文│ 中国信息安全测评中心 谢丰 伊胜伟 高洋

工业互联网作为“新基建”七大领域之一,正在驶入快车道。本质上,工业互联网是信息技术与制造业的深度融合,旨在打破过去人-机-物之间、工厂与工厂之间、企业上下游之间彼此相对独立的物理隔离状态,实现全要素、全产业链、全价值链的全面连接,这将对加速我国工业技术改革创新、抢占全球制造业新高地发挥重要作用。

当前工业互联网还处于起步阶段,有诸多关键问题亟待解决,其中一个就是如何保障工业互联网安全。国际上曾发生过多起工业网络攻击事件,给所在国造成极大危害,值得我们高度警惕。例如2015年乌克兰遭受网络攻击而导致大面积停电,30余个变电站出现故障,140余万人受到影响。2019年委内瑞拉古里水电站遭受电磁攻击继而引发了全国性大停电,交通瘫痪,通讯中断,影响极大。未来的工业互联网由于其互联互通特性,一旦遭受网络攻击,可能造成的影响会更加深远。可以说在某种意义上,工业互联网的网络安全保障水平将是其发展成败与否的决定性因素之一。

一、新基建下工业互联网安全风险分析

总体而言,我国工业互联网发展面临以下主要安全风险。

1. 供应链不可控,潜在安全隐患大

工业互联网涉及能源、交通、制造等国家关键基础设施领域,厂商构成复杂,设备种类繁多,特别是高端数控机床、高端发动机、发电控制系统,以及高端PLC器件等底层控制设备严重依赖国外。例如,我国大中型PLC设备基本上以国外产品为主,工业软件也几乎被国外垄断,仅国外三大EDA软件厂商在我国的市场份额就超过 95%,国产软件技术水平差距在30年以上。这些工业核心软硬件的内部机理及通信过程往往不透明,再加上自身可能存在设计漏洞和被植入后门的问题,容易造成重要工业资产和装备制造业务信息被非法窃取,甚至可被远程控制和破坏。同时,由于它们在工业生产中往往起着不可代替的核心中枢作用,天然成为“卡脖子”瓶颈。最近的中兴、华为事件,以及Matlab禁用事件均充分说明,只有核心技术掌握在自己手中,降低对外依赖度,才能真正确保长远发展。

2. 工业互联网的泛在互联、跨域共享特点将会显著扩大受攻击面,给现有的网络安全防范带来巨大挑战

工业互联网的目标就是实现人机物的全面互联,实现网络空间与物理世界的无缝衔接,使得生产状态、工艺参数、产能信息等关键工业数据向云平台汇聚。它整合现有工厂级控制系统、企业信息系统及云平台,并将衍生出各种工业app应用,这势必会导致工业互联网成为网络攻击的重点目标。

现有工厂控制系统是一个相对封闭的独立网络,与企业信息系统之间通常单向隔离,甚至是完全物理隔离,现场采集终端也处于相对封闭的环境中。但是随着未来5G、物联网、工业互联网的发展和应用,大量智能传感器、工业机器人、摄像头、智能仪表等终端设备都能远程接入工业互联网中。这种泛在连接打破了原有的边界隔离,使得黑客能够通过这些边缘层终端跳转进入核心网络,而目前这些边缘层终端的防护能力远远满足不了要求。例如,卡巴斯基实验室曾经发布了一份工控威胁环境报告,通过全网扫描发现全球170个国家超过18万台工控主机,92%存在容易被利用的脆弱性。

除了边缘接入的巨大风险之外,工业互联网实现的两个层面的互通,即企业内部从车间到决策层的纵向互联,以及上下游企业(供应商、经销商、客户、合作伙伴)之间的横向互联,也势必会导致网络风险的蔓延。同时,工业云平台汇聚了企业的核心资产——工业大数据,也将成为众矢之的。

3. 控制系统自身漏洞多、难修补,导致工业互联网安全地基不牢

与传统IT设备相比,工业设备更关注系统的实时性与业务连续性,内存和处理能力有限,安全防护机制缺失,系统漏洞多,再加上受生产运行环境的限制,安全漏洞很难及时修补,这就导致问题将长期存在。例如,2018年工信部曾对20余家典型工业企业、工业互联网平台企业进行安全检查,发现2000多个安全威胁。相关数据显示,我国目前有50%以上的工控系统带“毒”运行,100%的工控系统带漏洞运转。

4. 工业互联网的安全管理跨界融合困难

工业互联网最终将实现IT和OT的融合,不仅会打通技术链条,实现业务赋能,同时也模糊了生产安全管理和网络安全管理的界限。安全管理的跨界融合是对现有泾渭分明的安全管理体系的一种颠覆,需要不断协调和填补双方在知识背景、安全意识、操作技能、运行机制、惯性思维等全方位的巨大鸿沟,这无疑是一个重大挑战。

二、工业互联网安全测试与风险评估

鉴于上述安全风险,工业互联网这个“新基建”的重要领域,从一开始就必须系统性考虑安全可控的信息技术体系,做到“同步规划、同步建设、同步使用”,以保证新型基础设施的安全。安全建设离不开安全测评。与传统信息系统安全评估相比,工业互联网安全测试与风险评估需要注意以下几点。

