智能制造下工业互联网安全风险应对

智能制造下工业互联网安全风险应对

摘要:在当今工业4.0时代背景下,智能制造将传统工业网络的环境打破,网络信息技术将生产制造环节与互联网信息系统连接起来,实现资源整合共享、生产智能化自动化,随着工业控制系统的智能化发展带来便利的同时也增加了工业网络攻击的风险性。对在智能制造下工业互联网的安全风险问题,本文主要提出了安全体系结构、工控系统网络结构,从控制、网络、应用和数据等几个方面分析工业控制安全风险问题及如何应对工业互联网安全威胁,让更多的工业领域认识到工业互联网安全的重要性以及提高在工业转型升级过程中安全防护技术。

关键词:工业互联网;工业控制;安全体系结构;智能制造

随着我国工业智能化、信息化、数字化的飞速发展,优化生产结 构的同时存在一些安全风险,其实工业互联网的安全问题就像人的健康一样,在没有生病的时候都是健康的,就工业企业来说,没有安全问题就是安全的,这就使得安全风险大大增加了。在整个智能制造的背景下,物联网和大数据技术越来越多地被用于生产制造销售等各个环节,工业互联网就已然成为网络攻击的目标。当工业信息系统网络化程度不断提高,IT和OT结合得越来越密切,例如网络IP化、网络复杂化、无线化等使得工业系统中的网络安全风险更加难以应对,要确保数据在IT和OT之间的安全传输是工业互联网的一个重要的安全风险问题。工控系统是关键基础信息设施的中枢系统,成熟的互联网安全技术不能直接用到工业系统控制领域,所以在新的环境下要加速建立工控系统安全防御体系,不断提升工业互联网安全防护水平,保护了工业互联网安全就是保护国家安全和社会经济稳定要。

1工业互联网基本层次架构

工业互联网中网络、平台、安全是主要的三大功能体系,其中工业互联网平台是工业互联网的核心。基本层次架构如图1所示。图1工业互联网基本层次架构边缘层在最底层,通过各种通信接入工业设备利用工业传感器、边缘计算设备、工业解析协议等实现数据由底层向云平台的集成。平台层PaaS是开放式的操作系统,是工业互联网最重要的部分,包括开发工具和微服务框架,机理建模和可视化,还有设备管理、资源管理、故障恢复等一系列的资源部署和管理。工业平台层就是为工业网络开发提供安全的环境,目前应用较多的安全措施就是身份认证、安全路由和审计等机制,取得很好的应用效果。应用层就是满足业务运行和应用创新,对工业数据进行数据资源部署和管理。从本文的工业互联网基本层次架构中可以看出是在云平台的基础上,通过数据化、智能化应用需求,融合智能制造、物联网大数据和人工智能的互联网技术形成“数据+模型=应用”的网络结构。

2工业互联网安全体系结构

工业互联网安全它不仅是我国工业基础设施的重要保证,还是国家安全不可缺少的重要一环,根据我国工业互联网的现实情况从防护目标、安全特征和管理运营三个应对方向建立工业互联网网络安全体系架构。通过安全体系结构分析应对工业互联网面对的风险,工业互联网安全体系结构如图2所示,主要分析以下五种安全风险。图2工业互联网安全体系结构1)控制安全风险工业控制大多为了保证本身的实时性和高可靠性缺少了在身份认证、加密传输、访问权限等安全方面认识。工控网络安全它包括了智能制造、智慧工厂等新的工业技术,随着大数据技术的不断发展和革新,各行各业的数据将会被采集、处理、集中,这些数据就会被黑客渗透利用,从而造成极大的损失。比如,2015年乌克兰电力系统恶意软件攻击造成国内大面积停电;2018年台积电遭遇病毒入侵,使工厂大范围停工。因此控制安全是工业安全生产中最重要的一环,也是工业升级换代首先考虑的问题,应加强工控系统安全性,建立完善的安全防护体系。2)数据安全风险工业数据就像人的血液一样,是无比重要的,但是现在工业数据接口类型、数据的格式标准不统一,主要特征是体量大、种类繁多、结构复杂导致在进行工业数据通信中存在安全风险。工业生产、销售、服务的数据上传到工业互联网平台,最后到用户的手中这个环节数据是极为容易泄露的,用户的隐私数据、企业的机密数据都在这个工业互联网平台中,使得这些数据保护难度增大。3)网络安全风险工业网络包括内部网络、外部网络及网络边界等,随着越来越多的工业网络接入到互联网中,使得互联网本身存在的一些网络攻击有了新的实验环境,网络安全的风险比之前面临更大的威胁。工业生产中为了生产需要和降低成本,无线通信得到了广泛应用,这种简单的安全防护机制很容易使攻击者通过无线网络入侵,进行网络攻击,使工业生产遭受重大损失。网络融合带来便利的同时,也使得工业网络越来越复杂多样,一成不变的传统防护机制面临攻击手段动态化的严峻挑战。4)设备安全风险在当今工业互联网飞速发展及智能制造的影响下,越来越多的工业设备进行数字化、网络化、智能化升级改造,但安全防护的速度还大步落后于信息化数字化建设的速度,导致越来越多的工业设备处在互联网的安全漏洞下。同时,传统的工业设备多注重生产、效能等一些业务需求,每个环节对网络安全的意识不足,所以不仅要提高传统设备的安全防护,还要注重智能设备带来的风险。5)应用安全风险工业互联网的发展带来了新的商业模式和新的产业生态,随之相关应用也会融入生态中,工业应用种类不断增多,应用程序更加复杂化,面临网络蠕虫木马和拒绝服务攻击的威胁,随时都有可能遭受网络黑客的攻击。

