工业行业本身存在的网络工业协议设计缺陷、工业控制系统漏洞、网络安全防护缺失等问题,工业企业虽然对传统工业网络采取了一定的安全防护措施
工业领域存在哪些安全挑战?
当前,我国大多数企业的工业现场设备存在种类繁多、新老设备参差不齐、系统漏洞升级更新慢、不同设备工业协议不同、联网难度大等特点。
我将从以下几方面来介绍工业领域存在的安全挑战:
1、工厂终端
在传统工业生产中,现场设备是独立的个体,数字化、信息化、网络化程度较低,且网络安全防护建设落后于数字化信息化建设。虽然工业现场设备暴露于互联网上,极易被远程控制或者引发DDoS攻击,僵尸网络等问题,但是由于现场设备联网难度大使得设备相对独立,网络安全风险始终能得到有效控制。
工业企业完成数字化转型后,工业控制设备(PLC、RTU等)、IT终端设备(工作手机、工业PAD等)、智能终端设备(质检机器人、AGV等)等设备将实现互联互通。
当前现场设备自身的安全运行要求和规则尚不健全,终端设备彼此建立通信,设备的各种系统安全缺陷与漏洞也同样会引入到工业网络中,导致工业网络安全问题变得复杂。
受工业特征的影响,现场终端设备的软件系统更新速度要远慢于工业企业完成数字化转型速度。大量含有漏洞的设备暴露于互联网上,一旦这些终端被入侵者利用,容易形成规模化的设备僵尸网络,将成为新型高容量分布式拒绝服务(DDoS)攻击源,对工业应用、后台系统等构成巨大的安全威胁。
5G工厂同样会面临含有漏洞的设备暴露于互联网上的问题,甚至会让传统不同域之间的终端设备彼此通信变得更加便捷,因此,需要设计有效的防护方式,减少终端设备的攻击面和攻击路径,将安全风险控制在可控范围内。
2、AI终端
5G整合人工智能、数字孪生、云计算、AR、VR、边缘计算等各类新一代信息通信技术,在云、边、端统一架构平台上实现推理训练,支持快速的新模型迭代更新,有力的促进了AI技术在工业领域中的应用。
近几年,AI眼镜、AI质检仪、AI辅助决策仪、智慧分拣、智能AGV小车、智能环境监控仪等一批新AI终端和应用场景涌现,并不断向研发、生产等核心环节渗透赋能,在更大范围内发挥更核心的作用。
AI技术在工业领域成功大规模的应用,极大的提升了工业生产效率和企业管理效益,推动工业企业快速数字化转型。
人工智能会带来双刃剑效应,在赋能工业企业的同时,也给工业互联网带来了安全方面挑战。
一是人工智能可被武器化,助力网络攻击。人工智能自我学习能力和自组织能力可用于寻找漏洞、破解密码等,提高网络攻击效率。
二是人工智能可被滥用,威胁个人隐私。人工智能应用会增强信息采集和数据挖掘能力,加大了隐私泄露风险,甚至可能导致数据匿名化、数据脱敏等安全保护措施无效。
三是人工智能可决策失误,威胁人身安全。人工智能系统一旦出现感知、认知偏差或者受到网络攻击,系统就可能判断失误,并采取错误行动,甚至危及现场生产安全。
在工业领域大力发展人工智能的同时,必须高度重视AI技术可能带来的安全风险。5G工厂作为工业企业数字化转型的信息基础设施,在促进人工智能技术在工业领域应用的同时,也应为人工智能应用提供防护,加强前瞻预防与约束引导,最大限度降低风险,确保人工智能技术在工业领域提供安全、可靠、可控的服务。
3、工厂网络
传统工厂的网络架构以“两层三级”为主,包括了工业外网、工业IT网和工业OT网。IT网络主要指基于互联网的网络应用,由管理业务数据、支撑管理流程的技术、系统和应用程序组成,常见的应用有ERP、CRM、MES、OA等。
OT网络是指传统工业控制网络,是由管理生产资产、保持顺畅运营的技术、系统和应用程序组成,常见的应用有PLC、PCD、SCADA、SIS等。
