工业互联网产业联盟安全组副主席、中国信息通信研究院安全研究所信息化与两化融合安全部主任 田慧蓉

各位领导嘉宾大家下午好,下面我代表联盟的安全组跟大家分享一下工业互联网安全框架的研究成果。

首先这个报告其实也是联合了很多企业共同来编制的,包括制造企业、通信企业、设备提供商、安全企业等等。目前这个框架也是以征求意见稿的方式通过联盟发布了,大家有什么意见还可以继续向我们提,我们在进一步修改完善后会正式发布。

今天想跟大家分享的内容一共是五个部分:

一、工业互联网安全概述

提到工业互联网首先是对工业互联网的认识,我们说工业互联网不是从字面意义上说它仅仅是一个关键网络基础设施,同时更是带来了工业领域深刻的生产和管理变革的新兴业态和应用模式。从产业的视角和互联网的视角来看,工业互联网我们认为可以概括出四种应用模式:智能化生产、网络化协同、个性化定制、服务化延伸。

11月27日也发布了工业互联网的指导意见,在里面也明确了工业互联网有三大功能体系:网络、平台和安全。网络是一个基础,实现了工业领域的全要素各环节的广泛深入的互联,平台其实是智能化发展的核心,通过平台可以进行海量的数据汇聚,建模分析,可以把制造能力和工业知识进行软件化、模块化,在此基础上支撑企业的生产智能决策以及业务模式创新等等。安全是我们工业互联网的保障,前面的重要性陆局也讲的非常透,这里我就带过。

在这里其实是说从整个我们在工业互联网部署来看,其实从各个环节都体现出了我们安全的重要性。十九大报告点了工业互联网,包括我们的指导意见,包括苗部长在对十九大报告的解读,以及在2018年工业和信息化部工作部署中,安全都是作为工业互联网的一个重要环节来进行推动的。

在2017年其实我们是发布了工业互联网体系架构,明确了工业互联网的五大防护对象,包括设备、控制、应用、网络和数据,在现在这样一个重要的结点,进一步明确工业互联网的安全框架,推动业界达成共识,来指导企业实施具有非常重要的意义。我们这里提出的安全框架也是相对聚焦于网络安全,主要解决工业互联网面临网络攻击的时候该怎么上措施,该怎么应对,同时考虑了功能安全和物理安全的关系。

二、相关网络安全框架分析

我们在制定工业互联网框架的时候其实也是参考了很多的资料,传统的网络安全框架就是基于OSI的七成模型,提出了5大类安全服务和8类安全机制,这个框架的突出特点是基于分层的思想,应该说是层次比较清晰,比较灵活,它的缺点是没有考虑持续动态变化的风险。

第二个框架是P2DR模型,是防护、响应和检测,在这个框架里其实提出了动态安全的理念,应该说是形成了闭环的体系,它的局限性其实就是说它相对来说忽略了管理的重要性。

第三个框架是关于网络安全的IATF的框架,这个框架其实也是比较重要的,引入了人、技术和操作这样一个理念,提出了四部分的分层部署、网络保障机制的这样一个考量,其实是相当于提出了这样一个纵深防护的理念。相对来说它的局限性其实就是没有动态的概念。

第四个框架在工业领域其实我们应用非常广泛的就是IEC62443控制系统安全,它首先有纵深防御的思路,分成管理信息区和控制区以及设备区,在不同的区域进行分解隔离,在传统的工控这块也是非常有效的一个框架,它的局限其实是相对没有考虑我们动态防护的思路。

跟我们更相关的就是美国IIC工业互联网安全框架,提出了安全模型和策略,安全配置和管理,安全监测和分析,通信和连接保护,端点保护和数据保护这几大模型聚焦了安全措施。

