工業互聯網資訊安全標準體系研究

尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️

加入LINE好友

作者:

北京燃氣集團有限責任公司 關鴻鵬

中國電子技術標準化研究院 李琳

北京燃氣集團有限責任公司 李鑫

北京燃氣集團有限責任公司 姚玉梅

中國電子技術標準化研究院 徐克超

北京燃氣集團有限責任公司 王顏山

摘要:隨著雲計算、大數據、物聯網、人工智能等新興技術與傳統工業生產過程的深度融合,使得工業互聯網逐漸成為新興研究熱點之一。本文針對當前大陸工業互聯網中存在的安全隱患,以及當前該領域相關標準化工作進展情況,提出工業互聯網信息安全標準體系架構,為工業互聯網安全標準化工作的開展提供參考。

關鍵詞:工業互聯網;信息安全;標準體系

1 引言

當前,隨著信息技術和工業生產的雙向融合,雲計算、大數據、物聯網、人工智能等新興信息技術在各工業領域廣泛使用,使得傳統工業生產過程逐漸由單機走向互聯、由封閉走向開放。作為互聯網、新一代信息技術與工業系統全方位深度融合所形成的新型產業和應用生態,工業互聯網已成為發展的趨勢之一,引起各界的廣泛關注。隨著其飛速發展,工業互聯網深刻改變了傳統工業產業的生產方式、組織方式和商業模式,成為不斷推動著全球工業體系智能化變革的重要方式。

工業互聯網是工業控制系統、工業網路、雲計算、大數據存儲分析、企業辦公系統、產業鏈系統等多個組成部分的有機整體。工業互聯網的飛速發展,使得工業生產活動呈現「數字化、智能化、網路化」的發展趨勢,工業產品生產各個生產環節的互聯互通,生產過程跨時間、跨地域的生產模式逐漸成為常態,並形成了「設計、生產、物流、銷售、服務」為一體的全產業鏈上下遊緊密結合的產業模式。工業互聯網的特點,決定了其各環節、各組成部分之間需要信息的互聯互通,信息技術的高度滲透融合,尤其是工業生產過程和控制網絡、互聯網的緊密結合,使得工業生產在提高效率的同時,也面臨著較為嚴重的信息安全風險隱患。近些年來,全球針對工業控制系統的信息安全事件頻發,遍布諸多工業行業,且多為水利、能源、交通等事關國民安全和社會穩定的工業行業,直接威脅人民生命財產安全和社會穩定。「震網」病毒、「火焰」病毒等專門針對工業控制系統病毒的出現,使得工業互聯網中工業控制系統也開始面臨著傳統信息安全病毒的惡意入侵,「洋蔥狗」、「食屍鬼行動」等針對能源、石化行業控制系統的惡意攻擊,也表明工業互聯網中存在信息安全隱患,工業錄影頭被惡意攻擊者非法劫持的事例也表明工業互聯網的信息采集層的傳感設備也存在風險隱患。工業互聯網以物聯網為基礎做到的萬物互聯的思想,在做到工業生產各環節、各領域廣泛互聯的同時,也暴露了更多的風險隱患點,給了惡意攻擊者更多的攻擊管道。同時,各種新型應用在工業互聯網的廣泛應用,也使得工業互聯網面臨著數據安全、網路安全等多層次的安全問題,故在開展信息安全防護工作時應從多方面、多角度,提出綜合性的安全考量。

本文在分析當前工業互聯網安全發展的基礎上,總結工業互聯網相關標準化工作情況,並結合當前大陸工業互聯網相關標準化工作基礎,提出標準體系架構,為工業互聯網標準化工作的發展提供意見建議。

2 工業互聯網安全發展現狀

隨著工業互聯網信息安全問題日益嚴重,工業互聯網服務提供商與各生產企業已開始著手解決工業安全防護問題,但是針對工業互聯網安全的研究還處於起步階段。當前,工業互聯網主要面臨著如下安全風險問題。

一是設備安全風險。工業互聯網作為物聯網技術在工業領域的衍生發展,使得工業生產過程的上下遊逐步形成有機整體,從工業生產現場的信息采集、生產過程執行等,到工業生產排產、規劃調度,以及產業上下遊企業的全產業鏈的信息互聯互通,都涉及諸多設備。眾多設備集成於工業互聯網中,在提升工業互聯網效率、擴展工業互聯網功能的同時,也擴大了安全風險的暴露面積,受攻擊面不斷擴大。例如,工業互聯網傳感設備性能較低,安全防護能力相對不足,工業控制系統對實時性要求較高,安全防護技術手段尚不完備,這就使得工業互聯網面臨著更多的設備安全的風險隱患。

