2023年工业互联网安全技术及标准化研究.docx

工业互联网平安技术及标准化争辩 工业互联网推动了工业把握系统的升级和工业智能化的进展，但也面临着一系列平安风险，争辩平安技术力量已成为工业互联网背景下的一项关键任务。本文从五个维度分析了工业互联网平安风险并给出了相应对策，描述了工业互联网平安关键技术，提出了一种工业互联网生态平安防范机制，介绍了工业互联网平安领域的标准化进展。 关键词工业互联网；设备平安；工业把握系统；态势感知技术 随着新一代信息技术、工业系统和互联网的一体化进展，生产模式、生产要素发生重大变革，推动着智能化制造、平台化设计和数字化管理等新模式涌现，催生出了信息化和工业化融合的工业新业态。在工业互联网时代，IT和OT融合不断加深，形成了相互开放的工业设施环境和互联网设施环境，互联网平安风险与工业平安风险相互渗透，工业互联网平安面临着众多挑战〔1〕。工业互联网平安风险形式简洁，假设未能准时做好防范和应对，将会给制造、装备、能源等传统工业领域带来严峻冲击，乃至影响国民经济。近年来工业互联网平安态势始终严峻，工业互联网平安大事不断发生，如图1所示〔2〕。2023年的伊朗核设施“震网〞大事、2023年的美国停水大事、2023年的乌克兰停电大事、2023年的美国断网大事、2023年的沙特自然 气大事、2023年的全球“永恒之蓝〞大事和2023年的挪威铝业大事，都是由于工业设备、工业系统或者工业网络患病了相关病毒攻击，严峻影响了不同工业企业的经济效益，也给社会带来了恶劣影响。因此，争辩和推广工业互联网平安关键技术，推开工业互联网平安标准化进展是重中之重。 1工业互联网平安风险分析及对策 工业互联网平安风险分析需要综合考虑工业领域和互联网领域。在工业领域，期望防范对工业设备和工业把握系统的威逼，以保障工业生产的持续性和稳定性；在互联网领域，期望工业网络、工业应用和工业数据的平安，以保障工业互联网的效劳力量和应用价值。因此从整体考虑工业互联网平安风险，主要包括五大维度：设备平安、把握平安、网络平安、应用平安和数据平安〔3〕，如图2所示。 1.1设备平安 设备平安指工业仪表、工业机床、工业传感器和工业产品等工业设备的平安，主要包括设备的线路平安、操作平安及功能平安等。传统工业设备留意物理平安和功能平安，在工业互联网环境下大量工业设备集成了嵌入式操作系统和功能软件，导致设备自身平安漏洞被暴露在网络环境中，简洁患病病毒攻击。对于设备平安风险，可以引入设备内生防范机制进行防范。工业设备智能化水平不断提高，为设备内生防范机制供给了软硬件根底，通过植入防范芯片、平安证书、平安模组及可信验证等机制，降低设备患病网络病毒攻击或非法访问的风险。 1.2把握平安 把握平安指数据采集与监视把握系统、分布式把握系统和可编程规律把握器等工业把握系统的平安，其中包括工控协议和把握程序的平安。工控协议、把握程序主要依托封闭工业把握系统之间平安可信的环境进行布置，缺乏平安防护机制，然而在IT和OT融合进展的状况下，IT层的网络攻击进入OT层，工控协议、把握程序风险加剧。对于把握平安风险，可以通过平安监测审计技术进行抵抗〔4〕。对工业把握系统部署授权、认证和监听等信息平安功能，对工业把握系统的数据传输过程进行审计，有效检测网络陷阱和隐蔽风险，躲避第三方网络攻击。 1.3网络平安 网络平安指工厂内部和外部网络以及标识网络的平安，包括工厂网络的通信主体、通信路径和传输介质，以及标识身份、标识数据和标识行为的平安。一方面，工厂网络简洁被基于TCP/IP协议的手段攻击，传统静态防护机制无法灵敏、动态地疼惜组网后的简洁网络结构。同时，标识解析系统在标识注册、标识解析等过程中存在着身份失信、非法操作和信息泄露的风险。