❶ 零信任網路助力工業互聯網安全體系建設
隨著雲計算、大數據、物聯網、5G、邊緣計算等IT技術的快速發展,支撐了工業互聯網的應用快速落地。作為「新基建」的重點方向之一,工業互聯網發展已經進入快軌道,將加速「中國製造」向「中國智造」轉型,並推動實體經濟高質量發展。
新型 IT 技術與傳統工業 OT 技術深度融合,使得工業系統逐步走向互聯、開放,也加劇了工業製造面臨的安全風險,帶來更加艱巨的安全挑戰。CNCERT 發布的《2019 年我國互聯網網路安全態勢綜述》指出,我國大型工業互聯網平台平均攻擊次數達 90 次/日。
工業互聯網連接了大量工業控制系統和設備,匯聚海量工業數據,構建了工業互聯網應用生態、與工業生產和企業經營密切相關。一旦遭入侵或攻擊,將可能造成工業生產停滯,波及范圍不僅是單個企業,更可延伸至整個產業生態,對國民經濟造成重創,影響 社會 穩定,甚至對國家安全構成威脅。
近期便有重大工業安全事件發生,造成惡劣影響,5 月 7 日,美國最大燃油運輸管道商 Colonial Pipeline 公司遭受勒索軟體攻擊,5500 英里輸油管被迫停運,美國東海岸燃油供應因此受到嚴重影響,美國首次因網路攻擊而宣布進入國家緊急狀態。
以下根據防護對象不同,分別從網路接入、工業控制、工業數據、應用訪問四個層面來分析 5G 與工業互聯網融合面臨的安全威脅。
01
網路接入安全
5G 開啟了萬物互聯時代,5G 與工業互聯網的融合使得海量工業終端接入成為可能,如數控機床、工業機器人、AGV 等這些高價值關鍵生產設備,這些關鍵終端設備如果本身存在漏洞、缺陷、後門等安全問題,一旦暴露在相對開放的 5G 網路中,會帶來攻擊風險點的增加。
02
工業控制安全
傳統工業網路較為封閉,缺乏整體安全理念及全局安全管理防護體系,如各類工業控制協議、控制平台及軟體本身設計架構缺乏完整的安全驗證手段,如數據完整性、身份校驗等安全設計,授權與訪問控制不嚴格,身份驗證不充分,而各類創新型工業應用軟體所面臨的病毒、木馬、漏洞等安全問題使原來相對封閉的工業網路暴露在互聯網上,增大了工控協議和工業 IT 系統被攻擊利用的風險。
03
數據傳輸及調用安全
雲計算、虛擬化技術等新興IT技術在工業互聯網的大規模應用,在促進關鍵工業設備使用效率、提升整體製造流程智能化、透明化的同時,打破原有封閉自治的工業網路環境,使得安全邊界更加模糊甚至弱化,各種外來應用數據流量及對工廠內部數據資源的訪問調用缺乏足夠透明性及相應監管措施,同時各種開放的 API 介面、多應用的的接入,使得傳統封閉的製造業內部生產管理數據、生產操作數據等,變得開放流動,與及工廠外部各類應用及數據源產生大師交互、流動和共享,使得行業數據安全傳輸與存儲的風險大大增加。
04
訪問安全
工業互聯網核心的各類創新型場景化應用,帶來了更多的參與對象基礎網路、OT 網路、生產設備、應用、系統等,通過與 5G 網路的深度融合,帶來了更加高效的網路服務能力,收益於愈發靈活的接入方式,但也帶來的新的風險和挑戰,應用訪問安全問題日益突出。
針對上面工業互聯網遇到的安全問題,青雲 科技 旗下的 Evervite Networks 光格網路面向工業互聯網行業,提出了工業互聯網 SD-NaaS(software definition network & security as a service 軟體定義網路與安全即服務)解決方案,依託統一身份安全認證與訪問控制、東西向流量、南北向流量統一零信任網路安全模型架構設計。工業互聯網平台可以藉助 SD-NaaS 構建動態虛擬邊界,不再對外直接暴露應用,為工業互聯網提供接入終端/網路的實時認證及訪問動態授權,有效管控內外部用戶、終端設備、工廠工業主機、邊緣計算網關、應用系統等訪問主體對工業互聯網平台的訪問行為,從而全面提高工業互聯網的安全防護能力。幫助企業利用零信任網路安全防護架構建設工業互聯網安全體系,讓 5G、邊緣計算、物聯網等能力更好的服務於工業互聯網的發展。
基於光格網路 SD-NaaS 架構的工業互聯網安全體系大體可以分四個層面:
基於統一身份認證的網路安全接入
首先 SD-NaaS 平台引入零信任安全理念,對接入工業互聯網的各類用戶及工控終端,啟用全新的身份驗證管理模式,提供全面的認證服務、動態業務授權和集中的策略管理能力,SD-NaaS 持續收集接入終端日誌信息,結合身份庫、許可權資料庫、大數據分析,身份畫像等對終端進行持續信任評估,並基於身份、許可權、信任等級、安全策略等進行網路訪問動態授權,有力的保障了 5G+ 工業互聯網場景下的終端接入的安全。
最小許可權,動態授權的工業安全控制
其次針對工業互聯網時代下的工控網路面臨的安全隱患,SD-NaaS 零信任網路平台提出全新的控制許可權分配機制, 基於「最小化許可權,動態授權」原則,控制許可權判定不再基於簡單的靜態規則(IP 黑白名單,靜態許可權策略等),而是基於工控管理員、工程師和操作員等不同身份及信任等級,控制伺服器、現場控制設備和測量儀表等不同終端的安全策略,不同工控指令許可權,結合大數據安全分析進行動態評估及授權,實現工業邊界最小授權,精細化的訪問控制。以此避免工業控制網路受到未知漏洞威脅,同時還可以有效的阻止操作人員異常操作帶來的危害。
端到端加密,精細化授權的數據防護
工業生產中會產生海量的工業數據包括研發設計、開發測試、系統設備資產信息、控制信息、工況狀態、工藝參數等,平台各應用間有大量的數據共享與協同處理需求,SD-NaaS 平台提供更強壯的端到端數據安全保護方法,通過實時信任檢測、動態評估訪問行為安全等級,建立安全加密隧道以保障數據在應用間流動過程的安全可靠。同時生產質量控制系統、成本自動核算系統、生產進度可視系統等各類工業系統之間的 API 交互,資料庫調用等行為,SD-NaaS 平台可實現細顆粒度的操作許可權控制,對所有的增刪改查等動作進行行為審計。
採用應用隱藏和代理訪問的應用防護
最後 SD-NaaS 平台採用 SDP 安全網關和 MSG 微分段技術實現工業互聯網平台的應用隱身和安全訪問代理,有效管理工業互聯網平台的網路邊界及暴露面,並基於工程師、操作員、采購、銷售、供應鏈等不同身份進行最細顆粒度的動態授權(如生產數據,庫存信息,進銷存管理等),對所有的訪問行為進行審計,構建全方位全天候的應用安全防護屏障。
