設備安全
設備安全包括工廠內單點智能設備、成套智能終端等智能設備的安全,以及智能產品的安全,具體涉及操作系統/應用軟件安全和硬件安全。
隨著工業互聯網的發展,現場設備從機械化向高智能化轉變,嵌入式操作系統微處理器應用軟件的新模式出現,使得未來大量智能設備可能直接暴露在網絡中,面臨攻擊範圍擴大、擴散速度加快、漏洞影響擴大等威脅。
工業互聯網設備安全應從操作系統/應用軟件安全和硬件安全兩個方面進行部署。可以采用的安全機制包括固件安全增強、惡意軟件防護、設備身份認證、訪問控制和漏洞修復。
控制安全性
控制安全包括控制協議安全、控制軟件安全和控制功能安全。
工業互聯網使生產控制從分層、封閉、局部向扁平化、開放、全面發展。其中,控制環境是IT和OT的融合,控制網絡從封閉走向開放。在控制布局方面,控制範圍從局部擴展到全局,伴隨著控制監控上移,實時控制下移。上述變化改變了傳統生產控制過程封閉可信的特點,導致安全事件危害範圍的擴大和加深,以及網絡安全和功能安全問題的交織。
工業互聯網的控制安全主要從控制協議安全、控制軟件安全和控制功能安全三個方面考慮。可以采用的安全機制包括協議安全加固、軟件安全加固、惡意軟件防護、補丁升級、漏洞修復和安全監控審計。
網絡安全性
網絡安全包括承載工業智能生產和應用的工廠內部網絡、外部網絡和識別分析系統的安全。
隨著工業互聯網的發展,工廠內部網絡具有IP化、無線化、靈活組網和全球化的特點,工廠外部網絡具有信息網絡和控制網絡逐步融合、企業專網和互聯網逐步融合、產品和服務日益互聯網化的特點。這使得傳統互聯網中的網絡安全問題向工業互聯網蔓延,表現在以下幾個方面:工業互聯協議從專有協議變為基於以太網或IP的協議,大大降低了攻擊門檻;壹些現有的工業以太網交換機(通常是非托管交換機)缺乏抵禦日益嚴重的DDoS攻擊的能力;工廠網絡的互聯、生產和運營正逐漸由靜態向動態轉變,安全策略面臨嚴峻挑戰。此外,隨著工廠業務的拓展和新技術的不斷應用,還會有5G/SDN等新技術的引入和工廠內外網互聯的進壹步深化帶來的安全隱患。
網絡安全防護應面向工廠內網、外網和身份分析系統,包括網絡結構優化、邊界安全防護、接入認證、通信內容防護、通信設備防護、安全監控審計等防護措施,構建全面高效的網絡安全防護體系。
應用程序安全性
工業互聯網應用主要包括工業互聯網平臺和軟件,涵蓋智能生產、網絡化協同、個性化定制、服務延伸等。目前工業互聯網平臺面臨的安全風險主要有數據泄露、篡改、丟失、權限控制異常、系統漏洞利用、賬號劫持、設備訪問安全等。對於軟件來說,最大的風險來自於安全漏洞,包括開發過程中代碼不符合安全規範導致的軟件本身的漏洞,以及使用不安全的第三方庫產生的漏洞。
相應的,應用安全也要從工業互聯網平臺安全和軟件安全兩個方面來考慮。對於工業互聯網平臺,可以采取的安全措施包括安全審計、認證授權、DDoS攻擊防護等。對於軟件,建議采用全生命周期安全防護,在軟件開發過程中進行代碼審計,對開發人員進行培訓,減少漏洞的引入;定期調查運行軟件的漏洞,審查和測試其內部流程,修復公開的漏洞和後門;對軟件行為進行實時監控,可以發現可疑行為並加以防範,從而減少未公開漏洞帶來的危害。
數據安全
數據安全包括生產管理數據安全、生產運營數據安全、工廠外部數據安全,涉及數據和用戶信息在采集、傳輸、存儲、處理等各個環節的安全。工業互聯網相關的數據根據其屬性或特征可分為四類:設備數據、業務系統數據、知識庫數據和用戶個人數據。根據數據敏感度的不同,工業互聯網數據可分為壹般數據、重要數據和敏感數據。隨著工廠數據從小的、單壹的、單向的向大的、多維的、雙向的轉變,工業互聯網數據的量、類型、結構都在增加,工廠內外網之間存在數據的雙向流動。由此帶來的安全風險主要包括數據泄露、非授權分析和用戶個人信息泄露。
對於工業互聯網的數據安全保護,應采取各種保護措施,包括顯式使用、數據加密、訪問控制、業務隔離、訪問認證、數據脫敏等,覆蓋數據采集、傳輸、存儲、處理等全生命周期的各個環節。