江苏龙网

  1. 主页 > 生活百科 > >

工业互联网设备的网络安全管理与防护研究 网络设备安全( 二 )


(二)工业互联网设备安全防护需求分析
工业设备的功能安全、网络和数据安全需要与实际应用形态中的网络安全漏洞排查和解决相结合,根据设备的应用周期和智能属性实施差异化管理保护 。
部分设备在设计开发过程中没有认真考虑网络安全,长期不间断运行模式导致难以进行深入的安全检测或部署安全防护措施,不同程度存在漏洞和隐患 。据中国国家信息安全漏洞共享平台(CNVD) [9]统计,工业控制系统设备相关漏洞数量为2955个(截至2020年12月),每年工业控制系统设备新增漏洞数量为593个 。根据中国信息通信研究院工业互联网设备安全评估及相关监测结果,相当一部分工业互联网设备存在命令篡改、敏感信息获取、权限绕过等中高危漏洞,部分工业安全设备甚至存在高危漏洞,安全防护能力明显不足 。国内部分工业互联网设备系统持续遭受来自境外的定向扫描和恶意感染,如僵尸网络、木马、蠕虫、病毒等 。,且网页攻击和系统攻击的频率和数量持续增加;我国工业领域广泛应用的罗克韦尔PLC和西门子windows控制中心存在严重的高危漏洞 。因此,对工业互联网设备的漏洞进行深度安全检测,尤其是无损安全检测和防护,已经成为工业企业和设备供应商普遍的迫切需求 。
从设备应用周期和适用的网络安全防护措施来看,工业互联网设备需要进行差异化、分类的网络安全管理和防护 。一个是已经应用和部署的“库存”设备 。由于其资源和性能有限,且长期运行,很可能网络安全检测长期没有开展,隐藏的威胁难以完全掌握;对于这类设备的安全防护,需要具体分析实际应用情况,通过防护措施叠加、监控感知等方式加强风险防控 。另一类是新应用的“增量”设备,尤其是具有远程控制、数据采集与分析、计算与处理功能的智能设备,大多使用通用操作系统(如嵌入式Linux等 。),从而在一定程度上降低了攻击者的入侵难度;如果某些智能设备受到恶意控制和攻击,可能具有大规模主动扩散能力,成为“跳板”,成为智能攻击的一部分;对于这类设备的安全防护,需要结合设备自身功能、应用场景、支撑业务需求,加强自身硬件安全防护、网络通信、数据安全等机制的设计,采取网络安全意识、监测预警、应急响应等措施 。
三 。工业互联网设备安全领域的国际进展
(1)安全监督和审查
传统工业强国的网络安全法律和监管措施不断升级,网络安全审查逐步加强,涉及对相关设备产品安全保障能力的审查,以及设备产品开发、设计、应用等全周期、各环节的安全机制 。
美国的网络安全审查已经上升为国家战略和国际竞争手段 。其网络安全审查涵盖政府采购、关键信息基础设施保护、对外投资和供应链,建立了较为完善的审查机构、程序和标准 。其中,供应链审查制度是美国网络安全审查的重点方面,具有代表性;鉴于相关技术、设备产品等供应链安全审查的内容和范围逐步完善 。,发布了一系列强制性安全审查规范,要求企业签署网络安全协议 。2000年,美国国家电信和信息系统安全委员会发布了《国家信息系统安全采购政策》,要求产品在入侵检测、防火墙、操作系统、数据库管理等方面 。,必须通过国家信息保障联盟(NIAP)通用标准评估和认证体系框架下的风险评估和认证[10] 。2015年,美国财政部和商务部要求美国国家标准与技术研究所(NIST)根据相关技术标准进行供应链安全风险审查[11] 。2020年,美国颁布了《物联网网络安全改善法案》,禁止联邦机构采购任何不符合最低安全标准的物联网设备,并要求NIST发布联邦政府使用物联网设备的标准和指南[12] 。
在英国,相关设备产品需要通过政府通信总部制定的通信电子安全小组的安全认证才能销售 。俄罗斯工业和贸易部侧重于与外国投资的战略性工业交易的安全审查[13] 。
(2)安全检查和认证
网络安全检测认证是设备产品进入市场前的重要环节,也是一些国家的强制性要求 。目前,国际网络信息安全认证评估体系趋于稳定,国际通用认证标准逐步建立 。国际通用认证规则(CC)和欧洲创建的信息技术安全评估标准(ITSEC)并存 。
各国网络安全检测认证多由相关机构或协会承担,委托实验室、企业、专业机构具体实施 。评价体系通常由一个评价认证协调机构、一个评价认证实体和若干技术检测机构组成 。例如,美国由NIAP管理,并授权给相关实验室、公司和其他评估机构 。目前只颁发通用标准的证书;由英国的通信电子安全局和德国的信息安全局管理,这两个机构都向商业评估机构授权测试和认证,并颁发ITSEC和CC证书 。


推荐阅读


上一篇:|被网暴到性格大变,张瀚出席活动全程谨慎小心,自大狂傲再也不见!

下一篇:王思聪|王思聪带女友慎婕餐厅吃饭,脸部浮肿亲密热聊