对于网络平安风险，考虑简化网络结构、通信协议加密和网络设备认证等方案。在标识解析系统方面，可以引入标识身份认证，以保证标识身份的真实性；通过标识数据加密来防止数据传输时暴露；借助标识行为授权机制防范特殊的解析行为或篡改行为。 1.4应用平安 应用平安指实现工业互联网业务价值的平台和工业APP的平安。智能化制造、平台化设计和数字化管理等新模式的涌现进一步打破了传统工业环境的封闭性，需要OT层具备更高的平安防护水平。工业APP使用需求多样，应用环境简洁，要求网络具备较强的平安隔离力量。对于应用平安风险，考虑实施面对工业互联网应用的平安防护策略。通过供给统一的身份认证、业务授权和行为审计等平安保障机制，实现工业互联网应用的虚拟化平安和效劳平安。 1.5数据平安 数据平安指研发设计、工业生产、营销销售、物流发货等各环节数据的平安。工业互联网环境下的工业数据呈现出容量大、来源广和格式不统一的特征，并在工厂内外以及工业领域和互联网领域间双向传递和流通。加之工业领域流程繁杂，业务壁垒多，不同信息化系统之间的数据难以兼容，且数据的流淌方向不易追踪，导致数据疼惜困难，存在被泄露、截获和篡改的风险〔5〕。对于数据平安风险，在数据采集时进行识别、解析和清洗，在数据存储时判别数据敏感等级并实施确定程度的加密，在数据传输时对数据进行签名和验证，实现对数据流向的动态管控，保障数据全生命周期平安。 2工业互联网平安技术 在工业互联网的演进过程中，常规平安防范手段面对层出不穷的平安风险渐渐落伍，工业互联网平安受到严峻威逼，急需进展相关平安技术。下面主要介绍白名单技术、网络边界防护技术、工业主机防护技术和态势感知技术等工业互联网平安技术〔6〕，如图3所示。 2.1白名单技术 在传统互联网中，一般使用黑名单技术来阻隔平安威逼，但无法防止突发的未知攻击手段。在传统工业领域，工艺流程、生产设施和业务环节相对固定，相关软件和工具的更新频率低，通过白名单技术允许可信的对象通过，可以有效防范恶意攻击行为。假设可信对象有变更，可以重新设置白名单。在工业互联网中，通过将白名单技术和黑名单技术结合使用，把白名单技术作为主要防护手段、黑名单技术作为挂念防护手段，既可以保障业务对象的平安，也能满足业务对象的实时性和高效性需求。 2.2网络边界防护技术 在互联网领域通常接受IT防火墙作为边界防护手段，但IT防火墙只支持少量通信协议，无法满足工业领域OPCUA和Modbus等工业通信协议的协议解析和低时延通信要求。在工业互联网网络边界防护中，依据网络边界的性质配置满足工业通信协议要求的特定工业防火墙，以便在抵抗网络攻击的同时，可以确保通信端口与通信效劳器的稳定连接，保障不同工业通信协议的深度解析和低时延通信。另外，工业防火墙将实时监测各种工业通信指令，阻隔担忧全的通信效劳。 2.3工业主机防护技术 在互联网领域，接受防病毒技术疼惜传统IT主机，依托互联网自主升级病毒库，高效地识别和查杀网络病毒。在工业领域，通过关闭不需要的配置端口、用户账号的根本权限认证、访问进程的监控审计等措施加固工业主机，降低网络攻击风险，保障工业主机的平安性。在工业互联网环境下同时实行工业主机加固技术和防病毒技术，形成双重保障，可以有效防止工业主机受到恶意网络和勒索病毒的攻击。 2.4态势感知技术 态势感知是以不同态势为根底的识别和洞悉平安威逼的技术。通过态势感知技术，对工业生产过程的业务数据、质量数据和平安数据进行采集和分析，对各种工业设备、工业把握系统、工业网络和工业APP的工作状况进行实时地跟踪和监测，同时基于工业互联网不同态势的平安数据分析和猜测工业互联网平安风险，实现平安风险的感知和预警〔7〕。 3工业互联网生态平安防范机制 基于工业互联网相关平安风险，本文提出一种工业互联网生态平安防范机制，如图4所示。