工业互联网设备的网络安全管理与防护研究

马娟 ,  于广琛 ,  柯皓仁 ,  杨冬梅 ,  吾守尔·斯拉木

中国工程科学 ›› 2021, Vol. 23 ›› Issue (2) : 81 -87.

PDF (581KB)
中国工程科学 ›› 2021, Vol. 23 ›› Issue (2) : 81 -87. DOI: 10.15302/J-SSCAE-2021.02.011
新一代工业互联网安全技术发展战略研究

工业互联网设备的网络安全管理与防护研究

作者信息 +

Network Security Management and Protection of Industrial Internet Equipment

Author information +
文章历史 +
PDF (594K)

摘要

新一代信息通信技术与工业体系深度融合,工业互联网推动“人、机、物”的泛在深度互联和全面感知;工业互联网设备的网络化、数字化、智能化应用不断泛化,设备自身网络安全设计、应用过程管理与防护成为关注重点。本文从工业互联网设备的安全防护视角出发,明晰了工业互联网设备的内涵、防护范畴及需求,梳理了国内外工业互联网在安全监管和审查、安全检测认证等方面的发展现状;结合工业互联网设备的网络安全相关实践,剖析了我国工业互联网设备网络安全面临的问题。本文论证了我国工业互联网设备网络安全管理与防护的具体实施路径,并提出发展建议:从国家层面完善工业互联网设备的网络安全准入机制,建立设备网络安全检测认证体系,促进设备的网络安全架构研究和工程应用,强化设备的网络安全风险监测感知。

Abstract

The new generation of information and communications technology is deeply integrated with the industrial system. The industrial Internet promotes the ubiquitous and deep interconnection and comprehensive perception of human, machines, and things. The industrial Internet equipment becomes increasingly networked, digital, and intelligent; therefore, the network security design, application management, and protection of these equipment become increasingly important. In this study, we clarify the connotation, protection scope, and requirements of the industrial Internet equipment, and summarize the development status of industrial Internet in China and abroad from the aspects of security control and security certification. Moreover, the problems regarding the network security of industrial Internet equipment in China are analyzed, and the specific implementation paths regarding the network security management and protection for the industrial internet equipment in China are discussed. Furthermore, several development suggestions are proposed. Specifically, the network security access mechanism of the industrial Internet equipment should be improved at the national level, a network security testing and certification system for the equipment should be established, research on the network security architecture and engineering application of the equipment should be promoted, and the network security risk monitoring and perception of the equipment should be strengthened.

关键词

工业互联网设备 / 网络安全 / 管理 / 防护 / 认证

Key words

工业互联网设备 / 网络安全 / 管理 / 防护 / 认证 / industrial Internet equipment / network security / management / protection / certification

引用本文

引用格式 ▾
马娟,于广琛,柯皓仁,杨冬梅,吾守尔·斯拉木. 工业互联网设备的网络安全管理与防护研究[J]. 中国工程科学, 2021, 23(2): 81-87 DOI:10.15302/J-SSCAE-2021.02.011

登录浏览全文

4963

注册一个新账户 忘记密码

一、前言

工业互联网是新一代信息通信技术与工业体系融合的产物,做好产业融合转型保障,建设工业互联网安全保障体系,是工业互联网安全的发展前提。网络连接、数据互通趋势下的工业体系加速开放融合,传统工业体系相对封闭隔离环境下以生产安全为导向的安全管理、运维模式,无法适应复杂多变的工业互联网应用环境。与此同时,工业控制系统、设备本身也存在漏洞和后门,加之工业控制系统与设备的脆弱性、高的实时性要求,难以像传统信息系统那样进行安全防护,因此相关网络安全能力建设成为关键内容。

