一顆小胡椒
2
CISM-WSE
CISP-PTS
官方采納
一顆小胡椒2
CISM-WSE
CISP-PTS
工業互聯網安全防護內容包括:
設備安全
設備安全包括工廠內單點智能器件、成套智能終端等智能設備的安全,以及智能產品的安全,具體涉及操作系統/應用軟件安全與硬件安全兩方面。
工業互聯網的發展使得現場設備由機械化向高度智能化轉變,并產生了嵌入式操作系統微處理器應用軟件的新模式,這就使得未來海量智能設備可能會直接暴露在網絡中,面臨攻擊范圍擴大、擴散速度增加和漏洞影響擴大等威脅。
工業互聯網設備安全具體應分別從操作系統/應用軟件安全與硬件安全兩方面出發部署安全防護措施,可采用的安全機制包括固件安全增強、惡意軟件防護、設備身份鑒別、訪問控制和漏洞修復等。
控制安全
控制安全包括控制協議安全、控制軟件安全及控制功能安全。
工業互聯網使得生產控制由分層、封閉、局部逐步向扁平、開放、全局方向發展。其中在控制環境方面表現為IT與OT融合,控制網絡由封閉走向開放;在控制布局方面表現為控制范圍從局部擴展至全局,并伴隨著控制監測上移與實時控制下移。上述變化改變了傳統生產控制過程封閉、可信的特點,造成安全事件危害范圍擴大、危害程度加深,以及網絡安全與功能安全問題交織等。
對于工業互聯網控制安全,主要從控制協議安全、控制軟件安全及控制功能安全三個方面考慮,可采用的安全機制包括協議安全加固、軟件安全加固、惡意軟件防護、補丁升級、漏洞修復和安全監測審計等。
網絡安全
網絡安全包括承載工業智能生產和應用的工廠內部網絡、外部網絡及標識解析系統等的安全。
工業互聯網的發展使得工廠內部網絡呈現出IP化、無線化、組網方式靈活化與全局化的特點,工廠外部網絡呈現出信息網絡與控制網絡逐漸融合、企業專網與互聯網逐漸融合、產品服務日益互聯網化的特點。這就使得傳統互聯網中的網絡安全問題開始向工業互聯網蔓延,具體表現為以下幾方面:工業互聯協議由專有協議向以太網(Ethernet)或基于IP的協議轉變,導致攻擊門檻極大降低;現有的一些工業以太網交換機(通常是非管理型交換機)缺乏抵御日益嚴重的DDoS攻擊的能力;工廠網絡互聯、生產、運營逐漸由靜態轉變為動態,安全策略面臨嚴峻挑戰等。此外,隨著工廠業務的拓展和新技術的不斷應用,今后還會面臨由于5G/SDN等新技術引入、工廠內外網互聯互通進一步深化等帶來的安全風險。
網絡安全防護應面向工廠內部網絡、外部網絡及標識解析系統等方面,具體包括網絡結構優化、邊界安全防護、接入認證、通信內容防護、通信設備防護、安全監測審計等多種防護措施,構筑全面高效的網絡安全防護體系。
應用安全
工業互聯網應用主要包括工業互聯網平臺與軟件兩大類,其范圍覆蓋智能化生產、網絡化協同、個性化定制、服務化延伸等方面。目前工業互聯網平臺面臨的安全風險主要包括數據泄露、篡改、丟失、權限控制異常、系統漏洞利用、賬戶劫持和設備接入安全等。對軟件而言,最大的風險來自安全漏洞,包括開發過程中編碼不符合安全規范而導致的軟件本身的漏洞,以及由于使用不安全的第三方庫而出現的漏洞等。
相應地,應用安全也應從工業互聯網平臺安全與軟件安全兩方面考慮。對于工業互聯網平臺,可采取的安全措施包括安全審計、認證授權和DDoS攻擊防護等。對于軟件,建議采用全生命周期的安全防護,在軟件的開發過程中進行代碼審計,并對開發人員進行培訓,以減少漏洞的引入;對運行中的軟件定期進行漏洞排查,對其內部流程進行審核和測試,并對公開漏洞和后門加以修補;對軟件的行為進行實時監測,以發現可疑行為并進行阻止,從而降低未公開漏洞帶來的危害。
數據安全
數據安全包括生產管理數據安全、生產操作數據安全、工廠外部數據安全,涉及采集、傳輸、存儲、處理等各個環節的數據及用戶信息的安全。工業互聯網相關的數據按照其屬性或特征,可以分為四大類:設備數據、業務系統數據、知識庫數據和用戶個人數據。根據數據敏感程度的不同,可將工業互聯網數據分為一般數據、重要數據和敏感數據三種。隨著工廠數據由少量、單一和單向向大量、多維和雙向轉變,工業互聯網數據體量不斷增大、種類不斷增多、結構日趨復雜,并出現數據在工廠內部與外部網絡之間的雙向流動共享。由此帶來的安全風險主要包括數據泄露、非授權分析和用戶個人信息泄露等。
對于工業互聯網的數據安全防護,應采取明示用途、數據加密、訪問控制、業務隔離、接入認證、數據脫敏等多種防護措施,覆蓋包括數據采集、傳輸、存儲和處理等在內的全生命周期的各個環節。
推薦文章
