《一、前言》

一、前言

工業互聯網是新一代信息通信技術與工業體系融合的產物,做好產業融合轉型保障,建設工業互聯網安全保障體系,是工業互聯網安全的發展前提。網絡連接、數據互通趨勢下的工業體系加速開放融合,傳統工業體系相對封閉隔離環境下以生產安全為導向的安全管理、運維模式,無法適應復雜多變的工業互聯網應用環境。與此同時,工業控制系統、設備本身也存在漏洞和后門,加之工業控制系統與設備的脆弱性、高的實時性要求,難以像傳統信息系統那樣進行安全防護,因此相關網絡安全能力建設成為關鍵內容。

信息技術與傳統工業運營技術的融合日益深化,工業互聯網設備的網絡安全防護能力將直接影響工業生產和業務運行,成為網絡安全政策管控、產業保護實踐的重要組成部分。近年來,設備產品安全逐漸成為傳統工業強國的關注重點,被視為強化網絡安全管控、保障供應鏈安全及產業發展的關鍵內容。例如,美國建立了以網絡安全審查為手段的供應鏈管控體系,制定了《物聯網網絡安全改進法案》。當前,在工業設備測量、運營、維護、質量管理方面開展了較多的研究與應用,注重利用設備質量控制、預測性維護、高精度測量、故障分析、遠程監控等手段來保障設備的功能安全及性能 [1~4];在設備功能安全應用方面積極開展工業大數據、人工智能(AI)等新技術應用研究 [5~8]。從已有進展來看,工業互聯網設備的網絡安全研究整體上依然缺乏;無論是設備自身功能性能的安全保障,還是利用新技術強化設備健康管理和監控,都不應忽視工業設備面臨的網絡安全問題。

本文著眼于工業互聯網設備的網絡安全問題,分析需求、梳理現狀、研判問題、論證路徑,提出具體的發展建議,以期為領域內的基礎與政策研究提供思路參考。

《二、工業互聯網設備的安全防護概念及需求分析》

二、工業互聯網設備的安全防護概念及需求分析

《(一)工業互聯網設備的安全防護概念》

(一)工業互聯網設備的安全防護概念

工業互聯網設備指在新一代信息技術與工業生產、制造、運營、管理等環節的融合應用過程中,通過有線或無線方式接入工業互聯網網絡的裝置或設備,具有類型、功能、應用形態多樣的特點。工業互聯網設備分為:工業控制設備,如可編輯邏輯控制器(PLC)、遠程終端單元(RTU);工業網絡和安全設備,如工業交換機、工業防火墻;工業智能終端設備,如數據采集網關、視頻監控設備、物聯網相關設備。從設備安全性及其應用過程防護的角度來看,工業互聯網設備的安全防護細分為硬件安全、網絡通信安全、系統服務安全、應用開發安全、數據安全等(見圖 1)。

《圖 1》

圖 1 工業互聯網設備的網絡安全防護范疇

硬件安全,包括設備調試接口權限控制、芯片安全保護、防范針對設備功耗等信息進行統計分析所伴生的威脅風險。目前多數的網絡設備、物聯網設備保留了硬件調試接口,部分接口甚至無需驗證即可獲取權限操作,極有可能成為惡意攻擊、數據竊取的入口,進而導致設備密鑰、認證等信息泄漏。

網絡通信安全,包括通信認證鑒權、通信加密,后者進一步劃分為網絡層加密、傳輸層加密、應用層數據加密等。若設備網絡通信的訪問權限控制不足,攻擊者即可通過身份偽造在設備間、設備與主機系統間實施“中間人攻擊”,極有可能快速傳播形成僵尸網絡,僵尸網絡進而作為被控端對網絡實施大規模攻擊。此外,設備的通信加密能力不足,容易出現黑客竊取用戶或設備的身份信息、重要工業數據泄露等情況。

系統服務安全,包括設備操作系統的權限控制、基線安全配置,系統更新的安全機制保護,系統入侵防范、惡意代碼防范等。攻擊者可利用設備系統(或固件)存在的漏洞或缺陷入侵設備,在升級過程中植入惡意代碼,增加了事后溯源與排查難度。

應用開發安全,包括組件資源間的訪問控制與用戶的認證授權、外部接口安全、配置文件及重要數據的安全保護、通信協議加密、第三方組件庫漏洞隱患排查、代碼自身安全設計等。若設備自身安全機制不足,攻擊者即可利用應用安全漏洞或缺陷入侵設備和系統,發起針對性攻擊。

