发布时间: 2019年08月13日
近日,工业互联网产业联盟正式发布了《中国工业互联网安全态势报告(2018年)》。该报告是在今年2月形成初稿的基础上,经过多次修改完善后形成的定稿。报告认为,当前我国工业互联网平台网络安全防护发展尚处于起步阶段,工业互联网应用环境也出现了较多安全问题,工业互联网平台较多采用传统网络安全防护技术、设备安全防护体系架构,整体解决方案还不够成熟,这些都是我国工业互联网发展所面临的必然挑战。
“公网”与“工网”安全问题交织
2018年是中国工业互联网迅速发展的一年,以《工业互联网发展行动计划(2018~2020年)》为代表,工信部和地方政府先后出台了一系列产业指导性文件,极大地促进了我国工业互联网产业的发展:我国工业互联网产业规模已经在数千亿元以上,工业互联网已经在改变产业链的运行模式和产业生态,正在向产业链的各个环节渗透,推动产业链内在需求、设计、生产、物流、销售、服务再到需求的闭环优化。
那么,我国工业互联网现阶段的发展有哪些特点?报告总结为,顶层设计基本形成、应用实践逐渐丰富、网络体系进一步完善、平台体系快速增长、已知与未知安全问题深度交织、新技术持续追赶、产业生态快速形成。
即便如此,我国工业互联网安全问题依旧突出。众所周知,工业互联网把传统互联网和工业网络融为一体,已知安全和未知安全、“公网”安全和“工网”安全问题深度交织。因此,传统的互联网漏洞风险,尤其是企业纷纷“上云”后云平台的漏洞风险,都会在不同层次对工业互联网的主机、网络、各类应用系统造成危害。在国家信息安全漏洞共享平台收录的安全漏洞中,云及虚拟化中等严重程度的漏洞占65.77%,高危漏洞占22.99%。报告认为,这些安全威胁主要涉及未授权的信息泄露、管理员访问权限获取、拒绝服务攻击、未授权的信息修改以及普通用户的访问权限获取等。其中,与前三者相关的漏洞占了大多数,这意味着,与云计算相关的应用及服务的安全防护重点将是云上数据安全、系统管理员的账户安全以及提升对抗拒绝服务攻击能力以保障云服务的连续性。
对于我国工业互联网主要面临的安全威胁,报告总结为四个方面:工业终端成为安全最薄弱环节,工业终端保有量大,但安全防护相对不足,勒索病毒、挖矿木马在2017年出现后,2018年继续发酵,工业主机终端成为工业网络安全的脆弱环节。工业控制系统安全形势依然严峻,2018年爆发多起工业控制系统重大漏洞,影响多类生产系统。工业互联网平台的安全仍未形成体系,平台的安全尚没有形成体系化的安全防护机制,一方面平台自身的安全性不足,另一方面平台PaaS层也缺乏健全的安全API供SaaS层调用。工业App缺乏安全机制,目前工业App形态各异、种类繁多,缺乏安全机制和API安全标准。
工业互联网安全体系呈积极发展态势
发展工业互联网是大势所趋,不能因为安全问题的存在而“因噎废食”。报告认为,工业互联网安全将随着工业互联网的发展而不断深入推进,未来会呈现乐观积极的趋势。
主动性、智能化的威胁检测与安全防护技术将不断发展。未来,工业互联网安全防护的思维模式将从传统的事件响应式向持续智能响应式转变。将有更多企业建成安全数据仓库,工业互联网安全架构的重心也将从被动防护向持续普遍性的监测响应及自动化、智能化的安全防护转变。大数据平台将工业大数据技术和工业云相结合,实现对云端数据和本地数据的采集、分析并从功能维度进行汇总、查看、统计及处置。此外,借助工业互联网的大数据分析能力以及边缘计算能力,能分析工业互联网当前运行状态并预判未来安全走势,阻止安全威胁的继续蔓延。
自主可控的工业互联网安全产品和服务体系不断完善。基于大数据处理的工业态势感知技术成为工业大数据采集、存储、处理和呈现的有力武器,以实时升级为特征的工业安全服务需求强烈,工业安全咨询和安全服务外包等服务将逐渐增多,催生更加繁荣的安全服务市场。
工业互联网安全标准将逐步推出并引导安全产业发展。预计2019年,相关的行业标准化组织以及国家相关部门将会进一步推进不同层面的工业互联网安全标准,涉及整个互联网的不同层面,引导工业互联网安全产业健康发展。
工业互联网平台内生安全防御成为未来平台发展的重点。要对工业互联网进行安全防护,一个很重要的切入点就是提升工业互联网自身在安全设计方面的完备性,提高工业互联网自身的免疫力。而随着网络带宽与计算设备处理性能的不断提升,更多安全机制将被引入工业互联网的安全防护领域。
设备上云、数据采集与互通逐步推进并形成安全方案。工业设备上云作为一种先导性、引领性、示范性应用,将牵引工业互联网平台技术和商业模式的迭代升级,带来工业互联网平台的功能演进和规模商用。
跨部门、跨行业、跨平台信息共享和联动处置机制持续推进。报告认为,未来的工业互联网企业与设备提供商、安全服务商、监管机构等需要建立协同机制、信息共享与联动处置机制,打造多方联动的防御体系,进一步提升工业互联网企业安全风险的发现效率与安全事件的处置水平。