中国自动化学会专家咨询工作委员会指定宣传媒体
新闻详情
isee-

新基建提速工业互联网,工业互联网安全如何保障?

http://www.gkong.com 2020-05-22 09:27 来源:亿欧网百家号

4月20日,国家发改委明确新基建范围,新基础设施涵盖5G、物联网、工业互联网等通信网络基础设施,其中工业互联网作为数字化基建之一,融合云计算、物联网、大数据、5G通信、边缘计算等新一代信息通信技术,多元技术融合也带来隐患,工业互联网从平台到具体应用都离不开安全保障。新基建带来新的发展机遇,也对网络空间安全带来全新挑战。

新基建提速下,工业互联网安全应如何保障?

安全问题频发,工业互联网安全面临挑战

新技术催生“人-机-物”全面互联,网络世界与物理世界的边界被打破,传统工业不断引入新技术,网络攻击也能对现实世界造成伤害,安全边界在不断延伸。

制造业转型升级时,工业设备广泛连接网络以协调制造,工艺参数、产能信息等关键数据向云平台汇聚,工业互联网成为网络攻击的重点目标,企业受攻击风险进一步增大。

全球工业领域安全事件频繁发生,后果愈加严重。国家工信安全中心统计,2017-2019年,工业领域公开报道的勒索病毒攻击事件22起,制造业是被攻击重点,涉及多国知名化工、食品、汽车制造企业,直接造成了系统瘫痪、生产停滞、运营中断等严重后果。

“工业互联网能够实现全系统、全产业链以及产品全生命周期的互联互通。工业互联网相对消费互联网而言会更复杂,应用场景更多,海量设备、系统、生产服务都应用在工业互联网全环节,当病毒等软件安全风险向工业互联网领域渗透,一个环节出现漏洞会影响到企业的全流程发展。”树根互联宋奎表示。

工业互联网打破传统网络安全界限,企业IT和OT得到融合,工业网络、管理网络与互联网相互连接,大量工业互联网资产在公网暴露,大量威胁从外网向工业内网延伸渗透。

而内部风险同样严重,与传统网络安全相比,工控软件和设备更关注系统的实时性与业务连续性,内存和处理能力有限,网络安全防护设计能力不足,安全问题大多被忽略。

宋奎告诉亿欧:“工业互联网平台在2017年开始大规模出现,因早期技术限制,安全问题时有发生。在等保1.0时期,未涵盖边缘侧安全要求,彼时数据的篡改、挪用无法被监控。”

工业互联网安全意义重大。新基建下的工业互联网被明确为国家的信息基础设施的重要支撑,安全可控的工业互联网平台是保证生产落实的前提,平台安全是产业安全和国家安全的重要基础。

“企业层面,工业互联网直接连接工业设备,一旦发生入侵等安全事故,会对人身、企业、生产安全造成直接损害。早期工业设备一般是哑设备和非智能设备,其基本的安全防护能力较弱。”宋奎强调。

除了设备,针对协议、硬件和应用的工业控制系统的攻击行为愈发普遍,安全问题亟待解决。

技术赋能商的工业互联网安全路径

工业互联网2.0中,网络、数据和安全是工业互联网体系架构的三大核心。网络是基础、数据是核心、安全是保障。在安全层面,涉及边缘层面如何解决网络安全、控制安全、设备安全问题。

树根互联从边缘、控制、网络三方面保障工业互联网安全。

边缘设备是连接工业设备和云端的桥梁,也是工业互联网链条中的重点保护对象,设备和云端会建立双向认证机制,保障设备接入安全、传输安全。

在控制方面,从云端与终端两个方向防御。在云端,平台对边缘侧下发指令,在云端严格控制下发权限,并进行身份校验。在终端,设备利用AI技术获得自我学习能力,对云端下发的指令进行安全分析。例如,在工厂工作区域内,一旦工人脱离安全区,设备是否接受停车指令,终端设备能自主判断。

