李春侠 姜文婷
摘要:我国工业互联网的发展如火似荼,相关部门制定了多项政策以及行动计划。在该背景下,工业环境遭受着严峻的网络安全挑战,故制造业、能源企业、公共事业等越来越重视互联网安全体系建设,且加大了资金投入力度。文章对工业互联网平台的安全问题进行了研究。
关键词:工业互联网平台安全;评估标准及框架;安全建设
中图法分类号:TP393 文献标识码:A
Research on security issues of industrial Internet platform
LI Chunxia? JIANG Wenting
(HRG Smart Factory Co.,Ltd.,Harbin 150000,China)
Abstract:The development of my countrys industrial Internet is in full swing, and a number of policies and action plans have been formulated. In this context, the industrial environment is facing severe cybersecurity challenges. Therefore, manufacturing, energy companies, and public utilities have paid more and more attention to the construction of Internet security systems and increased capital investment. Thie paper studies the security issues of industrial Internet platform.
Key words: industrial Internet platform security, evaluation criteria and framework, safety construction
纵观全球工业互联网平台安全态势,以美国为主的发达国家从工业控制系统、物联网、云平台、大数据等不同角度推动工业互联网平台的发展。即便如此,还是发生了严重的网络攻击事件,因此我国更应该将关注点放在工业互联网安全保障方面—颁布对应法规、条例,制定安全标准,务必按照规定落实各项工作,为工业互联网平台建设提供保障[1]。
1现状
因新型IT技术和传统工业OT技术的进一步融合,工业系统更加开放、互联程度更高,并且让工业制造所面临的安全风险更大,安全生产面临相当严峻的挑战。在这种背景下,国内外均对工业互联网平台安全发展引起高度重视,并制定了相应的保障措施。其中,美国非常注重工业互联网平台相关的物联网、大数据、工业控制系统的安全保障工作,相关联盟、组织专门针对工业互联网安全发声—相关部门应制定政策、法规,保障工业互联网平台安全[2]。德国基于国家层面,全面实施“工业4.0”战略,并发布了《工业4.0战略计划实施框架》等文件,对保障智能制造安全具有重要意义,且从数据信息保护、完善安全保障架构以及组织工作人员进行安全技能知识培训等着手,重点针对“工业4.0安全保障”制定了相关措施[3]。
我国对工业互联网平台的建设以及安全保障工作的开展同样重视,自《关于深化“互联网+先进制造业”发展工业互联网的指导意见》正式颁布以来,专门针对工业互联网安全体系建设问题作出指示,以全方位落实工业互联网平台安全标准化建设工作。《工业互联网平台安全要求及评估规范》进一步指出了各层次安全管理以及技术防护要求[4]。
2评估标准及框架
工业互联网平台安全评估主要是指对边缘层、工业IaaS层、工业PaaS层、工业SaaS层等进行综合评判,并依据相关标准对工业互联网平台服务商是否达到一般安全能力或增强安全能力进行评估,评估框架如图1所示。评估依据主要为《工业互联网平台安全评估报告规范》和与委托方签定的业务约定书。
边缘层安全即工业互联网平台和工业企业接入环节中协议转换、数据采集的安全,主要包括边界防护、访问控制、入侵防范等;工业IaaS层安全即工业互联网平台云基础相关设施的安全,以虚拟技术处理、存储网络提供的基本计算资源,用户可完成软件(操作系统和应用程序)部署与运行;工业PaaS层安全主要包括微接口服务安全、容器安全、信息保护、恶意代码防范、身份鉴别等[5];工业SaaS层安全主要包括资源管理、访问控制、安全审计等。
3建议
针对工业互联网平台上严峻的安全问题,应基于平台安全防护技术体系、安全管理体系展开分析,且采取针对性措施。
(1)建构工业互联网平台安全管理体系,完善相关政策、制度。相关部门须根据实际情况编写工业互联网平台安全防护指南、安全工作指导性意见等,对工业互联网平台安全主体责任以及安全防护要求予以明确,为开展平台安全维护工作提供法规支持[6]。同时,应制定工业互联网安全标准体系,发布工业互联网平台安全防护指南,把工业互联网平台安全防护、管理、测试、评估等标准立项和研究提上日程,保证操作流程规范化。此外,应重点针对工业IaaS层、APP、工业PaaS层等制定安全保障技术测试规范,由专门人员进行示范、讲解,保证相关规范落地。
