- 工信部备案号 滇ICP备05000110号-1
- 滇公安备案 滇53010302000111
- 增值电信业务经营许可证 B1.B2-20181647、滇B1.B2-20190004
- 云南互联网协会理事单位
- 安全联盟认证网站身份V标记
- 域名注册服务机构许可:滇D3-20230001
- 代理域名注册服务机构:新网数码
行业资讯
工业互联网安全防护范围
一、设备安全
工业互联网的发展使得现场设备由机械化向高度智能化转变,并产生了嵌入式操作系统+微处理器+应用软件的新模式,这就使得未来海量智能设备可能会直接暴露在网络攻击下,面临攻击范围扩大、扩散速度增加、漏洞影响扩大等威胁。
工业互联网设备安全指工厂内单点智能终端等智能设备的安全,具体应分别从操作系统、应用软件安全与硬件安全两方面出发部署安全防护措施,可采用的安全机制包括固件安全增强、恶意软件防护、设备身份鉴别与访问控制、漏洞修复等
1.操作系统/应用软件安全
(1)固件安全增强:工业互联网设备供应商需要采取措施对对设备固件进行安全增强,阻止恶意代码传播与运行。工业互联网设备供应商可从操作系统内核、协议栈等方面进行安全增强,并力争实现对于设备固件的自主可控。
(2)漏洞修复加固:设备操作系统与应用软件中出现的漏洞对于设备来说是最直接也是最致命的威胁。设备供应商对工业现场中常见的设备与装置进行漏洞扫描与挖掘,发现操作系统与应用软件中存在的安全漏洞,并及时对其修复。
(3)补丁升级管理:工业互联网企业应密切关注重大工业互联网现场设备的安全漏洞及补丁发布,及时采取补丁升级措施,并在补丁安装前对补丁进行严格的安全评估和测试验证。
2.硬件安全
(1)硬件安全增强:对于接入工业互联网的现场设备,支持基于硬件特征的唯一标识符,为包括工业互联网平台在内的上层应用提供基于硬件标识的身份鉴别能力。此外,应支持将硬件级部件(安全芯片或安全固件)作为系统信任根,为现场设备的安全启动以及数据传输机密性和完整性保护提供支持。
(2)运维管理:工业互联网企业应在工业现场网络重要控制系统的工程师站、操作员站和历史站部署运维管控系统,实现对外部存储器、键盘和鼠标等使用USB接口设备的识别,对外部存储器的使用进行严格控制。同时,注意部署的运维管控系统不能影响生产控制。
二、 控制安全
对于工业互联网控制安全防护,主要从控制协议安全、控制软件安全及控制功能安全三个方面考虑,可采用的安全机制包括协议安全加固、软件安全加固、恶意软件防护、补丁升级、漏洞修复、安全监测审计等。
1.控制协议安全
(1)身份认证:为了确保控制系统执行的控制命令来自合法用户,必须对使用系统的用户进行身份认证,未经认证的用户所发出的控制命令不被执行。在控制协议通信过程中,一定要加入认证方面的约束,避免攻击者通过截获报文获取合法地址建立会话,影响控制过程安全。
(2)访问控制:不同的操作类型需要不同权限的认证用户来操作,如果没有基于角色的访问机制,没有对用户权限进行划分,会导致任意用户可以执行任意功能。
(3)传输加密:在控制协议设计时,应根据具体情况,采用适当的加密措施,保证通信双方的信息不被第三方非法获取。
(4)健壮性测试:控制协议在应用到工业现场之前应通过健壮性测试工具的测试,测试内容可包括风暴测试、饱和测试、语法测试、模糊测试等。
2.控制软件安全
(1)软件防篡改:工业互联网中的控制软件可归纳为数据采集软件、组态软件、过程监督与控制软件、单元监控软件、过程仿真软件、过程优化软件、专家系统、人工智能软件等类型。软件防篡改是保障控制软件安全的重要环节,具体措施包括以下几种:控制软件在投入使用前应进行代码测试,以检查软件中的公共缺陷;采用完整性校验措施对控制软件进行校验,及时发现软件中存在的篡改情况;对控制软件中的部分代码进行加密;做好控制软件和组态程序的备份工作。
(2)认证授权:控制软件的应用要根据使用对象的不同设置不同的权限,以最小的权限完成各自的任务。恶意软件防护对于控制软件应采取恶意代码检测、预防和恢复的控制措施。