3工业互联网安全应对策略

为了针对以上工业互联网的安全风险,常用的几种防护技术分别是访问控制、身份认证、入侵检测、安全审计、态势感知等。

3.1工控安全防护

工业控制系统是工业控制工业网络结合的信息系统,在智能化发展环境下,工控系统会受到来自其他网络的攻击威胁。新环境下工业控制网络结构如图3所示。在工业互联网发展下,工控系统面向更多的数据流,通过对数据的收集、整理和对比,提取工控系统行为特征,来对关键数据进行比较识别,来发现系统中的入侵行为。工控系统连接到互联网中使之被访问的路径扩大,恶意和伪造身份的访问行为风险增大,所以工业互联网的访问控制技术是重要的一环,应该制定数据信息的访问控制策略、建立访问控制模型。最后通过安全态势感知对网络流量、日志和第三方数据动态的分析网络和用户行为,保证工控系统安全运行。

3.2数据安全防护

工业数据的安全工业的生产息息相关,数据丢失、篡改都会影响生产效率,对数据的安全保密方面,不仅要在IT上做保护,OT面也是非常重要的。要对数据的传输和存储进行加密,对数据的操作行为要进行安全审计,最后对用户的账户信息、系统信息和身份认证加强管理,保护个人信息。

3.3网络安全防护

在网络方第一面要注重网络边界安全,保障外网数据传输的完整性和保密性,建立完整的内网校验机制,优化网络结构。限制非法用户通过无线网、局域网等进行的非法访问,记录对网络资源的访问日志。设置网络报警机制,主要对网络的通信数据、非正常操作、非管理员权限登录等异常行为进行报警。3.4智能设备安全防护在智能制造的背景下,越来越多的智能设备应用于工业,工业机器人、智能仪表和传感器,对这些设备要做好鉴权和控制防护。第一,对就接入工业互联网的设备进行身份鉴别,确保来源安全。第二,关闭设备中不必要的系统服务和端口。第三,对设备的操作系统和漏洞进行补丁升级,保证设备的安全运行。3.5应用安全防护检测工业互联网的应用安全主要从两个方面防护。首先是工业互联网平台本身,采取访问授权、身份鉴别和抗拒绝服务攻击的安全措施。其次是工业应用程序,定期对应用程序进行安全检测、漏洞检测等安全和功能测试,保证人机接口和通信接口的正常设定。

4结束语

工业互联网的安全风险防护是其发展的必然要求,在了解工业互联网安全框架的基本需求后,确立工业互联网的防护对象和建设目标,对控制、数据、网络、设备和应用的五大对象采取有效的防护措施,建立动态的防护机制,加强应急响应能力,构建工业互联网安全评测体系,积极推动工业互联网的安全建设,最重要的是将工业互联网安全防护技术与科学管理相结合,及时应对内部和外部的各种安全威胁以及安全风险,才能真正实现新时代、新环境下工业互联网的安全防护目标。

作者:王荣壮 单位:沈阳化工大学计算机科学与技术学院