工業互聯網路安全體系文章

⑴ 如何構建工業互聯網安全體系

2018年中國工業互聯網行業分析：萬億級市場規模，五大建議構建安全保障體系

工業互聯網安全問題日益凸現

工業互聯網無疑是這個寒冬中最熱的產業經濟話題。「BAT們」視之為「互聯網的下半場」，正在競相「+工業」「+製造業」而工業企業、製造業企業們也在積極「+互聯網」，希望藉助互聯網的科技力量，為工業、製造業的發展配備上全新引擎，從而打造「新工業」。

不難看出，工業互聯網正面臨著一個重要的高速發展期，預計至2020年將達萬億元規模。但與此同時，工業互聯網所面臨的安全問題日益凸現。在設備、控制、網路、平台、數據等工業互聯網主要環節，仍然存在傳統的安全防護技術不能適應當前的網路安全新形勢、安全人才不足等諸多問題。

工業互聯網萬億級市場模引發安全隱患

據前瞻產業研究院發布的《中國工業互聯網產業發展前景預測與投資戰略規劃分析報告》統計數據顯示，2017年中國工業互聯網直接產業規模約為5700億元，預計2017年到2019年，產業規模將以18%的年均增速高速增長，到2020年將達到萬億元規模。隨著國家出台相關工業互聯網利好政策，中國工業互聯網行業發展增速加快，截止到2018年3月，中國工業互聯網平台數量超250家。世界各國正加速布局工業互聯網，圍繞工業互聯網發展的國際競爭日趨激烈。

預計2020年我國工業互聯網產業規模將達到萬億元

數據來源：公開資料、前瞻產業研究院整理

一方面，加快工業互聯網發展是製造業轉型升級的必然要求;另一方面，工業互聯網是構築現代化經濟體系的必然趨勢。

工業互聯網是深化「互聯網+先進製造業」的重要基石，也是發展數字經濟的新動力。發展工業互聯網，實現互聯網與製造業深度融合，將催生更多新業態、新產業、新模式，創造更多新興經濟增長點。

伴隨著工業互聯網的發展，越來越多的工業控制系統及設備與互聯網連接，網路空間邊界和功能極大擴展，以及開放、互聯、跨域的製造環境，使得工業互聯網安全問題日益凸顯：

1、網路攻擊威脅向工業互聯網領域滲透。近年來，工業控制系統漏洞呈快速增長趨勢，相關數據顯示，2017年新增信息安全漏洞4798個，其中工控系統新增漏洞數351個，相比2016年同期，新增數量幾乎翻番，漏洞數量之大，使整個工業系統的生產網路面臨巨大安全威脅。

2、新技術的運用帶來新的安全威脅。大數據、雲計算、人工智慧、移動互聯網等新一代信息技術本身存在一定的安全問題，導致工業互聯網安全風險多樣化。

3、工業互聯網安全保障能力薄弱。目前，傳統的安全保障技術不足以解決工業互聯網的安全問題，同時，針對工業互聯網的安全防護資金投入較少，相應安全管理制度缺乏，責任體系不明確等，難以為工業互聯網安全提供有力支撐。

如何構建工業互聯網安全體系?

那麼，如何鑄造工業互聯網的安全基石，加快構建可信的工業互聯網安全保障體系呢?

1、突破關鍵核心技術。要緊跟工業互聯網最新發展趨勢，努力引領前沿技術和顛覆性技術發展。

2、推動工業互聯網安全技術標准落地實施。全面推廣技術合規性檢測，促進工業互聯網產業良性發展。

3、完善監管和評測體系。

4、切實推進工業互聯網安全技術發展。加強全生命周期安全管理，構建覆蓋系統建設各環節的安全防護體系。

5、聯合行業力量打造工業互聯網安全生態。

在工業互聯網的安全防護能力建議：

1、頂層設計：出台系列文件，形成頂層設計;

2、標准引導：構建工業互聯網安全標准體系框架，推進重點領域安全標準的研製;

3、技術保障：夯實基礎，強化技術實力;

4、系統布局：依託聯盟，打造產業促進平台;

