摘要:日前,十三屆全國(guó)人大四次會(huì)議在京開(kāi)幕,國(guó)務(wù)院總理李克強(qiáng)向大會(huì)作了政府工作報(bào)告。政府工作報(bào)告中指出,要發(fā)展工業(yè)互聯(lián)網(wǎng),搭建更多共性技術(shù)研發(fā)平臺(tái),統(tǒng)籌新興產(chǎn)業(yè)布局,加強(qiáng)質(zhì)量基礎(chǔ)設(shè)施建設(shè),以精工細(xì)作提升中國(guó)制造品質(zhì)。事實(shí)上,工業(yè)互聯(lián)網(wǎng)的發(fā)展,離不開(kāi)工業(yè)化和信息化的融合,“十三五”期間,我國(guó)工業(yè)化和信息化融合步伐已經(jīng)迅速推進(jìn)。本文將從新時(shí)期5G、人工智能等新一代信息技術(shù)應(yīng)用背景出發(fā),剖析作為信息化與工業(yè)化主體的工業(yè)企業(yè)如何在新時(shí)期防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn),護(hù)航工業(yè)生產(chǎn)兩化融合進(jìn)程。
01 兩化融合進(jìn)程中凸顯的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)
新一代信息技術(shù)與工業(yè)生產(chǎn)的持續(xù)融合,強(qiáng)化了物理世界與信息世界的聯(lián)系,我們?cè)谙硎苄畔⒒夹g(shù)帶來(lái)的工業(yè)高速發(fā)展紅利之時(shí),也面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。
首先,兩化融合不可避免地打破了工業(yè)控制系統(tǒng)原本封閉的網(wǎng)絡(luò)邊界,攻擊者能夠從管理端、生產(chǎn)端、消費(fèi)端等多個(gè)層面發(fā)起攻擊,增大了網(wǎng)絡(luò)攻擊的可能性,將信息世界的網(wǎng)絡(luò)安全威脅引入到物理世界,加劇了工業(yè)企業(yè)遭受網(wǎng)絡(luò)攻擊造成的后果,輕則導(dǎo)致工業(yè)生產(chǎn)線宕機(jī)停擺帶來(lái)經(jīng)濟(jì)損失,重則導(dǎo)致生產(chǎn)安全事故帶來(lái)人員傷亡,甚至危害國(guó)家安全。
其次,大量工業(yè)智能設(shè)備接入控制網(wǎng)絡(luò),降低了針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)攻擊門檻。工業(yè)智能設(shè)備基于開(kāi)放化與標(biāo)準(zhǔn)化的技術(shù)架構(gòu)不可避免地會(huì)產(chǎn)生安全漏洞,通信與計(jì)算資源不足限制了自身的網(wǎng)絡(luò)安全功能。同時(shí),工業(yè)智能設(shè)備通常分布廣泛且多數(shù)無(wú)人值守,遭受攻擊后無(wú)法及時(shí)被發(fā)現(xiàn)。
再次,工業(yè)信息的跨網(wǎng)融合與流動(dòng),使得工業(yè)企業(yè)的核心數(shù)據(jù)資產(chǎn)面臨遭受竊取、濫用或破壞的風(fēng)險(xiǎn)。工業(yè)生產(chǎn)數(shù)據(jù)涉及企業(yè)的知識(shí)產(chǎn)權(quán)、商業(yè)秘密,甚至有關(guān)國(guó)家經(jīng)濟(jì)安全等,具有高度的敏感性,發(fā)生數(shù)據(jù)安全事件會(huì)直接或間接造成重大經(jīng)濟(jì)損失。