平安防范机制分为系统接入、威逼识别和平安防范三个层级。在系统接入层，工业企业通常会在生产现场或者后台接入传感器和终端计算等终端设施，传输工业数据的网络，云数据和云应用等云根底设施，以及移动APP。在工业互联网中接入众多系统，必定会带来各种工业互联网平安风险，威逼识别层对此进行探测和识别。可识别的终端威逼包括篡改、仿冒和拒绝效劳等，网络威逼包括窃听和横向渗透等，云威逼包括权限绕过、数据泄露和DDoS等，移动APP威逼包括篡改和盗用等，这些工业互联网平安风险会对工业生产和互联网运营造成猛烈冲击。平安防范层针对性地提出防范策略，防范策略总体上基于平安态势感知技术图4工业互联网生态平安防范机制和从芯片到云端的端到端可信机制。对于终端威逼，实施传感器过滤、身份标识和终端系统加固等手段。对于网络威逼，实施流量感知、隔离和通信加密等手段。对于云威逼，实施数据防护、应用防护和虚拟化防护等手段。对于移动APP威逼，实施相应的应用防护手段。通过建立工业互联网生态平安防范机制，可以有效保障工业互联网平安。 4工业互联网平安标准化进展 工业互联网平安标准化工作是提升工业互联网平安水平的重要保障，我国高度重视工业互联网平安国家标准的制定和实施。目前SAC/TC124和SAC/TC260等标委会正在着手研制相关标准，已经涉及到工业把握系统和工业网络等局部工业互联网领域。局部已发布的工业互联网平安国家标准如表1〔8〕。工业把握系统信息平安评估和验收系列标准〔9〕提出了工业把握系统的规划、设计、实施、运行和废弃等生命周期信息平安评估和验收的方法和要求，以降低信息平安风险。工业自动化和把握系统网络平安系列标准供给了DCS和PLC在不同把握层级的网络平安要求，对于网络风险的防护、管理和评估具有重要意义。信息平安技术系列标准旨在指导建设自主的工业把握标准体系，标准产业的平安进展，保障工控领域信息环境的平安。基于目前工业互联网进展的整体态势，应加速制定重点领域的平安标准，对工业互联网各方面平安风险的管理和防护工作供给标准化指导。 5结束语 工业互联网作为新基建的关键领域之一，引领着传统工业生产迈向智能化。在工业互联网助力工业智能化进展的过程中，也造成了设备平安、应用平安和数据平安等各种平安风险。工业互联网相关方应着重争辩工业互联网平安相关技术和标准，充分发挥平安技术和平安标准的应用价值，保障工业互联网健康进展。 参考文献 〔1〕陶耀东，贾新桐，崔君荣.工业互联网IT/OT一体化的平安挑战与应对策略〔J〕.电信网技术，2023〔11〕：8-12 〔2〕刘廉如，张尼，肖益珊，等.工业互联网平安威逼与技术体系争辩〔J〕.信息通信技术，2023，14〔06〕：8-13 〔3〕工业互联网产业联盟.工业互联网体系架构〔版本1.0〕〔R〕.北京：中国信息通信争辩院，2023 〔4〕杜霖，陈诗洋，姜宇泽，等.工业互联网平安关键技术争辩〔J〕.信息通信技术与政策，2023〔10〕：10-13 〔5〕蒋融融，翁正秋，陈铁明.工业互联网平台及其平安技术进展〔J〕.电信科学，2023，36〔03〕：3-10 〔6〕董悦，王志勤，田慧蓉，等.工业互联网平安技术进展争辩〔J〕.中国工程科学，2023，23〔02〕：65-73 〔7〕康双勇，胡万里.工业互联网平安技术争辩及我国工业互联网平安产业进展状况分析〔J〕.保密科学技术，2023〔05〕：27-31 〔8〕工业信息平安产业进展联盟.中国互联网平安态势报告〔2023〕〔R〕.北京：国家工业信息平安进展争辩中心，2023 〔9〕GB/T3202376.1-2023，工业把握系统信息平安第1局部：评估标准〔S〕.北京：中国标准化出版社，2023 任涛林 周志勇 孙明 张成龙 王勇 辛学祥 单位：青岛海尔工业智能争辩院