5、產業應用：加強產業推進，推廣安全最佳實踐。

近年來，中國也陸續出台了《關於深化「互聯網+先進製造業」發展工業互聯網的指導意見》、《工業互聯網發展行動計劃(2018-2020年)》等文件，明確提出工業互聯網安全工作內容，從制度建立、標准研製、安全防護、數據保護、手段建設、安全產業發展、人員培養等方面，要求建立涵蓋設備安全、控制安全、網路安全、平台安全、數據安全的工業互聯網多層次安全保障體系。

在國家政策以及業界的一致努力下，相信我國工業互聯網在取得快速發展的同時在安全層面的保障也會更上一層樓。

⑵ 零信任網路助力工業互聯網安全體系建設

隨著雲計算、大數據、物聯網、5G、邊緣計算等IT技術的快速發展，支撐了工業互聯網的應用快速落地。作為「新基建」的重點方向之一，工業互聯網發展已經進入快軌道，將加速「中國製造」向「中國智造」轉型，並推動實體經濟高質量發展。

新型 IT 技術與傳統工業 OT 技術深度融合，使得工業系統逐步走向互聯、開放，也加劇了工業製造面臨的安全風險，帶來更加艱巨的安全挑戰。CNCERT 發布的《2019 年我國互聯網網路安全態勢綜述》指出，我國大型工業互聯網平台平均攻擊次數達 90 次/日。

工業互聯網連接了大量工業控制系統和設備，匯聚海量工業數據，構建了工業互聯網應用生態、與工業生產和企業經營密切相關。一旦遭入侵或攻擊，將可能造成工業生產停滯，波及范圍不僅是單個企業，更可延伸至整個產業生態，對國民經濟造成重創，影響 社會 穩定，甚至對國家安全構成威脅。

近期便有重大工業安全事件發生，造成惡劣影響，5 月 7 日，美國最大燃油運輸管道商 Colonial Pipeline 公司遭受勒索軟體攻擊，5500 英里輸油管被迫停運，美國東海岸燃油供應因此受到嚴重影響，美國首次因網路攻擊而宣布進入國家緊急狀態。

以下根據防護對象不同，分別從網路接入、工業控制、工業數據、應用訪問四個層面來分析 5G 與工業互聯網融合面臨的安全威脅。

01

網路接入安全

5G 開啟了萬物互聯時代，5G 與工業互聯網的融合使得海量工業終端接入成為可能，如數控機床、工業機器人、AGV 等這些高價值關鍵生產設備，這些關鍵終端設備如果本身存在漏洞、缺陷、後門等安全問題，一旦暴露在相對開放的 5G 網路中，會帶來攻擊風險點的增加。

02

工業控制安全

傳統工業網路較為封閉，缺乏整體安全理念及全局安全管理防護體系，如各類工業控制協議、控制平台及軟體本身設計架構缺乏完整的安全驗證手段，如數據完整性、身份校驗等安全設計，授權與訪問控制不嚴格，身份驗證不充分，而各類創新型工業應用軟體所面臨的病毒、木馬、漏洞等安全問題使原來相對封閉的工業網路暴露在互聯網上，增大了工控協議和工業 IT 系統被攻擊利用的風險。

03

數據傳輸及調用安全

雲計算、虛擬化技術等新興IT技術在工業互聯網的大規模應用，在促進關鍵工業設備使用效率、提升整體製造流程智能化、透明化的同時，打破原有封閉自治的工業網路環境，使得安全邊界更加模糊甚至弱化，各種外來應用數據流量及對工廠內部數據資源的訪問調用缺乏足夠透明性及相應監管措施，同時各種開放的 API 介面、多應用的的接入,使得傳統封閉的製造業內部生產管理數據、生產操作數據等，變得開放流動，與及工廠外部各類應用及數據源產生大師交互、流動和共享，使得行業數據安全傳輸與存儲的風險大大增加。

04

訪問安全

工業互聯網核心的各類創新型場景化應用，帶來了更多的參與對象基礎網路、OT 網路、生產設備、應用、系統等，通過與 5G 網路的深度融合，帶來了更加高效的網路服務能力，收益於愈發靈活的接入方式，但也帶來的新的風險和挑戰，應用訪問安全問題日益突出。