(3)补丁升级更新:控制软件的变更和升级需要在测试系统中经过仔细的测试,并制定详细的回退计划。对重要的补丁需尽快测试和部署。对于服务包和一般补丁,仅对必要的补丁进行测试和部署。
(4)漏洞修复加固:控制软件的供应商应及时对控制软件中出现的漏洞进行修复或提供其他替代解决方案,如关闭可能被利用的端口等。
(5)协议过滤:采用工业防火墙对协议进行深度过滤,对控制软件与设备间的通信内容进行实时跟踪。
(6)安全监测审计:通过对工业互联网中的控制软件进行安全监测审计可及时发现网络安全事件,避免发生安全事故,并可以为安全事故的调查提供详实的数据支持。目前许多安全产品厂商已推出了各自的监测审计平台,可实现协议深度解析、攻击异常检测、无流量异常检测、重要操作行为审计、告警日志审计等功能。
3.控制功能安全
要考虑功能安全和信息安全的协调能力,使得信息安全不影响功能安全,功能安全在信息安全的防护下更好地执行安全功能。现阶段功能安全具体措施主要包括:
(1)确定可能的危险源、危险状况和伤害事件,获取已确定危险的信息(如持续时间、强度、毒性、暴露限度、机械力、爆炸条件、反应性、易燃性、脆弱性、信息丢失等)。
(2)确定控制软件与其他设备或软件(已安装的或将被安装的)以及与其他智能化系统(已安装的或将被安装的)之间相互作用所产生的危险状况和伤害事件,确定引发事故的事件类型(如元器件失效、程序故障、人为错误,以及能导致危险事件发生的相关失效机制)。
(3)结合典型生产工艺、加工制造过程、质量管控等方面的特征,分析安全影响。
(4)考虑自动化、一体化、信息化可能导致的安全失控状态,确定需要采用的监测、预警或报警机制、故障诊断与恢复机制、数据收集与记录机制等。
(5)明确操作人员在对智能化系统执行操作过程中可能产生的合理可预见的误用以及智能化系统对于人员恶意攻击操作的防护能力。
(6)智能化装备和智能化系统对于外界实物、电、磁场、辐射、火灾、地震等情况的抵抗或切断能力,以及在发生异常扰动或中断时的检测和处理能力。
三、网络安全
工业互联网网络安全防护应面向工厂内部网络、外部网络及标识解析系统等方面,具体包括融合网络结构优化、边界安全防护、接入认证、通信内容防护、通信设备防护、安全监测审计等多种防护措施,构筑立体化的网络安全防护体系。
1.优化网络结构设计
在网络规划阶段,需设计合理的网络结构。一方面通过在关键网络节点和标识解析节点采用双机热备和负载均衡等技术,应对业务高峰时期突发的大数据流量和意外故障引发的业务连续性问题,确保网络长期稳定可靠运行。另一方面通过合理的网络结构和设置提高网络的灵活性和可扩展性,为后续网络扩容做好准备。
2.网络边界安全
根据工业互联网中网络设备和业务系统的重要程度将整个网络划分成不同的安全域,形成纵深防御体系。安全域是一个逻辑区域,同一安全域中的设备资产具有相同或相近的安全属性,如安全级别、安全威胁、安全脆弱性等,同一安全域内的系统相互信任。在安全域之间采用网络边界控制设备,以逻辑串接的方式进行部署,对安全域边界进行监视,识别边界上的入侵行为并进行有效阻断。
3.网络接入认证
接入网络的设备与标识解析节点应该具有唯一性标识,网络应对接入的设备与标识解析节点进行身份认证,保证合法接入和合法连接,对非法设备与标识解析节点的接入行为进行阻断与告警,形成网络可信接入机制。网络接入认证可采用基于数字证书的身份认证等机制来实现。
4.通信和传输保护
通信和传输保护是指采用相关技术手段来保证通信过程中的机密性、完整性和有效性,防止数据在网络传输过程中被窃取或篡改,并保证合法用户对信息和资源的有效使用,具体包括:
(1)通过加密等方式保证非法窃取的网络传输数据无法被非法用户识别和提取有效信息。
(2)网络传输的数据采取校验机制,确保被篡改的信息能够被接收方有效鉴别。
(3)应确保接收方能够接收到网络数据,并且能够被合法用户正常使用。
5.网络设备安全防护
为了提高网络设备与标识解析节点自身的安全性,保障其正常运行,网络设备与标识解析节点需要采取一系列安全防护措施,主要包括:
(1)对登录网络设备与标识解析节点进行运维的用户进行身份鉴别,并确保身份鉴别信息不易被破解与冒用;
(2)对远程登录网络设备与标识解析节点的源地址进行限制;
(3)对网络设备与标识解析节点的登录过程采取完备的登录失败处理措施;
(4)启用安全的登录方式(如SSH或HTTPS等)。
6.安全监测审计
网络安全监测指通过漏洞扫描工具等方式探测网络设备与标识解析节点的漏洞情况,并及时提供预警信息。网络安全审计指通过镜像或代理等方式分析网络与标识解析系统中的流量,并记录网络与标识解析系统中的系统活动和用户活动等各类操作行为以及设备运行信息,发现系统中现有的和潜在的安全威胁,实时分析网络与标识解析系统中发生的安全事件并告警。同时记录内部人员的错误操作和越权操作,并进行及时告警,减少内部非恶意操作导致的安全隐患。
四、应用安全
工业互联网应用主要包括工业互联网平台与工业应用程序两大类,其范围覆盖智能化生产、网络化协同、个性化定制、服务化延伸等方面。
1.平台安全
安全审计主要是指对平台中与安全有关的活动的相关信息进行识别、记录、存储和分析。平台建设过程中应考虑具备一定的安全审计功能,将平台与安全有关的信息进行有效识别、充分记录、长时间的存储和自动分析。能对平台的安全状况做到持续、动态、实时的有依据的安全审计,并向用户提供安全审计的标准和结果。
工业互联网平台用户分属不同企业,需要采取严格的认证授权机制保证不同用户能够访问不同的数据资产。同时,认证授权需要采用更加灵活的方式,确保用户间可以通过多种方式将数据资产分模块分享给不同的合作伙伴。
部署DDOS防御系统,在遭受DDOS攻击时,保证平台用户的正常使用。平台抗DDOS的能力应在用户协议中作为产品技术参数的一部分明确指出。
平台不同用户之间应当采取必要的措施实现充分隔离,防止蠕虫病毒等安全威胁通过平台向不同用户扩散。平台不同应用之间也要采用严格的隔离措施,防止单个应用的漏洞影响其他应用甚至整个平台的安全。
应对平台实施集中、实时的安全监测,监测内容包括各种物理和虚拟资源的运行状态等。通过对系统运行参数(如网络流量、主机资源和存储等)以及各类日志进行分析,确保工业互联网平台提供商可执行故障管理、性能管理和自动检修管理,从而实现平台运行状态的实时监测。
工业互联网平台搭建在众多底层软件和组件基础之上。由于工业生产对于运行连续性的要求较高,中断平台运行进行补丁升级的代价较大。因此平台在设计之初就应当充分考虑如何对平台进行补丁升级的问题。
虚拟化是边缘计算和云计算的基础,为避免虚拟化出现安全问题影响上层平台的安全,在平台的安全防护中要充分考虑虚拟化安全。虚拟化安全的核心是实现不同层次及不同用户的有效隔离,其安全增强可以通过采用虚拟化加固等防护措施来实现。
2.工业应用程序安全
代码审计指检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。开发过程中应该进行必要的代码审计,发现代码中存在的安全缺陷并给出相应的修补建议。
企业应对工业应用程序开发者进行软件源代码安全培训,包括:了解应用程序安全开发生命周期(SDL)的每个环节,如何对应用程序进行安全架构设计,具备所使用编程语言的安全编码常识,了解常见源代码安全漏洞的产生机理、导致后果及防范措施,熟悉安全开发标准,指导开发人员进行安全开发,减少开发者引入的漏洞和缺陷等,从而提高工业应用程序安全水平。
漏洞发现是指基于漏洞数据库,通过扫描等手段对指定工业应用程序的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为。在应用程序上线前和运行过程中,要定期对其进行漏洞发现,及时发现漏洞并采取补救措施。
对工业应用程序进行审核测试是为了发现功能和逻辑上的问题。在上线前对其进行必要的审核测试,有效避免信息泄漏、资源浪费或其他影响应用程序可用性的安全隐患。
对工业应用程序进行实时的行为监测,通过静态行为规则匹配或者机器学习的方法,发现异常行为,发出警告或者阻止高危行为,从而降低影响。
五、数据安全