全球范圍內(nèi)工業(yè)網(wǎng)絡(luò)安全事件層出不窮。烏克蘭和委內(nèi)瑞拉電力工業(yè)控制系統(tǒng)故障導(dǎo)致的大面積停電事件,導(dǎo)致數(shù)以百萬(wàn)計(jì)的居民家中斷電。可以看出,在工業(yè)生產(chǎn)中的網(wǎng)絡(luò)安全事件雖然形式不同,但所帶來(lái)的危害都不再僅僅停留在信息世界的“軟攻擊”,而是對(duì)物理世界的“硬摧毀”,即對(duì)人民生活安定、經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定等帶來(lái)嚴(yán)重?fù)p害。因此,工業(yè)企業(yè)在推進(jìn)兩化融合進(jìn)程時(shí)面對(duì)的網(wǎng)絡(luò)空間更加復(fù)雜,網(wǎng)絡(luò)安全問(wèn)題異常嚴(yán)峻。
02 網(wǎng)絡(luò)安全保障體系建設(shè)
網(wǎng)絡(luò)邊界可控性
工業(yè)控制網(wǎng)絡(luò)邊界的延伸與擴(kuò)展增加了參與工業(yè)生產(chǎn)的對(duì)象種類與數(shù)量,但得益于工業(yè)生產(chǎn)環(huán)節(jié)相對(duì)的穩(wěn)定性與可預(yù)見(jiàn)性,我們能夠根據(jù)信息系統(tǒng)和工業(yè)控制系統(tǒng)參與生產(chǎn)作業(yè)的流程與范圍,按照生產(chǎn)制造邊界、價(jià)值傳遞邊界進(jìn)行劃分,以便能夠在發(fā)生網(wǎng)絡(luò)安全威脅告警時(shí)進(jìn)行有針對(duì)性的安全防控,避免威脅范圍擴(kuò)大。
同時(shí),基于數(shù)字證書(shū)、身份標(biāo)識(shí)、生物特征、動(dòng)態(tài)口令等多種手段,在區(qū)域邊界設(shè)置滿足相應(yīng)安全要求的技術(shù)隔離與細(xì)粒度的訪問(wèn)控制措施,可有效識(shí)別工業(yè)生產(chǎn)各個(gè)環(huán)節(jié)每一位參與者“是誰(shuí)”、“能干什么”,并形成動(dòng)態(tài)化威脅識(shí)別能力,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界行為識(shí)別、確權(quán)、報(bào)警以及安全阻斷。
聯(lián)網(wǎng)工業(yè)智能設(shè)備可控性
( 1 ) 設(shè)備安全
聯(lián)網(wǎng)工業(yè)智能設(shè)備通過(guò)采用安全可信、自主可控的處理器、存儲(chǔ)、內(nèi)存、操作系統(tǒng),應(yīng)用密碼技術(shù)、安全算法、安全協(xié)議等措施保障自身的本質(zhì)安全。當(dāng)條件受限時(shí)可以采用安全補(bǔ)償措施,通過(guò)應(yīng)用層安全加固使工業(yè)智能設(shè)備具有一定的網(wǎng)絡(luò)安全防護(hù)能力。
( 2 ) 接入安全
工業(yè)智能設(shè)備在進(jìn)行網(wǎng)絡(luò)連接時(shí)要采取準(zhǔn)入機(jī)制,只有經(jīng)過(guò)安全驗(yàn)證的設(shè)備才允許接入工業(yè)控制網(wǎng)絡(luò),同時(shí)能夠主動(dòng)識(shí)別未知接入設(shè)備所使用的端口、協(xié)議、服務(wù)等,研判安全風(fēng)險(xiǎn)并采取報(bào)警、隔離與阻斷措施,避免未經(jīng)檢驗(yàn)授權(quán)的設(shè)備將惡意代碼引入工業(yè)控制網(wǎng)絡(luò)。
數(shù)據(jù)流轉(zhuǎn)可控性
工業(yè)生產(chǎn)企業(yè)的信息系統(tǒng)和工業(yè)控制系統(tǒng)歸屬于不同部門建設(shè)與使用管理,大量的工業(yè)數(shù)據(jù)分散各處,無(wú)形中產(chǎn)生了數(shù)據(jù)順暢流動(dòng)的斷點(diǎn),影響了工作效率和知識(shí)數(shù)據(jù)的真實(shí)性。為保障數(shù)據(jù)流動(dòng)“自由化”過(guò)程中的安全性,發(fā)揮數(shù)據(jù)的最大價(jià)值,針對(duì)工業(yè)生產(chǎn)數(shù)據(jù)應(yīng)采取標(biāo)記用途、數(shù)據(jù)加密、訪問(wèn)控制、數(shù)據(jù)脫敏等多種防護(hù)措施,覆蓋包括數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理等全生命周期的各個(gè)環(huán)節(jié),實(shí)現(xiàn)數(shù)據(jù)拿不到、看不懂、改不了、賴不掉。