針對上面工業互聯網遇到的安全問題，青雲 科技 旗下的 Evervite Networks 光格網路面向工業互聯網行業，提出了工業互聯網 SD-NaaS（software definition network & security as a service 軟體定義網路與安全即服務）解決方案，依託統一身份安全認證與訪問控制、東西向流量、南北向流量統一零信任網路安全模型架構設計。工業互聯網平台可以藉助 SD-NaaS 構建動態虛擬邊界，不再對外直接暴露應用，為工業互聯網提供接入終端/網路的實時認證及訪問動態授權，有效管控內外部用戶、終端設備、工廠工業主機、邊緣計算網關、應用系統等訪問主體對工業互聯網平台的訪問行為，從而全面提高工業互聯網的安全防護能力。幫助企業利用零信任網路安全防護架構建設工業互聯網安全體系，讓 5G、邊緣計算、物聯網等能力更好的服務於工業互聯網的發展。

基於光格網路 SD-NaaS 架構的工業互聯網安全體系大體可以分四個層面：

基於統一身份認證的網路安全接入

首先 SD-NaaS 平台引入零信任安全理念，對接入工業互聯網的各類用戶及工控終端，啟用全新的身份驗證管理模式，提供全面的認證服務、動態業務授權和集中的策略管理能力，SD-NaaS 持續收集接入終端日誌信息，結合身份庫、許可權資料庫、大數據分析，身份畫像等對終端進行持續信任評估，並基於身份、許可權、信任等級、安全策略等進行網路訪問動態授權，有力的保障了 5G+ 工業互聯網場景下的終端接入的安全。

最小許可權，動態授權的工業安全控制

其次針對工業互聯網時代下的工控網路面臨的安全隱患，SD-NaaS 零信任網路平台提出全新的控制許可權分配機制， 基於「最小化許可權，動態授權」原則，控制許可權判定不再基於簡單的靜態規則（IP 黑白名單，靜態許可權策略等），而是基於工控管理員、工程師和操作員等不同身份及信任等級，控制伺服器、現場控制設備和測量儀表等不同終端的安全策略，不同工控指令許可權，結合大數據安全分析進行動態評估及授權，實現工業邊界最小授權，精細化的訪問控制。以此避免工業控制網路受到未知漏洞威脅，同時還可以有效的阻止操作人員異常操作帶來的危害。

端到端加密，精細化授權的數據防護

工業生產中會產生海量的工業數據包括研發設計、開發測試、系統設備資產信息、控制信息、工況狀態、工藝參數等，平台各應用間有大量的數據共享與協同處理需求，SD-NaaS 平台提供更強壯的端到端數據安全保護方法，通過實時信任檢測、動態評估訪問行為安全等級，建立安全加密隧道以保障數據在應用間流動過程的安全可靠。同時生產質量控制系統、成本自動核算系統、生產進度可視系統等各類工業系統之間的 API 交互，資料庫調用等行為，SD-NaaS 平台可實現細顆粒度的操作許可權控制，對所有的增刪改查等動作進行行為審計。

採用應用隱藏和代理訪問的應用防護

最後 SD-NaaS 平台採用 SDP 安全網關和 MSG 微分段技術實現工業互聯網平台的應用隱身和安全訪問代理，有效管理工業互聯網平台的網路邊界及暴露面，並基於工程師、操作員、采購、銷售、供應鏈等不同身份進行最細顆粒度的動態授權（如生產數據，庫存信息，進銷存管理等），對所有的訪問行為進行審計，構建全方位全天候的應用安全防護屏障。

基於光格網路 SD-NaaS 解決方案，我們在工業視覺、智能巡檢、遠程駕駛、AI 視頻監控等場景實現安全可靠落地；幫助企業在確保安全的基礎上，打造支撐製造資源泛在連接、彈性供給、高效配置的工業雲平台，利用工業互聯網平台 探索 工業製造業數字化、智能化轉型發展新模式和新業態。

SD-NaaS 最佳實踐：

申請使用光格網路產品解決方案

點擊申請使用光格網路產品解決方案