基於光格網路 SD-NaaS 解決方案,我們在工業視覺、智能巡檢、遠程駕駛、AI 視頻監控等場景實現安全可靠落地;幫助企業在確保安全的基礎上,打造支撐製造資源泛在連接、彈性供給、高效配置的工業雲平台,利用工業互聯網平台 探索 工業製造業數字化、智能化轉型發展新模式和新業態。
SD-NaaS 最佳實踐:
申請使用光格網路產品解決方案
點擊申請使用光格網路產品解決方案
自2017年國務院印發《關於深化「互聯網+先進製造業」 發展工業互聯網的指導意見》之後,各地紛紛加快工業互聯網的建設與發展步伐。發展工業互聯網,網路體系是基礎,平台體系是關鍵,安全體系是保障。各省市、各地區應緊緊系統構建網路、平台、安全三大體系,打造人、機、物全面互聯的新型網路基礎設施,全力推進七大任務:
1.夯實網路基礎
夯實工業互聯網的網路基礎,應圍繞網路改造升級、提速降費、標識解析,推進三方面的工作:
第一,以IPv6、工業無源光網路(PON)、工業無線、時間敏感網路(TSN)等技術,改造工業企業內網;
第二,以IPv6、軟體定義網路(SDN)以及新型蜂窩移動通信技術(即5G技術),實現工業企業外網的升級改造;
第三,推進標識解析體系建設,圍繞工業互聯網標識解析國家頂級節點,推動行業性二級接機點的建設與連接。
2.打造平台體系
第一,培育工業互聯網平台,以企業為主導,構建跨行業、跨領域平台,實現多平台互聯互通。
第二,開展工業互聯網平台試驗驗證。支持產業聯盟、企業與科研機構合作共建測試驗證平台,開展技術驗證與測試評估。
第三,推動、吸引企業上雲。鼓勵工業互聯網平台在產業集聚區落地,通過財稅支持、政府購買服務等方式,鼓勵中小企業的業務系統向雲端遷移。
第四,培育工業APP,支持軟體企業、工業企業、科研院所等開展合作,培育一批面向特定行業、特定場景的工業APP。
3.加強產業支撐
要加強產業支撐,必須加大關鍵共性技術攻關力度,提升產品與解決方案供給能力:
第一,關鍵共性技術支撐。鼓勵企業和科研院所合作,圍繞工業互聯網核心關鍵技術、網路技術、融合應用技術開展聯合攻關,促進邊緣計算、人工智慧、增強現實、虛擬現實、區塊鏈等技術在工業互聯網應用。
第二,系統解決方案支撐。圍繞智能感測器、工業軟體、工業網路設備、工業安全設備、標識解析等領域,推廣一批經濟實用的微服務化系統解決方案。
4.促進融合應用
融合創新工作應圍繞大型企業和中小型企業兩大主體開展:
針對大型企業,加快工業互聯網在工業現場的應用;開展用於個性需求與產品設計,生產製造精準對接的規模化定製;
針對中小企業,實現業務系統向雲端遷移;開展供需對接、集成供應鏈、產業電商、眾包眾籌等創新型應用。
5.完善生態體系
第一,構建創新體系:有效整合高校、科研院所、企業等創新資源,圍繞重大共性需求與行業需要,面向關鍵技術與平台需求,開展產學研協同創新。
第二,構建應用生態,鼓勵工業互聯網服務商面向製造業企業提供咨詢診斷、展示展覽、行業資訊、人才培訓、園企對接等增值服務。
第三,構建企業協同發展體系,以需求為導向,基於工業互聯網平台,構建中介型共享製造、眾創型共享製造、服務型需求共享製造、協同型共享製造等新型生產組織方式。
第四,構建區域協同發展體系,建設工業互聯網創新中心、工業互聯網產業示範基地。
6.強化安全保障
安全保障是發展工業互聯網的底線,必須切實提升安全防護能力,建立數據安全保護體系,推動安全技術手段建設。此外,各地區還應大力發展信息安全產業,推動標識解析系統安全、工業互聯網平台安全、工業控制系統安全、工業大數據安全等相關技術和產業發展,開展安全咨詢、評估和認證等服務,提升整體安全保障服務能力。
7.堅持開放合作
第一,加強地區乃至國際的企業協作,形成跨領域、全產業鏈緊密協作的關系。
第二,建立政府、產業聯盟、企業等多層次溝通對話機制。
第三,積極參與國際組織的協同與合作,參與工業互聯網標准規范與國際規則的研討與制定。
❸ 國家首次官宣「新基建」范圍:3大方面 7大領域全曝光
重磅!國家首次官宣「新基建」范圍:3大方面,7大領域全曝光!信息量太大...導讀:此前媒體提到的5G、特高壓等「新基建」七大領域僅是列舉,並非全部,官方首次明確了「新基建」的范圍。
4月20日的國家發改委新聞發布會上,官方首次明確了「新基建」的范圍,這包括信息基礎設施、融合基礎設施、創新基礎設施三個方面。
其中信息基礎設施包括以5G、物聯網、工業互聯網、衛星互聯網為代表的通信網路基礎設施,以人工智慧、雲計算、區塊鏈等為代表的新技術基礎設施,以數據中心、智能計算中心為代表的算力基礎設施等;融合基礎設施包括智能交通基礎設施、智慧能源(4.280, 0.01, 0.23%)基礎設施等;創新基礎設施則包括重大科技基礎設施、科教基礎設施、產業技術創新基礎設施等內容。
發改委指出,新型基礎設施的內涵、外延並非一成不變,未來將加強頂層設計。研究出台推動新型基礎設施發展的有關指導意見,同時加快5G網路等建設,超前部署創新基礎設施。
工信部賽迪智庫近日發布的《「新基建」發展白皮書》指出,新型基礎設施建設內容廣泛,投資空間巨大, 不過「新基建」建設需著注意以社會資本投資為主,避免政府大規模投資,要以需求為導向,不搞大水漫灌;在實施上要根據戰略規劃和市場應用需求,統籌規劃好新基建長期發展路線圖和年度投資計劃,防止「一哄而上」和重復建設,避免短期投資泡沫。
涵蓋三大領域,中侍飢投資空間巨大
新冠肺炎疫情暴發以來,中國高層對新基建的重視程度顯著提升。3月4日,中共中央政治局常務委員會召開會議,明確強調加快5G網路、數據中心等新型基礎設施建設進度。
此後,央視列出了「新基建」主要包括的七大領域:5G基建、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工智慧、工業互聯網。
在4月20日的新聞發布會上,發改委創新和高技術發展司司長伍浩介紹,新型基礎設施是以新發展理念為引領,以技術創新為驅動,以信息網路為基礎,面向高質量發展需要,提供數字轉型、智能升級、融合創新等服務的基礎設施體系。
他指出,目前來看,新型基礎設施主要包括三個方面內容:
一是信息基礎設施。主要是指基於新一代信息技術演化生成的基礎設施,比如,以5G、物聯網、工業互聯網、衛星互聯網為代表的通信網路基礎設施,以人工智慧、雲計算、區塊鏈等為代表的新技術基礎設施,以數據中心、智能計算中心為代表的算力基礎設施等。
二是融合基礎設施。主要是指深度應用互聯網、大數據、人工智慧等技術,支撐傳統基礎設施轉型升級,進而形成的融合基礎設施,比如,智能交通基礎設施、智慧能源基礎設施等。
