工业互联网领域网络安全服务的思考
2020-11-12
来源:中国信息安全
随着网络信息技术的迅猛发展和广泛应用,工业互联持续深入趋势愈发明显,病毒、木马等传统网络威胁持续向工业控制系统蔓延,勒索攻击等新型攻击模式不断涌现,安全事件频发,整体安全形势严峻。
工业互联网涉及工业生产全流程,与传统互联网安全技术的对象和方法并不完全一致。工业互联网安全服务应针对工业生产全流程进行整体安全设计,做到统筹兼顾。逐步建设覆盖设备、控制、网络、平台和数据的安全防护措施,形成对工业互联网的纵深防御体系。
1. 以安全检测为抓手,提升联网工控设备本质安全由于工控设备在设计之初就很少考虑安全问题,导致安全漏洞不断涌现。工业控制系统整体安全防护水平依赖于组成系统的各基础软硬件设备(RTU、DCS、PLC)的安全性。此外,联网工控设备处于工业控制网络和企业管理网络的边界处,加强对这一环节的安全检测工作,有利于提升工控系统的整体安全防护水平。
2. 以安全风险评估为驱动,促进联网工业企业网络安全防护水平提升联网工业企业网络安全防护工作应以风险评估为基础,提出风险管控目标。通过开展网络安全风险评估工作,可以有效识别企业目前存在的风险点、风险事件、可能的影响、安全措施及标准法规的符合性等等,做到有的放矢。安全风险评估应贯穿工业企业建设的整个生命周期。
3. 以安全合规评测为手段,强化工业互联网平台安全保障水平积极开展针对工业互联网平台的安全合规评测工作,实现以评促建、以评促管、以评促改、以评促防的安全监管工作机制。深入摸清全国范围内工业互联网重点平台安全底数,帮助工业互联网重点平台及时发现风险隐患、提高平台网络安全防护水平,并督促运营企业落实主体责任,及时进行整改。
二、工业互联网安全政策要求
为进一步提升工业互联网相关企业的安全保障能力,落实安全责任制,指导企业开展好网络安全工作,国务院、工业和信息化部连续印发了一系列文件标准,指导和规范工业互联网安全工作。已发布的政策文件和主要内容见下表。
从工业互联网相关安全要求看出,其中对技术防护措施、工业数据安全保护、供应链安全、应急管理、工业App保护等方面提出了要求,但当前工业互联网相关企业安全防护能力不足,安全服务机构应做好政策要求和企业需求的融合,充分理解政策要求,将其与企业安全需求相统一,推动工业互联网企业安全能力提升。
三、工业互联网企业典型网络安全问题分析
近5年来,国家工业信息安全发展研究中心按照《工业控制系统信息安全防护指南》要求,累计对200余家工业互联网相关企业开展了现场评估,评估围绕安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任等11个方面开展,发现了企业存在的一批典型问题。
1. 工业互联网安全管理体系不健全
评估发现,大多数企业尚未结合生产应用场景建立适应工业互联网发展需求的网络安全管理制度。缺少针对工业互联网安全考核机制,安全责权不清,人员和经费投入有限,缺乏有效的督促和激励制度保障;缺少工业互联网安全评估制度,多数企业对工业互联网改造后需要保护的网络、设备、数据等保护对象及其应达到的安全要求掌握分析不足,对网络中已存在的漏洞、病毒不掌握;网络安全应急保障不完善,绝大多数企业没有针对自身工业互联网情况明确网络安全应急预案并开展演练。
2. 缺乏工业互联网安全保障技术体系
目前,多数企业工业互联网处于试点或阶段性改造,未完全实现由传统单点、隔离工业控制系统到工业互联网的转变,更注重工业互联网场景可用性,未做到网络安全三同步要求。对网络区域打通后的网络隔离、安全监控、数据保护等安全问题考虑欠缺,工业互联网安全态势感知能力不足,缺乏专业安全防护设备与技术支持,工业互联网网络安全保障技术体系3. 工业数据安全保护措施不足
工业互联网企业普遍对工业数据保护缺乏有效管控防护措施。多数平台企业对数据安全的保护措施较欠缺,未对重要工业数据进行识别、分类分级,未采取加密存储和传输、定期备份等防护措施;未对存储、处理关键工业数据的设备的漏洞及时跟踪处理,许多设备存在如弱口令、命令注入、远程代码执行等常见漏洞,工业数据遭窃取、破坏的风险较高;70%以上工业互联网平台企业对云服务外包缺乏安全管控,缺少云端业务数据防护举措。
4. 工业互联网软硬件安全检测不足
工业互联网应用推广过程中,涉及传统工业控制系统与产品、工业互联网网关、工业App等,但相关软硬件产品安全检测不足,引入了安全风险。如许多工业App产品存在反编译和硬编码等安全漏洞,能够通过一些App直接调用生产系统控制功能,攻击者可通过篡改控制指令引发重大生产事故和财产损失。对部分企业工业App检测发现,App信息交互过程中存在数据明文传输、访问控制不受限等风险,可以通过App获取生产控制指令、工业生产参数,可能造成工艺生产流程泄露。
四、加快提升工业互联网网络安全服务能力的建议相对工业互联网推进过程面临的网络安全风险,网络安全服务能力还亟待提升,需要加强服务机构、服务企业能力提升,建立工业互联网网络安全服务体系,不断规范化、标准化服务过程,对服务效果评估认证,真正帮助工业互联网企业及时解决以上安全问题。
1. 加快工业互联网网络安全服务体系建设
《网络安全法》提出,国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务。加快建设工业互联网网络安全服务体系,一是需要加快制定相关服务标准,对工业互联网网络安全评估、检测、监测、应急等服务流程、基本要求进行规范化;二是加强服务人员培训,对安全从业者类型进行分类,明确提出从业者岗位要求,根据工业互联网岗位需求开展内外部培训,提升网络安全服务人员、企业人员政策理解把握能力和安全技术能力;三是加强工业互联网网络安全服务机构管理,确保机构配备具备安全保障能力的服务工具,严格遵照相关服务流程开展服务。
2. 引导网络安全服务机构与工业企业、工控厂商深度合作近年来,国际安全公司纷纷与工控设备厂商深度合作,共同推出面向工控场景安全服务,如迈克菲公司与施耐德、西门子等多个工业企业合作推出面向工业企业的整体安全解决方案。我们也应依托产业联盟或安全研究机构,加强网络安全服务需求对接,鼓励网络安全服务机构与工控设备厂商、行业解决方案提供商、工业企业深度合作,研究提出适应工业互联网平台、不同行业工业互联网解决方案的服务解决方案,推动网络安全政策法规标准在工业互联网领域落地实施。
3. 研究建立网络安全服务评价认证体系
从网络安全需求侧出发,针对人员能力、服务体系规范化程度、服务工具可靠性与先进性等方面研究提出网络安全服务机构能力评价认证体系,促使工业互联网网络安全服务机构建立一套操作性强、流程规范的服务体系。加强网络安全服务效果评价,以采购方角度从政策标准理解程度、需求结合度、实效性方面研究建立网络安全服务效果评价机制,并加强效果评价信息共享,以市场化方式推动网络安全服务良性发展。