防范数据不被窃取、监听、篡改。工业企业加快数字化转型开始规模化部署数据采集、边缘计算等物联和智能化设备工业生产过程及业务数据、用户信息的开放共享和流动利用呈指数型增长的趋势。不少工业设备、工业网络中依然存在着明文传输数据的现象难以发现针对设备进行的非侵入、被动式数据监听活动若设备本身的数据防护、隐私保护机制不足关键工艺参数、流程数据等信息存在被泄露或被恶意控制篡改的风险。
二工业互联网设备的安全防护需求分析
工业互联网设备的功能安全、网络与数据安全等需要结合实际应用形态下的网络安全漏洞隐患防范排查与解决基于设备的应用周期、智能化属性等实施差异化的管理防护。
部分设备在设计开发环节没有周到考虑网络安全问题长期不间断运行的工作方式导致难以进行深度安全检测或部署安全防护措施存在不同程度的漏洞及隐患。根据中国国家信息安全漏洞共享平台CNVD统计 [9]与工业控制系统设备相关的漏洞数量为 2955 个截至 2020 年 12 月年度新增工业控制系统设备漏洞数量为 593 个。根据中国信息通信研究院工业互联网设备安全评测和相关监测结果有相当数量的工业互联网设备存在指令篡改、敏感信息获取、权限绕过等中高风险漏洞部分工业安全设备甚至存在高危漏洞安全防护能力明显不足。我国部分工业互联网设备系统持续遭受了来自境外的定向扫描和恶意感染僵尸网络、木马、蠕虫、病毒等攻击感染网页攻击、系统攻击的频率和数量不断加大在我国工业领域应用广泛的罗克韦尔 PLC、西门子视窗控制中心等均存在严重高危漏洞。因此工业互联网设备的漏洞深度安全检测尤其是无损安全检测与防护成为工业企业、设备供应商普遍性的迫切需求。
从设备应用周期、适用的网络安全防护措施角度看工业互联网设备需要开展差异化、分类分级的网络安全管理与防护。一类是已经应用部署的“存量”设备由于自身资源、性能受限加之长时间运转极有可能长期未开展网络安全检测威 胁隐患难以完全掌握针对这类设备的安全防护需 要具体分析实际应用情况通过防护措施叠加、监 测感知等手段强化风险防控。另一类是新投入应用 的“增量”设备尤其是具有远程控制、数据采集 分析、计算处理功能的智能化设备多使用通用操作系统如嵌入式 Linux 等一定程度上降低了 攻击者的入侵难度部分智能化设备若遭受恶意 控制和攻击可能具备大规模主动扩散能力、变成 “跳板”后成为智能化攻击的一环针对这类设备的安全防护需要融合设备自身功能、应用场景、支 撑业务需求强化自身硬件安全保护、网络通信、数据安全等机制设计采取网络安全感知、监测预 警、应急处置等措施。
三、工业互联网设备安全领域的国际进展
一安全监管和审查
传统工业强国的网络安全法律、监管措施持续升级逐步强化网络安全审查涉及相关设备产品安全性和安全能力审查设备产品开发、设计、应用等全周期及各环节的安全机制。
美国将网络安全审查上升为国家战略和国际竞争手段其网络安全审查覆盖了政府采购、关键信息基础设施保护、外国投资、供应链建立了较完备的审查机构、程序、标准规范。其中供应链审查制度是美国网络安全审查的重点方面具有代表性针对相关技术、设备产品等供应链的安全审查内容和范围逐渐完备发布了一系列强制性安全审查规范并要求企业签署网络安全协议。2000 年美国国家电信与信息系统安全委员会发布了《国家信息系统安全保障采购政策》要求入侵检测、防火墙、操作系统、数据库管理等方面的产品必须经过国家信息保障联盟NIAP通用准则评估与认证体系框架下的风险评估和认证 [10]。2015 年美国财政部、商务部要求国家标准技术研究院NIST 依据相关技术标准开展供应链安全风险审查 [11]。2020 年美国颁布《物联网网络安全改进法案》 禁止联邦机构购买任何不符合最低安全标准的物联网设备要求 NIST 发布联邦政府使用物联网设备的标准和指南 [12]。
英国要求相关设备产品通过政府通信总部制定的通信电子安全小组安全认证后才能销售。俄罗斯工业和贸易部重点针对外资进入的战略性产业交易进行安全审查 [13]。
二安全检测认证
网络安全检测认证是设备产品进入市场应用前的重要环节在部分国家也属于法律强制要求的环节。目前国际网络信息安全认证测评体系趋于稳定国际通用认证准则逐步建立国际通用认证规则CC和欧洲创建的信息技术安全评估准则IT-SEC并存。