三是創新基礎設施。主要是指支撐科學研究、技術開發、產品研製的具有公益屬性的基礎設施,比如,重大科技基礎設施、科教基礎設施、產業技術創新基礎設施等。
「伴隨著技術革命和產業變革,新型基礎設施的內涵、外延也不是一成不變的,我們將持續跟蹤研究。」伍浩說。
他表示,近年來,中國新型基礎設施建設取得了明顯成效,對高質量發展的支撐作用正在加快釋放。
從信息基礎設施看,高速光纖已覆蓋全國所有城市、鄉鎮以及99%以上的行政村,4G網路用戶超過12億,這方面取得了跨越式發展和進步。
從融合基礎設施看,智慧城市建設路徑更加清晰,信息技術積極賦能城市賣返精細化管理,助推轉型升級的作用日益凸顯。
從創新基礎設施看,國家發展改革委已布局建設55個國家重大科技基礎設施,在科技創新和經濟發展中發揮了引領作用,有力支撐了科學技術研究。
21世紀經濟報道從工信部賽迪智庫獲得的《「新基建」發展白皮書》指出,「新基建」是與傳統的「鐵公基」相對應,結合新一輪科技革命和產業變革特徵,面向國家戰略需求,為經濟社會的創新、協調、綠色、開放、共享發展提供底層支撐的具有乘數效應的戰略性、網路型基礎設施。
白皮書指出,此前央媒列出的七大領域是「新基建」的重要內容之一,並詳細分析了「新基建」在七大領域的建設內容與投資空間。
談局伍浩指出,下一步,國家發展改革委將聯合相關部門,深化研究、強化統籌、完善制度,重點做好四方面工作。
一是加強頂層設計。研究出台推動新型基礎設施發展的有關指導意見。
二是優化政策環境。以提高新型基礎設施的長期供給質量和效率為重點,修訂完善有利於新興行業持續健康發展的准入規則。
三是抓好項目建設。加快推動5G網路部署,促進光纖寬頻網路的優化升級,加快全國一體化大數據中心建設。穩步推進傳統基礎設施的「數字+」「智能+」升級。同時,超前部署創新基礎設施。
四是做好統籌協調。強化部門協同,通過試點示範、合規指引等方式,加快產業成熟和設施完善。推進政企協同,激發各類主體的投資積極性,推動技術創新、部署建設和融合應用的互促互進。
白皮書強調,未來「新基建」建設需著重關注四大問題。
一是在投資主體上,要以社會資本投資為主,發揮政府財政資金引導和補空缺作用,避免政府大規模投資,調動社會資本投資積極性,最大化發揮投資帶動作用。
二是在實施進度上,要根據戰略規劃和市場應用需求,統籌規劃好新基建長期發展路線圖和年度投資計劃,防止「一哄而上」和重復建設,避免短期投資泡沫。
三是在區域和行業布局上,要以需求為導向,不搞大水漫灌,面向重點區域和重點行業,率先推進新基建試點示範應用,確保新基建投資效益的發揮。
四是在網路安全保障上,要按照《網路安全法》《密碼法》等規章制度要求,同步規劃和制定數字新基建安全技術保障措施,完善面向數字新基建安全測評、風險評估、安全審計、保密審查、日常監測等制度。
《白皮書》建議,盡快制定「新基建」的頂層設計,明確中長期戰略規劃和短期行動計劃,同時,根據區域特點和行業需求,統籌規劃新基建區域和行業布局。
《白皮書》認為,為防範「新基建」項目「蜂擁而上」和重復建設,「新基建」在頂層設計等規劃中必須明確其區域布局。而這需要考慮四方面的因素:
一是國家戰略和重大項目布局要求,區域新基建布局應處理好地方建設目標與國家經濟社會目標間的關系,立足更好地服務「一帶一路」建設、京津冀協同發展、長江經濟帶發展、長三角一體化、粵港澳大灣區建設等國家戰略。
二是人口分布和城鎮化格局現狀,從人口流動看,城鎮化的人口將更多聚集到城市群、都市圈,必將對區域新基建提出更高要求。5G基建、高鐵軌交、新能源設施等應重點將人口流動關系和城鎮化潛力納入空間布局考慮范圍。
三是地區產業和互聯網發展情況,良好的製造業集聚、製造業和互聯網融合發展基礎是新基建項目建設的底座,區域布局可重點考慮產業和互聯網基礎穩固的地區,如工業互聯網以推動產業集聚區的行業整體上雲為抓手開展建設。
四是區域資源環境承載能力,數據基礎設施方面,隨著5G商用推進,「西數東送」的願景有望實現,屆時大量數據中心可考慮建在氣候優勢明顯、能源價格較低的中西部地區。特高壓建設方面,應充分考慮各地可再生能源資源和消納條件,向受端負荷中心進行點對點區域布局。
全國首個「新基建」產業政策已出爐
3月29日,廣州黃埔區、廣州開發區、廣州高新區(下稱「廣州開發區」)在全國率先發布《廣州市黃埔區 廣州開發區 廣州高新區加快「新基建」助力數字經濟發展十條》(下稱「新基建10條」),旨在以新型基礎設施建設為抓手,著力打造數字經濟發展新樣板。
同日,廣州開發區舉行2020年第一季度重大項目投試產暨全面加快推進新基建活動。以新基建、生物醫葯、先進製造業項目為主的24個重點項目,通過5G雲端直播同時投試產,預計達產產值(營業收入)1172億元。
單個項目獎勵總額最高5億元
廣州開發區政研室主任李耀堯在新聞發布會上表示,「新基建10條」是全國首個區縣級「新基建」產業政策。
作為廣州市「工業一哥」,廣州開發區將著力結合自身特色,通過重獎製造業數字化,推動自身數字經濟發展,打造數字經濟新樣板,有效推動製造業轉型升級和新業態、新模式發展。
據記者梳理,「新基建10條」有四大亮點:
一是重獎「新基建」高端項目和人才。「新基建10條」緊盯全球頂尖數字經濟技術,對處於價值鏈頂部、具有全產業鏈號召力和國際影響力的數字經濟龍頭企業高端項目到該區落戶給予最周到的服務和最大力的扶持,鼓勵現有企業做大做強,重獎數字經濟人才。
比如,對新引進的全球頂尖數字技術企業,最高按已完成固定資產投資總額的15%分階段給予獎勵,單個項目獎勵總額最高5億元。
二是強化「新基建」底層技術支撐。「新基建10條」提出,3年投入1億元,培育一批操作系統、資料庫、中間件、CPU晶元、AI晶元、流版簽軟體、網路安全軟硬體領軍企業,構建完備的信息技術應用創新生態,爭創粵港澳大灣區首個國家級信息技術應用創新基地。
三是發展「新基建」新業態新模式。「新基建10條」提出,加速製造業數字化進程,煥發製造新活力。鼓勵發展電子競技、數字醫療、空中互聯網、數字農業等新業態新模式。
比如遴選正式上線運營且產生重大影響力的電競游戲軟體項目,按其軟體開發投資額最高給予1200萬元資助。
四是探索「新基建」制度創新。除了在資金、人才、技術等方面對「新基建」給予「硬」支撐外,廣州開發區也注重通過制度創新給予「軟」保障,明晰數據產權,鼓勵運用區塊鏈技術構建科學規范的數字安全制度體系,推動公共數據逐步開放,加強關鍵新型基礎設施安全保護。同時,鼓勵數字經濟標准化建設,對主導(含參與)國際標准制定、修訂的企業單位,分別給予最高100萬元、50萬元獎勵。
