智能制造 + 互联网时代面临的安全挑战,概括来说,八方面的具体挑战如下:
1、设备层安全挑战。智能制造领域网络中伺服驱动器、智能IO、智能传感器、仪表、智能产品的安全挑战,包括:所用芯片安全、嵌入式操作系统安全、编码规范安全、第三方应用软件安全以及功能安全等,这些设备均可能存在漏洞、缺陷、规范使用、后门等安全挑战;目前,在制造领域并未对以上问题开展深入研究。如:西门子漏洞CVE-2016-5849等。
2、控制层安全挑战。主要来自各类机床数控系统、PLC、运动控制器、所使用的控制协议、控制平台、控制软件等方面,其在设计之初可能未考虑完整性、身份校验等安全需求,存在输入验证,许可、授权与访问控制不严格,不当身份验证,配置维护不足,凭证管理不严,加密算法过时等安全挑战。例如:国产数控系统所采用的操作系统可能是基于某一版本Linux进行裁剪的,所使用的内核、文件系统、对外提供服务、一旦稳定均不再修改,可能持续使用多年,有的甚至超过十年,而这些内核、文件系统、服务多年所爆出的漏洞并未得到更新,安全隐患长期保留。如:西门子漏洞CVE-2017-2685、三菱PLC漏洞CNVD-2016-06361等。
3、网络层安全挑战。主要来自三方面:各类数控系统、PLC、应用服务器通过有线网络或无线网络连接,形成工业网络,工业网络与办公网络连接形成企业内部网络,企业内部网络与外面的云平台连接、第三方供应链连接、客户的网络连接。主要安全挑战包括:网络数据传递过程的常见网络威胁(如:拒绝服务、中间人攻击等),网络传输链路上的硬件和软件安全(如:软件漏洞、配置不合理等),无线网络技术使用带来的网络防护边界模糊等。如:三菱网络模块漏洞CNVD-2016-06360。西门子网络服务器漏洞CNVD-2012-7944等。
4、应用层安全挑战,指支撑工业互联网业务运行的应用软件及平台的安全,如:德马吉森精机(DMG MORI)的CELOS系统所整合的ERP(企业资源计划)/PPS(生产计划与控制系统)/PDM(产品数据管理)/MES制造执行系统和CAD/CAM软件和控制系统等。智能制造领域应用软件,与常见商用软件的类似,将持续面临病毒、木马、漏洞等传统安全挑战;如:Ge fanuc漏洞CVE-2008-0175和CVE-2008-0176,西门子上位机漏洞CNVD-2016-11465等。
5、工业云安全挑战,从这次CIMT上可以看到,国内各大机床厂商、数控系统厂商正在建立或即将建立的云平台及服务,这些云平台及服务也面临着虚拟化中常见的违规接入、内部入侵、多租户风险、跳板入侵、内部外联、社工攻击等内外部安全挑战。
6、数据层安全挑战,是指智能制造工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题,不管数据是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上,海量数据都将面临数据丢失、泄露、篡改等安全威胁。
7、人员管理的挑战,随着智能制造的网络化和数字化发展,工业与IT的高度融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为,可能破坏工业系统、传播恶意软件、忽略工作异常等,因为网络的广泛使用,这些挑战的影响将会急剧放大;而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。因此,在智能制造+互联网中,人员管理的也面临巨大安全挑战。
8、高级持续性威胁(APT),智能制造领域中的APT是以上6个方面各种挑战组合,是最难应对、后果最严重的威胁。攻击者目标可能是偷取重点智能制造企业的产品设计资料、产品应用数据等,也可能是在关键时刻让智能制造企业生产停止、良品率下降、服务不及时等给企业造成直接损失,攻击者精心策划、为了达成既定目标,长期持续的进行攻击,其攻击过程包括收集各类信息收集、入侵技术准备、渗透准备、入侵攻击、长期潜伏和等待、 渗透、痕迹消除等一系列精密攻击环节。如:360APT报告:摩诃草组织。
如何应对?协同联动建立联合防御体系!