信息技术与传统工业运营技术的融合日益深化,工业互联网设备的网络安全防护能力将直接影响工业生产和业务运行,成为网络安全政策管控、产业保护实践的重要组成部分。近年来,设备产品安全逐渐成为传统工业强国的关注重点,被视为强化网络安全管控、保障供应链安全及产业发展的关键内容。例如,美国建立了以网络安全审查为手段的供应链管控体系,制定了《物联网网络安全改进法案》。当前,在工业设备测量、运营、维护、质量管理方面开展了较多的研究与应用,注重利用设备质量控制、预测性维护、高精度测量、故障分析、远程监控等手段来保障设备的功能安全及性能 [1~4];在设备功能安全应用方面积极开展工业大数据、人工智能(AI)等新技术应用研究 [5~8]。从已有进展来看,工业互联网设备的网络安全研究整体上依然缺乏;无论是设备自身功能性能的安全保障,还是利用新技术强化设备健康管理和监控,都不应忽视工业设备面临的网络安全问题。

本文着眼于工业互联网设备的网络安全问题,分析需求、梳理现状、研判问题、论证路径,提出具体的发展建议,以期为领域内的基础与政策研究提供思路参考。

二、工业互联网设备的安全防护概念及需求分析

(一)工业互联网设备的安全防护概念

工业互联网设备指在新一代信息技术与工业生产、制造、运营、管理等环节的融合应用过程中,通过有线或无线方式接入工业互联网网络的装置或设备,具有类型、功能、应用形态多样的特点。工业互联网设备分为:工业控制设备,如可编辑逻辑控制器(PLC)、远程终端单元(RTU);工业网络和安全设备,如工业交换机、工业防火墙;工业智能终端设备,如数据采集网关、视频监控设备、物联网相关设备。从设备安全性及其应用过程防护的角度来看,工业互联网设备的安全防护细分为硬件安全、网络通信安全、系统服务安全、应用开发安全、数据安全等(见图 1)。

图 2 工业互联网设备安全防护实施路径示意图

一是建立设备自身安全策略和基础能力集,包括设备安全架构设计、安全基线配置、可信根验证和分类分级防护的基本要求。构建设备自身的安全“基线”,强化设备的内生安全能力。

二是结合设备的网络安全风险、保护价值、发生事件的安全影响,针对不同种类、应用场景的工业互联网设备开展分类分级评估。建立分类分级目录,形成重点保护设备及其安全策略并纳入网络关键设备和网络安全专用产品目录,高效开展强制性安全检测认证和审查。

三是完善工业互联网设备的安全防护规范、分类分级防护要求。针对不同类别和防护级别的设备,做好应用开发安全、系统服务安全、硬件安全、网络通信安全、数据安全等技术防护要求,形成设备的网络安全差异化、精细化管理模式。

四是建立工业互联网设备网络安全检测评估体系。加强设备进入市场前的网络安全试验验证、准入审核、测试认证以及应用过程中常态化的安全风险评估,以评促建,形成设备安全防护闭环。

五是强化工业互联网设备安全风险管理和应急处置,包括针对关键工业互联网设备的网络安全态势感知与监测预警,行业侧 / 企业侧的应急响应、事件处置的工具平台及机制方法。实时掌握设备安全态势和风险视图,为风险预警和应急工作提供常态化技术手段。

六、对策建议

(一)从国家层面完善工业互联网设备的网络安全准入机制

建议主管部门研究制定工业互联网设备安全相关管理办法,颁布工业互联网设备安全强制标准和行业规范。强化工业互联网设备的设计、开发、实施、运行维护等全生命周期过程的网络安全规范要求,为企业产品安全开发、第三方机构测试认证、设备部署运行提供依据。《网络关键设备和网络安全专用产品目录(第一批)》发布后,目录中的设备产品检测认证工作已逐步展开,但工业互联网设备等暂未提及的设备仍处于监管盲区。建议研究梳理工业互联网关键设备并将之列为“网络关键设备和网络安全专用产品”,对设备进行分类分级;完善相关安全标准规范,建立体系健全的工业互联网设备安全监管和安全准入机制,保证设备在进入市场销售或使用前进行严格的安全检测。

