2010年后,新技术广泛运用,安全问题更加复杂。
“工业互联网安全”指的是在工业互联网环境下,采取必要的技术措施和管理机制,保障企业的信息资产、 关键基础设施及生产系统的机密性、完整性和可用性,预防各种安全事件对企业经营与生产的破坏,达到可接 受的安全风险级别。它主要包括:设备安全、网络安全、控制安全、应用安全和数据安全。 “工业互联网安全”涵盖保护企业系统、网络、应用、数据等方方面面,需要从技术、管理等全局出发构建 长效的安全防护体系。它关系到企业数字化转型的安全与成果,是企业提高核心竞争力必须高度重视的领域。
当前,随着全球网络安全形势深刻变化以及工业互联网深度融合形态快速发展,工业互联网安全形势更 加复杂严峻。总体来看,工业互联网安全有以下特征:
一是系统复杂:工业互联网系统涉及信息系统、工控系统、网络设备、智能设备等多个子系统,相互依赖又相互独立,安全防护难度大。
二是攻击面广:系统和设备广泛连接互联网,面临来自网络各个角落的攻击威胁,易受黑客利用漏洞入侵。
三是影响严重:系统一旦遭入侵或受到破坏,可能导致生产中断、设备损坏、产品质量问题等,造成重大损失。
四是技术变化快:新技术飞速发展,安全防护经常难以跟上技术变化步伐,在应用新技术时容易产生安全漏洞,加大风险。
工业互联网安全的发展大致经历了三个阶段: 第一阶段,研究起步期。20世纪90年代,Internet开始在工业领域广泛应用,工控系统开始联网,安全问 题开始被关注。国内外专家学者开展工控系统安全性研究,ISO发布工控系统安全标准,工业互联网安全组织 建立,知识体系开始形成。 第二阶段,标准规范期。2000年后,一系列工业互联网安全标准陆续发布,如IEC62443等。企业安全意识增强,安全产品应用广泛,第三方安全服务出现。行业组织推动安全生态构建。这一阶段为工业互联网安 全的发展奠定了基础。
第三阶段,跨界协作期。2010年后,新技术广泛运用,安全问题更加复杂。国家出台网络安全法和相关政 策法规,加速安全发展。安全产业链初具规模,不同行业和领域开展安全合作,安全服务商专业化发展。安 全已经成为企业发展重点。 此后,工业互联网安全进入新的发展阶段: 第一,安全生态成熟期。安全产业体系更加完善,不同角色协同发展。安全服务模式丰富,技术手段不断 创新。政策法规更加精细化,标准体系基本形成。 第二,预防为主期。安全投入大幅增加。安全设计理念和方法广泛采用。关键系统和产品安全性大幅提 高。安全技术手段智能化,安全监测和运维高度自动化。 第三,基础设施融合期。信息物理系统深度融合,制造与网络基础设施联动,系统架构安全性大幅提高。 数据与知识在全局流通。安全已经成为关键基础设施。工业互联网安全仍处在不断发展中,未来发展空间广 阔。但其发展方向已经十分清晰,那就是生态健全、预防为主和基础设施融合。
工业主机安全风险。随着企业信息网络的深入应用与日臻完善,越来越多的工业主机应用到了工业环境 中。工业主机系统复杂,存在各种软硬件及接口漏洞,如操作系统漏洞、数据库漏洞等,这可能被黑客利用 导致系统被入侵控制。 工业控制设备安全风险。工业控制系统集成度高但安全防护较弱, 存在被非法访问控制的风险,可能导 致工业生产中断或设备损坏。不同工业控制设备的安全能力参差不齐,缺乏统一的安全标准与规范,这使整 体安全防护水平无法提高。
数控设备安全风险。目前国内使用的主流数控设备,其核心系统大部分是国外厂家产品,尤其是高端数 控机床控制系统和数控整体联网解决方案,从而导致数控系统自身安全难以保证,复杂的数控系统所包含的 软件代码量级巨大,其中可能存在系统设计漏洞和预留后门等安全隐患,给数控设备及数控系统带来一定的 安全风险。数控设备的升级维护严重依赖生产和供应厂商,很多设备允许通过网络远程控制,系统缺少用户身份认证和访问控制等安全机制,设备的升级维护过程行为不可控,存在巨大的安全风险。 工业机器人安全风险。工业机器人安全风险主要源自其系统复杂性、半开放性以及人机交互等特点。工 业机器人系统涉及机器人本体、控制系统、传感系统、执行机构等多个子系统。这些子系统相互依赖且具有 一定的半开放性,容易在系统集成和接口接入中出现安全漏洞, 造成系统运行失控或被入侵,威胁人员与设 备安全。同时,工业机器人的高度智能化也意味着其行为难以完全判断和预测,在人机交互中也存在一定安 全隐患。 工业物联网设备安全风险。各类传感器、执行器等设备进入网络, 受到非法访问控制的风险增加,可能 导致虚假信息推送或重要设备失效。
标识解析系统安全。工业互联网标识解析体系是工业互联网网络体系的重要组成部分,是整个工业互联 网网络实现互联互通的关键基础设施,为全球制造业发展和工业互联网普及提供关键资源和基础服务。标识 解析系统安全涉及DNS、数字证书、域名注册、路由与IP地址等。其防护直接影响网络空间安全。 5G网络安全威胁。在5G与工业互联网两个行业日渐融合中,由于MES边缘计算等新技术的引入,海量 工业设备的接入,以及更复杂应用场景的出现,打破了传统工业相对封闭可信的安全环境,由此带来的病 毒、木马、系统漏洞和DDOS为代表的流量攻击等安全风险为工业领域的威胁日益加剧。
工业APP是为了解决特定的具体问题、满足特定的具体需要而将实践证明可行和可信的工业技术知识封 装固化后所形成的一种工业应用程序。许多工业APP申请的权限过于宽泛,超出实际需要,这可能被恶意程 序利用进入系统进一步获取权限。工业APP处理与传输大量 敏感数据,但加密机制较弱或未加密,可能导致 重要数据泄露或被窃取。部分工业APP发布后便不再维护,无法及时修复新发现的安全漏洞与威胁,长此以 往安全风险将持续增加。
随着越来越多的工业控制系统与互联网连接,传统相对封闭的工业生产环境被打破。工业主机、数据库 等存在的端口开放、漏洞未修复、接口未认证等安全问题,降低了黑客入侵窃密的难度,数据更易泄露。 从数据采集看,不同行业、企业间的数据类型、接口规范、通信协议不统一,难以实施有效的整体防 护,采集的数据可被黑客注入“脏 数据”,存在数据不可靠风险。从数据传输看,工业数据实时性强,传统加密传输等安全技术难以胜任,数据传输面临泄露、监听等多重安全风险。从数据存储看,缺乏完善的数据 分类分级隔离措施和授权访问机制,存在被非法访问、窃取、篡改等风险。从数据使用看,工业数据多维 异构、碎片化,传统数据清洗与解析、数据包深度分析等措施的实施效果不佳。 人工智能、区块链等新技术在工业领域的深入应用,在促进工业数据分析、开放利用的同时,也引入 了新的数据安全问题。机器学习可将过去分离的信息进行关联、碰撞和整合,使原始数据中被隐藏的信息 再次显现出来,造成一些敏感数据被提取利用;人工智能技术的应用带来深度伪造、数据污染等数据安全 新风险。
