新基建提速下该如何保障工业互联网的安全?
4月20日,国家发改委明确新基建范围,新基础设施涵盖5G、物联网、工业互联网等通信网络基础设施,其中工业互联网作为数字化基建之一,融合云计算、物联网、大数据、5G通信、边缘计算等新一代信息通信技术,多元技术融合也带来隐患,工业互联网从平台到具体应用都离不开安全保障。新基建带来新的发展机遇,也对网络空间安全带来全新挑战。新基建提速下,工业互联网安全应如何保障?
安全问题频发,工业互联网安全面临挑战
新技术催生“人-机-物”全面互联,网络世界与物理世界的边界被打破,传统工业不断引入新技术,网络攻击也能对现实世界造成伤害,安全边界在不断延伸。
制造业转型升级时,工业设备广泛连接网络以协同制造,工艺参数、产能信息等关键数据向云平台汇聚,工业互联网成为网络攻击的重点目标,企业受攻击风险进一步增大。
全球工业领域安全事件频繁发生,后果愈加严重。国家工信安全中心统计,2017-2019年,工业领域公开报道的勒索病毒攻击事件22起,制造业是被攻击重点,涉及多国知名化工、食品、汽车制造企业,直接造成了系统瘫痪、生产停滞、运营中断等严重后果。
“工业互联网能够实现全系统、全产业链以及产品全生命周期的互联互通。工业互联网相对消费互联网而言会更复杂,应用场景更多,海量设备、系统、生产服务都应用在工业互联网全环节,当病毒等软件安全风险向工业互联网领域渗透,一个环节出现漏洞会影响到企业的全流程发展。”树根互联宋奎表示。
工业互联网打破传统网络安全界限,企业IT和OT得到融合,工业网络、管理网络与互联网相互连接,大量工业互联网资产在公网暴露,大量威胁从外网向工业内网延伸渗透。
而内部风险同样严重,与传统网络安全相比,工控软件和设备更关注系统的实时性与业务连续性,内存和处理能力有限,网络安全防护设计能力不足,安全问题大多被忽略。
宋奎告诉亿欧:“工业互联网平台在2017年开始大规模出现,因早期技术限制,安全问题时有发生。在等保1.0时期,未涵盖边缘侧安全要求,彼时数据的篡改、挪用无法被监控。”
工业互联网安全意义重大。新基建下的工业互联网被明确为国家的信息基础设施的重要支撑,安全可控的工业互联网平台是保证生产落实的前提,平台安全是产业安全和国家安全的重要基础。
“企业层面,工业互联网直接连接工业设备,一旦发生入侵等安全事故,会对人身、企业、生产安全造成直接损害。早期工业设备一般是哑设备和非智能设备,其基本的安全防护能力较弱。”宋奎强调。
除了设备,针对协议、硬件和应用的工业控制系统的攻击行为愈发普遍,安全问题亟待解决。
技术赋能商的工业互联网安全路径
工业互联网2.0中,网络、数据和安全是工业互联网体系架构的三大核心。网络是基础、数据是核心、安全是保障。在安全层面,涉及边缘层面如何解决网络安全、控制安全、设备安全问题。
树根互联从边缘、控制、网络三方面保障工业互联网安全。
边缘设备是连接工业设备和云端的桥梁,也是工业互联网链条中的重点保护对象,设备和云端会建立双向认证机制,保障设备接入安全、传输安全。
在控制方面,从云端与终端两个方向防御。在云端,平台对边缘侧下发指令,在云端严格控制下发权限,并进行身份校验。在终端,设备利用AI技术获得自我学习能力,对云端下发的指令进行安全分析。例如,在工厂工作区域内,一旦工人脱离安全区,设备是否接受停车指令,终端设备能自主判断。
在网络方面,通过场内网关保障网络安全。
此外5G、区块链等新技术也应用到工业互联网安全。宋奎表示,5G将从两方面改变工业互联网安全生态。
一方面,5G速度更快,边缘侧的应用可放至云端。5G对用户的唯一标识性符合更高的隐私安全;对归属地网络的控制,降低了漫游区的欺骗风险;加密数据量大,其对主机的传输速度要求更高,5G能承载安全加密后的数据。
另一方面,5G相对4G、3G时延更低,可增强运营商的优势,防御网络攻击。在工业互联网时效性要求较高的场景,边缘侧时效性要求较高,5G低时延特点发挥作用,工厂设备故障后及时停机,能够大大降低业务延迟。
例如三一重工远程遥控落地,5G让远程遥控突破了信号传输的瓶颈,借助5G网络,异地挖掘机获得指令,挖掘机能迅速精准地完成挖掘、回转、装车等远程无人动作。
除5G外,树根互联将区块链运用在工业互联网安全领域。国家的工业互联网标识体系将所有设备标识,树根互联利用区块链技术,将设备信息在可信标识管理存证,解决终端设备身份问题,保证设备唯一性,助力安全传输。
树根互联已经具备工业区块链的服务能力,利用区块链标识解析落地产品,包括安全威胁平台、生态体系安全监控、外围端到端的运维监控和管理,共同保障供应互联网安全。
4月初,长沙经开区与三一汽车、树根互联签订战略合作框架协议,以三一云谷为载体,共建星沙区块链产业园,争取5年内形成千亿级数字经济产业链,打造以区块链技术为特色的综合性数字经济产业示范区。
制造商的工业互联网安全探索
除了行业技术推动,国家也出台一系列安全标准,在国家政策、业界标准不断完善的前提下,美的根据工业互联网生产安全标准,从三个维度建设安全架构。
美的信息安全负责人朱治国介绍:“第一个大的方面是整个安全管理制度,第二是技术落地解决方案,从底层物理层到上层数据层、应用层的技术纵深防御解决方案,第三是管理体系建立后的运行过程监测、安全实时探测。美的从三大维度构建起美的工业互联网安全体系。”
美的充分考虑各层级数据安全,形成IaaS、PaaS、SaaS层的数据到应用的全链路安全,并在数据采集、传输及存储过程中都采用了加密方案。
美的在网络架构上实现了IT/OT网络区分,通过办公、MES、生产网隔离,终端标准化,设备白名单接入,部署工业级防火墙、入侵防御系统等一系列安全措施,保障内网纯净,全网实现了网络准入控制以及业务的专网专用。
在每一层级传输链路、网络汇聚及边缘节点上,美的部署网络探针,实时监测流量情况。后台安全大数据分析平台实时态势感知,汇聚全域流量,实时监测与告警。
美的工业互联集成负责人王军补充道:“数据采集源头是设备,工厂里有一部分设备是老设备,不具备加密接口。为保证数据源安全,核心做法是把数据采集工作放到边缘层,在靠近设备的地方采集数据。利用智能网关就近连接设备,一旦设备数据进入网关就是安全的;在智能网关到云端平台之间,所有链路都是受控的。”
美的旗下美云智数拥有多个系列、不同配置和功能的智能网关产品,支持大多数常见的工业通信接口和协议,通过智能网关,能够解决不同设备的连接问题,保障数据传输安全。
值得一提的是,工业互联网通信标准化也是美的未来想要发力的方向。
“早期设备是单机操作,设备功能点多面广,数据采集解决方案、协议也不一样。多样的协议给流量检测,入侵检测带来极大困难。在未来,标准化的通信协议能解决此问题,这也是美的未来发力的一个重要方向。” 美的IT总监周晓玲表示。
新基建下,工业互联网发展提速,安全问题尤为重要。数字化时代,技术赋能商与制造企业从不同角度出发,拥抱新技术,保障工业互联网安全,加速企业数字化转型。