工业互联网的安全挑战及应对策略.docVIP

工业互联网的安全挑战及应对策略 　　1 工业互联网概况 　　工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态，中国工业互联网产业联盟(AII)提出的工业互联网参考体系架构。其中，“网络”是工业数据传输交换的支撑基础;“数据”是工业智能化的核心驱动;保障网络与数据的“安全”是工业互联网稳定运行、创造价值的前提。工业互联网的安全可以分为：设备安全、网络安全、控制安全、数据安全、应用安全和参与全程的人员安全。 　　工业互联网包含了工业控制系统、工业网络，同时也包含了大数据存储分析、云计算、商业系统、客户网络等商业网络基础设施。其中，工业控制系统(ICS)是指用于操作、控制、辅助自动化工业生产过程的设备、系统、网络以及控制器的集合，包括：数据监控与采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、智能终端、人机交互接口(HMI)等系统。文章中，我们将分析工业互联网的安全挑战，并提出应对措施、整体防御建议。 　　APC：先进过程控制Bumer：燃烧器ERP：企业资源计划HMI：人机交互接口ICS：工业控制系统MES：制造执行系统OPC：向过程控制的对象链接与嵌入PLC：可编程逻辑控制器 　　2 工业互联网的安全挑战 　　2.1 工业互联网的安全现状 　　在国家提出《中国制造2025》行动纲要后，工业互联网已经是国家战略组成，工业互联网安全关系国家战略安全。工业互联网中工业网络与采用Internet技术的商业网络的打通，标准Internet的威胁也随之而来--病毒和黑客。原本认为不容易被攻击的工业网络，也因存在设备同时连接到企业网络，而使该设备成为攻击跳板，最后工业网络受到攻击。近年来全球工业互联网安全事件频发，如：2006年8月，美国BrownsFerry核电站受到网络攻击事件;2011年5月，Duqu病毒(Stuxnet变种)出现;2012年12月，震网病毒攻击美国ChevronStuxnet等4家石油公司。根据RISI数据库统计，发生在工控领域的安全事件与涉及的工业行业，数量明显增多[4]Mining:矿业PHARMACEUTICAL:医药业Electronic manufacturing:电子制造业Automotive:汽车业Metals:金属业General Manufacturing:一般制造业Pulp and paper: 纸浆与纸张制造Unknown:行业未知Chemical: 化学制造业Food and Beverage:餐饮业Other:其他行业Water/waster water:水/废水处理业Petrolleum:石油开采业Power and Utilities: 电力和公用事业Transporation: 运输业 　　2.2 工业互联网的各层次安全挑战 　　工业互联网安全主要受到来自5个层次安全挑战，同时也包括可能参与到各个层面的人员因素，以及覆盖多个层面的高级持续性威胁(APT)。 　　(1)设备层安全挑战，指工业互联网中工业智能设备和智能产品的安全挑战，包括所用芯片安全、嵌入式操作系统安全、编码规范安全、第三方应用软件安全以及功能安全等，均存在漏洞、缺陷、规范使用、后门等安全挑战。 　　(2)网络层安全挑战，主要来自3方面：工业网络、无线网络、商业网络。主要挑战包括：网络数据传递过程的常见网络威胁(如拒绝服务、中间人攻击等)，网络传输链路上的硬件和软件安全(如软件漏洞、配置不合理等)，无线网络技术使用带来的网络防护边界模糊等。 　　(3)控制层安全挑战，主要来自控制协议、控制平台、控制软件等方面，其在设计之初可能未考虑完整性、身份校验等安全需求，存在输入验证，许可、授权与访问控制不严格，不当身份验证，配置维护不足，凭证管理不严，加密算法过时等安全挑战 　　(4)应用层安全挑战，指支撑工业互联网业务运行的应用软件及平台的安全，如：WEB、企业资源计划(ERP)、产品数据管理(PDM)、客户关系管理(CRM)以及正越来越多企业使用的云平台及服务等。应用软件将持续面临病毒、木马、漏洞等传统安全挑战;云平台及服务也面临着虚拟化中常见的违规接入、内部入侵、多租户风险、跳板入侵、内部外联、社工攻击等内外部安全挑战。 　　(5)数据层安全挑战，是指工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题，不管数据是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上，海量数据都将面临数据丢失、泄露、篡改等安全威胁。 　　(6)人员管理的挑战，随着工业与IT 的融合，企业内部人员，如：工程师、管理人员、现场操作员、企业高层管理人员等，其“有意识”或“无意识”的行为，可能破