在网络方面,通过场内网关保障网络安全。

此外5G、区块链等新技术也应用到工业互联网安全。宋奎表示,5G将从两方面改变工业互联网安全生态。

一方面,5G速度更快,边缘侧的应用可放至云端。5G对用户的唯一标识性符合更高的隐私安全;对归属地网络的控制,降低了漫游区的欺骗风险;加密数据量大,其对主机的传输速度要求更高,5G能承载安全加密后的数据。

另一方面,5G相对4G、3G时延更低,可增强运营商的优势,防御网络攻击。在工业互联网时效性要求较高的场景,边缘侧时效性要求较高,5G低时延特点发挥作用,工厂设备故障后及时停机,能够大大降低业务延迟。

例如三一重工远程遥控落地,5G让远程遥控突破了信号传输的瓶颈,借助5G网络,异地挖掘机获得指令,挖掘机能迅速精准地完成挖掘、回转、装车等远程无人动作。

除5G外,树根互联将区块链运用在工业互联网安全领域。国家的工业互联网标识体系将所有设备标识,树根互联利用区块链技术,将设备信息在可信标识管理存证,解决终端设备身份问题,保证设备唯一性,助力安全传输。

树根互联已经具备工业区块链的服务能力,利用区块链标识解析落地产品,包括安全威胁平台、生态体系安全监控、外围端到端的运维监控和管理,共同保障供应互联网安全。

4月初,长沙经开区与三一汽车、树根互联签订战略合作框架协议,以三一云谷为载体,共建星沙区块链产业园,争取5年内形成千亿级数字经济产业链,打造以区块链技术为特色的综合性数字经济产业示范区。

制造商的工业互联网安全探索

除了行业技术推动,国家也出台一系列安全标准,在国家政策、业界标准不断完善的前提下,美的根据工业互联网生产安全标准,从三个维度建设安全架构。

美的信息安全负责人朱治国介绍:“第一个大的方面是整个安全管理制度,第二是技术落地解决方案,从底层物理层到上层数据层、应用层的技术纵深防御解决方案,第三是管理体系建立后的运行过程监测、安全实时探测。美的从三大维度构建起美的工业互联网安全体系。”

美的充分考虑各层级数据安全,形成IaaS、PaaS、SaaS层的数据到应用的全链路安全,并在数据采集、传输及存储过程中都采用了加密方案。

美的在网络架构上实现了IT/OT网络区分,通过办公、MES、生产网隔离,终端标准化,设备白名单接入,部署工业级防火墙、入侵防御系统等一系列安全措施,保障内网纯净,全网实现了网络准入控制,以及业务的专网专用。

在每一层级传输链路、网络汇聚及边缘节点上,美的部署网络探针,实时监测流量情况。后台安全大数据分析平台实时态势感知,汇聚全域流量,实时监测与告警。

美的工业互联集成负责人王军补充道:“数据采集源头是设备,工厂里有一部分设备是老设备,不具备加密接口。为保证数据源安全,核心做法是把数据采集工作放到边缘层,在靠近设备的地方采集数据。利用智能网关就近连接设备,一旦设备数据进入网关就是安全的;在智能网关到云端平台之间,所有链路都是受控的。”

美的旗下美云智数拥有多个系列、不同配置和功能的智能网关产品,支持大多数常见的工业通信接口和协议,通过智能网关,能够解决不同设备的连接问题,保障数据传输安全。

值得一提的是,工业互联网通信标准化也是美的未来想要发力的方向。

“早期设备是单机操作,设备功能点多面广,数据采集解决方案、协议也不一样。多样的协议给流量检测,入侵检测带来极大困难。在未来,标准化的通信协议能解决此问题,这也是美的未来发力的一个重要方向。” 美的IT总监周晓玲表示。

新基建下,工业互联网发展提速,安全问题尤为重要。数字化时代,技术赋能商与制造企业从不同角度出发,拥抱新技术,保障工业互联网安全,加速企业数字化转型。

感谢以下企业人士在本文写作过程中提供了非常有价值的观点和数据,特别致谢(排名不分先后):

树根互联运维总监宋奎、美的IT总监周晓玲、美的信息安全负责人朱治国、美的工业互联集成负责人王军。

版权所有 中华工控网 Copyright©2024 Gkong.com, All Rights Reserved