一、全球工业互联网高速发展,从而引发高频的安全攻击事件
在全球新一轮科技革命和产业变革中, IT与OT的融合发展具有广阔前景和无限潜力,已成为不可阻挡的时代潮流。除了德国的“工业4.0”、美国的“先进制造业国家战略计划”、日本的“机器人新战略”等国家级战略外,英国、法国、韩国、印度、俄罗斯等众多国家也推出了一系列战略。俨然,以工业互联网为核心的生态之争正成为主要国家竞争的新焦点。
事物的发展往往是相生相伴的,高机遇往往伴随着高风险。同理,在工业互联网高速发展的同时,伴随的也必将是新形势、高频的网络安全攻击行为。
据不完全统计,仅 2019年,工业互联网系统就曾遭受到329次的黑客攻击。对比2013年,仅六年期间,工业互联网安全攻击事件就从39件增长到为329件,增速高达8倍以上。
2013年到2019年期间,也不乏穿插着让企业和行业震惊、工控企业不能承受的网络安全事故(见下图)。其中,最让人印象深刻的莫过于,2017年5月12日爆发的WannaCry勒索病毒。黑客利用MS17-010漏洞袭击全球,至少150个国家、 30万名用户中招,造成损失达80亿美元,已经影响到金融,能源,医疗等众多行业。
二、“新基建”加速催生工业互联网安全架构升级
近几年来,我国工业互联网产业增速飞快,国家层面也出台了各项政策给予支持:
2020年3月4日,中共中央政治局常务委员会召开了重点工作会议。会议强调“要加快推进国家规划已明确的重大工程和基础设施建设,要加大公共卫生服务、应急物资保障领域投入,加快5G网络、数据中心等新型基础设施建设(工业互联网为新基建的七大领域之一)进度。
2020年3月20日,工业和信息化部办公厅印发《关于推动工业互联网加快发展的通知》,其中要求加快健全安全保障体系,加强安全技术产品创新。
5月22日,《2020年国务院政府工作报告》提出,重点支持“两新一重”(新型基础设施建设,新型城镇化建设,交通、水利等重大工程建设)建设。
根据工信部数据测算,我国工业互联网安全产业存量规模已经由2017年的13.4亿元增长至2019年的27.2亿元,年复合增长率高达42.3%。
工业互联网作为国内“新基建”的代表,发展将进一步提速,同时也将带来新的变革和安全挑战。
工业互联网安全产业涉及工业互联网领域各个环节,所以建立通过监测预警、应急响应、检测评估、攻防测试等手段,来确保工业互联网健康、有序发展,对工业互联网发展意义重大。那么什么样的工业互联网安全架构才可以指导IT与OT安全的、高效的融合呢?
三、《工业互联网安全架构白皮书》开启国内工业互联网安全架构建设的新篇章
5月26日,六方云召开《工业互联网安全架构白皮书》发布会。这次发布会是国内第一次对工业互联网安全架构进行发布,开启了国内工业互联网安全的新篇章。
六方云董事长任增强在发布会前致辞表示:
六方云基于国内工业互联网政策形式而生,适应未来人工智能、大数据、云计算、IT与OT融合的发展趋势,将以领先的安全技术服务好中国工业互联网的发展。希望本次发布的《工业互联网安全架构白皮书》,能将六方云的研究成果公布给全社会,希望与产业界共享成果,共同服务好客户,举网络安全之力为我国关键基础设施/工控安全的生态建设出一份力。
据悉,《工业互联网安全架构白皮书》参考了中国工业互联网产业联盟发布的《工业互联网体系架构(版本2.0)》、《工业互联网安全架构》、美国工业互联网安全参考架构(IIRA G4)和美国国土安全部发布《物联网安全指导原则》。六方云指出发布白皮书目的是希望通过工业互联网安全参考架构凝聚产业共识与各方力量,引导工业互联网安全技术创新和产品解决方案研发,助力工业互联网从概念走向落地,推动工业企业在开展工业互联网建设的同时,将安全保障同步规划、同步建设、同步实施。
四、五个维度对工业互联网安全架构的发展提出建议
白皮书给出了新时期下工业互联网安全定义及内涵,并从安全需求、安全视角、相关者及垂直行业应用四个方面阐述了工业互联网安全的体系结构及应用场景,创造性地抽象出指引未来工业互联网安全建设的五维安全视图架构,即安全业务、安全功能、安全实施、安全技术和数据安全,并首次系统的阐述了工业人工智能安全如何赋能工业互联网安全建设以及工业5G安全需求与技术实现路线。
白皮书从工业互联网安全现状(分别为IOT复合型及技术人才匮乏、IT/OT互联导致网络攻击面增大和目前工业系统90%以上依赖进口三大现状)出发,提出七大工业互联网技术发展趋势:
- 融合安全技术成为OT与IT融合趋势下的必然选择;
- 工业互联网未知威胁防范成为难点;
