>>返回主页
工业互联网产业联盟安全组副主席、中国移动研究院安全所副所长张峰:工业互联网典型安全解决方案案例汇编2.0

2019-02-22 12:00

张峰.jpg

  非常感谢大家,接下来我代表联盟安全组,把安全组里面做的工作给大家做一个简单的汇报,详细的情况会后会有详细的资料。我今天汇报的题目叫《工业互联网典型安全解决方案案例汇编V2.0》。汇报的内容大概分为三个部分,一是工业互联网安全,二是案例汇编2.0的情况,三是典型安全解析。

  我专门找了一些相关的资料站在安全的视角来看工业互联网的安全到底怎么产生的,我找的概念来自于工信部在2019年1月份也是刚刚发布的一个文件叫做《工业互联网网络建设指南》,工业互联网是构建工业环境下人、机、物全面互联的关键基础设施,通过工业互联网网络可以实现工业研发、设计、生产、销售、管理、服务等产业全要素的泛在互联。

  今后的工业互联网环境下,不仅仅是把生产的机器,把生产流程贯穿起来,同时也把生产的人员包括产品整个物料的供应、管理,包括中间生成的每个环节都做到全流程的打通,因为全流程的打通可能也就引入了一些安全的问题。

  刚刚的概念稍微比较抽象,我找了一张图,这个图很能说明一些问题,我能想到大概分为三个层次:

  1、在整个生产过程和生产物料的管理+生产设备,如果没有上面的网络层下面可能就是一个传统工业生产的过程,在生产过程当中需要一些物料,在各种环节需要各种各样的机器,生产一些模具、模型,做联调,做工艺集成。由于工业互联网之后很多这样一些生产设备,设备层里的设备都通过各种各样的网络技术,也就是咱们常说的CT的技术,包括现在用的很好的LTE,工业以太网,包括Wifi,包括今后的5G技术都会进入这个全流程的每个环节每个要素。

  2、通过设备建立模型优化生产,提高生产效率,服务整个生产流程。因为全面的一些互联加上泛在的互联,导致突出的安全风险包括哪些?我们也归纳了五个方面:一是设备安全,原来这些设备可能相对来说都是独立的,没有联网;二是控制安全,尤其是针对EPLC的攻击,这个安全风险相对比较大,而且在这个领域国产化率尤其比较低;三是网络安全,整个端到端的网络组成之后怎么做纵深防御,怎么做隔离,怎么做审计等等一系列的问题;四是数据安全,这里头数据需要整个驱动生产流程,优化整个生产流程,所以这也是一个很突出的风险点;五是应用安全,这是我们在整个工业领域来看进行划分的五个类型。

  3、我们发现这里面存在了风险点,有七个:一是设备和系统相对比较老旧,脆弱性高;二是弱口令、默认口令、共享口令等问题,在网络安全领域里头,可能百分之六七十以上的风险都是因为它引起的,相对来说比较复杂的口令是比较安全,但是对于管理员来说很难记住,要是方便记的话口令相对比较弱,风险自然而然比较高,口令说实在的是一个反人类的风险点;三是不同网络域间缺少隔离措施,暴露面大,因为暴露互联网上的设备数量越来越多,攻击者就能够攻击到这样一些设备;四是病毒或恶意代码感染;五是数据通信无加密认证;六是违规使用移动存储设备;七是缺乏安全审计,无法追根溯源,尤其在APT这样一些分析领域。

  基于这样一些安全风险点我们也做了一个反省,首先把眼睛往内看,为什么会有这样几个风险点?有这么几个原因:一是在企业内部,关键工业设备系统老旧,升级周期长,存在高危风险,工业互联网安全形势严峻。同时在全球范围的风险点做了调研,我们发现现在最常见的一些高危风险点就是缺少补丁,甚至有一些缺乏多因素的认证等等这样一些相对比较基础的问题。再把眼睛往外看,因为我们不知道攻击者是谁,但是知道攻击事件天天在发生,各种各样的攻击事件,这儿我就不再赘述了。

  基于这样一些共性的需求,我们联盟在2017年的时候启动了《工业互联网典型安全解决方案案例汇编V1.0》,这个报告是在2018年1月份发布的,如果大家感兴趣可以扫描这两个二维码都可以下载这个文档。今年我们也启动了2.0的一些工作,去对1.0做一些补充,补充的内容主要包括覆盖面,增加了1.0里头的一些覆盖面,比如平台的安全,数据的安全,安全监测和预警处置等等方案,下面是整个工作的流程,正式启动大概是在2018年3月份,在12月份我们已经完成了,整个案例的汇编已经提交到联盟那边做评审去了。

  在这本汇编里头大概涵盖了针对与工业互联网垂直行业提供了横向隔离、纵向防御,同时包括统一监控、应急响应、等级保护等等最佳实践,整个在工作过程当中收到了27份解决方案,经过联盟的评选,包括厂商的一些深度的交流之后,最终选择了13个典型案例,这13个典型案例来自于9个企业,在这13个典型案例里头覆盖了5个方面:网络安全、平台安全、终端安全、数据安全、安全的闭环管理。这里头我们大概也提炼了一下6种在工业领域算是比较先进的技术:一是基于威胁情报提升安全处置的效率;二是安全应用的白名单的技术,还有一些基于流量的DTI异常行为的检测,智能加密,无损检测等等。这13个案例涉及到工业领域包括6个工业领域,包括轨道交通等等,我就不再细说了。

  这个是我从案例里头拿出一个比较典型的,这个案例主要解决的问题就是实现了咱们将传统的工业生产网络演变成为纵深防御的网络,里面实现了端到端的改造,比如尤其在勒索病毒的处置过程当中达到了很好的效果。

  第二个案例实现了对信息安全监管和预警这样的工作,除了在改造纵深防御网络的同时也实现了对端到端的工业生产过程实现安全的一些检测。

  第三个案例也是今年新增的一个领域就是数据安全,因为现在很多工业企业在生产过程当中有好多敏感的数据,比如商业秘密,技术秘密,图纸等等,在这个案例里总共在终端侧、网络侧、平台侧采取了相应的关键技术,实现对数据的保护,同时还可以针对一些具体的应用提供不同的数据安全保护的策略。

  第四个案例是针对城市污水处理厂,重点强调对账号、口令、日志、审计、APT提供一些好的解决办法,这是我们选的四个相对比较好的案例。具体案例等到2.0正式发布之后大家可以参考。

  同时联盟组织一些案例评优工作,我们经过联盟讨论和决议之后,可能安全类的案例主要来自于2.0里头的案例做一些评选,到时候评选的依据主要是有这么几个方面:一是踏踏实实解决工业生产工业企业里头的安全痛点的问题;二是这个案例一定要有非常好的实施效果,达到了相对比较好的效果;三是同时具备一定的横向应用的能力;四是技术的先进性,同时在横向的成长,包括整个方案的不断地迭代更新;五是考虑这个企业研发实力、技术实力,包括这个企业持续提供安全解决方案的一些能力。

  内容就介绍到这儿,感谢各位联盟的成员单位为我们作出的巨大贡献,也希望在2019年能够得到大家继续的支持,谢谢大家!

0
中国信息通信研究院