( 1 ) 采集安全
依據(jù)工業(yè)數(shù)據(jù)的屬性,按照工藝流程數(shù)據(jù)、設(shè)備數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、用戶個(gè)人數(shù)據(jù)的分類,依照一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)三種等級(jí)將分散在工業(yè)生產(chǎn)環(huán)節(jié)中零碎數(shù)據(jù)進(jìn)行分類分級(jí)采集。
( 2 ) 傳輸安全
在數(shù)據(jù)傳輸過(guò)程中,采用相關(guān)技術(shù)手段來(lái)保證通信過(guò)程中數(shù)據(jù)的機(jī)密性、完整性和有效性,防止數(shù)據(jù)被竊取或篡改。
( 3 ) 存儲(chǔ)安全
依據(jù)數(shù)據(jù)的類別與安全等級(jí),通過(guò)數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)防泄漏、訪問(wèn)控制等安全措施保障數(shù)據(jù)存儲(chǔ)安全。
( 4 ) 處理安全
數(shù)據(jù)處理和應(yīng)用是工業(yè)數(shù)據(jù)價(jià)值再創(chuàng)造的核心環(huán)節(jié),通過(guò)對(duì)工藝流程不斷迭代進(jìn)而優(yōu)化尋找最短、最經(jīng)濟(jì)的生產(chǎn)路徑,將工業(yè)生產(chǎn)的關(guān)鍵技術(shù)、流程、知識(shí)、工藝積累沉淀,為工業(yè)高質(zhì)量發(fā)展提供最核心的支撐。在高價(jià)值工業(yè)數(shù)據(jù)流轉(zhuǎn)過(guò)程中采取數(shù)據(jù)防泄漏、訪問(wèn)控制、完整性保護(hù)等措施,保證合法用戶對(duì)信息和資源的有效使用。
網(wǎng)絡(luò)安全狀態(tài)可控性
保障工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全,是推進(jìn)兩化融合進(jìn)程的基礎(chǔ)。通過(guò)檢測(cè)工業(yè)網(wǎng)絡(luò)流量獲取通信行為信息,借助深度包過(guò)濾、終端安全檢測(cè)、日志審計(jì)等掌握工業(yè)控制網(wǎng)絡(luò)安全狀態(tài),并通過(guò)聚合、關(guān)聯(lián)分析可形成全局安全態(tài)勢(shì)與威脅預(yù)警。
03 結(jié)語(yǔ)
兩化融合帶給工業(yè)企業(yè)的是邊界的融合、數(shù)據(jù)的融合,信息化能夠幫助工業(yè)企業(yè)快速應(yīng)對(duì)市場(chǎng)需求。在借助新興技術(shù)提升效率的同時(shí),有效保障工業(yè)網(wǎng)絡(luò)安全,是自動(dòng)化和信息化的共同期待。今年的政府工作報(bào)告指出,將繼續(xù)推進(jìn)“兩新一重”建設(shè),實(shí)施一批交通、能源、水利等重大工程項(xiàng)目,建設(shè)信息網(wǎng)絡(luò)等新型基礎(chǔ)設(shè)施,發(fā)展現(xiàn)代物流體系。因此,工業(yè)企業(yè)做好網(wǎng)絡(luò)安全的工作顯得更加重要,兩化融合走實(shí)向深,數(shù)據(jù)價(jià)值的驅(qū)動(dòng)方能蓬勃有力。
原文來(lái)源:綠盟科技