(二)建立设备网络安全检测认证体系

建议建立工业互联网设备安全测试认证体系,加强安全测试验证,特别是针对工业设备在工业现场环境下的安全试验验证、无损检测、工业级安全防护应用。推动工业互联网设备安全相关测评认证中心建设,围绕设备安全性、防护水平等设计安全认证级别,开展设备的网络安全分类分级管理和差异化防护。向不同部门、行业、企业,提供安全级别选择,准确划分设备安全能力层级,提升市场良性竞争环境,促进厂商升级自身设备的安全性。推动安全检测认证和设备能力提升,匹配工业互联网设备的工业环境适用性、硬件安全、系统 / 固件安全、应用安全、数据安全、接入安全等要求,构建设备安全功能、抗渗透、恶意代码防范、抗分布式拒绝服务攻击、漏洞隐患防护等能力。

(三)促进设备网络安全架构研究和工程应用

建议在工业互联网设备设计阶段,充分考虑安全性因素,增强包括硬件安全、接入认证安全、数据传输安全、代码安全、系统服务安全在内的设备安全防护综合能力;建立设备的可信计算环境,引入硬件信任根对系统启动、应用运行、参数修改等行为进行可信验证。在设备安全基线配置方面,建议督促设备厂商在产品部署时向用户明示安全使用准则,使用技术手段保证设备的基线配置安全。工业相关设备制造商、自动化集成商与研究机构、安全企业等应加强合作,加快区块链、国产密码、可信计算等新技术应用进度,推动设备本质安全和技术产品研究创新。

(四)强化设备的网络安全风险监测感知

工业互联网设备种类多,适用不同行业和场景的防护技术能力差异较大。建议对于工业(尤其是制造业),推动行业性的设备采购与应用、网络化改造等安全测试评估,加强工业生产装备、工业主机、相关智能终端的安全监测和管理。建议主管部门引导行业加强工业互联网设备的安全监测和应急处置能力,加强设备的安全监测感知、态势研判、信息共享通报、应急处置,及时预警木马感染、病毒或主机受控等网络攻击事件;建立工业互联网设备安全检测、应急响应工具库,漏洞库、威胁情报库等安全知识库,快速实施应急处置,防止黑客利用漏洞进行更广泛的攻击。

参考文献

原文顺序 | 出版日期 | 本文引用
[1]

张跃. 工业设备安装中的高精度测量方法探讨 [J]. 科技经济导 刊, 2019, 27(24): 72. Zhang Y. Discussion on high-precision measurement methods in the installation of industrial equipment [J]. Technology and Economic Guide, 2019, 27(24): 72.
[2]

张斌, 滕俊杰, 满毅. 改进的并行fp-growth算法在工业设备故障 诊断中的应用研究 [J]. 计算机科学, 2018, 45(S1): 508–512. Zhang B, Teng J J, Man Y. Application research of improved parallel fp-growth algorithm in fault diagnosis of industrial equipment [J]. Computer Science, 2018, 45(S1): 508–512.
[3]

Samigulina G, Samigulina Z. Diagnostics of industrial equipment and faults prediction based on modified algorithms of artificial immune systems [J]. Journal of Intelligent Manufacturing, 2021 (1): 1–18.
[4]

Compare M, Baraldi P, Bani I, et al. Industrial equipment reliability estimation: A bayesian weibull regression model with covariate selection [J]. Reliability Engineering & System Safety, 2020, 200: 1–10.
[5]

余骋远. 基于工业大数据的设备健康与故障分析方法研究与应 用 [D]. 沈阳: 中国科学院大学(硕士学位论文), 2017. Yu P Y. Research and application of equipment health and failure analysis based on industrial big data [D]. Shenyang: University of Chinese Academy of Sciences(Master’s thesis), 2017.
[6]