謀劃「新基建四大區域」
廣州開發區依託自身產業基礎、區域定位和資源優勢,謀劃布局「新基建四大區域」,即:魚珠片區規劃人工智慧與數字經濟試驗區;科學城創建工業互聯網融合發展示範區;知識城構建通信網路國際數字樞紐;生物島建設生物安全智慧島。
魚珠片區重點布局「人工智慧」新基建,打造廣州人工智慧與數字經濟試驗區。統籌規劃25平方公里,以中國軟體(75.300, 3.42, 4.76%)CBD為區域核心,重點打造「一區」(以區塊鏈為特色的軟體名區)和「一鎮」(以泛浙大產業創新園為核心的人工智慧小鎮(橫沙))。加快國家級信息技術應用創新基地、中國車聯網運營中心、通用軟硬體(廣州)適配測試中心等重大戰略平台建設,布局廣東省機械研究所智能裝備產業園、新松國際機器人(14.060, 0.15, 1.08%)產業園、國機智能園區等一批人工智慧產業園,打造區塊鏈、人工智慧等關鍵技術融合發展的數字經濟新高地。
科學城聚集工業互聯網「新基建」,打造工業互聯網融合發展示範區。廣州開發區、廣州高新區依託科學城145平方公里的廣闊腹地和雄厚的先進製造業集群基礎,全面推動製造業裝備智能化、生產數字化,打造產業數字化發展新標桿。重點打造了航天雲網、阿里飛龍工業互聯網平台、中船「船海智雲」等一批國家級工業互聯網平台,圍繞電路板、新材料、醫療醫葯等重點優勢行業建設工業互聯網標識解析二級節點,明珞「虛擬製造工廠」入圍國家工業互聯網重點示範項目。
知識城強化「新基建」國際基因,構建新一代通信網路國際數字樞紐。推進國家級區塊鏈頂級節點等一批國際「新基建」,率先建設國際數字樞紐運營中心。知識城「新基建」重點項目集中在大數據、工業互聯網、5G、人工智慧四大領域。
生物島打造全域覆蓋「新基建」,建設生物安全智慧島。利用5G、人工智慧等信息技術手段,推動生物科技、交通設施等數字化智能化升級,打造數字技術與城市安全融合應用的引領示範。生物島「新基建」重點項目集中在人工智慧、大數據中心兩大領域。
阿里雲加碼新基建:3年再投2000億
4月20日,阿里雲宣布:未來3年再投2000億,用於雲操作系統、伺服器、晶元、網路等重大核心技術研發攻堅和面向未來的數據中心建設。
近期,谷歌、美團等相繼關閉或收縮雲計算業務。在當前經濟形勢下,阿里雲是否會縮減投入?阿里雲智能總裁張建鋒在接受采訪時表示:「我們對未來有信心,對數字經濟有信心。雲智能是阿里巴巴的核心戰略之一,我們已經堅持投了11年,不會因為疫情而減少投入,反而要加大投入。未來三年,阿里雲再投2000億,用來搞新技術、新基建。」
據悉,達摩院XG實驗室、平頭哥等最新研究成果將率先應用在阿里雲下一代數據中心。飛天雲操作系統、含光800晶元、神龍伺服器、自研雲交換機、高性能低延時網路、大計算系統集群等核心自研技術,將在雲數據中心大規模部署。
公開信息顯示,阿里雲在全球21個區域部署了上百個雲數據中心,並廣泛採用液冷、水冷、風能等節能技術降低能耗。目前,阿里雲飛天操作系統管理的伺服器規模在百萬台,3年再投2000億,意味著阿里雲的數據中心和伺服器規模再翻3倍,沖刺全球最大的雲基礎設施。
48萬億投資版圖來襲!新基建成亮點
❹ 工業互聯網時代的風險管理:工業4.0與網路安全
2009年,惡意軟體曾操控某核濃縮工廠的離心機,導致所有離心機失控。該惡意軟體又稱「震網」,通過快閃記憶體驅動器入侵獨立網路系統,並在各生產網路中自動擴散。通過「震網」事件,我們看到將網路攻擊作為武器破壞聯網實體工廠的可能。這場戰爭顯然是失衡的:企業必須保護眾多的技術,而攻擊者只需找到一個最薄弱的環節。
但非常重要的一點是,企業不僅需要關注外部威脅,還需關注真實存在卻常被忽略的網路風險,而這些風險正是由企業在創新、轉型和現代化過程中越來越多地應用智能互聯技術所引致的。否則,企業制定的戰略商業決策將可能導致該等風險,企業應管控並降低該等新興風險。
工業4.0時代,智能機器之間的互聯性不斷增強,風險因素也隨之增多。工業4.0開啟了一個互聯互通、智能製造、響應式供應網路和定製產品與服務的時代。藉助智能、自動化技術,工業4.0旨在結合數字世界與物理操作,推動智能工廠和先進製造業的發展 。但在意圖提升整個製造與供應鏈流程的數字化能力並推動聯網設備革命性變革過程中,新產生的網路風險讓所有企業都感到措手不及。針對網路風險制定綜合戰略方案對製造業價值鏈至關重要,因為這些方案融合了工業4.0的重要驅動力:運營技術與信息技術。
隨著工業4.0時代的到來,威脅急劇增加,企業應當考慮並解決新產生的風險。簡而言之,在工業4.0時代制定具備安全性、警惕性和韌性的網路風險戰略將面臨不同的挑戰。當供應鏈、工廠、消費者以及企業運營實現聯網,網路威脅帶來的風險將達到前所未有的廣度和深度。
在戰略流程臨近結束時才考慮如何解決網路風險可能為時已晚。開始制定聯網的工業4.0計劃時,就應將網路安全視為與戰略、設計和運營不可分割的一部分。
本文將從現代聯網數字供應網路、智能工廠及聯網設備三大方面研究各自所面臨的網路風險。3在工業4.0時代,我們將探討在整個生產生命周期中(圖1)——從數字供應網路到智能工廠再到聯網物品——運營及信息安全主管可行的對策,以預測並有效應對網路風險,同時主動將網路安全納入企業戰略。
數字化製造企業與工業4.0
工業4.0技術讓數字化製造企業和數字供應網路整合不同來源和出處的數字化信息,推動製造與分銷行為。
信息技術與運營技術整合的標志是向實體-數字-實體的聯網轉變。工業4.0結合了物聯網以及相關的實體和數字技術,包括數據分析、增材製造、機器人技術、高性能計算機、人工智慧、認知技術、先進材料以及增強現實,以完善生產生命周期,實現數字化運營。
工業4.0的概念在物理世界的背景下融合並延伸了物聯網的范疇,一定程度上講,只有製造與供應鏈/供應網路流程會經歷實體-數字和數字-實體的跨越(圖2)。從數字回到實體的跨越——從互聯的數字技術到創造實體物品的過程——這是工業4.0的精髓所在,它支撐著數字化製造企業和數字供應網路。
即使在我們 探索 信息創造價值的方式時,從製造價值鏈的角度去理解價值創造也很重要。在整個製造與分銷價值網路中,通過工業4.0應用程序集成信息和運營技術可能會達到一定的商業成果。
不斷演變的供應鏈和網路風險