數據安全,包括數據完整性、隱私性、可用性保護,防范數據不被竊取、監聽、篡改。工業企業加快數字化轉型,開始規?;渴饠祿杉?、邊緣計算等物聯和智能化設備,工業生產過程及業務數據、用戶信息的開放共享和流動利用呈指數型增長的趨勢。不少工業設備、工業網絡中依然存在著明文傳輸數據的現象,難以發現針對設備進行的非侵入、被動式數據監聽活動;若設備本身的數據防護、隱私保護機制不足,關鍵工藝參數、流程數據等信息存在被泄露或被惡意控制篡改的風險。

《(二)工業互聯網設備的安全防護需求分析》

(二)工業互聯網設備的安全防護需求分析

工業互聯網設備的功能安全、網絡與數據安全等,需要結合實際應用形態下的網絡安全漏洞隱患防范排查與解決,基于設備的應用周期、智能化屬性等實施差異化的管理防護。

部分設備在設計開發環節沒有周到考慮網絡安全問題,長期不間斷運行的工作方式導致難以進行深度安全檢測或部署安全防護措施,存在不同程度的漏洞及隱患。根據中國國家信息安全漏洞共享平臺(CNVD)統計 [9],與工業控制系統設備相關的漏洞數量為 2955 個(截至 2020 年 12 月),年度新增工業控制系統設備漏洞數量為 593 個。根據中國信息通信研究院工業互聯網設備安全評測和相關監測結果,有相當數量的工業互聯網設備存在指令篡改、敏感信息獲取、權限繞過等中高風險漏洞,部分工業安全設備甚至存在高危漏洞,安全防護能力明顯不足。我國部分工業互聯網設備系統持續遭受了來自境外的定向掃描和惡意感染,僵尸網絡、木馬、蠕蟲、病毒等攻擊感染,網頁攻擊、系統攻擊的頻率和數量不斷加大;在我國工業領域應用廣泛的羅克韋爾 PLC、西門子視窗控制中心等均存在嚴重高危漏洞。因此,工業互聯網設備的漏洞深度安全檢測,尤其是無損安全檢測與防護,成為工業企業、設備供應商普遍性的迫切需求。

從設備應用周期、適用的網絡安全防護措施角度看,工業互聯網設備需要開展差異化、分類分級的網絡安全管理與防護。一類是已經應用部署的“存量”設備,由于自身資源、性能受限,加之長時間運轉,極有可能長期未開展網絡安全檢測,威脅隱患難以完全掌握;針對這類設備的安全防護需要具體分析實際應用情況,通過防護措施疊加、監測感知等手段強化風險防控。另一類是新投入應用的“增量”設備,尤其是具有遠程控制、數據采集分析、計算處理功能的智能化設備,多使用通用操作系統(如嵌入式 Linux 等),一定程度上降低了攻擊者的入侵難度;部分智能化設備若遭受惡意控制和攻擊,可能具備大規模主動擴散能力、變成“跳板”后成為智能化攻擊的一環;針對這類設備的安全防護需要融合設備自身功能、應用場景、支撐業務需求,強化自身硬件安全保護、網絡通信、數據安全等機制設計,采取網絡安全感知、監測預警、應急處置等措施。

《三、工業互聯網設備安全領域的國際進展》

三、工業互聯網設備安全領域的國際進展

《(一)安全監管和審查》

(一)安全監管和審查

傳統工業強國的網絡安全法律、監管措施持續升級,逐步強化網絡安全審查,涉及相關設備產品安全性和安全能力審查,設備產品開發、設計、應用等全周期及各環節的安全機制。

美國將網絡安全審查上升為國家戰略和國際競爭手段,其網絡安全審查覆蓋了政府采購、關鍵信息基礎設施保護、外國投資、供應鏈,建立了較完備的審查機構、程序、標準規范。其中,供應鏈審查制度是美國網絡安全審查的重點方面,具有代表性;針對相關技術、設備產品等供應鏈的安全審查內容和范圍逐漸完備,發布了一系列強制性安全審查規范并要求企業簽署網絡安全協議。2000 年,美國國家電信與信息系統安全委員會發布了《國家信息系統安全保障采購政策》,要求入侵檢測、防火墻、操作系統、數據庫管理等方面的產品,必須經過國家信息保障聯盟(NIAP)通用準則評估與認證體系框架下的風險評估和認證 [10]。2015 年,美國財政部、商務部要求國家標準技術研究院(NIST)依據相關技術標準開展供應鏈安全風險審查 [11]。 2020 年,美國頒布《物聯網網絡安全改進法案》,禁止聯邦機構購買任何不符合最低安全標準的物聯網設備,要求 NIST 發布聯邦政府使用物聯網設備的標準和指南 [12]。

