工业互联网背后的信息安全

作者:Martin, 星期一, 十二月 3, 2018
来源:https://www.aqniu.com/industry/41381.html

“工业互联网安全”为主题,中国信息协会信息安全专业委员会(以下简称:信安委)2018年年会,暨第八期网络安全创新发展高端论坛,上周四下午在北京召开。

作为信安委今年换届后的首次会员大会,会议主办方,信安委主任叶红在致辞时表示,工业互联网是先进制造的重要承载,但不断涌现的工控系统安全漏洞也在切实的危及公共安全。作为重要的信息基础设施,未来除了增强安全认识、落实安全责任和技术防范能力,弥补自主可控的的短板外,企业和科研单位更应展开多方的协同合作,共建工业互联网安全保障体系。这也是信安委设置工控安全工作部和召开此次论坛的重要愿景。

IT和OT的融合,让工业控制系统中来自网络的安全隐患日益凸显。从工业控制系统安全到工业互联网安全,如何理解两者的区别?业界又是如何看待工业互联网背后的安全市场?安全挑战以及应对思路?

我们以普通群众较能感同身受的能源行业举例。

能源,特别是以电网为代表的电力场景,是重要的工控场景,也是《关键信息基础设施安全保护条例(征求意见稿)》中明确的关键信息基础设施。无论是在发电、输/变电还是配电,如何一个环节,即使只是诸如信号异常的问题,轻则短暂停电,重则区域电网整体瘫痪,甚至发生难以想象的“人祸”。

公安部网络安全保卫局的祝国邦处长在论坛致辞时明确提及,特别是对电力等重要行业,未来会持续增加执法检查的力度,和攻防演练的频率,并推动安全能力的关键技术落地。这是工控安全的背景。

再谈谈能源互联网。

据统计,截至2017年,我国发电总装机17亿度,居世界首位。在国家电网的经营范围内,火电装机仍高达65%。但未来,以光伏和风力发电等清洁能源场景,预计到2050年,能源占比降超过60%。能源互联网所具备的对多种可再生能源的接入,协调,以及用户多样化能源消费需求的满足,使之成为未来能源变革的重要支撑手段。

可以说,能源互联网是现代电网的升级。

中国工程院汤广福院士在谈及能源互联网的发展时表示,能源互联网的构建需要在柔性送电、能源转化和信息通信等关键方面展开技术探索。在信息通信技术方面,智能互动和安全可控,是两个重要要求。

安全可控,是电力系统高度稳定和可靠运行的重要保障。通过网络攻击实现的,针对电网、电力监控系统的破坏,是电网安全的重要威胁。能源转型,能源互联网的构建,使得电力系统的网络结构更加复杂,接入边界模糊;多实现形态的通信网络,持续增加的双向互动,也会不断扩大电网在信息安全威胁面前的暴露面。

这是能源互联网的发展的必然性,和随之而来且必须正视的信息安全挑战。

国家电网是对信息化高度重视且有持续投入的央企。在“十一五”以来,国资委开展的4次中央企业信息化水平评价调研中,国家电网最终拿到了综合排名第一的评价。先进的信息化水平,从另一面看,增加了对电力信息系统的依赖,也增大了任意环节网络安全风险所带来的隐患。

国家网安依托国网信通集团组建的国网网安(北京),是国家电网应对网络安全挑战的重要力量。

据国网网安(北京)董事长殷树刚介绍,立足电力行业核心需求,为电力行业提供自主可控、安全可靠的技术产品,自主发展核心技术(如电力专用芯片)和基础支撑性技术(如结合北斗时空位置网服务的电网GIS平台),加强与企业、高校和科研机构的合作,是应对电力系统网络安全挑战的核心思路。

能源互联网是工业互联网一个垂直场景。行业垂直性强是工业互联网(安全)的一个重要属性。我们如何认识到工业互联网安全及其市场的一般性?

作为信安委2018年年会的承办方,立思辰CEO周西柱在会上分享时表示,发展工业互联网已经成为一项国家战略,未来其体量可能将远超目前的消费互联网。这也就意味着,工业互联网的安全可靠,是随之而来、由国家层面推动的重要基础能力和庞大市场。这一论断,与国家信息中心副主任马忠玉致辞时提及的数字,2017年我国工业互联网产业规模为5700亿元,以18%的增速预计,到2020年我国工业互联网产业规模将达到万亿元规模以上,是相吻合的。

立思辰CEO周西柱

目前,漏洞、勒索病毒和精准打击的APT攻击,是阻碍工业互联网发展最为凸显的三大威胁。除了被推测为国家行为的APT攻击外,其余两个的难点都不是防护技术。意识才是最重要的。信息化的投入需要前瞻性,工业互联网和安全也是。

周西柱认为,供给侧和需求侧的紧密结合,是工业互联网安全市场快速发展的重要前提。从供给侧看,目前研发投入大,市场体量小,小企业很难支撑持续性的高研发投入;从需求侧看,目前走在较前面大力发展工业互联网的行业相对封闭,责权划分不够清晰,安全预算不足。但未来,在以发展工业互联网为核心市场中,安全投入的占比相信会不断增加。

市场的发展离不开技术保障。

信安委工控安全工作部主任,立思辰工业互联网事业部总经理赵峰,在会上详细介绍了工业互联网的具体安全挑战和更具一般性的解决方案。

赵峰表示,目前可以看到,工业互联网的主要安全挑战包括:

工业互联网安全的整体目标是“数据不丢,应用不断”。所以在解决方案上,赵峰认为,首先是意识先行,跟进相关的人员培训的管理制度制定。技术保障方面,现阶段以监测、审计和“白名单”的防护理念为主,以最大程度减少对生产过程的扰动。同时,企业主要可从云/端互信(单向隔离&流量审计),数据安全(加密/脱敏/备份),应用安全(应用冗余/Web防护),访问授权(签名认证),云安全防护和安全可视化等角度,构建工业互联网的安全保障体系。对各层级不同的防护需求,实现分级保护,不做过度防护。