在下炳尚
2
風險管理(專業級)RM/PL
高級信息系統項目管理師
在下炳尚2
風險管理(專業級)RM/PL
高級信息系統項目管理師
工業互聯網平臺安全對象在以下層面面臨安全威脅:
邊緣計算方面:邊緣計算層設備普遍缺乏安全設計。邊緣計算層設備地理位置分散、暴露,多通過物理隔離的方式進行保障,普遍缺乏身份認證與數據加密傳輸能力,自身安全防護水平不足。攻擊者容易對設備進行物理控制和偽造,并以此為跳板向其他設備與系統發動攻擊。邊緣計算層設備普遍缺乏安全設計。邊緣計算層設備地理位置分散、暴露,多通過物理隔離的方式進行保障,普遍缺乏身份認證與數據加密傳輸能力,自身安全防護水平不足。攻擊者容易對設備進行物理控制和偽造,并以此為跳板向其他設備與系統發動攻擊。
工業云基礎設施方面:工業互聯網平臺存在與傳統云平臺相同的脆弱性。現有的工業互聯網平臺高度依賴底層傳統云基礎設施的硬件、系統和應用程序,一旦底層設備或系統受損,必然對平臺上層的應用和業務造成重大影響,可能導致系統停頓、服務大范圍中斷等后果,使工業生產和企業經濟效益遭受嚴重損失。虛擬化技術安全隔離能力有限。工業云基礎設施層通過虛擬化技術為多租戶架構、多客戶應用程序提供物理資源共享能力,但虛擬化技術提供的隔離機制可能存在缺陷,導致多租戶、多用戶間隔離措施失效,造成資源未授權訪問問題。
工業云平臺服務方面:傳統安全手段的安全機制單一,無法滿足多樣化平臺服務的安全要求。工業云平臺服務層包括工業應用開發測試環境、微服務組件、大數據分析平臺、工業操作系統等多種軟件棧,支持工業應用的遠程開發、配置、部署、運行和監控,需要針對多樣化的平臺服務方式創新、定制安全機制。當前工業互聯網平臺一般采用傳統信息安全手段進行防護,無法滿足多樣化平臺服務的安全要求。微服務組件缺乏安全設計或未啟用安全措施。工業云平臺服務層微服務組件與外部組件之間的應用接口缺乏安全認證、訪問控制等安全設計,或者已部署接口調用認證措施但未啟用,容易造成數據非法竊取、資源應用未授權訪問等安全問題。
工業應用方面:工業應用層傳統安全防護技術應用不足。當前工業應用層的軟件重視功能、性能設計,鑒別及訪問控制等安全機制設計簡單且粒度較粗,攻擊者可通過IP欺騙、端口掃描、數據包嗅探等通用手段發現平臺應用存在的安全缺陷,進而發起深度攻擊。第三方遠程運維帶來安全隱患。工業應用層中涉及的大量控制系統和軟件來自國外,漏洞后門尚不掌握,服務商通過遠程運維的方式接入工業互聯網平臺,一旦第三方遠程運維業務流程存在安全缺陷,將給工業互聯網平臺帶來安全隱患。
工業數據方面:數據安全防護責任邊界模糊。工業數據具有體量大、種類多、關聯性強等特點,流經工業互聯網平臺多個層次,在采集、傳輸、存儲、處理、使用等多個環節中涉及的責任人眾多,工業互聯網平臺上工業數據安全防護的主體責任邊界模糊,難以界定。數據敏感度標識不清晰,敏感數據標識及保護技術待完善。工業數據包含研發、生產、運維、管理等數據信息,在不同的應用場景下,數據的價值不同,敏感程度也不同,如果不能對數據敏感度進行準確識別和有效分類,將無法實現對敏感數據的細粒度標識。在工業數據投入使用時,還需要根據業務場景對工業數據進行脫敏處理,當前平臺仍缺乏完善的數據脫敏和隱私保護措施,在工業數據使用過程中存在敏感信息泄露等安全問題。
推薦文章
