工業互聯網作爲新一代網絡信息技術與製造業深度融合的產物,是實現產業數字化、網絡化、智能化發展的重要基礎設施和關鍵技術支撐,被廣泛認爲是第四次工業革命的重要基石。我國工業互聯網與發達國家基本同步起步,近年來5G基礎設施建設不斷完善,新技術、新應用與工業互聯網技術融合持續研發和推廣使用,給我國工業互聯網發展帶來了巨大的機遇的同時,也讓我國工業互聯網面臨嚴峻的挑戰。
我國工業互聯網面臨的風險分析
一直以來,工業企業在網絡安全防護方面存在幾個顯著誤區,例如:將網絡安全產品的部署等同於工業系統得到網絡安全防護;將產品通過測試等同於相應產品安全;將安全的工業系統等同於工業系統網絡安全。
實際上不合理的配置、相應的安全功能未開啓,錯誤的產品搭配以及工業系統安全防護層面設計的先天不足等普遍存在的因素,導致網絡安全產品的部署會引入一定的網絡安全風險。另外,針對產品的安全測試僅能反映當前安全狀態,無法發現可能出現的新漏洞,及攻擊者利用新漏洞實施網絡攻擊的手段。“運維”人員安全意識淡薄,導致信息泄露、使用未檢測並授權設備和安全策略落實不到位等,也會使得看似安全的工業系統存在風險。
目前,在工業互聯網環境下,工業企業主要面臨以下幾個方面的安全風險:
1、設備安全風險
傳統工業設備更多注重業務連續性需求,日常運行維護主要也是針對安全生產內容開展相關工作,各個環節對網絡安全內容涉及較少,基本不具備防護各種網絡攻擊的能力。但是,工業互聯網將越來越多的智能化設備引入到工業控制系統中,直接參與生產,使得工業控制系統面臨嚴重的設備安全風險。
2、網絡安全風險
網絡IP化、無線化、組網靈活化,給工業互聯網環境下的工業控制系統帶來更大的安全風險。TCP/IP 等通用的網絡協議在工業網絡中的應用,大大降低了網絡攻擊門檻,傳統的工業控制系統防護策略無法抵禦多數網絡攻擊。爲了滿足生產需要,無線通信網絡在各工業生產場景下得到廣泛使用,趨於單一的安全防護機制讓攻擊者極易通過無線網絡入侵,並實施網絡攻擊。同時,網絡的互相融合,使得工業組網越來越靈活複雜,傳統的防護策略面臨攻擊手段動態化的嚴峻挑戰。
3、控制安全風險
傳統控制過程、控制軟件主要注重功能安全,並且基於IT 和OT 技術相對隔離、可信的基礎上進行設計。同時,爲了滿足工業控制系統實時性和高可靠性需求,對於身份認證、傳輸加密、授權訪問等方面安全功能進行極大地弱化甚至丟棄,導致工業控制系統面臨極大的控制安全風險。
4、數據安全風險
工業互聯網業務結構複雜,工業數據更是種類多樣、體量巨大、流向複雜,而且涉及大量用戶隱私數據,導致工業數據保護難度增大。
5、應用安全風險
隨着工業互聯網不斷催生新的商業模式和工業產業生態,工業互聯網相關應用無論從數量還是種類將會出現迅速增長。這對工業互聯網安全防護在應用方面提出了更高的要求,以應對工業互聯網應用種類多樣化、數量巨大化和程序複雜化帶來的挑戰。
工業互聯網環境下的安全防護研究
爲提高工業互聯網環境下的工業企業安全防護水平和保障能力,應在以下幾個層面積極開展安全防護研究相關工作。
1、設備安全
工業企業需根據自身需求,使用採取措施對設備固件進行安全加固的設備,並建立設備、操作系統漏洞發現和補丁更新機制,確保及時發現相關安全漏洞、進行補丁升級。必要時,採用基於硬件的可信驗證技術,爲設備的安全啓動以及數據傳輸機密性和完整性保護提供支持。
2、網絡分區與邊界隔離