有關材料進入生產過程和半成品/成品對外分銷的供應鏈對於任何一家製造企業都非常重要。此外,供應鏈還與消費者需求聯系緊密。很多全球性企業根據需求預測確定所需原料的數量、生產線要求以及分銷渠道負荷。由於分析工具也變得更加先進,如今企業已經能夠利用數據和分析工具了解並預測消費者的購買模式。
通過向整個生態圈引入智能互聯的平台和設備,工業4.0技術有望推動傳統線性供應鏈結構的進一步發展,並形成能從價值鏈上獲得有用數據的數字供應網路,最終改進管理,加快原料和商品流通,提高資源利用率,並使供應品更合理地滿足消費者需求。
盡管工業4.0能帶來這些好處,但數字供應網路的互聯性增強將形成網路弱點。為了防止發生重大風險,應從設計到運營的每個階段,合理規劃並詳細說明網路弱點。
在數字化供應網路中共享數據的網路風險
隨著數字供應網路的發展,未來將出現根據購買者對可用供應品的需求,對原材料或商品進行實時動態定價的新型供應網路。5由於只有供應網路各參與方開放數據共享才可能形成一個響應迅速且靈活的網路,且很難在保證部分數據透明度的同時確保其他信息安全,因此形成新型供應網路並非易事。
因此,企業可能會設法避免信息被未授權網路用戶訪問。 此外,他們可能還需對所有支撐性流程實施統一的安全措施,如供應商驗收、信息共享和系統訪問。企業不僅對這些流程擁有專屬權利,它們也可以作為獲取其他內部信息的接入點。這也許會給第三方風險管理帶來更多壓力。在分析互聯數字供應網路的網路風險時,我們發現不斷提升的供應鏈互聯性對數據共享與供應商處理的影響最大(圖3)。
為了應對不斷增長的網路風險,我們將對上述兩大領域和應對戰略逐一展開討論。
數據共享:更多利益相關方將更多渠道獲得數據
企業將需要考慮什麼數據可以共享,如何保護私人所有或含有隱私風險的系統和基礎數據。比 如,數字供應網路中的某些供應商可能在其他領域互為競爭對手,因此不願意公開某些類型的數據,如定價或專利品信息。此外,供應商可能還須遵守某些限制共享信息類型的法律法規。因此,僅公開部分數據就可能讓不良企圖的人趁機獲得其他信息。
企業應當利用合適的技術,如網路分段和中介系統等,收集、保護和提供信息。此外,企業還應在未來生產的設備中應用可信的平台模塊或硬體安全模塊等技術,以提供強大的密碼邏輯支持、硬體授權和認證(即識別設備的未授權更改)。
將這種方法與強大的訪問控制措施結合,關鍵任務操作技術在應用點和端點的數據和流程安全將能得到保障。
在必須公開部分數據或數據非常敏感時,金融服務等其他行業能為信息保護提供範例。目前,企業紛紛開始對靜態和傳輸中的數據應用加密和標記等工具,以確保數據被截獲或系統受損情況下的通信安全。但隨著互聯性的逐步提升,金融服務企業意識到,不能僅從安全的角度解決數據隱私和保密性風險,而應結合數據管治等其他技術。事實上,企業應該對其所處環境實施風險評估,包括企業、數字供應網路、行業控制系統以及聯網產品等,並根據評估結果制定或更新網路風險戰略。總而言之,隨著互聯性的不斷增強,上述所有的方法都能找到應實施更高級預防措施的領域。
供應商處理:更廣闊市場中供應商驗收與付款
由於新夥伴的加入將使供應商體系變得更加復雜,核心供應商群體的擴張將可能擾亂當前的供應商驗收流程。因此,追蹤第三方驗收和風險的管治、風險與合規軟體需要更快、更自主地反應。此外,使用這些應用軟體的信息安全與風險管理團隊還需制定新的方針政策,確保不受虛假供應商、國際制裁的供應商以及不達標產品分銷商的影響。消費者市場有不少類似的經歷,易貝和亞馬遜就曾發生過假冒偽劣商品和虛假店面等事件。
區塊鏈技術已被認為能幫助解決上述擔憂並應對可能發生的付款流程變化。盡管比特幣是建立貨幣 歷史 記錄的經典案例,但其他企業仍在 探索 如何利用這個新工具來決定商品從生產線到各級購買者的流動。7創建團體共享 歷史 賬簿能建立信任和透明度,通過驗證商品真實性保護買方和賣方,追蹤商品物流狀態,並在處理退換貨時用詳細的產品分類替代批量分揀。如不能保證產品真實性,製造商可能會在引進產品前,進行產品測試和鑒定,以確保足夠的安全性。
信任是數據共享與供應商處理之間的關聯因素。企業從事信息或商品交易時,需要不斷更新其風險管理措施,確保真實性和安全性;加強監測能力和網路安全運營,保持警惕性;並在無法實施信任驗證時保護該等流程。
在這個過程中,數字供應網路成員可參考其他行業的網路風險管理方法。某些金融和能源企業所採用的自動交易模型與響應迅速且靈活的數字供應網路就有諸多相似之處。它包含具有競爭力的知識產權和企業賴以生存的重要資源,所有這些與數字供應網路一樣,一旦部署到雲端或與第三方建立聯系就容易遭到攻擊。金融服務行業已經意識到無論在內部或外部演算法都面臨著這樣的風險。因此,為了應對內部風險,包括顯性風險(企業間諜活動、蓄意破壞等)和意外風險(自滿、無知等),軟體編碼和內部威脅程序必須具備更高的安全性和警惕性。
事實上,警惕性對監測非常重要:由於製造商逐漸在數字供應網路以外的生產過程應用工業4.0技術,網路風險只會成倍增長。
智能生產時代的新型網路風險
隨著互聯性的不斷提高,數字供應網路將面臨新的風險,智能製造同樣也無法避免。不僅風險的數量和種類將增加,甚至還可能呈指數增長。不久前,美國國土安全部出版了《物聯網安全戰略原則》與《生命攸關的嵌入式系統安全原則》,強調應關注當下的問題,檢查製造商是否在生產過程中直接或間接地引入與生命攸關的嵌入式系統相關的風險。
「生命攸關的嵌入式系統」廣義上指幾乎所有的聯網設備,無論是車間自動化系統中的設備或是在第三方合約製造商遠程式控制制的設備,都應被視為風險——盡管有些設備幾乎與生產過程無關。
考慮到風險不斷增長,威脅面急劇擴張,工業4.0時代中的製造業必須徹底改變對安全的看法。
聯網生產帶來新型網路挑戰
隨著生產系統的互聯性越來越高,數字供應網路面臨的網路威脅不斷增長擴大。不難想像,不當或任意使用臨時生產線可能造成經濟損失、產品質量低下,甚至危及工人安全。此外,聯網工廠將難以承受倒閉或其他攻擊的後果。有證據表明,製造商仍未准備好應對其聯網智能系統可能引發的網路風險: 2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究發現,三分之一的製造商未對工廠車間使用的工業控制系統做過任何網路風險評估。
可以確定的是,自進入機械化生產時代,風險就一直伴隨著製造商,而且隨著技術的進步,網路風險不斷增強,物理威脅也越來越多。但工業4.0使網路風險實現了迄今為止最大的跨越。各階段的具體情況請參見圖4。
