2月1日,2018工业互联网峰会在北京举行,这是工业互联网领域最高规格的会议,在整个峰会期间,安全被提到了前所未有的高度,与网络、平台并列成为工业互联网的三大功能体系,从副总理、部长一直到参会的工业企业、研究机构、安全企业,“三大体系”成了大家关注和讨论工业互联网的基础。
工业互联网是中国工业超越的机会
以互联网为载体的新技术融合为典型特征的第四次工业革命正在以空前的速度、深度和广度席卷全球,无论是德国的“工业4.0”,美国的“再工业化”,还是“中国制造2025”,核心都是将工业互联网作为战略着力点。
工业互联网是连接工业全系统、全产业链、全价值链,支撑工业智能化发展的关键基础设施,是互联网从消费领域向生产领域、从虚拟经济向实体经济拓展的核心载体。发展工业互联网已经成为各国抢占全球产业竞争新制高点、重塑工业体系的共同选择。
“中国拥有世界上最为完备的工业体系,也是全球最大的工业体系,但发展质量和竞争能力与美德等发达国家存在一定差距,有着巨大的转型升级潜能和需求。同时,我国也拥有全球最大的ICT产业体系,不少领域已具备较高的发展水平,尤其是互联网发展迅猛,业务创新非常活跃,在消费端涌现出了大量新模式新业态。如果把二者融合,促进双方协同创新,工业互联网应该是一个重要的突破口。”工业互联网产业联盟秘书长、中国信息通信研究院总工程师余晓辉日前这样描述了工业互联网对于中国的发展机会。
2017年11月27日,国务院印发《关于深化互联网+先进制造业发展工业互联网的指导意见》,将工业互联网定位工业转型升级的顶层设计,提出2018年到2020年我国将加速推进工业互联网的建设、发展和应用。
工业和信息化部总经济师王新哲在2018工业互联网峰会上透露,要发挥好制造大国和网络大国的双重优势,努力开创工业互联网发展的新局面,为促进实体经济高质量发展,推动现代经济体系建设提供有力的支撑。为此,工信部将在2018年实施工业互联网三年行动计划,并启动首期工程。
安全是工业互联网最重要的三大任务之一
伊朗核设施遭遇震网病毒攻击、乌克兰电厂因黑客攻击导致大面积停电、永恒之蓝勒索病毒致使全球多家汽车等生产企业停产等一系列事件说明,安全已经成为工业互联网发展中首要考虑的问题。
工业互联网推动当前以“人与人”连接为核心的互联网走向“人-机-物”全面互联,极大扩展了网络空间的边界和功能,也打破了工业控制系统传统的封闭和强调高可靠性的格局,使工控系统信息安全问题大量暴露出来,线上线下安全风险交织叠加放大,安全形势更为复杂,极大威胁到了工业企业、民生、国民经济、甚至国家发展的安全。
因此在国务院印发的《关于深化互联网+先进制造业发展工业互联网的指导意见》中,提出了构建网络、平台安全三大功能体系,明确了工业互联网发展和安全的主攻方向和重大任务,强化了安全在工业互联网发展中的地位。
《意见》也明确提出提升工业互联网安全防护能力、建立数据安全保护体系、推动安全技术手段建设等安全保障要求,工业互联网的安全防护要充分考虑新的工业属性需求,同步推进产业发展和安全防护,将安全体系建设作为工业互联网发展的重要组成部分。
工信部部长苗圩表示,2018年将深入实施工业互联网创新发展战略,开展工业互联网发展的323行动。其中,第一个“3”,是打造网络、平台、安全三大体系。
为推动工业互联网安全,2017年12月12日,工信部继《工业控制系统信息安全防护指南》、《工业控制系统信息安全事件应急管理工作指南》、《工业控制系统信息安全防护能力评估工作管理办法》等指导文件后,再次发布《工业控制系统信息安全行动计划(2018-2020)》。
该文件明确了工信部在工业控制系统信息安全方面未来3年的工作重点和方向,特别明确了建立多级联防联动的工控安全工作机制,具体细化为一网一库三平台的技术保障体系和监管机制。一网一库三平台,即全国工控安全在线监测网络,全国工控安全应急资源库,仿真测评平台、信息共享平台、信息通报平台。
工业互联网面临的安全挑战
工业和信息化部网络安全管理局陆建文副局长在2018工业互联网峰会的工业互联网安全与产业应用论坛上分析了工业互联网的安全威胁,他认为工业互联网具有开放、互联、跨域、融合等特点,这是工业互联网的独特优势,也是工业互联网发展的一个重要前提和基础。同时也带来了安全的难题,因为它打破了以往相对清晰的安全边界。
特别是与互联网相连后,既面临来自互联网的外部威胁,又与工业生产等内部安全问题相互交织,属于融合发展网络安全新威胁,一旦出现安全问题起码有三个层次;第一个层次就是会造成工业企业内部社会或服务中断,信息泄露等影响,造成安全生产事故,安全生产事故是个大问题;第二个层次如果发生在航空航天、石油化工、能源军工等重要领域,会严重影响国家关键信息基础设施的运行安全。第三个层次严重的还会及国家安全、国计民生和公共利益。
工业控制系统安全国家地方联合工程实验室和360威胁情报中心联合发布的《工业信息安全态势报告》分析了IT/OT一体化融合带来的安全挑战。