英國要求相關設備產品通過政府通信總部制定的通信電子安全小組安全認證后才能銷售。俄羅斯工業和貿易部重點針對外資進入的戰略性產業交易進行安全審查 [13]。

《(二)安全檢測認證》

(二)安全檢測認證

網絡安全檢測認證是設備產品進入市場應用前的重要環節,在部分國家也屬于法律強制要求的環節。目前,國際網絡信息安全認證測評體系趨于穩定,國際通用認證準則逐步建立,國際通用認證規則(CC)和歐洲創建的信息技術安全評估準則(ITSEC)并存。

各國的網絡安全檢測認證多由相關機構或協會負責,委托實驗室、企業、專業機構具體實施。測評體系通常由 1 個測評認證協調組織、1 個測評認證實體、多個技術檢測機構組成。例如,美國由 NIAP 管理,授權給相關實驗室、公司等測評機構,目前只頒發通用準則證書;英國由通信電子安全局管理,德國由信息安全局管理,均將檢測認證授權給商業性評估機構,頒布 ITSEC、CC 兩種證書。

各國重點圍繞設備產品的安全合規、功能、安全保證、可控等方面開展測評認證標準建設,劃分功能級別、保證級別以滿足不同部門、行業、用戶的需求,其中功能、安全保證評估是測評認證的核心內容。美國、歐洲、國際標準化組織都在建立基于測評的“保護輪廓”,強調功能評估、安全性評估并分別開展定級。國際標準化組織推出的國際通用準則是目前最全面的評價準則,與 ITSEC 一起成為通用測評方法。此外,美國、德國等注重推行國防、政府、商用共享的測評體系,通過劃分級別和輪廓,滿足不同對象的安全要求。

在工業互聯網設備安全測評認證方面,國際性機構和一些國家分別建立了各有側重的認證體系。① ISA Secure 認證體系是國際自動化協會安全合規學會(ISCI)推動建立的一套國際認可體系,旨在提供通用的工業設備認證、處理工業設備安全方面需求、簡化業主設備采購流程和設備供應商設備保險流程 [14];ISA Secure 對工業自動化、控制類產品及系統進行獨立認證,確保網絡攻擊防護能力并消除已知漏洞。② NIST 認證體系指由 NIST 牽頭、相關行業主管機構和行業協會參與建立的標準認證體系,涵蓋國家標準、行業規范、檢測認證;在實施方面,推動形成覆蓋電力、天然氣、石油、核能等行業的安全標準認證體系,成為美國乃至國際安全界廣泛認可的事實標準和權威指南。③萊茵認證體系指由德國技術監督協會(經德國政府授權和委托)開展的工業設備、技術產品安全認證及質量保證評估審核;提供嵌入式系統及設備、智能電子設備的認證服務,工業信息技術安全檢查、滲透測試、風險分析、安全手冊、安全培訓等服務,覆蓋航空航天、汽車交通、化工、能源、制造業與工業機械、電力等領域。

《四、我國工業互聯網設備安全領域的發展情況與面臨問題》

四、我國工業互聯網設備安全領域的發展情況與面臨問題

《(一)安全監管和審查方面的基本情況》

(一)安全監管和審查方面的基本情況

在安全監管方面,《網絡安全法》《網絡安全審查辦法》等國家法律規章陸續出臺,逐步建立了針對關鍵信息基礎設施的網絡安全審查辦法、針對網絡關鍵設備和網絡安全專用產品的強制性檢測認證要求?!毒W絡關鍵設備和網絡安全專用產品目錄(第一批)》要求,列入目錄的設備或產品,應按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或安全檢測符合要求后方可銷售或提供 [15]。在政策要求方面,《加強工業互聯網安全工作的指導意見》要求,加強工業生產、主機、智能終端等設備安全接入和防護,強化控制網絡協議、裝置裝備、工業軟件的安全保障,推動設備制造商、自動化集成商與安全企業加強合作,提升設備和控制系統的本質安全 [16]。