各国的网络安全检测认证多由相关机构或协会负责委托实验室、企业、专业机构具体实施。测评体系通常由 1 个测评认证协调组织、1 个测评认证实体、多个技术检测机构组成。例如美国由NIAP 管理授权给相关实验室、公司等测评机构 目前只颁发通用准则证书英国由通信电子安全局管理德国由信息安全局管理均将检测认证授权给商业性评估机构颁布 ITSEC、CC 两种证书。
各国重点围绕设备产品的安全合规、功能、安全保证、可控等方面开展测评认证标准建设划分功能级别、保证级别以满足不同部门、行业、用户的需求其中功能、安全保证评估是测评认证的核心内容。美国、欧洲、国际标准化组织都在建立基于测评的“保护轮廓”强调功能评估、安全性评估并分别开展定级。国际标准化组织推出的国际通用准则是目前最全面的评价准则与 ITSEC 一起成为通用测评方法。此外美国、德国等注重推行国防、政府、商用共享的测评体系通过划分级别和轮廓满足不同对象的安全要求。
在工业互联网设备安全测评认证方面国际性机构和一些国家分别建立了各有侧重的认证体系。① ISA Secure 认证体系是国际自动化协会安全合规学会ISCI推动建立的一套国际认可体系旨在提供通用的工业设备认证、处理工业设备安全方面需求、简化业主设备采购流程和设备供应商设备保险流程 [14]ISA Secure 对工业自动化、控制类产品及系统进行独立认证确保网络攻击防护能力并消除已知漏洞。② NIST 认证体系指由 NIST 牵头、相关行业主管机构和行业协会参与建立的标准认证体系涵盖国家标准、行业规范、检测认证在实施方面推动形成覆盖电力、天然气、石油、核能等行业的安全标准认证体系成为美国乃至国际安全界广泛认可的事实标准和权威指南。③莱茵认证体系指由德国技术监督协会经德国政府授权和委托开展的工业设备、技术产品安全认证及质量保证评估审核提供嵌入式系统及设备、智能电子设备的认证服务工业信息技术安全检查、渗透测试、风险分析、安全手册、安全培训等服务覆盖航空航天、汽车交通、化工、能源、制造业与工业机械、电力等领域。
四、我国工业互联网设备安全领域的发展情况与面临问题
一安全监管和审查方面的基本情况
在安全监管方面《网络安全法》《网络安全审查办法》等国家法律规章陆续出台逐步建立了针对关键信息基础设施的网络安全审查办法、针对网络关键设备和网络安全专用产品的强制性检测认证要求。《网络关键设备和网络安全专用产品目录第一批》要求列入目录的设备或产品应按照相关国家标准的强制性要求由具备资格的机构安全认证合格或安全检测符合要求后方可销售或提供 [15]。在政策要求方面《加强工业互联网安全工作的指导意见》要求加强工业生产、主机、智能终端等设备安全接入和防护强化控制网络协议、装置装备、工业软件的安全保障推动设备制造商、自动化集成商与安全企业加强合作提升设备和控制系统的本质安全 [16]。
二安全检测认证方面的基本情况
网络和信息安全测评认证体系主要由国家认证认可监督管理委员会管理国家信息安全测评认证管理委员会、中国网络安全审查技术与认证中心、相关实验室及测评机构等共同推进实施基本形成了监管机构、国家认证实体、授权测评机构的综合推进体系。也要注意到现有的测评认证体系重点关注通用基础设备产品、以医疗为代表的部分行业领域专用关键设备缺乏对工业控制设备、大型自动化设备、工业网络通信设备等关键工业互联网设备的规范性、通用性网络安全测评认证。
在工业互联网设备安全相关的标准和评测方面我国发布了《工业控制系统专用防火墙技术要求》《信息安全技术 工业控制系统测控终端安全要求》《电力监控系统安全防护规定》等国家及行业相关标准在物联网设备终端安全防护方面我国发布了《信息安全技术 智能联网设备口令保护指南》《信息安全技术 网络和终端设备隔离部件安全技术要求》等标准或指南。近年来中国信息通信研究院等单位结合工业互联网行业的应用保障需求推动了《工业互联网设备安全防护要求》等标准的发布开展了工业互联网设备安全测试评估工作建立了工业互联网安全评估机构和队伍。
三存在问题分析