從運營的角度看,在保持高效率和實施資源控制時,工程師可在現代化的工業控制系統環境中部署無人站點。為此,他們使用了一系列聯網系統,如企業資源規劃、製造執行、監控和數據採集系統等。這些聯網系統能夠經常優化流程,使業務更加簡單高效。並且,隨著系統的不斷升級,系統的自動化程度和自主性也將不斷提高(圖5)。
從安全的角度看,鑒於工業控制系統中商業現貨產品的互聯性和使用率不斷提升,大量暴露點將可能遭到威脅。與一般的IT行業關注信息本身不同,工業控制系統安全更多關注工業流程。因此,與傳統網路風險一樣,智能工廠的主要目標是保證物理流程的可用性和完整性,而非信息的保密性。
但值得注意的是,盡管網路攻擊的基本要素未發生改變,但實施攻擊方式變得越來越先進(圖5)。事實上,由於工業4.0時代互聯性越來越高,並逐漸從數字化領域擴展到物理世界,網路攻擊將可能對生產、消費者、製造商以及產品本身產生更廣泛、更深遠的影響(圖6)。
結合信息技術與運營技術:
當數字化遇上實體製造商實施工業4.0 技術時必須考慮數字化流程和將受影響的機器和物品,我們通常稱之為信息技術與運營技術的結合。對於工業或製造流程中包含了信息技術與運營技術的公司,當我們探討推動重點運營和開發工作的因素時,可以確定多種戰略規劃、運營價值以及相應的網路安全措施(圖7)。
首先,製造商常受以下三項戰略規劃的影響:
健康 與安全: 員工和環境安全對任何站點都非常重要。隨著技術的發展,未來智能安全設備將實現升級。
生產與流程的韌性和效率: 任何時候保證連續生產都很重要。在實際工作中,一旦工廠停工就會損失金錢,但考慮到重建和重新開工所花費的時間,恢復關鍵流程可能將導致更大的損失。
檢測並主動解決問題: 企業品牌與聲譽在全球商業市場中扮演著越來越重要的角色。在實際工作中,工廠的故障或生產問題對企業聲譽影響很大,因此,應採取措施改善環境,保護企業的品牌與聲譽。
第二,企業需要在日常的商業活動中秉持不同的運營價值理念:
系統的可操作性、可靠性與完整性: 為了降低擁有權成本,減緩零部件更換速度,站點應當采購支持多個供應商和軟體版本的、可互操作的系統。
效率與成本規避: 站點始終承受著減少運營成本的壓力。未來,企業可能增加現貨設備投入,加強遠程站點診斷和工程建設的靈活性。
監管與合規: 不同的監管機構對工業控制系統環境的安全與網路安全要求不同。未來企業可能需要投入更多,以改變環境,確保流程的可靠性。
工業4.0時代,網路風險已不僅僅存在於供應網路和製造業,同樣也存在於產品本身。 由於產品的互聯程度越來越高——包括產品之間,甚至產品與製造商和供應網路之間,因此企業應該明白一旦售出產品,網路風險就不會終止。
風險觸及實體物品
預計到2020年,全球將部署超過200億台物聯網設備。15其中很多設備可能會被安裝在製造設備和生產線上,而其他的很多設備將有望進入B2B或B2C市場,供消費者購買使用。
2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究結果顯示,近一半的製造商在聯網產品中採用移動應用軟體,四分之三的製造商使用Wi-Fi網路在聯網產品間傳輸數據。16基於上述網路途徑的物聯通常會形成很多漏洞。物聯網設備製造商應思考如何將更強大、更安全的軟體開發方法應用到當前的物聯網開發中,以應對設備常常遇到的重大網路風險。
盡管這很有挑戰性,但事實證明,企業不能期望消費者自己會更新安全設置,採取有效的安全應對措施,更新設備端固件或更改默認設備密碼。
比如,2016年10月,一次由Mirai惡意軟體引發的物聯網分布式拒絕服務攻擊,表明攻擊者可以利用這些弱點成功實施攻擊。在這次攻擊中,病毒通過感染消費者端物聯網設備如聯網的相機和電視,將其變成僵屍網路,並不斷沖擊伺服器直至伺服器崩潰,最終導致美國最受歡迎的幾家網站癱瘓大半天。17研究者發現,受分布式拒絕服務攻擊損害的設備大多使用供應商提供的默認密碼,且未獲得所需的安全補丁或升級程序。18需要注意的是,部分供應商所提供的密碼被硬編碼進了設備固件中,且供應商未告知用戶如何更改密碼。
當前的工業生產設備常缺乏先進的安全技術和基礎設施,一旦外圍保護被突破,便難以檢測和應對此類攻擊。
風險與生產相伴而行
由於生產設施越來越多地與物聯網設備結合,因此,考慮這些設備對製造、生產以及企業網路所帶來的安全風險變得越來越重要。受損物聯網設備所產生的安全影響包括:生產停工、設備或設施受損如災難性的設備故障,以及極端情況下的人員傷亡。此外,潛在的金錢損失並不僅限於生產停工和事故整改,還可能包括罰款、訴訟費用以及品牌受損所導致的收入減少(可能持續數月甚至數年,遠遠超過事件實際持續的時間)。下文列出了目前確保聯網物品安全的一些方法,但隨著物品和相應風險的激增,這些方法可能還不夠。
傳統漏洞管理
漏洞管理程序可通過掃描和補丁修復有效減少漏洞,但通常仍有多個攻擊面。攻擊面可以是一個開放式的TCP/IP或UDP埠或一項無保護的技術,雖然目前未發現漏洞,但攻擊者以後也許能發現新的漏洞。
減少攻擊面
簡單來說,減少攻擊面即指減少或消除攻擊,可以從物聯網設備製造商設計、建造並部署只含基礎服務的固化設備時便開始著手。安全所有權不應只由物聯網設備製造商或用戶單獨所有;而應與二者同樣共享。
更新悖論
生產設施所面臨的另一個挑戰被稱為「更新悖論」。很多工業生產網路很少更新升級,因為對製造商來說,停工升級花費巨大。對於某些連續加工設施來說,關閉和停工都將導致昂貴的生產原材料發生損失。
很多聯網設備可能還將使用十年到二十年,這使得更新悖論愈加嚴重。認為設備無須應用任何軟體補丁就能在整個生命周期安全運轉的想法完全不切實際。20 對於生產和製造設施,在縮短停工時間的同時,使生產資產利用率達到最高至關重要。物聯網設備製造商有責任生產更加安全的固化物聯網設備,這些設備只能存在最小的攻擊表面,並應利用默認的「開放」或不安全的安全配置規劃最安全的設置。
製造設施中聯網設備所面臨的挑戰通常也適用基於物聯網的消費產品。智能系統更新換代很快,而且可能使消費型物品更容易遭受網路威脅。對於一件物品來說,威脅可能微不足道,但如果涉及大量的聯網設備,影響將不可小覷——Mirai病毒攻擊就是一個例子。在應對威脅的過程中,資產管理和技術戰略將比以往任何時候都更重要。
人才缺口