針對網絡融合帶來的風險,企業應根據業務開展需求和相應風險評估結論,優化網絡結構設計,調整網絡安全區域,重新定義網絡邊界及防護策略以適應網絡結構變化。並且在網絡接入認證,重要數據傳輸加密等方面加大投入力度,確保網絡通信的安全性。
3、控制安全與防護
對於控制安全與防護,主要應從控制協議、控制軟件和控制功能入手。加強認證授權、協議加密、協議過濾和惡意篡改等方面技術,並在使用前確保開展控制協議健壯性測試、軟件安全測試及加固等工作。在惡意代碼防護、補丁升級和漏洞修復方面還應建立切實可行的防護機制,確保落實到位。
4、數據保護
對於工業互聯網的數據安全防護,工業企業可採取數據加密、訪問控制、身份認證、數據脫敏及業務數據隔離等多種防護措施協同聯動的方式進行防護,覆蓋包括數據收集、傳輸、存儲、處理、脫敏和銷燬等全生命週期。
5、應用防控與檢測
工業互聯網應用安全需從工業互聯網平臺與工業應用程序兩方面進行防護。對於工業互聯網平臺,可採取的安全措施包括安全審計、身份認證、訪問授權、抗 DDoS 攻擊等。對於工業應用程序,可採用全生命週期的安全防護,在應用程序的開發過程中進行代碼審計,以減少漏洞的引入和安全功能缺陷;“運維”過程中需定期進行漏洞檢測、流程審覈及滲透測試等安全測試和功能測試,及時針對安全漏洞和後門進行評估與修復。
6、監測感知
工業企業可部署所需的監測措施,針對典型網絡攻擊(病毒 傳播、DoS)、異常網絡行爲、設備非授權接入、APT攻擊、關鍵操作指令、關鍵工藝參數等進行分析,發現工業控制系統內部及外部存在的安全威脅。可與邊界防護措施形成互補、聯動,也可爲安全事件分析提供證據支撐,進而有效提高整體網絡安全防護水平。
幾維安全IoT 固件虛擬化系統解決工業企業安全防護核心痛點
幾維安全IoT 固件虛擬化系統是一款面向智能汽車、移動遊戲、移動金融、反欺詐、IoT物聯網等行業的核心程序加密產品。支持對 C/C++代碼進行虛擬化保護,在項目工程編譯時直接對指定的函數【代碼】實施虛擬化編譯,生成受保護的固件程序。憑藉自定義 CPU 指令的特性,代碼一旦加密,永不解密,攻擊者無法逆向還原代碼,分析其核心業務邏輯。可幫助中大型企業在通信、支付、算法、核心技術等模塊進行深度加密,避免因逆向破解問題對公司造成經濟或者名譽上的損失。
1、旗艦級加密
加密後的代碼被轉化爲自定義的私有指令格式,其加密過程不可逆,相比傳統的代碼混淆技術安全性更高。
2、函數級虛擬化
以 C、C++源文件的函數爲單位進行虛擬化,具備粒度細、可控性高、隱蔽性強等特點。
3、全平臺全架構
基於 LLVM-IR 中間代碼進行虛擬化,加密完成後再鏈接生成目標文件,兼容所有 CPU 架構,包括常見的 X86、X64、ARM、ARM64,不常見的 MIPS等架構,同時也兼容 IOS、Android、IoT、Linux 等系統平臺。
4、無兼容性問題
虛擬化編譯器在鏈接生成目標文件之前進行虛擬化處理,不依賴特定系統環境,其兼容性與原始應用一樣。
5、性能、體積損耗小
經過特殊的 IoT 環境適配處理,虛擬化後的性能和提交損耗小,適用各種低運算能力的設備。
6、部署靈活、簡單
支持離線部署方式,通過簡單配置即可使用虛擬化系統,不破壞原始編譯流程。
最後,我國高度重視工業互聯網發展,安全方面的政策文件、標準規範更是相應出臺與印發。安全是工業互聯網健康發展的前提和保障,工業企業只有構建適應工業互聯網發展的安全體系,完善滿足生產需求的安全技術和管理機制,纔能有效識別和抵禦來自企業內部和外部的各種安全威脅,實現工業互聯網環境下的工業控制系統安全防護目標。