传统工业网络中,IT网络与OT网络相对独立,大部分工厂的IT与OT网络都物理隔离的,即便是需要连接都会采取网闸、防火墙等严格的安全隔离措施。
工业互联网以人、机、物全面互联为目标,实现工业设备及系统之间的数据流动,促使工厂围绕生产经营形成一个系统化的智能体系。工业互联网也会促进OT与IT网络融合,模糊并泛化了OT与IT网络的安全边界,让互联网领域的安全网络风险向工厂OT网络延伸。
工业行业本身存在的网络工业协议设计缺陷、工业控制系统漏洞、网络安全防护缺失等问题,工业企业虽然对传统工业网络采取了一定的安全防护措施,但其工业控制系统网络中存在的居多安全漏洞和风险隐患并未消除。
融合带来的互联网安全风险,会与传统工业网络安全风险相互作用相互影响,形成了更为复杂严峻的工业网络安全挑战。工业互联网面临着攻击面广泛、攻击无处不在、平台网络风险日益严峻、物理安全威胁剧增等问题。
5G工厂不仅会促进IT和OT网络走向融通,而且会扁平化传统工厂网络结构,使得工厂内的车间级和现场级网络的层级减少。5G技术的开放特征将打破工业网络众多制式间的技术壁垒,实现网络各层协议间的解耦合,让工业网络重构成为可能。
5G工厂在重构工业网络同时,还会整合人工智能、物联网、云计算、大数据等为代表的新一代信息技术重构工业网络防护体系,为IT与OT网络融合带来的安全问题提供全新的防护方法论和策略。
4、工业数据
工业数据贯穿于工业设计、工艺、生产、管理、服务等各个环节,是提升制造业生产力、竞争力、创新力的关键要素。传统工厂中的各个环节系统没有统一管理的体系,数据壁垒严重,跨系统和业务获取数据难,导致工厂的数据资料存在滞后性、分散性和复杂性的特点。
由于传统工厂数据的滞后性大,缺少数据的联动和共享渠道,设备的运行状态没有实时的反馈,产线捕捉重要数据并没有形成系统化的监测,使得管理人员没办法通过零碎和复杂的数据来提升生产效益。
工业企业数字化转型是驱动工业数据融合的重要引擎。工厂在数字化、网络化和智能化的发展进程中,会推动工业领域的数据加速融合。
工业数据包含大量敏感信息,包括研发设计、开发测试、系统设备资产信息、控制信息、工况状态、工艺参数、系统日志、物流、产品售后服务等产品全生命周期各环节所生产的各类数据,这些数据往往属于工业企业的机密。
随着工业企业数字化加速转型,传统工业控制闭环中沉没与消失的数据将被开放出来,生产全流程的数据将以标准化的形式供上层应用使用。数据被大规模收集和共享后,工业企业的数据安全风险也不断增加,数据泄露造成的安全问题也将变得更加严重。
从工业数据的特点来看,5G工厂应解决以下三方面的数据安全问题:
一是数据保密与低时延要求难以同时得到满足的问题。5G工厂的很多工业应用场景,如PLC现场验证、SIS工业应急、工业设备电源冗余切换等,对数据传输时延要求高,工业终端设备的计算能力相对较弱,很难使用传统高强度、低实时性的加密验证算法,数据保密性得不到保证。
二是数据泄露、窃取以及被污染的风险增加问题。5G工厂使得工业数据会跨部门、跨系统传输变得越来越频繁,当前数据有用即所得的现状未能得到有效控制,导致数据被污染、泄露或窃取后难以追踪溯源,数据安全性难以保障。
三是当前大多数工业企业的数据安全能力无法满足新形势下的安全需求问题。大多数工业企业对工业数据的存储、使用和销毁的管理模式依然较为落后,未建立完善的数据安全管理制度,未落实授权访问机制和防篡改、防窃取、防误删等技术手段,没有规范完备的数据使用管理和销毁机制。
5、安全设备
工业领域安全设备也可以分为三类:
第一类是针对工业控制网络(OT)提供安全网关、网络行为与日志审计、入侵检测、主机加固、安全运维审计(堡垒机)、脆弱性检测、集中安全管理等;