二是數據安全風險。工業互聯網平台通常需采集工業生產數據、業務數據、工控系統及設備狀態等重要數據,這些數據對於預測國家經濟運行狀況、企業經營情況等具有重要意義,因此針對這些數據的傳輸、存儲、應用需要重點保護。例如,工業互聯網通常需要采集工業設備每天運行情況,具體生產數據、訂單用戶信息等,同時對於採用雲計算、大數據等技術的工業互聯網,通常還需將上述數據跨境傳輸、存儲。這就導致社會公眾利益、個人隱私等面臨著受侵害的風險隱患。

三是控制安全風險。當前,工業互聯網的最終目標是確保工業生產的高效、順利進行。因此,諸多工業互聯網都提供針對工業生產設備的控制功能。該功能可通過工業企業私有雲平台控制工業企業內部工業控制系統做到,也可由第三方服務提供商在工業生產設備上加裝輔助控制設備來做到。聯網控制工業生產設備的做到,在方便工業互聯網對工業生產設備聯網控制、統一調配的同時,也帶來了諸多的安全隱患。因此在通過工業互聯網連接並控制工業生產設備的同時,需重點考慮控制信息的安全性。

四是網路安全風險。工業互聯網將工業生產設備、控制設備、企業管理系統、上下遊產業鏈的相關係統相互連通,在提高生產效率、打通網路通信管道的同時,也將網路協議層的安全風險隱患引入工業互聯網中。例如,為做到工業生產設備互聯,諸多工業控制系統需採用統一且公開的工業協議,協議格式內容的公開,使得惡意攻擊者可有效研究工業協議,並有針對性地開展惡意攻擊。目前已知的工業控制系統信息安全惡意攻擊事件較多針對通用工業協議開展攻擊。此外,工業互聯網網路層多採用傳統互聯網協議,這就將傳統的信息安全風險隱患引入工業互聯網中。

3 工業互聯網安全標準現狀

為確保工業互聯網安全,國外發達國家長期開展工業互聯網安全相關標準規範的研究制定工作。工業互聯網作為多項技術融合發展的產物,包含諸多新型技術應用,故目前針對工業互聯網的安全標準較少。但國外發達國家早已開展如工業控制系統、物聯網、雲計算等工業互聯網相關領域的標準制定工作。

2015年5月2日,美國國家標準與技術研究院(NIST)發布了《工業控制系統(ICS)安全指南》(NIST SP800-82),主要從工控系統架構、系統與信息系統的區別、工控系統的典型威脅和脆弱性分析、工控系統信息安全建設參考模型、SP 800-53中的安全控制措施在工控系統中的應用五個方面論述了工業控制系統(ICS)安全的重要性和應對威脅的安全策略。NIST SP800-82概述了工業控制系統的系統拓撲結構,指出了對於這些系統的典型威脅和脆弱點所在,為消減相關風險提供了建議性的安全對策。同時,根據工業控制系統的潛在安全隱患,以及安全隱患影響水平的不同,指出了保障工業控制系統網路安全的不同方法和技術手段。該指南適用於電力、水利、石化、交通、化工、制藥等行業的工業控制系統。除此之外,NIST還陸續發布了《聯邦信息系統和組織的安全控制建議》(NIST SP 800-53)、《系統保護輪廓-工業控制系統》(NIST IR 7176)、《中等健壯環境下的SCADA系統現場設備保護概況》、《智能電網安全指南》(NIST IR 7628)等標準規範。

在國內,大陸自2010年前後已陸續開展工業控制系統信息安全相關標準的研究制定工作。截至目前,全國已有多個相關標委會開展了該領域標準執行工作。全國工業過程測量和控制標準化技術委員會從自動化領域入手,借鑒IEC62443等系列標準,研究制定了《工業通信網路-網路和系統安全-第2-1部分:建立工業自動化和控制系統信息安全程序》、《工業控制系統信息安全 第1部分:評估規範》、《工業控制系統信息安全第2部分:驗收規範》等工業控制系統的安全標準。全國信息安全標準化技術委員會(TC260)作為全國信息安全領域標準化歸口組織,歸口管理全國信息安全領域的相關國家標準化工作。截至目前,已發布《信息安全技術 工業控制系統安全控制應用指南》等相關國家標準,同時國標立項標準十餘項。相關立項標準如表1所示。