- 云平台成为安全防护的重点;
- 内生安全防御和补偿式安全防御将长期并存;
- 工业互联网安全防护自动化与智能化将不断发展;
- 大数据保护将成为防护热点;
- 工业互联网安全态势监测与感知将成为重要技术手段。
另外,白皮书还站在工业互联网安全建设的视角,从业务、功能、实施、技术和数据安全五个维度对互联网安全的发展提出了建议:
1. 业务视图
白皮书提出,目前国内工业互联网的业务发展,需要在产业、企业、建设和能力四个方面都认知清晰的基础上。例如,关键基础设施/工控企业需要在新形势下:
真正认清工业+互联网的核心目标是助力工业数字化转型,且信息技术融入互联网可能涉及多个场景,例如物联网、工控系统、云计算、大数据、移动应用安全。最终实现IT技术与OT技术的多元融合。
理解工业互联网安全的五大核心需求是保护工业资产安全、业务安全、生产安全、生态安全,以及工业数据安全,最终实现“让安全保障数字化转型中的竞争优势“的安全愿景。
遵循工业互联网安全建设不能滞后于业务生产,需要做到“同步规划、同步建设、同步使用”的建设原则,还需要从设备、控制系统、企业网络、应用管理、安全管理、数据保护、第三方供应链几个方面,做到全面建设,真正做到全方位360度安全防护。
这样就要求关键基础设施/工控企业需要加强自身的网络安全架构的稳固性,真正做到在业务不停产的基础上,做到纵深防御、主动防御,对未知威胁做到可以风险预测,问题出现之后做到及时阻断,反制进攻。
2. 安全功能视图
白皮书从防护对象、防护措施和安全管理三个维度阐述了工业互联网建设要实现的功能,即要求关键基础设施/工控企业在具备工业互联网安全防护的对象为“网络与标识、平台与应用、边缘与控制、感知与执行、数据与隐私”的基础安全意识下,配备“检测感知、威胁防护、通报预警、应急处置”的防护能力,并可以对内制定相应的风险评估方案与安全事件应对策略,真正达到“安全有目标、风险可评估、事件可应对”的安全管理。
3. 安全实施视图
白皮书强调要从五个层面实施,即边缘安全防护系统、企业安全防护系统、企业安全管理平台、省/行业级安全平台、国家安全防护中心围绕工业互联网的“四层三网两平台一系统”提出建设实施方案。
边缘安全防护系统,部署的关键在于确保工业互联网边缘侧的设备安全、控制安全、网络安全。涵盖安全功能视图中设备层和边缘层安全。
企业安全防护系统,部署的关键在于确保工业互联网企业侧的网络安全、应用安全、数据安全,涵盖安全功能视图中企业层中相关防护技术。
企业安全管理平台,部署的关键在于对企业网络口及企业内安全风险进行监测,在平台网络出口建设流量探针,实现对企业的安全信息采集、资产识别管理、安全审计、安全告警、安全处置跟踪以及数据治理等功能,并与省/行业级安全平台的对接。涵盖安全功能视图中企业层中相关防护管理。
省/行业级安全平台实施致力于通过工业资产探测、流量分析、风险识别、态势分析、预警通报、应急处置等方式保障省/行业级平台安全运行。需要涵盖安全功能视图中产业层的下边缘相关功能要素。一般部署实施安全态势感知系统,态势感知系统通常采用分层架构设计,分别为数据采集层、数据汇聚层(预处理/存储)、态势认知层、态势理解层、态势预测层和决策响应层。
国家级安全平台实施致力于提升国家级工业互联网安全综合管理和保障能力,加强国家与省/行业级安全平台的系统联动、数据共享、业务协作,形成国家整体安全综合保障能力。
安全技术视图
白皮书阐述了在实现工业互联网的过程中必将涉及的九大技术:通用安全技术、工业端点管控、工业控制技术、工业网络管理、工业边缘系统管理、工业互联网平台管理、工业人工智能、工业5G、工业安全管理。其中,人工智能和5G作为近年来国家政策重点扶持方向,需要重点关注。
数据安全视图
白皮书指出,数据保护的意识与防护行为需要贯穿在整个工业互联网安全的业务、功能、实施、技术视图中,且受保护的数据应该包括采集数据安全和指令数据安全以及数据隐私等。
白皮书还总结了国内外工业互联网安全相关的工业安全和云安全标准体系,以便于工业互联网及安全建设参考。
五、工业互联网安全发展展望
在“新基建”推动下,工业互联网行业正在进入快速发展期,未来,工业互联网平台将重构现代工业技术体系,并将立足垂直行业需求,加快应用创新和推广。
工业互联网大量采用诸如云计算、边缘计算、大数据、人工智能、区块链、5G等新技术,使新一代设备比前代设备更智能、效率更高。与之同时,工业互联网安全风险也随之增加并变得越来越复杂。所以,在工业互联网发展的同时,“工业互联网安全”这样一话题也将同步被提及。