一是工业互联网设备安全的专门管理办法、检测认证体系缺乏。尽管行业主管部门制定了相关政策标准但强制要求和体系化程度不足缺乏对新技术、新应用形态的网络安全适应性要求。工业互联网设备安全防护还基本处于行业自律的层次。
二是“网络关键设备和安全产品目录”对工业互联网关键设备覆盖不足未纳入目录的产品缺乏必要且体系化的网络安全审查。工业生产装备、关键设备、工业互联网安全专用产品等关键设备产品的安全性、防护能力难以保证使得工业生产、业务运行面临安全威胁设备供应链存在未知风险。
三是工业互联网设备种类多、数量大目前的安全防护能力和保障水平无法适应产业转型升级需求。PLC、工业主机、工业防火墙等工业设备自身的安全运行要求尚未明晰设备在网络化、数字化应用过程中的安全标准规范等比较缺乏专门的评估评测规范和实施体系有待完善。已有网络安全检测认证体系无法满足实际应用、市场需求、他国网络安全审查等的要求。
四是工业互联网设备及产品安全相关的国家标准较少强制性网络安全标准缺乏评估检测流程方法、机构人员、认证体系明显缺失。目前工业互联网设备自身的安全性难以满足不同行业要求、市场级别需求同时国产工业互联网设备产品在走向国际市场时也缺乏权威测评认证难以适应国际互认、他国网络安全审查的要求。
五、我国工业互联网设备的安全防护实施路径
鉴于工业互联网设备类型多样、体量较大安全管理较为分散、行业自律水平不一等实际情况 应从国家、行业、应用等角度统筹规划强化国家监管、行业认证、网络安全工程应用。本文论证了我国工业互联网设备网络安全管理与防护的具体实施路径见图2旨在健全工业互联网设备的适应性策略与能力分类分级实施安全评估和管理完善标准规范、检测认证、风险管理应急处置等机制。
图2 工业互联网设备安全防护实施路径示意图
一是建立设备自身安全策略和基础能力集包括设备安全架构设计、安全基线配置、可信根验证和分类分级防护的基本要求。构建设备自身的安全“基线”强化设备的内生安全能力。
二是结合设备的网络安全风险、保护价值、发生事件的安全影响针对不同种类、应用场景的工业互联网设备开展分类分级评估。建立分类分级目录形成重点保护设备及其安全策略并纳入网络关键设备和网络安全专用产品目录高效开展强制性安全检测认证和审查。
三是完善工业互联网设备的安全防护规范、分类分级防护要求。针对不同类别和防护级别的设备 做好应用开发安全、系统服务安全、硬件安全、网络通信安全、数据安全等技术防护要求形成设备的网络安全差异化、精细化管理模式。
四是建立工业互联网设备网络安全检测评估体系。加强设备进入市场前的网络安全试验验证、准入审核、测试认证以及应用过程中常态化的安全风险评估以评促建形成设备安全防护闭环。
五是强化工业互联网设备安全风险管理和应急处置包括针对关键工业互联网设备的网络安全态势感知与监测预警行业侧 / 企业侧的应急响应、事件处置的工具平台及机制方法。实时掌握设备安全态势和风险视图为风险预警和应急工作提供常态化技术手段。
六、对策建议
一从国家层面完善工业互联网设备的网络安全准入机制
建议主管部门研究制定工业互联网设备安全相关管理办法颁布工业互联网设备安全强制标准和行业规范。强化工业互联网设备的设计、开发、实施、运行维护等全生命周期过程的网络安全规范要求为企业产品安全开发、第三方机构测试认证、设备部署运行提供依据。《网络关键设备和网络安全专用产品目录第一批》发布后目录中的设备产品检测认证工作已逐步展开但工业互联网设备等暂未提及的设备仍处于监管盲区。建议研究梳理工业互联网关键设备并将之列为“网络关键设备和网络安全专用产品”对设备进行分类分级完善相关安全标准规范建立体系健全的工业互联网设备安全监管和安全准入机制保证设备在进入市场销售或使用前进行严格的安全检测。
二建立设备网络安全检测认证体系
建议建立工业互联网设备安全测试认证体系 加强安全测试验证特别是针对工业设备在工业现场环境下的安全试验验证、无损检测、工业级安全防护应用。推动工业互联网设备安全相关测评认证中心建设围绕设备安全性、防护水平等设计安全认证级别开展设备的网络安全分类分级管理和差异化防护。向不同部门、行业、企业提供安全级别选择准确划分设备安全能力层级提升市场良性竞争环境促进厂商升级自身设备的安全性。推动安全检测认证和设备能力提升匹配工业互联网设备的工业环境适用性、硬件安全、系统 / 固件安全、应用安全、数据安全、接入安全等要求构建设备安全功能、抗渗透、恶意代码防范、抗分布式拒绝服务攻击、漏洞隐患防护等能力。