《(二)安全檢測認證方面的基本情況》

(二)安全檢測認證方面的基本情況

網絡和信息安全測評認證體系主要由國家認證認可監督管理委員會管理,國家信息安全測評認證管理委員會、中國網絡安全審查技術與認證中心、相關實驗室及測評機構等共同推進實施,基本形成了監管機構、國家認證實體、授權測評機構的綜合推進體系。也要注意到,現有的測評認證體系重點關注通用基礎設備產品、以醫療為代表的部分行業領域專用關鍵設備,缺乏對工業控制設備、大型自動化設備、工業網絡通信設備等關鍵工業互聯網設備的規范性、通用性網絡安全測評認證。

在工業互聯網設備安全相關的標準和評測方面,我國發布了《工業控制系統專用防火墻技術要求》《信息安全技術工業控制系統測控終端安全要求》《電力監控系統安全防護規定》等國家及行業相關標準;在物聯網設備終端安全防護方面,我國發布了《信息安全技術智能聯網設備口令保護指南》《信息安全技術網絡和終端設備隔離部件安全技術要求》等標準或指南。近年來,中國信息通信研究院等單位結合工業互聯網行業的應用保障需求,推動了《工業互聯網設備安全防護要求》等標準的發布,開展了工業互聯網設備安全測試評估工作,建立了工業互聯網安全評估機構和隊伍。

《(三)存在問題分析》

(三)存在問題分析

一是工業互聯網設備安全的專門管理辦法、檢測認證體系缺乏。盡管行業主管部門制定了相關政策標準,但強制要求和體系化程度不足,缺乏對新技術、新應用形態的網絡安全適應性要求。工業互聯網設備安全防護還基本處于行業自律的層次。

二是“網絡關鍵設備和安全產品目錄”對工業互聯網關鍵設備覆蓋不足,未納入目錄的產品缺乏必要且體系化的網絡安全審查。工業生產裝備、關鍵設備、工業互聯網安全專用產品等關鍵設備產品的安全性、防護能力難以保證,使得工業生產、業務運行面臨安全威脅,設備供應鏈存在未知風險。

三是工業互聯網設備種類多、數量大,目前的安全防護能力和保障水平無法適應產業轉型升級需求。PLC、工業主機、工業防火墻等工業設備自身的安全運行要求尚未明晰,設備在網絡化、數字化應用過程中的安全標準規范等比較缺乏,專門的評估評測規范和實施體系有待完善。已有網絡安全檢測認證體系無法滿足實際應用、市場需求、他國網絡安全審查等的要求。

四是工業互聯網設備及產品安全相關的國家標準較少,強制性網絡安全標準缺乏,評估檢測流程方法、機構人員、認證體系明顯缺失。目前,工業互聯網設備自身的安全性難以滿足不同行業要求、市場級別需求,同時國產工業互聯網設備產品在走向國際市場時也缺乏權威測評認證,難以適應國際互認、他國網絡安全審查的要求。

《五、我國工業互聯網設備的安全防護實施路徑》

五、我國工業互聯網設備的安全防護實施路徑

鑒于工業互聯網設備類型多樣、體量較大,安全管理較為分散、行業自律水平不一等實際情況,應從國家、行業、應用等角度統籌規劃,強化國家監管、行業認證、網絡安全工程應用。本文論證了我國工業互聯網設備網絡安全管理與防護的具體實施路徑(見圖 2),旨在健全工業互聯網設備的適應性策略與能力,分類分級實施安全評估和管理,完善標準規范、檢測認證、風險管理應急處置等機制。

《圖 2》

圖 2 工業互聯網設備安全防護實施路徑示意圖

一是建立設備自身安全策略和基礎能力集,包括設備安全架構設計、安全基線配置、可信根驗證和分類分級防護的基本要求。構建設備自身的安全“基線”,強化設備的內生安全能力。

二是結合設備的網絡安全風險、保護價值、發生事件的安全影響,針對不同種類、應用場景的工業互聯網設備開展分類分級評估。建立分類分級目錄,形成重點保護設備及其安全策略并納入網絡關鍵設備和網絡安全專用產品目錄,高效開展強制性安全檢測認證和審查。