除此之外,大陸還針對傳感器、數據傳輸、網路應用等方面,立項研制了相關標準,如針對視頻監控安全,全國安全防范報警系統標準化技術委員會(TC100)已制定視頻安防監控系統相關安全國家標準5項,含2項強制性標準,行業標準25項,包含管理、技術、測試驗收等方面。

4 工業互聯網標準體系

由表1可知,當前大陸工業互聯網相關標準多為物聯網、工業控制系統、雲計算等領域標準,專門針對工業互聯網安全的標準尚未立項研制。綜合考慮國家、平台經營商和企業用戶等層面面臨的安全威脅,圍繞「基礎+技術+管理+服務」標準體系,加快研制《工業互聯網安全接入基本要求》、《工業互聯網數據安全防護基本要求》、《工業互聯網平台應用安全要求》、《工業互聯網平台安全管理基本要求》、《工業互聯網安全防護產品基本要求》、《工業互聯網網路安全評估實施指南》等重點急需標準,支撐工信部工業互聯網安全管理工作。

針對當前大陸工業互聯網產業發展需求,結合當前相關技術應用融合情況,總體提出如圖1所示標準體系。該標準體系從基礎共性、技術要求、管理要求、服務規範四個方面,開展工業互聯網安全標準的規劃工作。

在基礎共性標準方面,重點開展工業互聯網的術語與定義的標準制定工作,針對工業互聯網領域的專有名詞,相關技術、產品等的術語,給出規範化的標準指導。同時針對工業互聯網實際情況,研究提出工業互聯網安全參考架構和通用參考模型,為工業互聯網的設計、建設、運維過程中的安全提供參考依據。

工業互聯網信息安全標準體系研究

表1

在技術要求部分,重點考慮設備、系統、網路、數據和應用等領域的安全性要求,從物理防護、訪問控制、安全管理、標識和鑒別、通信安全、運維安全等方面,對工業互聯網各組成部分的安全防護、安全防護設備等提出技術性要求。

在管理要求方面,結合工業雲平台數據、運維以及工業控制系統的特點,提出數據安全管理、平台運維安全管理、工業系統安全管理的相關標準,指導當前大陸工業互聯網安全管理工作的開展。

在服務規範方面,針對工業互聯網服務提供主體的不同,從工業互聯網自營服務、第三方服務兩個方面制定標準。其中自營服務重點針對工業互聯網平台提供方為主體提供的服務,而第三方服務則側重於針對工業互聯網平台為工業企業和用戶提供平台門戶、雲製造、大數據應用、創新創業、工業品共享中心等產業服務中的安全性提供標準化指導。

工業互聯網信息安全標準體系研究

圖1 工業互聯網安全標準體系

5 總結

工業互聯網作為多種新興技術深度交叉融合的產物,正在改變著傳統工業企業工業生產的方式。隨之而來的,也衍生出了數據安全、接入安全、控制安全等諸多方面的安全問題。本文針對當前大陸工業互聯網發展狀況,分析風險隱患,並結合當前大陸相關領域標準化工作的實際情況,提出標準體系,為後續標準化工作的開展提供借鑒參考。

作者簡介:

關鴻鵬(1968-)男,北京人,高級工程師,學士,現任北京燃氣集團有限責任公司經營調度中心副主任,主要研究方向為燃氣供應、燃氣調度、燃氣管網安全管理、工業控制系統信息安全。

李琳(1983-)男,山東人,博士,現任中國電子技術標準化研究院工程師,研究方向為信息安全、數據挖掘。發表SCI、EI十餘篇,參與多項信息安全、工業控制系統信息安全等。

李鑫(1981-),男,北京人,碩士,現任北京燃氣集團有限責任公司工程師,主要研究方向為燃氣工業控制系統安全、網路與信息安全。

姚玉梅(1964-),女,河北人,學士,現任北京燃氣集團有限責任公司高級工程師,主要研究方向為燃氣工業控制系統安全、網路與信息安全。

徐克超(1981-),男,山東人,碩士,現任中國電子技術標準化研究院工程師,研究方向為網路與信息安全。在國內外期刊發表論文十餘篇,先後負責和參與國家科技支撐計劃、國家科技重大專項、國家發改委產業化專項、中央網信辦網路安全專項、工信部工控安全評估專項,國家重點研發計劃等科研項目20餘項。

王顏山(1993-),男,山西人,學士,現任北京燃氣集團有限責任公司助理工程師,主要研究方向工業控制系統安全、網路與信息安全。

摘自《自動化博覽》2018年3月刊

轉載請註明出處

更多精彩內容請關注控制網&《自動化博覽》