第二类是针对工厂和企业管理区网络(IT)提供传统信息安全等保要求的安全设备。第三类是融合自身自动化产品安全属性的安全设备。当前工业领域安全设备整体处于初级阶段,普遍存在两方面的问题。
一是网络割裂,仅负责管辖范围的安全,无法实现跨域感知防护;二是功能单一,仅实现设置安全功能,不能与其他设备形成智能联防联控。
5G工厂安全是工业生产安全和网络空间安全相融合的领域,涵盖工业领域中各个要素和各个环节的安全,需要专门的安全产品、技术和服务。
当前,我国工业企业多采用传统的网络信息安全防护技术,以工控系统的“外建”安全防护产品和解决方案为主,尚没有工业OT方面的安全专用防护设备,整体安全解决方案还不成熟。
随着新型工业化进程加速推进,现有安全设备将无法满足未来5G工厂的“数字化、网络化、智能化”应用要求。
安全设备正从产品及设备的基础应用,逐步向以系统化的安全设计、监测、防控一体化和智能化、信息化、平台化的综合工业安全能力方向转型。5G工厂的发展促使定制化安全设备加速出现,满足客户不同产品形态、性能的需求。
同时,国家高度关注信息安全设备的自主可控,将信息安全设备的国产化上升到国家安全的高度,依靠自主创新,积极发展具有自主知识产权的信息安全设备。近年来,在信息安全产品国产化政策的推动下,信息安全设备的国产化替代趋势趋于显现。
6、管理方式
传统工厂的信息系统可分为IT系统和OT系统两类,通常归属两个不同的部门管理。IT部门是成本中心,他们的需求是安全,通过IT系统简化管理降成本。OT部门是生产中心,其诉求是安全生产,提高生产效率,提高产品质量,降低浪费。
他们对系统的考虑,是安全可靠,容易替换,操作简单,不改变原有习惯。IT人员习惯从总体需求出发,采用自顶而下的方法,将系统划分为若干的子部件,且针对子部件提出和开发解决方案。
OT人员习惯于自下而上的思路,从个别的部件出发构建复杂的系统。在传统工厂,OT和IT在逻辑上彼此独立,在物理上保持隔离或分割。因此,形成了两套无法复用的运营管理制度和体系。
工业企业数字化转型将使得OT和IT交汇融合,会促进IT与OT系统之间的数据交互、共享等,然而IT与OT系统的管理制度存在一定的差异。
主要表现在两个方面,一是系统要素管理优先级问题,IT与OT系统对保密性、完整性和可用性(CIA)的优先顺序不同,IT系统将数据的保密性置于完整性和可用性之上,而OT系统将可用性置于完整性和保密性之上;
二是管理团队的协调问题,随着智能技术在IT和OT系统中的深度应用,打破了IT与OT系统相对独立的工作环境,一些重要系统管理可能需要多个部门参与,每个部门都需要从不同视角相互监督、相互协作来履行各自的责任和义务,共同完成管理。
OT和IT融合是一个长期的过程,在5G工厂下也不例外,因此需设计伴随者IT与OT网络融合的不断完善、不断更新的工厂安全管理制度。
执行制度靠人才,工厂IT网络与OT网络深度融合后,需要配备IT/OT复合型人才保障工厂安全运营。IT与OT系统的信息安全属于两个不同学科,OT系统信息安全人员主要关注OT系统的可用性,对IT系统知之甚少;
OT系统又存在很高的技术壁垒,使得IT系统信息安全人员无法深入了解OT系统。传统工厂中,IT与OT网络长期的物理隔离,使得工厂缺乏培养IT/OT复合型的信息安全人才的需求和动力,造成该领域的复合型人才很少。随着5G工厂的大规模部署,为更好的执行工厂安全管理制度,因大规模培养IT/OT/CT复合型的信息安全人才。
本文地址:https://www.baogaozhiku.com/9865.html