正文

《工业互联网赋能的企业数字化转型》连载及解读之四十三:工业互联网安全技术体系

admin
admin V管理员 /0 评论 /41 阅读
0110
此篇文章发布距今已超过32天,您需要注意文章的内容或图片是否可用!

摘要

传统的工业系统处于封闭可信环境中,采用的是分层分级的防御体系、分层分域的隔离思路,网络攻击防护能力普遍不足。工业互联网安全技术体系建设的目的是在工业产业层、企业层、边缘层、设备层中建立安全、可靠、完备的技术防护能力。

  关键词:设备安全、控制安全、网络安全、应用安全、数据安全

01

工业互联网的安全体系

工业互联网安全技术体系建设的目的是支撑企业安全管理控制要求,提供企业安全运营需要的安全数据分析和安全响应处置能力,实现国家及产业工业安全平台的对接和联动,为工业互联网企业业务的持续、稳定、可靠的数字化运营提供安全技术能力保障。工业互联网安全技术体系及能力架构如图一所示

图一 工业互联网安全技术体系能力框架

02

工业互联网安全专项技术能力

工业互联网安全专项技术能力主要包括设备安全、控制安全、网络安全、应用安全、数据安全五大项。

1)设备安全
固件安全增强:对于工业互联网设备,供应商需具备设备固件安全增强能力,阻止恶意代码传播与运行。
漏洞检测及修复:密切关注重大工业互联网现场设备的安全漏洞及发布的补丁,及时采取补丁升级措施,并在补丁安装前对补丁进行严格的安全评估和测试验证。
设备身份鉴别与访问控制:确保只有合法的设备才能接入工业互联网,并根据既定访问控制规则向其他设备或上层应用发送数据或从中读取数据。
2)控制安全
控制软件安全加固:通过在工业软件投入使用前采取代码测试、完整性校验、代码加密等措施防止软件被篡改,确保控制软件根据不同对象实现最小权限分配。
控制协议安全分析:为了确保控制系统执行的控制命令来自合法用户,必须对使用系统的用户进行身份认证,未经认证的用户发出的控制命令不被执行。
控制指令安全审计:通过对控制软件进行安全监测审计,可以及时发现网络安全事件,避免发生安全事故,并可以为安全事故的调查提供翔实的支持数据。
控制功能安全:明确操作人员在对智能化系统执行操作的过程中可能产生的、合理可预见的误操作,以及智能化系统对于人员恶意攻击的防护能力。
3)网络安全
通信与传输保护:在标识解析体系的建设过程中,需要对解析节点中存储的数据及在解析过程中传输的数据进行安全保护。
网络边界控制:根据工业互联网中网络设备和业务系统的重要程度,将整个网络划分成不同安全域,形成纵深防御体系。在安全域间采用网络边界控制设备,以逻辑串接的方式部署,对安全域边界进行监视,识别边界上的入侵行为,并进行有效阻断。
接入认证授权:接入网络的设备与标识解析节点应具有唯一性标识,网络应对接入的设备与标识解析节点进行身份认证,以保证合法接入和合法连接,对非法设备与标识解析节点的接入行为进行阻断与告警,形成网络可信接入机制。
网络攻击防护:提高网络设备与标识解析节点自身的安全性,对登录网络设备与标识解析节点的用户进行身份鉴别,并确保身份鉴别信息不易被破解与冒用。
4)应用安全
用户授权管理:使用工业互联网平台,需要采取严格的认证授权机制以保证不同用户访问不同数据资产。
虚拟化安全:虚拟化是边缘计算和云计算的基础,为避免虚拟化出现的安全问题影响上层平台安全,在平台安全防护中要充分考虑虚拟化安全。
代码安全:通过代码审计检查源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞,并提供代码修订措施和建议。
应用白名单:采用具有白名单机制的应用软件产品,构建可信环境,抵御0DAY漏洞和有针对性的攻击。
5)数据安全
数据防泄露:为防止数据在传输过程中被窃听,工业互联网应根据不同数据类型及业务部署情况,采用有效手段防止数据泄露。
数据加密:根据工业数据敏感度采用分等级的加密存储措施(如不加密、部分加密、完全加密等)。
数据备份及恢复:根据业务需求制定数据备份策略,定期对数据进行备份。

03

工业互联网安全建设能力参考

在规划工业互联网安全技术架构时,可以借鉴“持续验证,永不信任”的零信任理念。在工业互联网网络安全边界防护的基础上,把访问控制从粗粒度的网络边界层面,迁移到细粒度的所有主体、客体和业务层面,为工业互联网构建设备、用户、应用、流量全信任链路。

1)零信任架构
零信任的本质是以身份为中心进行动态访问控制,对访问主体与访问客体之间的数据访问和认证进行处理,将一般访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。
图二 零信任架构
2)工业互联网平台安全

国家工业信息安全发展研究中心和国家工业信息安全产业发展联盟发布的《工业互联网平台安全白皮书(2020)》从安全防护对象、安全角色、安全威胁、安全措施、生命周期五个视角对工业互联网平台的安全框架进行了分析,并介绍了工业互联网平台在接入安全、通信安全、系统安全、应用安全、数据安全领域的关键安全技术能力。工业互联网平台安全防护措施如图三所示

图三 工业互联网平台安全

3)工业互联网标识解析安全

国家工业信息安全发展研究中心和国家工业信息安全产业发展联盟发布的《工业互联网标识解析安全白皮书(2020)》提出的工业互联网标识解析安全框架,以标识解析流程为主线,从防护对象、安全角色、脆弱性与威胁、防护措施及安全管理等视角全面梳理了工业互联网标识解析安全的各方面内容,并对工业互联网标识解析关键技术进行了分析介绍,可对工业互联网标识解析安全能力建设提供重要参考。工业互联网标识解析安全关键技术框架如图四所示。

图四 工业互联网标识解析安全框架

4)工业互联网数据安全

国家工业信息安全发展研究中心和国家工业信息安全产业发展联盟发布的《工业互联网数据安全白皮书(2020)》从工业互联网数据分类安全防护要求、工业互联网数据安全防护通用要求、工业互联网数据分级安全防护要求、三个维度提出的工业互联网数据安全防护框架见图五

图五 工业互联网数据安全框架

5)工业互联网边缘计算安全

国家工业信息安全发展研究中心和国家工业信息安全产业发展联盟发布的《边缘计算安全白皮书》介绍了工业互联网边缘计算在边缘应用、边缘平台、边缘网络、边缘节点、边缘数据等方面面临的安全风险与挑战,以及对应的安全技术防护能力和措施,可作为工业互联网边缘计算安全能力建设的重要参考,见图六

图六 工业互联网边缘计算安全框架


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网