对于工业互联网的数据安全防护,应采取明示用途、数据加密、访问控制、业务隔离、接入认证、数据脱敏等多种防护措施,覆盖包括数据收集、传输、存储、处理等在内的全生命周期的各个环节。
1.数据收集
工业互联网平台应遵循合法、正当、必要的原则收集与使用数据及用户信息,公开数据收集和使用的规则,向用户明示收集使用数据的目的、方式和范围,经过用户的明确授权同意并签署相关协议后才能收集相关数据。授权协议必须遵循用户意愿,不得以拒绝提供服务等形式强迫用户同意数据采集协议。另外,工业互联网平台不得收集与其提供的服务无关的数据及用户信息,不得违反法律、行政法规的规定和双方约定收集、使用数据及用户信息,并应当依照法律、行政法规的规定和与用户的约定处理其保存的数据及个人信息。
2.数据传输
为防止数据在传输过程中被窃听而泄露,工业互联网服务提供商应根据不同的数据类型以及业务部署情况,采用有效手段确保数据传输安全。例如通过SSL保证网络传输数据信息的机密性、完整性与可用性,实现对工业互联网平台中虚拟机之间、虚拟机与存储资源之间以及主机与网络设备之间的数据安全传输,并为平台的维护管理提供数据加密通道,保障维护管理过程的数据传输安全。
3.数据存储
数据访问控制需要保证不同安全域之间的数据不可直接访问,避免存储节点的非授权接入,同时避免对虚拟化环境数据的非授权访问。
(1)存储业务的隔离:借助交换机,将数据根据访问逻辑划分到不同的区域内,使得不同区域中的设备相互间不能直接访问,从而实现网络中设备之间的相互隔离。
(2)存储节点接入认证:对于存储节点的接入认证可通过成熟的标准技术,包括iSCSI协议本身的资源隔离、CHAP(Challenge Handshake Authentication Protocol)等,也可通过在网络层面划分VLAN或设置访问控制列表等来实现。
(3)虚拟化环境数据访问控制在虚拟化系统上对每个卷定义不同的访问策略,以保障没有访问该卷权限的用户不能访问,各个卷之间互相隔离。
工业互联网平台运营商可根据数据敏感度采用分等级的加密存储措施(如不加密、部分加密、完全加密等)。建议平台运营商按照国家密码管理有关规定使用和管理密码设施,并按规定生成、使用和管理密钥。同时针对数据在工业互联网平台之外加密之后再传输到工业互联网平台中存储的场景,应确保工业互联网平台运营商或任何第三方无法对客户的数据进行解密。
用户数据作为用户托管在工业互联网服务提供商的数据资产,服务提供商有妥善保管的义务。应当采取技术措施和其他必要措施,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。工业互联网服务提供商应当根据用户业务需求、与用户签订的服务协议制定必要的数据备份策略,定期对数据进行备份。当发生数据丢失事故时能及时恢复一定时间前备份的数据,从而降低用户的损失。
4.数据处理
数据处理过程中,工业互联网服务提供商要严格按照法律法规以及在与用户约定的范围内处理相关数据,不得擅自扩大数据使用范围,使用中要采取必要的措施防止用户数据泄露。如果处理过程中发生大规模用户数据泄露的安全事件,应当及时告知用户和上级主管部门,对于造成用户经济损失的应当给予赔偿。数据销毁在资源重新分配给新的租户之前,必须对存储空间中的数据进行彻底擦除,防止被非法恶意恢复。应根据不同的数据类型以及业务部署情况,选择采用如下操作方式:
(1)在卷回收时对逻辑卷的所有bit位进行清零,并利用“0”或随机数进行多次覆写;
(2)在非高安全场景,系统默认将逻辑卷的关键信息(如元数据、索引项、卷前10M等)进行清零;在涉及敏感数据的高安全场景,当数据中心的物理硬盘需要更换时系统管理员可采用消磁或物理粉碎等措施保证数据彻底清除。
当工业互联网平台中存储的工业互联网数据与用户个人信息需要从平台中输出或与第三方应用进行共享时,应当在输出或共享前对这些数据进行脱敏处理。脱敏应采取不可恢复的手段,避免数据分析方通过其他手段对敏感数据复原。此外数据脱敏后不应影响业务连续性,避免对系统性能造成较大影响。