1. 工业互联网资产梳理

工业互联网是工业自动化生产的新理念新体系新视角,其中最核心的仍然是底层的工业控制系统。目前工控系统面临着资产多、种类繁杂、现实管理混乱、资产所属及其网络安全责任所属不清的情况,工业企业普遍没有建立工控资产台账,资产底数不明,甚至大量工控设备处于野外无人值守状态,这都导致了一旦发生工控网络安全事件很难开展应急处置。在未来,海量的智能传感器、智能仪表等边缘传感设备的广泛应用更将加剧这种状况。

工业互联网资产梳理有多种方式,如工业互联网资产自动化测绘、资产人工梳理核查以及混合方式。前者可以在工业互联网中自动化探测资产信息并进行收集整理分析,后者需要根据工控资产核查表单,人工登记记录形成电子版资产台账。在很多工控评估规范中均对资产安全提出了要求。例如《工业控制系统信息安全防护指南》“资产安全”要求中明确提出“建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则”。只有工业互联网资产梳理清楚,才能准确全面地进行安全评估。

2. 工业互联网安全基线静态评估

安全基线静态评估是网络风险评估的重要内容。工业互联网安全基线静态评估应充分针对其特点来开展,尤其是现场控制部分。例如,许多终端控制设备位于室外而非机房环境,这对物理环境提出了新要求;工业主机尽管以普通计算机形态存在,但由于其功能主要用于生产业务运营而非个人使用,因而各种外设接口都需严格管理;过程监控往往要求24小时不间断,其不同用户的切换可能会对状态监视及控制造成安全影响,这又对传统的身份鉴别和访问控制提出了考验;工控系统实时性高的特点会直接影响安全模块或者安全设备的部署。这些因素都是工业互联网安全基线静态评估中需要慎重考虑的内容。

3. 工业互联网网络威胁检测与态势感知动态评估

工业互联网的网络安全是动态变化的,可能面临着外部恶意网络攻击、内部人员误操作、运行状态异常等动态变化的安全威胁。网络威胁检测与态势感知动态评估能够较好地应对这种动态安全变化。通过对工业互联网网络流量捕获监测分析,能够发现网络中的畸形流量、异常行为、重要指令、越界参数等,从而对其运行状态进行感知和评估。特别是工业互联网的底层控制网络主要连接传感器、执行器、控制器、监控中心等,人员操作行为少,更有利于建立网络正常行为基线。

4. 工业通信协议解析分析与流量构造

工业互联网不仅包括上层应用及云平台之间的TCP/IP网络,还包括底层的现场总线网络、工业以太网等专用网络,使用的工业网络协议数量众多,种类繁杂,主流的有Modbus、OPC、DNP3.0、PROFINET、EtherNet/IP等等。其中大量工业通信协议为厂商私有,不对外公开。无论是对工业控制网络进行安全监测还是对工控设备进行安全测试,均离不开对工业通信协议的理解和解析。因此,对各种私有的工业通信协议进行逆向分析、规约识别、语义理解就变得十分重要。

此外,工控系统的实时性要求高,一般不能接受较严重的网络延迟和抖动,信息通信必须不被中断或受到影响,因此在对工控设备或工控安全设备进行安全测试时,往往还需要构造特定的工控测试流量包,实现工业协议健壮性、工业协议解析合规性等安全测试。

5. 工业互联网仿真测试环境建设

工业互联网主要涉及关系到国计民生的关键行业领域,例如:电力、石油、化工、水利、交通、制造、冶金等,尤其是工业互联网中的工业控制系统,是这些领域自动化生产和运营的“神经中枢”和“大脑”,具有核心关键作用。工业互联网安全评估不能影响生产业务的正常运行,但是安全评估过程中采用的技术手段却有可能对实际在线运行的工业控制系统造成严重影响,例如造成生产停车、经济损失,甚至发生火灾爆炸等。因此,应该严格禁止对工业互联网底层生产运行系统采取主动探测、渗透测试等技术手段。通过采用工业互联网系统的软硬件备件,按照一定比例建立工业互联网仿真测试环境,对系统进行测试评估并对发现的问题进行验证,是一个行之有效的办法。为了综合平衡测试结果的可信度与测试环境的建设投入,可以考虑虚实结合方式,对与网络安全密切相关的关键要素(如工业软件、工控设备、工业通信网络等)采用真实系统进行构建,而对其它要素(如工艺流程、物理过程等)则进行仿真,但总体上应保证系统结构完整,确保安全测试效果。

工业互联网作为工业体系和互联网体系的深度融合产物,是新一轮工业革命的关键支撑,也是“新基建”的重点推进领域。我们既要加速推进制造业数字化、网络化、智能化发展进程,又要高度重视蕴含的网络安全风险,做好顶层设计,强化统筹协调,确保工业互联网安全健康发展,为国家“新基建”战略的落实奠定安全基础。

(本文刊登于《中国信息安全》杂志2020年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。