三是完善工業互聯網設備的安全防護規范、分類分級防護要求。針對不同類別和防護級別的設備,做好應用開發安全、系統服務安全、硬件安全、網絡通信安全、數據安全等技術防護要求,形成設備的網絡安全差異化、精細化管理模式。

四是建立工業互聯網設備網絡安全檢測評估體系。加強設備進入市場前的網絡安全試驗驗證、準入審核、測試認證以及應用過程中常態化的安全風險評估,以評促建,形成設備安全防護閉環。

五是強化工業互聯網設備安全風險管理和應急處置,包括針對關鍵工業互聯網設備的網絡安全態勢感知與監測預警,行業側 / 企業側的應急響應、事件處置的工具平臺及機制方法。實時掌握設備安全態勢和風險視圖,為風險預警和應急工作提供常態化技術手段。

《六、對策建議》

六、對策建議

《(一)從國家層面完善工業互聯網設備的網絡安全準入機制》

(一)從國家層面完善工業互聯網設備的網絡安全準入機制

建議主管部門研究制定工業互聯網設備安全相關管理辦法,頒布工業互聯網設備安全強制標準和行業規范。強化工業互聯網設備的設計、開發、實施、運行維護等全生命周期過程的網絡安全規范要求,為企業產品安全開發、第三方機構測試認證、設備部署運行提供依據?!毒W絡關鍵設備和網絡安全專用產品目錄(第一批)》發布后,目錄中的設備產品檢測認證工作已逐步展開,但工業互聯網設備等暫未提及的設備仍處于監管盲區。建議研究梳理工業互聯網關鍵設備并將之列為“網絡關鍵設備和網絡安全專用產品”,對設備進行分類分級;完善相關安全標準規范,建立體系健全的工業互聯網設備安全監管和安全準入機制,保證設備在進入市場銷售或使用前進行嚴格的安全檢測。

《(二)建立設備網絡安全檢測認證體系》

(二)建立設備網絡安全檢測認證體系

建議建立工業互聯網設備安全測試認證體系,加強安全測試驗證,特別是針對工業設備在工業現場環境下的安全試驗驗證、無損檢測、工業級安全防護應用。推動工業互聯網設備安全相關測評認證中心建設,圍繞設備安全性、防護水平等設計安全認證級別,開展設備的網絡安全分類分級管理和差異化防護。向不同部門、行業、企業,提供安全級別選擇,準確劃分設備安全能力層級,提升市場良性競爭環境,促進廠商升級自身設備的安全性。推動安全檢測認證和設備能力提升,匹配工業互聯網設備的工業環境適用性、硬件安全、系統 / 固件安全、應用安全、數據安全、接入安全等要求,構建設備安全功能、抗滲透、惡意代碼防范、抗分布式拒絕服務攻擊、漏洞隱患防護等能力。

《(三)促進設備網絡安全架構研究和工程應用》

(三)促進設備網絡安全架構研究和工程應用

建議在工業互聯網設備設計階段,充分考慮安全性因素,增強包括硬件安全、接入認證安全、數據傳輸安全、代碼安全、系統服務安全在內的設備安全防護綜合能力;建立設備的可信計算環境,引入硬件信任根對系統啟動、應用運行、參數修改等行為進行可信驗證。在設備安全基線配置方面,建議督促設備廠商在產品部署時向用戶明示安全使用準則,使用技術手段保證設備的基線配置安全。工業相關設備制造商、自動化集成商與研究機構、安全企業等應加強合作,加快區塊鏈、國產密碼、可信計算等新技術應用進度,推動設備本質安全和技術產品研究創新。

《(四)強化設備的網絡安全風險監測感知》

(四)強化設備的網絡安全風險監測感知

工業互聯網設備種類多,適用不同行業和場景的防護技術能力差異較大。建議對于工業(尤其是制造業),推動行業性的設備采購與應用、網絡化改造等安全測試評估,加強工業生產裝備、工業主機、相關智能終端的安全監測和管理。建議主管部門引導行業加強工業互聯網設備的安全監測和應急處置能力,加強設備的安全監測感知、態勢研判、信息共享通報、應急處置,及時預警木馬感染、病毒或主機受控等網絡攻擊事件;建立工業互聯網設備安全檢測、應急響應工具庫,漏洞庫、威脅情報庫等安全知識庫,快速實施應急處置,防止黑客利用漏洞進行更廣泛的攻擊。