(2)提高安全技术防护能力。在充分认识安全防护保障措施的重要性的基础上,全方位提升安全技术防护能力,增强设备以及系统安全接入能力,提高运行安全态势感知能力,配备完善的安全运行监测设备,且将其合理布置于平台内部、网络出入口等,全面掌控平台侧安全态势,使得安全防护能力与水平不断提升。并且,应对工业互联网平台设备、架构、安全风险种类等展开分析,因工业互联网平台用户种类相当多,数量庞大,所以安全保障难度增加,有必要结合工业互联网平台以及工业企业风险彼此渗透、数据篡改、信息泄露等可能出现的安全风险,提出对应的防护要求。此外,定期组织网络管理员展开网络安全知识培训、学习,使其掌握更加专业、新颖的网络安全保障知识,不断提高网络安全防护技能,并能在遇到网络攻击时合理应用相关技能。同时,應加强其职业道德素养培育,宣传、讲解法律知识,不断提高其法律意识,从思想上认识到做好网络安全保障的重要性,并能够在岗位上踏实干好本职工作。对于需要在网络上进行本地或远程操作的各项事务,均应再三确认对应的服务器是否完整记录,将网络安全维护工作提上日程[7]。明确“拥有网络设备操作权限”“拥有设备登录权限”,并可追踪、调查登陆者使用计算机的操作行为,即可有效保障网络设备安全。
(3)严限网络设备访问并将无关服务关闭。工业互联网平台的网络设备在运行期间,应重点针对常用的设备(如主机等)予以权限限制,在ACL应用下要求不可进行Ping相关接口使用,并根据业务开展的具体情况,关闭无关服务,包括BOOTP,ICMP,DNS,Finger,HITP,ARP-Proxy,WINS等风险高同时与日常工作无关联服务项目以及在当前时间段内用不上的接口。互联网平台具有极强的复杂性,其在具体运行期间应使安全性得到保障,采取有效合理的网络设备安全技术或方法来让安全性得到保障。
(4)端到端加密且做到精细化授权的数据防护。工业生产期间会有大量工业数据出现,如开发测试、控制信息、研发设计、工艺参数、系统设备资产信息等,平台不同应用间包含大量数据共享以及协同处理需求,SD-NaaS平台提供了更加可行、有效的端到端数据安全保护法,经信任监测对安全等级展开全方位评估,构建安全加密隧道,提升数据的安全性。并且,针对成本自动核算系统、生产质量控制系统等不同工业系统彼此间API交互以及数据库调用等行为,SD-NaaS平台真正做到了细颗粒度的操作权限控制,完成了一切“增删改查”等流程的行为审计。
(5)设置最小权限且动态授权的工业安全控制。面对工业互联网背景下工控網络可能出现的安全隐患,SD-NaaS零信任网络平台制定了全新的控制权限分配机制,遵循最小化权限、动态授权理念,控制权限的评估也不局限单一的静态规则(静态权限策略、IP黑白名单等),主要针对工程师、工控管理员、操作员等不同身份与信任等级,控制服务器、测量仪表等各终端安全策略,各个工控指令权限,依照大数据安全分析展开动态授权与评估,确保工业边界最小授权得以实现,让访问控制过程更加精准化,让工业控制网路基的安全性得以提高,以免遭受未知漏洞的影响,并且能够预防人为失误诱发的严重危害。
(6)经应用隐藏与代理访问的应用防护。SD-NaaS平台能够经SDP安全网关以及MSG微分段技术来确保工业互联网平台应用隐身以及安全访问代理得以实现,对平台网络边界与暴露面展开合理管理,且从采购、工程师、供应链、操作员等多元身份展开最细颗粒度的动态授权(包括进销存管理、生产数据等),不放过任何一个访问行为,打造全天候应用安全防护体系。
4结束语
工业互联网把传统制造业和信息技术充分结合,做到人、物、机的融合互联,打造全新生产制造以及服务体系,5G在新基建中发挥了领头羊作用,使得工业互联网、产业互联网发挥出了更大的作用,对经济转型升级有利。对工业互联网进行投资以及建设可让我国智能制造步伐加快,确保生产力得到解放,确保经济发展获得新动能。
工业互联网平台的安全建设不但能确保工业互联网平台得到良好发展,并且对整个工业互联网行业的全面发展有利。基于国家层面,要使我国工业互联网平台安全保障能力不断增强,还应明确平台处于不同安全层级可能面临的安全风险,并构建安全管理体系,从而提高安全防护能力。只有制定合理的安全防护措施,才能不断提高工业互联网平台的安全防护能力以及水平。同时,相关部门要尽快制定合适的标准,以为工业互联网平台服务。
参考文献:
[1]何小龙,李君,周勇,等.工业互联网平台应用现状及发展对策[J].科技管理研究,2021,41(10):132-137.
[2]赵越.工业互联网平台安全防护体系分析与研究[J].长江信息通信,2021,34(6):132-134.
[3]朱光亮.工业互联网平台安全防护体系研究[J].无线互联科技,2021,18(19):12-13.
[4]王冲华,李俊,陈雪鸿.工业互联网平台安全防护体系研究[J].信息网络安全,2019(9):6-10.
[5]宋新远.基于5G技术的工业互联网平台安全性问题分析[J].江苏通信,2021,37(4):117-118.
[6]何小龙,柳彩云,李俊,等.《密码法》背景下工业互联网平台数据保护研究[J].中国信息安全,2020(4):75-77.
[7]樊佩茹,王冲华.数据安全视角下工业互联网平台的攻击与防护[J].网络空间安全,2020,11(2):75-80.
作者简介:
李春侠(1975—),本科,中职会计师,研究方向:企业管理及科研管理。