關于《加強工業互聯網安全工作的指導意見》的思考

來源:中國科學院信息工程研究所 孫利民

點擊:6437

A+ A-

所屬頻道:新聞中心

關鍵詞:工業互聯網 信息技術 工業技術

    中國科學院信息工程研究所  孫利民

    基于信息技術與工業技術深度融合的工業互聯網,正在改變現代工業的設計、生產和應用模式,以及我們的生活方式,已上升為我國建設制造強國的國家戰略。目前網絡空間的對抗已演變成大國間對抗的首選戰場,工業互聯網廣泛涉及到能源、智能制造、交通、電子與通信等眾多重要行業或領域,其安全關乎國計民生、公共利益和國家安全。震網病毒、烏克蘭和委內瑞拉電網事件等說明工業互聯網已經成為國家間對抗的重要目標,工業互聯網安全形勢不容樂觀。工信部等十部門于2019年8月28日印發《加強工業互聯網安全工作的指導意見》(簡稱《指導意見》)是非常必要、非常及時的,為我國工業互聯網安全指明了階段目標和實施策略。

    工業互聯網安全涉及到諸多行業和領域,與數千家工業互聯網企業、管理機構、用戶單位緊密相關。《指導意見》的落地是一個大的系統工程,如何結合我國具體情況與國際形勢進一步落實《指導意見》,值得我們每一個工業互聯網安全從業者深入思考和探討。

    我國工業互聯網安全現狀令人堪憂。第一,我國基礎設施和高端制造企業中存在大量的國外工業設備,這些工業系統在相當長的時間內還會繼續使用;同時,由于技術水平和制造能力的限制,國內高端數控機床、高端發動機、發電控制系統,以及高端PLC器件等工控設備依賴國外發達國家,這些核心元器件和設備的內部機理和通信協議往往不被我們掌握,以及自身存在設計漏洞和被植入后門的問題,造成重要工業資產和裝備制造信息可能被國外非法收集。在國際開發、合作的大環境下,如何保證現有進口工控設備的安全成為我國工業互聯網安全必須面對的重要核心問題之一。第二,我國的工業技術和安全技術與國際最發達國家存在一定的差距,工業互聯網設備及其安全產品的研發能力亟待提高。工業互聯網建設與安全保障需要大量的工業互聯網安全專業人才,然而我國目前這方面的安全人才缺口很大,工業互聯網安全涉及到工業控制與自動化、電子信息通信、網絡安全等多個學科,這種多學科交叉對工業互聯網安全人才的培養增加了難度。第三,工業互聯網涉及不同行業的重要程度和安全需求不同,其安全防護水平和優先級也要區別對待。例如軍工高端制造和能源電力(發電與電網)等行業涉及到國家安全,也是其它工業互聯網行業的基礎和支撐。因此,此類行業的安全應成為首要考慮和關注的重點。

    如何使工業互聯網安全的指導意見發揮作用,我們作為安全科研機構結合自己的基礎積累和研發經驗,提出如下建議:第一,遵照《指導意見》中提出的工業互聯網安全要有頂層設計的指導原則,結合我國工業互聯網的現狀和技術水平,“從外到內、從表到里”地分階段實施。受限于同時掌握工控系統和安全知識的研發人員很少,現有工控互聯網安全產品基本處于初始階段,目前工業互聯網的安全方案主要是外部威脅圍堵式或網絡流表面式的防護,很少深入到工業互聯網的核心部件,這應逐漸深入到PLC、工控組態軟件和數控機床等核心元器件的安全,把工控系統的功能安全與信息安全結合起來,實現工業互聯網的內置安全;第二,工業互聯網安全的首要任務是建立安全檢查和風險識別的能力。開放、合作、博弈、對抗的國際環境下,針對現階段我國關鍵基礎設施,特別是采用國外工控設備的重要設施和高端制造企業,如何檢測是否已被攻擊、發現現有系統存在安全隱患,是各個工業互聯網企業首先要解決心頭之患的問題。對重要基礎設施的攻擊往往是國家級的高隱蔽行為,如何發現高隱蔽攻擊或未知攻擊是一個有挑戰性的難題,需要多維度的協同才能發現高隱蔽攻擊。其中,高仿真、高交互的專用工業入侵誘捕系統(蜜罐/蜜網)是在工控企業發現未知攻擊的一種最有效工具。然而當前只有少量工業互聯網企業內部署工控蜜罐,而且其對蜜罐數據深入分析發現攻擊的能力也急需加強。同時,應加強企業內部、行業、全國甚至全球工控安全態勢的的感知和分析能力,通過在全球互聯網上大量部署多類型的蜜罐系統,有助于主動監測和被動誘捕相結合地發現網絡攻擊活動情況和未知攻擊樣本特征。第三,《指導意見》要求對重點行業和領域要高度重視重點布局,發電行業、電網系統、軍工制造企業、軌道交通、三峽水利等是工業互聯網安全防護的重中之重,需要多部門相互協助,進行針對性的技術攻關,具備發現高等級網絡攻擊的能力,提出多種深度安全防護的體系化方案;第四,針對多個重要工業互聯網行業,分別構建特定的工業互聯網攻防演練靶場和仿真測試平臺,為工控漏洞挖掘、安全威脅感知、網絡攻防對抗與安全防護等關鍵技術研究提供符合真實現場實際的基礎科研平臺。同時,加強工業互聯網和網絡安全復合型高端人才的培養,建立一批工業互聯網安全重點實驗室,在研究生學科建設中增加工業聯網安全方向,加大工業互聯網人才的培養力度。第五,構建工業互聯網安全資源庫,如工業協議庫、安全漏洞庫、惡意代碼病毒庫和安全威脅信息庫等,以及安全應急處置、安全事件現場取證等工具集。由于工業互聯網行業眾多,控制協議、設備類型和網絡形態差異很大,不同行業在考慮工業互聯網通用需求情況下要構建本行業專用安全資源庫和安全工具集,并在行業內培訓和推廣應用的同時,注意安全資源庫自身的安全和防泄漏問題。

     

    作者孫利民博士系中國科學院信息工程研究所研究員,博士生導師,物聯網安全北京市重點實驗室主任,中國工業互聯網研究院特邀專家

    (審核編輯: 智匯張瑜)

    2010年中超联赛