工業互聯網作為“新基建”七大領域之一,正在駛入快車道。本質上,工業互聯網是信息技術與制造業的深度融合,旨在打破過去人-機-物之間、工廠與工廠之間、企業上下游之間彼此相對獨立的物理隔離狀態,實現全要素、全產業鏈、全價值鏈的全面連接,這將對加速我國工業技術改革創新、搶占全球制造業新高地發揮重要作用。
當前工業互聯網還處于起步階段,有諸多關鍵問題亟待解決,其中一個就是如何保障工業互聯網安全。國際上曾發生過多起工業網絡攻擊事件,給所在國造成極大危害,值得我們高度警惕。例如2015年烏克蘭遭受網絡攻擊而導致大面積停電,30余個變電站出現故障,140余萬人受到影響。2019年委內瑞拉古里水電站遭受電磁攻擊繼而引發了全國性大停電,交通癱瘓,通訊中斷,影響極大。未來的工業互聯網由于其互聯互通特性,一旦遭受網絡攻擊,可能造成的影響會更加深遠。可以說在某種意義上,工業互聯網的網絡安全保障水平將是其發展成敗與否的決定性因素之一。
一、新基建下工業互聯網安全風險分析
總體而言,我國工業互聯網發展面臨以下主要安全風險。
1. 供應鏈不可控,潛在安全隱患大
工業互聯網涉及能源、交通、制造等國家關鍵基礎設施領域,廠商構成復雜,設備種類繁多,特別是高端數控機床、高端發動機、發電控制系統,以及高端PLC器件等底層控制設備嚴重依賴國外。例如,我國大中型PLC設備基本上以國外產品為主,工業軟件也幾乎被國外壟斷,僅國外三大EDA軟件廠商在我國的市場份額就超過 95%,國產軟件技術水平差距在30年以上。這些工業核心軟硬件的內部機理及通信過程往往不透明,再加上自身可能存在設計漏洞和被植入后門的問題,容易造成重要工業資產和裝備制造業務信息被非法竊取,甚至可被遠程控制和破壞。同時,由于它們在工業生產中往往起著不可代替的核心中樞作用,天然成為“卡脖子”瓶頸。最近的中興、華為事件,以及Matlab禁用事件均充分說明,只有核心技術掌握在自己手中,降低對外依賴度,才能真正確保長遠發展。
2. 工業互聯網的泛在互聯、跨域共享特點將會顯著擴大受攻擊面,給現有的網絡安全防范帶來巨大挑戰
工業互聯網的目標就是實現人機物的全面互聯,實現網絡空間與物理世界的無縫銜接,使得生產狀態、工藝參數、產能信息等關鍵工業數據向云平臺匯聚。它整合現有工廠級控制系統、企業信息系統及云平臺,并將衍生出各種工業app應用,這勢必會導致工業互聯網成為網絡攻擊的重點目標。
現有工廠控制系統是一個相對封閉的獨立網絡,與企業信息系統之間通常單向隔離,甚至是完全物理隔離,現場采集終端也處于相對封閉的環境中。但是隨著未來5G、物聯網、工業互聯網的發展和應用,大量智能傳感器、工業機器人、攝像頭、智能儀表等終端設備都能遠程接入工業互聯網中。這種泛在連接打破了原有的邊界隔離,使得黑客能夠通過這些邊緣層終端跳轉進入核心網絡,而目前這些邊緣層終端的防護能力遠遠滿足不了要求。例如,卡巴斯基實驗室曾經發布了一份工控威脅環境報告,通過全網掃描發現全球170個國家超過18萬臺工控主機,92%存在容易被利用的脆弱性。
除了邊緣接入的巨大風險之外,工業互聯網實現的兩個層面的互通,即企業內部從車間到決策層的縱向互聯,以及上下游企業(供應商、經銷商、客戶、合作伙伴)之間的橫向互聯,也勢必會導致網絡風險的蔓延。同時,工業云平臺匯聚了企業的核心資產——工業大數據,也將成為眾矢之的。
3. 控制系統自身漏洞多、難修補,導致工業互聯網安全地基不牢
與傳統IT設備相比,工業設備更關注系統的實時性與業務連續性,內存和處理能力有限,安全防護機制缺失,系統漏洞多,再加上受生產運行環境的限制,安全漏洞很難及時修補,這就導致問題將長期存在。例如,2018年工信部曾對20余家典型工業企業、工業互聯網平臺企業進行安全檢查,發現2000多個安全威脅。相關數據顯示,我國目前有50%以上的工控系統帶“毒”運行,100%的工控系統帶漏洞運轉。
4. 工業互聯網的安全管理跨界融合困難
工業互聯網最終將實現IT和OT的融合,不僅會打通技術鏈條,實現業務賦能,同時也模糊了生產安全管理和網絡安全管理的界限。安全管理的跨界融合是對現有涇渭分明的安全管理體系的一種顛覆,需要不斷協調和填補雙方在知識背景、安全意識、操作技能、運行機制、慣性思維等全方位的巨大鴻溝,這無疑是一個重大挑戰。
二、工業互聯網安全測試與風險評估
鑒于上述安全風險,工業互聯網這個“新基建”的重要領域,從一開始就必須系統性考慮安全可控的信息技術體系,做到“同步規劃、同步建設、同步使用”,以保證新型基礎設施的安全。安全建設離不開安全測評。與傳統信息系統安全評估相比,工業互聯網安全測試與風險評估需要注意以下幾點。