三促进设备网络安全架构研究和工程应用
建议在工业互联网设备设计阶段充分考虑安全性因素增强包括硬件安全、接入认证安全、数据传输安全、代码安全、系统服务安全在内的设备安全防护综合能力建立设备的可信计算环境引入硬件信任根对系统启动、应用运行、参数修改等行为进行可信验证。在设备安全基线配置方面建议督促设备厂商在产品部署时向用户明示安全使用准则使用技术手段保证设备的基线配置安全。工业相关设备制造商、自动化集成商与研究机构、安全企业等应加强合作加快区块链、国产密码、可信计算等新技术应用进度推动设备本质安全和技术产品研究创新。
四强化设备的网络安全风险监测感知
工业互联网设备种类多适用不同行业和场景的防护技术能力差异较大。建议对于工业尤其是制造业推动行业性的设备采购与应用、网络化改造等安全测试评估加强工业生产装备、工业主机、相关智能终端的安全监测和管理。建议主管部门引导行业加强工业互联网设备的安全监测和应急处置能力加强设备的安全监测感知、态势研判、信息共享通报、应急处置及时预警木马感染、病毒或主机受控等网络攻击事件建立工业互联网设备安全检测、应急响应工具库漏洞库、威胁情报库等安全知识库快速实施应急处置防止黑客利用漏洞进行更广泛的攻击。
参考文献
[1] 张跃. 工业设备安装中的高精度测量方法探讨 [J]. 科技经济导刊, 2019, 27(24): 72.
Zhang Y. Discussion on high-precision measurement methods in the installation of industrial equipment [J]. Technology and Economic Guide, 2019, 27(24): 72.
[2] 张斌, 滕俊杰, 满毅. 改进的并行fp-growth算法在工业设备故障诊断中的应用研究 [J]. 计算机科学, 2018, 45(S1): 508–512.
Zhang B, Teng J J, Man Y. Application research of improved parallel fp-growth algorithm in fault diagnosis of industrial equipment [J]. Computer Science, 2018, 45(S1): 508–512.
[3] Samigulina G, Samigulina Z. Diagnostics of industrial equipment and faults prediction based on modified algorithms of artificial immune systems [J]. Journal of Intelligent Manufacturing, 2021 (1): 1–18.
[4] Compare M, Baraldi P, Bani I, et al. Industrial equipment reliability estimation: A bayesian weibull regression model with covariate selection [J]. Reliability Engineering System Safety, 2020, 200: 1–10.
[5] 余骋远. 基于工业大数据的设备健康与故障分析方法研究与应用 [D]. 沈阳: 中国科学院大学(硕士学位论文), 2017.
Yu P Y. Research and application of equipment health and failure analysis based on industrial big data [D]. Shenyang: University of Chinese Academy of Sciences(Master’s thesis), 2017.