随着IT/OT(信息技术和操作技术)一体化的逐步推进,工业控制系统越来越多地与企业网和互联网相连接,形成了一个开放式的网络环境。工控系统网络化发展导致了系统安全风险和入侵威胁不断增加,面临的网络安全问题也更加突出。由于工控网络系统环境的特殊性,传统的IT信息安全技术不能直接应用于工业控制网络的安全防护。然而,工业控制系统又应用于国家的电力、交通、石油、取暖、制药等多种大型制造行业,一旦遭受攻击会带来巨大的损失,因此需要有效的方法确保工控系统的网络安全。
安全漏洞,是工业控制系统面临的首要安全问题。根据美国工业控制系统网络紧急响应小组(ICS-CERT)最新统计报告,2015年漏洞总数为486个,2016年美国关键基础设施存在492个安全漏洞。根据公开的ICS漏洞数的年度变化趋势来看,工控安全漏洞逐年增加。
自2000年1月截止到2017年12月,根据我国国家信息安全漏洞共享平台(CNVD)统计,所有的信息安全漏洞总数为101734个,其中工业控制系统漏洞总数为1437个。2017年CNVD统计的新增信息安全漏洞4798个,工控系统新增漏洞数351个,均比去年同期有显著增长;其中,高危漏洞占比最高,达到53.6%。中危漏洞占比42.4%,其余4.0%为低危漏洞。
根据态势报告的分析,对于传统IT网络安全,保密性优先级最高,其次是完整性、可用性。工业网络则有明显的不同,工业网络更为关注的是系统设备的可用性、实时性。由于IT系统和OT系统之间存在的众多差异,当工业互联网的IT/OT进行融合时会带来很多安全挑战,包括暴露在外的攻击面越来越大,操作系统安全漏洞难以修补,软件漏洞容易被黑客利用,恶意代码不敢杀、不能杀,DDOS攻击随时可能中断生产,高级持续性威胁时刻环伺等。
此外,一些安全挑战还来源于工业系统自身安全建设的不足,诸如工业设备资产的可视性严重不足,很多工控设备缺乏安全设计,设备联网机制缺乏安全保障,IT和OT系统安全管理相互独立操作困难,生产数据面临丢失、泄漏、篡改等安全威胁。
谁来保护工业互联网的安全
作为工业互联网三大体系之一,安全是工业互联网健康发展的前提和保障。国务院下发的《关于深化互联网+先进制造业发展工业互联网的指导意见》中,明确提出了工业互联网安全工作内容,从制度建立、标准研制、安全防护、数据保护、手段建设、安全产业发展、人员培养等七个方面,建立涵概设备安全、控制安全、网络安全、平台安全、数据安全的工业互联网多层次安全保障体系。
2018工业互联网峰会的工业互联网安全与产业应用论坛上,来自工信部、信通院、海尔、上汽集团、富士康、树根互联、航天云网、360等工业互联网平台企业、制造企业、设备提供商、安全企业都从不同的角度提出了工业互联网安全的实践应用和解决方案。
信通院安全所田慧蓉博士介绍了即将发布的《工业互联网安全框架白皮书》,提出从明确对象进行分类部署安全措施、建立动态安全模型、技术手段+管理手段相结合的安全模型入手,设计工业互联网安全框架,分设备安全、控制安全、应用安全、网络安全、数据安全、监测感知、处置恢复7个步骤来实施对工业互联网整体的安全防护。
海尔集团首席信息官、首席数据官殷皓分享了海尔的COSMAPlat平台的安全保护实践,以及基于海尔的工业互联网安全监测与防护平台海安盾建立安全体系的经验,这套体系的核心是建立安全运营中心,将所有安全防护设备和措施形成体系实现整体防护,海安盾和公安、政府有关部门实时连接,还有生态合作伙伴360威胁情报的实时输入。
工业控制系统安全国家联合实验室主任、360企业安全集团工业安全事业部总经理陶耀东分享了建立数据驱动的工业互联网自适应安全体系的方法论,提出了安全体系建设中要遵循架构安全、被动防御、积极防御、威胁情报和进攻反制五个阶段叠加演进的方式推进,逐步构建积极防御能力;地区、行业和企业分级建立工业安全运营中心(IISOC)从安全运营,通过安全运营实现安全能力落地,实现安全防护能力的提升。陶耀东表示,360将发挥产业引领作用,积极与政府、工业企业、安全行业、高校和研究机构合作,共同打造工业互联网安全生态,提升我们国家工业互联网的安全防护的整体能力和水平。
富士康集团信息安全部主管王国玮介绍,在富士康分实体安全、工业互联网的DMZ、工业互联网边界三个层面对数据和系统进行安全防护,在数据安全层面强调对于勒索病毒的防治或是未知威胁的防治,数据防泄露、访问控制、自动化备份;系统安全层级是动态配置管理,统一部署管理,快速还原。在这个过程中,富士康和360等网络安全厂商紧密合作,建立完整的工业互联网安全防护体系。
工业互联网安全要保护的范围很关,涉及领域也很宽,做好工业互联网的安全防护,需要政府、工业企业、网络安全企业、科研机构、高校协同合作,建立完整的安全产业生态。
工业和信息化部网络安全管理局陆建文副局长认为,产业协同是工业互联网安全的重要生态保障,我们会推动营造有利于工业互联网安全产业发展的生态环境,吸引企业、人才等力量,投入到工业互联网安全事业中,增强工业互联网安全产业上游技术研发与下游推广应用的有效衔接,共同打造政、产、学、研、用、投资一体化的工业互联网安全产业链,推动工业互联网产业高端化、体系化发展。