1. 工業互聯網資產梳理
工業互聯網是工業自動化生產的新理念新體系新視角,其中最核心的仍然是底層的工業控制系統。目前工控系統面臨著資產多、種類繁雜、現實管理混亂、資產所屬及其網絡安全責任所屬不清的情況,工業企業普遍沒有建立工控資產臺賬,資產底數不明,甚至大量工控設備處于野外無人值守狀態,這都導致了一旦發生工控網絡安全事件很難開展應急處置。在未來,海量的智能傳感器、智能儀表等邊緣傳感設備的廣泛應用更將加劇這種狀況。
工業互聯網資產梳理有多種方式,如工業互聯網資產自動化測繪、資產人工梳理核查以及混合方式。前者可以在工業互聯網中自動化探測資產信息并進行收集整理分析,后者需要根據工控資產核查表單,人工登記記錄形成電子版資產臺賬。在很多工控評估規范中均對資產安全提出了要求。例如《工業控制系統信息安全防護指南》“資產安全”要求中明確提出“建設工業控制系統資產清單,明確資產責任人,以及資產使用及處置規則”。只有工業互聯網資產梳理清楚,才能準確全面地進行安全評估。
2. 工業互聯網安全基線靜態評估
安全基線靜態評估是網絡風險評估的重要內容。工業互聯網安全基線靜態評估應充分針對其特點來開展,尤其是現場控制部分。例如,許多終端控制設備位于室外而非機房環境,這對物理環境提出了新要求;工業主機盡管以普通計算機形態存在,但由于其功能主要用于生產業務運營而非個人使用,因而各種外設接口都需嚴格管理;過程監控往往要求24小時不間斷,其不同用戶的切換可能會對狀態監視及控制造成安全影響,這又對傳統的身份鑒別和訪問控制提出了考驗;工控系統實時性高的特點會直接影響安全模塊或者安全設備的部署。這些因素都是工業互聯網安全基線靜態評估中需要慎重考慮的內容。
3. 工業互聯網網絡威脅檢測與態勢感知動態評估
工業互聯網的網絡安全是動態變化的,可能面臨著外部惡意網絡攻擊、內部人員誤操作、運行狀態異常等動態變化的安全威脅。網絡威脅檢測與態勢感知動態評估能夠較好地應對這種動態安全變化。通過對工業互聯網網絡流量捕獲監測分析,能夠發現網絡中的畸形流量、異常行為、重要指令、越界參數等,從而對其運行狀態進行感知和評估。特別是工業互聯網的底層控制網絡主要連接傳感器、執行器、控制器、監控中心等,人員操作行為少,更有利于建立網絡正常行為基線。
4. 工業通信協議解析分析與流量構造
工業互聯網不僅包括上層應用及云平臺之間的TCP/IP網絡,還包括底層的現場總線網絡、工業以太網等專用網絡,使用的工業網絡協議數量眾多,種類繁雜,主流的有Modbus、OPC、DNP3.0、PROFINET、EtherNet/IP等等。其中大量工業通信協議為廠商私有,不對外公開。無論是對工業控制網絡進行安全監測還是對工控設備進行安全測試,均離不開對工業通信協議的理解和解析。因此,對各種私有的工業通信協議進行逆向分析、規約識別、語義理解就變得十分重要。
此外,工控系統的實時性要求高,一般不能接受較嚴重的網絡延遲和抖動,信息通信必須不被中斷或受到影響,因此在對工控設備或工控安全設備進行安全測試時,往往還需要構造特定的工控測試流量包,實現工業協議健壯性、工業協議解析合規性等安全測試。
5. 工業互聯網仿真測試環境建設
工業互聯網主要涉及關系到國計民生的關鍵行業領域,例如:電力、石油、化工、水利、交通、制造、冶金等,尤其是工業互聯網中的工業控制系統,是這些領域自動化生產和運營的“神經中樞”和“大腦”,具有核心關鍵作用。工業互聯網安全評估不能影響生產業務的正常運行,但是安全評估過程中采用的技術手段卻有可能對實際在線運行的工業控制系統造成嚴重影響,例如造成生產停車、經濟損失,甚至發生火災爆炸等。因此,應該嚴格禁止對工業互聯網底層生產運行系統采取主動探測、滲透測試等技術手段。通過采用工業互聯網系統的軟硬件備件,按照一定比例建立工業互聯網仿真測試環境,對系統進行測試評估并對發現的問題進行驗證,是一個行之有效的辦法。為了綜合平衡測試結果的可信度與測試環境的建設投入,可以考慮虛實結合方式,對與網絡安全密切相關的關鍵要素(如工業軟件、工控設備、工業通信網絡等)采用真實系統進行構建,而對其它要素(如工藝流程、物理過程等)則進行仿真,但總體上應保證系統結構完整,確保安全測試效果。
工業互聯網作為工業體系和互聯網體系的深度融合產物,是新一輪工業革命的關鍵支撐,也是“新基建”的重點推進領域。我們既要加速推進制造業數字化、網絡化、智能化發展進程,又要高度重視蘊含的網絡安全風險,做好頂層設計,強化統籌協調,確保工業互聯網安全健康發展,為國家“新基建”戰略的落實奠定安全基礎。
來源:中國信息安全