德国工业4.0并没有专门提安全框架,但是它是在整体的RAMI4.0都进行了相应的分析,比如说在CPS功能视角把安全应用于所有不同的层次,在第二个价值链的视角其实是把安全在整个生命周期里都进行了考虑,从工业系统视角其实是对不同的安全对象,相关的资产都进行了考量。应该说总的来看RAMI的分层管理其实整体是侧重于对防护对象的管理。

我们分析这些相关的框架得出了这样一个共性分析的经验或者我们认为是非常重要的一些思路。一是明确对象进行分类部署安全措施,是这个设置框架的基本思路。二是动态安全模型成为主流,因为习总也在4•19讲话也提了相对安全已经是一个共识。三是技术手段+管理手段相结合的安全模型其实更适用于我们整体的安全防护。

三、工业互联网安全框架设计

在设计工业互联网安全框架的时候是从三个视角去考虑的。首先是防护对象的视角,因为我们认为防护对象其实它是一个根本,我们明确了对象才能实施具体的防护。第二个就是防护措施的视角,是明确了对象以后我们其实是要针对这些对象部署具体的措施。第三个就是防护管理的视角,做安全的人其实都非常熟悉,就是三分技术七分管理,所以我们第三个对象是从防护管理的这个视角提的。

从这三个视角构建了这样一个安全框架,从防护对象的视角是明确了设备、控制、网络、应用、数据,这个跟我们指导意见也是一致的。从防护措施的视角我们是从威胁防护到监测感知再到处置恢复,结合安全事件的发现,安全措施的部署、安全事件的发现,以及后续的处置,整个这样一个生命周期我们来考虑它的安全防护措施。从管理视角我们是同安全目标的设定到整个动态的安全目标的实现需要有风险评估进行相应的策略调整,这样一个视角来提的。我们认为这三个视角之间其实是相对对立又能够相辅相成,形成这样一个完整的防护体系。

提出这个防护体系以后也跟美国的IIC安全框架进行了对比,这里画出了一些映射的图,总的来看我们认为这个安全框架虽然跟美国的视角不同,但两者的设计思路还是一致的,在防护的内容考虑上也有相应的一致性,我们更强调东京结合,机管结合,来全面评估防护能力。

这一页PPT大家相对比较熟悉,其实这个是对于防护对象的解释,在设备这个层面包括工厂里的智能传感器、工业机器人、智能产品,控制这个层面包括SCADA、PLC,在数据安全层面就是工厂内外以及用户整体的数据。

防护措施这个视角是从三个角度提的,首先是威胁防护部署了主备用的防护措施,构建安全运行环境。监测感知是非常重要的环节,因为上了措施以后要能及时发现动态风险,发现风险就要进行相应的风险处置,这样防护措施视角就是从生命周期防御递进的角度会进一步明确它的具体措施要求。

还有防护管理的视角,首先是安全的目标,安全的目标其实大家非常熟悉的保密性、完整性、可用性,这是我们搞信息安全的人非常熟悉的三个目标,大家也留意到下面还有可靠性、弹性和隐私安全,这个就是结合工业互联网的具体场景,因为在工业领域可靠性非常重要,包括弹性恢复的能力也非常重要。同时结合工业互联网的应用,未来隐私安全也是非常重要的内容。基于这样一个目标动态的进行相应的风险评估,这个是我们相对熟悉得那一套风险评估的理论,再进一步完善安全策略,实施相应的不久性安全措施。

四、工业互联网安全防护措施

我们也是分几个步骤展开的,首先是设备安全,我们说工业互联网发展以后,设备这块有一定的变化,从原来的相对机械化的设备向未来有嵌入式操作系统、微处理器、应用软件等等高智能化的设备演进,因为引入了这样的设备攻击范围会进一步扩大,安全影响的扩散速度也会进一步增大,这样在设备层面就需要相应的一些防护措施,比如说操作系统和应用软件安全这块包括固件安全增强、漏洞修复加固、补丁升级管理等等,在应用层面也有一些措施。