2016年德勤與美國生產力和創新製造商聯盟(MAPI)的研究表明,75%的受訪高管認為他們缺少能夠有效實施並維持安全聯網生產生態圈的技能型人才資源。21隨著攻擊的復雜性和先進程度不斷提升,將越來越難找到高技能的網路安全人才,來設計和實施具備安全性、警覺性和韌性的網路安全解決方案。
網路威脅不斷變化,技術復雜性越來越高。搭載零日攻擊的先進惡意軟體能夠自動找到易受攻擊的設備,並在幾乎無人為參與的情況下進行擴散,並可能擊敗已遭受攻擊的信息技術/運營技術安全人員。這一趨勢令人感到不安,物聯網設備製造商需要生產更加安全的固化設備。
多管齊下,保護設備
在工業應用中,承擔一些非常重要和敏感任務——包括控制發電與電力配送,水凈化、化學品生產和提純、製造以及自動裝配生產線——的物聯網設備通常最容易遭受網路攻擊。由於生產設施不斷減少人為干預,因此僅在網關或網路邊界採取保護措施的做法已經沒有用(圖8)。
從設計流程開始考慮網路安全
製造商也許會覺得越來越有責任部署固化的、接近軍用級別的聯網設備。很多物聯網設備製造商已經表示他們需要採用包含了規劃和設計的安全編碼方法,並在整個硬體和軟體開發生命周期內採用領先的網路安全措施。22這個安全軟體開發生命周期在整個開發過程中添加了安全網關(用於評估安全控制措施是否有效),採用領先的安全措施,並用安全的軟體代碼和軟體庫生產具備一定功能的安全設備。通過利用安全軟體開發生命周期的安全措施,很多物聯網產品安全評估所發現的漏洞能夠在設計過程中得到解決。但如果可能的話,在傳統開發生命周期結束時應用安全修補程序通常會更加費力費錢。
從聯網設備端保護數據
物聯網設備所產生的大量信息對工業4.0製造商非常重要。基於工業4.0的技術如高級分析和機器學習能夠處理和分析這些信息,並根據計算分析結果實時或近乎實時地做出關鍵決策。這些敏感信息並不僅限於感測器與流程信息,還包括製造商的知識產權或者與隱私條例相關的數據。事實上,德勤與美國生產力和創新製造商聯盟(MAPI)的調研發現,近70%的製造商使用聯網產品傳輸個人信息,但近55%的製造商會對傳輸的信息加密。
生產固化設備需要採取可靠的安全措施,在整個數據生命周期間,敏感數據的安全同樣也需要得到保護。因此,物聯網設備製造商需要制定保護方案:不僅要安全地存放所有設備、本地以及雲端存儲的數據,還需要快速識別並報告任何可能危害這些數據安全的情況或活動。
保護雲端數據存儲和動態數據通常需要採用增強式加密、人工智慧和機器學習解決方案,以形成強大的、響應迅速的威脅情報、入侵檢測以及入侵防護解決方案。
隨著越來越多的物聯網設備實現聯網,潛在威脅面以及受損設備所面臨的風險都將增多。現在這些攻擊面可能還不足以形成嚴重的漏洞,但僅數月或數年後就能輕易形成漏洞。因此,設備聯網時必須使用補丁。確保設備安全的責任不應僅由消費者或聯網設備部署方承擔,而應由最適合實施最有效安全措施的設備製造商共同分擔。
應用人工智慧檢測威脅
2016年8月,美國國防高級研究計劃局舉辦了一場網路超級挑戰賽,最終排名靠前的七支隊伍在這場「全機器」的黑客競賽中提交了各自的人工智慧平台。網路超級挑戰賽發起於2013年,旨在找到一種能夠掃描網路、識別軟體漏洞並在無人為干預的情況下應用補丁的、人工智慧網路安全平台或技術。美國國防高級研究計劃局希望藉助人工智慧平台大大縮短人類以實時或接近實時的方式識別漏洞、開發軟體安全補丁所用的時間,從而減少網路攻擊風險。
真正意義上警覺的威脅檢測能力可能需要運用人工智慧的力量進行大海撈針。在物聯網設備產生海量數據的過程中,當前基於特徵的威脅檢測技術可能會因為重新收集數據流和實施狀態封包檢查而被迫達到極限。盡管這些基於特徵的檢測技術能夠應對流量不斷攀升,但其檢測特徵資料庫活動的能力仍舊有限。
在工業4.0時代,結合減少攻擊面、安全軟體開發生命周期、數據保護、安全和固化設備的硬體與固件以及機器學習,並藉助人工智慧實時響應威脅,對以具備安全性、警惕性和韌性的方式開發設備至關重要。如果不能應對安全風險,如「震網」和Mirai惡意程序的漏洞攻擊,也不能生產固化、安全的物聯網設備,則可能導致一種不好的狀況:關鍵基礎設施和製造業將經常遭受嚴重攻擊。
攻擊不可避免時,保持韌性
恰當利用固化程度很高的目標設備的安全性和警惕性,能夠有效震懾絕大部分攻擊者。然而,值得注意的是,雖然企業可以減少網路攻擊風險,但沒有一家企業能夠完全避免網路攻擊。保持韌性的前提是,接受某一天企業將遭受網路攻擊這一事實,而後謹慎行事。
韌性的培養過程包含三個階段:准備、響應、恢復。
准備。企業應當准備好有效應對各方面事故,明確定義角色、職責與行為。審慎的准備如危機模擬、事故演練和戰爭演習,能夠幫助企業了解差異,並在真實事故發生時採取有效的補救措施。
響應。應仔細規劃並對全公司有效告知管理層的響應措施。實施效果不佳的響應方案將擴大事件的影響、延長停產時間、減少收入並損害企業聲譽。這些影響所持續的時間將遠遠長於事故實際持續的時間。
恢復。企業應當認真規劃並實施恢復正常運營和限制企業遭受影響所需的措施。應將從事後分析中汲取到的教訓用於制定之後的事件響應計劃。具備韌性的企業應在迅速恢復運營和安全的同時將事故影響降至最低。在准備應對攻擊,了解遭受攻擊時的應對之策並快速消除攻擊的影響時,企業應全力應對、仔細規劃、充分執行。
推動網路公司發展至今日的比特(0和1)讓製造業的整個價值鏈經歷了從供應網路到智能工廠再到聯網物品的巨大轉變。隨著聯網技術應用的不斷普及,網路風險可能增加並發生改變,也有可能在價值鏈的不同階段和每一家企業有不同的表現。每家企業應以最能滿足其需求的方式適應工業生態圈。
企業不能只用一種簡單的解決方法或產品或補丁解決工業4.0所帶來的網路風險和威脅。如今,聯網技術為關鍵商業流程提供支持,但隨著這些流程的關聯性提高,可能會更容易出現漏洞。因此,企業需要重新思考其業務連續性、災難恢復力和響應計劃,以適應愈加復雜和普遍的網路環境。
法規和行業標准常常是被動的,「合規」通常表示最低安全要求。企業面臨著一個特別的挑戰——當前所採用的技術並不能完全保證安全,因為干擾者只需找出一個最薄弱的點便能成功入侵企業系統。這項挑戰可能還會升級:不斷提高的互聯性和收集處理實時分析將引入大量需要保護的聯網設備和數據。
企業需要採用具備安全性、警惕性和韌性的方法,了解風險,消除威脅:
安全性。採取審慎的、基於風險的方法,明確什麼是安全的信息以及如何確保信息安全。貴公司的知識產權是否安全?貴公司的供應鏈或工業控制系統環境是否容易遭到攻擊?