[6] 金洪吉. 基于物联网的工业设备远程监控系统研究 [J]. 产业与科技论坛, 2020, 19(14): 35–36.
Jin H J. Research on remote monitoring system of industrial equipment based on Internet of things [J]. Industrial Science Tribune, 2020, 19(14): 35–36.
[7] 戴认之. 人工智能技术在工业设备和系统智能运营维护的应用[J]. 中国信息化, 2020 (7): 52–53.
Dai R Z. The application of artificial intelligence technology in the intelligent operation and maintenance of industrial equipment and systems [J]. China Information, 2020 (7): 52–53.
[8] Mourtzis D, Angelopoulos J, Panopoulos N. Intelligent predictive maintenance and remote monitoring framework for industrial equipment based on mixed reality [J]. Frontiers in Mechanical Engineering, 2020, 6(12): 1–12.
[9] 关键基础设施安全应急响应中心. 工控系统行业漏洞[EB/OL]. (2020-12-01)[2021-01-05]. https://ics.cnvd.org.cn/.
Critical Infrastructure Security Response Center. Industrial control system vulnerabilities [EB/OL]. (2020-12-01)[2021-01-05]. https://ics.cnvd.org.cn/.
[10] Committee on National Security Systems. Frequently asked questions (FAQ) [EB/OL]. (2001-10-16)[2021-01-05]. https://www.niap-ccevs.org/Ref/FAQ.cfm#cat32.
[11] Department of Homeland Security. National strategy for global supply chain security [EB/OL]. (2017-07-13)[2021-01-05]. https://www.dhs.gov/national-strategy-global-supply-chain- security.
[12] Warner S, Mark R. S.734 - Internet of Things cybersecurity improvement act of 2019 [EB/OL]. (2019-06-19)[2021-01-05]. https://www.congress.gov/bill/116th-congress/senate-bill/734.
[13] 中华人民共和国国家互联网信息办公室. 各国网络安全审查制度及案例分析 [EB/OL]. (2015-04-17)[2021-01-05]. http://www.cac.gov.cn/2015-04/17/c_1114990146.htm.
Cyberspace Administration of China. Cyberspace security review system and case analysis for several countries. [EB/OL]. (2015-04- 17)[2021-01-05]. http://www.cac.gov.cn/2015-04/17/c_1114990146. htm.
[14] ISA Secure. IEC 62443 conformance certification certifying industrial control system equipment and systems [EB/OL]. (2021-01-05)[2021-01-05]. https://www.isasecure.org/en-US/Certification.
[15] 中华人民共和国国家互联网信息办公室. 关于发布《网络关键设备和网络安全专用产品目录第一批》的公告 [EB/OL]. (2017-06-09)[2021-01-05]. http://www.cac.gov.cn/2017-06/09/c_1121113591.htm.
Cyberspace Administration of China. Announcement on the issuance of the Critical network equipment and special network security products catalog (first batch) [EB/OL]. (2017-06-09)[2021-01-05]. http://www.cac.gov.cn/2017-06/09/c_1121113591. htm.
[16] 中华人民共和国工业和信息化部. 加强工业互联网安全工作的指导意见[EB/OL]. (2019-08-28)[2021-01-05]. https://www.miit. gov.cn/zwgk/zcwj/wjfb/txy/art/2020/art_c41cb8a2f6e74e239bae- 96068a2dc024.html.
Ministry of Industry and Information Technology of the People’s Republic of China. Guiding opinions on strengthening industrial Internet security work [EB/OL]. (2019-08-28)[2021-01-05]. https://www.miit.gov.cn/zwgk/zcwj/wjfb/txy/art/2020/art_c41cb8a2f6e74e239bae96068a2dc024.html.
本文原载于《中国工程科学》2021年第2期作者马娟 1于广琛 1柯皓仁 1杨冬梅 1吾守尔·斯拉木 2 中国信息通信研究院安全研究所 新疆大学信息科学与工程学院
声明本文来自中国信通院CAICT版权归作者所有。文章内容仅代表作者独立观点不代表安全内参立场转载目的在于传递更多信息。如有侵权请联系 anquanneican163.com。
https://www.secrss.com/articles/30761