第二方面是控制安全,我们说工业互联网带来了原来相对分层封闭的网络向更加扁平开放网络的变化,IT与OT进一步进行融合,原来相对封闭的控制环境也进一步开放了,因此带来了这样一些攻击可以从IT层向OT层渗透,从场外向场内渗透,同时攻击难度大大降低了风险,另一方面信息安全的问题导致功能安全的失效,同时信息安全防护的能力有时候也会导致功能安全的下降,因此这块其实是安全问题更加复杂了。在控制安全这个层面我们认为也需要有一些相应的措施可以从控制协议、控制软件、控制功能等等来进行落实,比如控制协议有身份认证等等。

第三方面是应用安全,从应用安全这个角度来讲我们前面也提到了工业互联网其实带来了新的业务形态,这块比如说体现出在设计方面的供应链协同、制造协同、服务协同,用户圈流程参与,包括服务延伸,因此在环境方面其实有了不同保护需求,这样是在应用平台安全防护和工业应用程序安全方面都需要有一些相应的措施,比如说在平台层面,我们有相应的安全隔离,要有相应的安全审计、认证授权,甚至我们这个平台上来以后要有相应的防攻击的措施,在应用程序方面有代码审计、审核测试等等要求。

第四方面是网络安全,原来相对工厂内网其实从原来相对简单的异构网络向统一灵活的网络来演变,工厂内网和工厂外网进一步打通,这样的话原来就针对专有协议的攻击其实进一步可以因为协议统一以后可以针对统一协议进行攻击,攻击门槛可以降低,安全策略也面临一些挑战,还有一些新的技术引入也会有一些风险,因此在网络安全这块从工厂内网和工厂外网都需要有一些比如说网络优化的网络结构设计,网络边界的安全,网络介入认证等等一系列的防护措施。

第五方面是数据安全,从传统工业企业来说数据安全问题可能不是那么突出,工业互联网以后从原来单向数据模式向未来大量、多维、双向、交互更复杂的业务模式在转变,因此数据也在IT/OT进行双向流动,因此也有数据泄露的风险,数据保护难度更大的风险,包括隐私泄露,包括大数据进一步催生了这样一些价值,带来的这样一些风险。因此在数据安全这个层面也需要有相应的措施在不同的环节,比如说数据收集环节、传输、存储和处理,这里我们也是列举了一些明示用途、数据加密等等,详细的大家可以参看我们的Word文档。

第六方面是监测感知,我们概括了监测感知五个环节,首先是数据采集,在工业现场网络技工业互联网平台中各类数据进行采集,为网络异常分析、设备预测性维护等提供数据来源。二是收集汇聚。三是特征提取;四是关联分析,可以结合企业的业务特征对他的运行机理、外部威胁等等进一步进行分析,然后得知最后的安全状态。五是状态降感知。

第七方面是处置恢复,这里包括响应决策,包括备份恢复能力,有设备、数据、业务的,包括处置完了以后对处置的评估。

五、工业互联网安全发展趋势与展望

前面提的应该是我们认为对工业互联网安全一个最基本的理解,我们说在企业转型升级或者是生产改造的时候,我们要考虑的方方面面的问题。

我们认为在未来工业互联网安全这块,整体就是有五个这样的趋势:

一是安全防护的智能化将不断发展,它已经不完全是原来静态的概念,也就是说我们动态的概念结合AI其实还可以再往前走一步。二是工业互联网平台安全地位日益凸显;三是工业互联网大数据安全防护成为热点;四是安全监测与威胁处置要求越发迫切,因为我们很多时候其实并不知道哪里发生了安全问题或者可能有什么问题,需要有相应的发现机制;四是安全信息共享与联动处置机制呼声日高。因为工业互联网其实涉及到很多行业,有些漏洞,各个行业也是共有的,安全也是大家共同的责任,所以在整个工业互联网安全的处理方面我们认为信息共享和联动处置也是呼声日高。谢谢大家,基本是这些。

演讲PPT:查看地址

声明:本文来自中国信息通信研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。