工业互联网设备的网络安全管理与防护研究 网络设备安全


工业互联网设备的网络安全管理与防护研究 网络设备安全

文章插图
网络安全(工业互联网设备网络安全管理与防护研究)
一.导言
工业是新一代信息和通信技术与工业系统融合的产物 。保障工业融合转型,构建工业互联网安全体系,是工业互联网安全发展的前提 。在网络连接和数据互通的趋势下,工业系统正在加速开放和集成 。传统工业系统在相对封闭、隔绝的环境下面向生产安全的安全管理和运维模式,已经不能适应复杂多变的工业互联网应用环境 。同时,工业控制系统和设备存在漏洞和后门,工业控制系统和设备的脆弱性和高实时性要求,使得其很难像传统信息系统那样进行安全防护 。因此,相关的网络安全能力建设成为关键内容 。
随着信息技术与传统工业运行技术的深度融合,工业互联网设备的网络安全防护能力将直接影响工业生产和业务运营,成为网络安全政策管控和工业防护实践的重要组成部分 。近年来,设备产品的安全性逐渐成为传统工业强国关注的焦点,被视为加强网络安全控制、保障供应链安全和产业发展的重点内容 。比如美国通过网络安全审查的方式建立了供应链管控体系,颁布了《物联网网络安全改善法案》 。目前,在工业设备的测量、运行、维护和质量管理方面已经开展了许多研究和应用,重点是利用设备质量控制、预知维修、高精度测量、故障分析和远程监控来保证设备的功能安全和性能[1 ~ 4];积极开展工业大数据、人工智能(AI)等新技术在设备功能安全应用中的应用研究[5~8] 。从现有进展来看,工业互联网设备的网络安全研究整体上还比较缺乏;无论是设备自身功能的安全保障,还是利用新技术加强设备健康管理和监控,工业设备面临的网络安全问题都不容忽视 。
本文围绕工业互联网设备的网络安全,分析需求,梳理现状,判断问题,论证路径,提出具体发展建议,以期为该领域的基础和政策研究提供思路和参考 。
二、工业互联网设备安全防护的概念和需求分析
(一)工业互联网设备安全保护的概念
工业互联网设备是指在新一代信息技术与工业生产、制造、经营和管理的融合应用过程中,通过有线或无线方式连接到工业互联网网络的装置或设备 。它具有类型多样、功能多样、应用形式多样的特点 。工业设备包括:工业控制设备,如可编程逻辑控制器(PLC)、远程终端单元(RTU);工业和安全设备,如工业交换机和工业防火墙;智能终端设备,如数据采集网关、视频监控设备、物联网相关设备 。从设备安全和应用进程保护的角度,工业互联网设备的安全保护细分为硬件安全、网络通信安全、系统服务安全、应用开发安全和数据安全(见图1) 。

图1工业互联网设备网络安全防护类别
硬件安全,包括设备调试接口的访问控制,芯片安全保护,设备功耗等信息统计分析关联的威胁风险防范 。目前大部分网络设备和物联网设备都保留了硬件调试接口,有些接口甚至不需要验证就可以获得访问操作,很可能成为恶意攻击和数据窃取的入口,进而导致设备密钥、认证等信息泄露 。
网络安全包括通信认证和加密,进一步分为网络层加密、传输层加密和应用层数据加密 。如果设备间网络通信的访问权限控制不足,攻击者可以通过身份伪造在设备间、设备与主机系统间进行“中间人攻击”,很可能迅速扩散形成僵尸网络,然后僵尸网络作为受控端对网络进行大规模攻击 。此外,设备的通信加密能力不足,很容易被黑客窃取用户或设备的身份信息,泄露重要的工业数据 。
服务安全,包括信息资源网络,包括设备操作系统的访问控制、基线安全配置、系统更新的安全机制保护、系统入侵防范、恶意代码防范等 。攻击者可以利用设备系统(或固件)中的漏洞或缺陷入侵设备,并在升级过程中植入恶意代码,增加了溯源和事后检查的难度 。
应用安全包括组件资源之间的访问控制和用户的认证授权、外部接口安全、配置文件和重要数据的安全保护、通信协议的加密、第三方组件库的漏洞调查、代码本身的安全设计等 。如果设备自身的安全机制不足,攻击者可以利用应用程序的安全漏洞或缺陷入侵设备和系统,发动有针对性的攻击 。
数据安全,包括数据完整性、隐私和可用性保护,防止数据被窃取、监控和篡改 。企业加快数字化转型,开始大规模部署IOT和数据采集、边缘计算等智能设备 。工业生产过程、业务数据和用户信息的开放共享和移动利用呈现指数级增长趋势 。许多工业设备和工业网络仍然存在明文传输数据的现象,因此很难发现对设备的非侵入性和被动的数据监控活动 。如果设备本身的数据保护和隐私保护机制不足,关键工艺参数、工艺数据等信息可能会被恶意控制泄露或篡改 。


推荐阅读