金洪吉. 基于物联网的工业设备远程监控系统研究 [J]. 产业与 科技论坛, 2020, 19(14): 35–36. Jin H J. Research on remote monitoring system of industrial equipment based on Internet of things [J]. Industrial & Science Tribune, 2020, 19(14): 35–36.
[7]

戴认之. 人工智能技术在工业设备和系统智能运营维护的应用 [J]. 中国信息化, 2020 (7): 52–53. Dai R Z. The application of artificial intelligence technology in the intelligent operation and maintenance of industrial equipment and systems [J]. China Information, 2020 (7): 52–53.
[8]

Mourtzis D, Angelopoulos J, Panopoulos N. Intelligent predictive maintenance and remote monitoring framework for industrial equipment based on mixed reality [J]. Frontiers in Mechanical Engineering, 2020, 6(12): 1–12.
[9]

关键基础设施安全应急响应中心. 工控系统行业漏洞 [EB/OL]. (2020-12-01)[2021-01-05]. https://ics.cnvd.org.cn/. Critical Infrastructure Security Response Center. Industrial control system vulnerabilities [EB/OL]. (2020-12-01)[2021-01-05]. https://ics.cnvd.org.cn/.
[10]

Committee on National Security Systems. Frequently asked questions (FAQ) [EB/OL]. (2001-10-16)[2021-01-05]. https:// www.niap-ccevs.org/Ref/FAQ.cfm#cat32.
[11]

Department of Homeland Security. National strategy for global supply chain security [EB/OL]. (2017-07-13) [2021-01-05]. https://www.dhs.gov/national-strategy-global-supply-chainsecurity.
[12]

Warner S, Mark R. S.734 - Internet of Things cybersecurity improvement act of 2019 [EB/OL]. (2019-06-19)[2021-01-05]. https://www.congress.gov/bill/116th-congress/senate-bill/734.
[13]

中华人民共和国国家互联网信息办公室. 各国网络安全审查制 度及案例分析 [EB/OL]. (2015-04-17)[2021-01-05]. http://www. cac.gov.cn/2015-04/17/c_1114990146.htm. Cyberspace Administration of China. Cyberspace security review system and case analysis for several countries. [EB/OL]. (2015-04- 17)[2021-01-05]. http://www.cac.gov.cn/2015-04/17/c_1114990146. htm.
[14]

ISA Secure. IEC 62443 conformance certification certifying industrial control system equipment and systems [EB/OL]. (2021-01-05)[2021-01-05]. https://www.isasecure.org/en-US/ Certification.
[15]

中华人民共和国国家互联网信息办公室. 关于发布《网络关 键设备和网络安全专用产品目录(第一批)》的公告 [EB/OL]. (2017-06-09)[2021-01-05]. http://www.cac.gov.cn/2017-06/09/ c_1121113591.htm. Cyberspace Administration of China. Announcement on the issuance of the Critical network equipment and special network security products catalog (first batch) [EB/OL]. (2017-06-09) [2021-01-05]. http://www.cac.gov.cn/2017-06/09/c_1121113591. htm.
[16]

中华人民共和国工业和信息化部. 加强工业互联网安全工作的 指导意见[EB/OL]. (2019-08-28)[2021-01-05]. https://www.miit. gov.cn/zwgk/zcwj/wjfb/txy/art/2020/art_c41cb8a2f6e74e239bae96068a2dc024.html. Ministry of Industry and Information Technology of the People’s Republic of China. Guiding opinions on strengthening industrial Internet security work [EB/OL]. (2019-08-28)[2021-01-05]. https://www.miit.gov.cn/zwgk/zcwj/wjfb/txy/art/2020/art_ c41cb8a2f6e74e239bae96068a2dc024.html.

基金资助

中国工程院咨询项目“新一代工业互联网安全技术发展战略研究” (2020-XZ-02)()

AI Summary AI Mindmap
PDF (581KB)

4126

访问

0

被引

详细
导航
相关文章

AI思维导图

/