警惕性。持續監控系統、網路、設備、人員和環境,發現可能存在的威脅。需要利用實時威脅情報和人工智慧,了解危險行為,並快速識別引進的大量聯網設備所帶來的威脅。
韌性。隨時都可能發生事故。貴公司將會如何應對?多久能恢復正常運營?貴公司將如何快速消除事故影響?
由於企業越來越重視工業4.0所帶來的商業價值,企業將比以往任何時候更需要提出具備安全性、警惕性和韌性的網路風險解決方案。
報告出品方:德勤中國
獲取本報告pdf版請登錄【遠瞻智庫官網】或點擊鏈接:「鏈接」
❺ 如何構建工業互聯網安全體系
2018年中國工業互聯網行業分析:萬億級市場規模,五大建議構建安全保障體系
工業互聯網安全問題日益凸現
工業互聯網無疑是這個寒冬中最熱的產業經濟話題。「BAT們」視之為「互聯網的下半場」,正在競相「+工業」「+製造業」而工業企業、製造業企業們也在積極「+互聯網」,希望藉助互聯網的科技力量,為工業、製造業的發展配備上全新引擎,從而打造「新工業」。
不難看出,工業互聯網正面臨著一個重要的高速發展期,預計至2020年將達萬億元規模。但與此同時,工業互聯網所面臨的安全問題日益凸現。在設備、控制、網路、平台、數據等工業互聯網主要環節,仍然存在傳統的安全防護技術不能適應當前的網路安全新形勢、安全人才不足等諸多問題。
工業互聯網萬億級市場模引發安全隱患
據前瞻產業研究院發布的《中國工業互聯網產業發展前景預測與投資戰略規劃分析報告》統計數據顯示,2017年中國工業互聯網直接產業規模約為5700億元,預計2017年到2019年,產業規模將以18%的年均增速高速增長,到2020年將達到萬億元規模。隨著國家出台相關工業互聯網利好政策,中國工業互聯網行業發展增速加快,截止到2018年3月,中國工業互聯網平台數量超250家。世界各國正加速布局工業互聯網,圍繞工業互聯網發展的國際競爭日趨激烈。
預計2020年我國工業互聯網產業規模將達到萬億元
數據來源:公開資料、前瞻產業研究院整理
一方面,加快工業互聯網發展是製造業轉型升級的必然要求;另一方面,工業互聯網是構築現代化經濟體系的必然趨勢。
工業互聯網是深化「互聯網+先進製造業」的重要基石,也是發展數字經濟的新動力。發展工業互聯網,實現互聯網與製造業深度融合,將催生更多新業態、新產業、新模式,創造更多新興經濟增長點。
伴隨著工業互聯網的發展,越來越多的工業控制系統及設備與互聯網連接,網路空間邊界和功能極大擴展,以及開放、互聯、跨域的製造環境,使得工業互聯網安全問題日益凸顯:
1、網路攻擊威脅向工業互聯網領域滲透。近年來,工業控制系統漏洞呈快速增長趨勢,相關數據顯示,2017年新增信息安全漏洞4798個,其中工控系統新增漏洞數351個,相比2016年同期,新增數量幾乎翻番,漏洞數量之大,使整個工業系統的生產網路面臨巨大安全威脅。
2、新技術的運用帶來新的安全威脅。大數據、雲計算、人工智慧、移動互聯網等新一代信息技術本身存在一定的安全問題,導致工業互聯網安全風險多樣化。
3、工業互聯網安全保障能力薄弱。目前,傳統的安全保障技術不足以解決工業互聯網的安全問題,同時,針對工業互聯網的安全防護資金投入較少,相應安全管理制度缺乏,責任體系不明確等,難以為工業互聯網安全提供有力支撐。
如何構建工業互聯網安全體系?
那麼,如何鑄造工業互聯網的安全基石,加快構建可信的工業互聯網安全保障體系呢?
1、突破關鍵核心技術。要緊跟工業互聯網最新發展趨勢,努力引領前沿技術和顛覆性技術發展。
2、推動工業互聯網安全技術標准落地實施。全面推廣技術合規性檢測,促進工業互聯網產業良性發展。
3、完善監管和評測體系。
4、切實推進工業互聯網安全技術發展。加強全生命周期安全管理,構建覆蓋系統建設各環節的安全防護體系。
5、聯合行業力量打造工業互聯網安全生態。
在工業互聯網的安全防護能力建議:
1、頂層設計:出台系列文件,形成頂層設計;
2、標准引導:構建工業互聯網安全標准體系框架,推進重點領域安全標準的研製;
3、技術保障:夯實基礎,強化技術實力;
4、系統布局:依託聯盟,打造產業促進平台;
5、產業應用:加強產業推進,推廣安全最佳實踐。
近年來,中國也陸續出台了《關於深化「互聯網+先進製造業」發展工業互聯網的指導意見》、《工業互聯網發展行動計劃(2018-2020年)》等文件,明確提出工業互聯網安全工作內容,從制度建立、標准研製、安全防護、數據保護、手段建設、安全產業發展、人員培養等方面,要求建立涵蓋設備安全、控制安全、網路安全、平台安全、數據安全的工業互聯網多層次安全保障體系。
在國家政策以及業界的一致努力下,相信我國工業互聯網在取得快速發展的同時在安全層面的保障也會更上一層樓。
❻ 怎麼才能保護企業內網安全
1、注意內網安全與網路邊界安全的不同
內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時 建立並加強內網防範策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別,即只需賦予他們所需要的訪問許可權級別即可,如訪問郵件服 務器或其他可選擇的網路資源的許可權。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆,保護MS-SQL,但是Slammer蠕蟲仍能侵入 內網,這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此,既然不能控制合作者的網路安全策略和活動,那麼就應該為每一個合作企業創建一個 DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革,極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更,因此,安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之,要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網路伺服器
大型企業網可能同時支持四到五個伺服器傳送e-mail,有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的,關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台 (例如30000台)機子,那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣,首先要對服 務器做效益分析評估,然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產,並做好在內網的定位和許可權限制工作。
7、建立可靠的無線訪問
審查網路,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網路訪問的強制性和可利用性,並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外,並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問
對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略,使得員工給客戶一些非法的訪問許可權,導致了內網實時跟蹤的困難。因此,須在邊界防火牆之外建立過客訪問網路塊。
9、創建虛擬邊界防護
主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣,如果一個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護,現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。
10、可靠的安全決策
網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理網關和分組過濾防火牆之間的不同等等,但是他們作為公司的合作 者,也是網路的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能引導他們自動的響應網路安全策略。
另外,在技術上,採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。