e-works通过调查多家企业和厂商,发现智能制造企业、集成商、用户等,在推进智能制造+互联网过程中,面临的各项安全挑战几乎没有考虑,对安全的认识还停留在“我们不连接外网,会有什么问题呢?网络攻击根本进不来!”的阶段,工业安全在国内智能化厂商的考虑重点中几乎缺位。针对这个以上8类挑战,e-works建议智能制造企业、集成商、用户等可以从以下方面进行应对。
1、落实国家对工业安全的相关政策、指南、标准
针对工业系统信息安全的问题,国家先后出台了《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号)、《工业控制系统信息安全防护指南》等相关文件,对工业系统连接管理、组网管理、配置管理、设备选择和升级、数据管理、应急管理做出了相应要求,对工业控制系统设计、选型、建设、测试、运行、检修、废弃各阶段防护工作要求;《工业控制系统信息安全防护指南》从安全软件选型、访问控制策略构建、数据安全保护、资产配置管理等方面提出了具体实施细则,从安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任等给出了指导意见。智能装备制造商、应用企业可以参考相关内容,做好必要的安全防护、安全管理和安全意识培训。
2、构建持续检测响应能力
假定智能制造系统无法阻止被攻破,也就是无法防护住,改变思路,在产品和解决方案设计中,增加攻破的发现能力,缩短攻击发现的时间,将攻破后的进行应急响应的思路,改变为持续的监测和响应,不断加强监测和威胁发现的能力,提升响应的速度。
3、应用数据驱动安全的理念
目前国际上公认解决网络安全攻防不对称的方法之一,是数据驱动安全,2015中国互联网安全大会(ISC2015)大会就提出要进行态势的感知,进行威胁情报的共享和攻击溯源。
对于智能制造来说,对某一行业中某一家企业的攻击,如果被发现,攻击方法和攻击目标被辨析,可以结合全网的安全大数据和企业自身的安全数据进行分析,形成有效的威胁情报,提供给整个行业的企业,提供行业防御的效果。
4、建立企业安全运营中心
根据Gartner的预测,工业企业建立的安全运维中心已成为一种趋势,预计到2020年将有40%的企业将建立安全运营中心,该中心将建立企业的安全数据仓库,对于APT攻击,一个最大的挑战之一是如何发现攻击,应用数据驱动安全的理念。工业大数据进行工业生产故障的预防性维护,找出生产环节的异常,已经成为目前工业大数据的主要应用方向之一。智能制造企业和用户对工业生产设备损坏或衰退的预测与发现,生产流程停机的预测与发现,其实就是一种工业生产的异常,而工业网络受到攻击也可以产生类似异常;安全运营中心可以记录工业互联网企业持续监测的安全信息,但这些信息堆积在仓库里,如同“一团乱麻”,解开乱麻,需要找到一个线头,因此,可利用工业大数据发现工业生产异常的能力,为安全大数据的分析提供触发条件或关键线索,这将成为数据驱动安全的最值得实践的方法之一。
另外利用安全大数据进行智能制造系统中的用户和实体行为分析(UEBA),对用户的行为和设备的行为用大数据的方法建立一个基线,偏离基线太多的时候也会出现异常,也成为安全大数据重要应用手段之一。
5、构建产业协同的联合防御体系
我国目前暴露在公网的工业设备,超过2000台,美国在公网的工业设备达到数万台,包括:PLC、数控系统以及相关工业应用系统等,随着我国智能制造的发展,未来我国将与美国类似,将有大量的工业设备暴露在公网上,任何一个企业由于在人才、设备、数据、情报方面的限制,单独进行防御将存在巨大困难,未来工业互联网企业、工业互联网企业设备提供商、安全服务商、监管机构将建立协同机制,共同应对智能制造+互联网安全来自工业、互联网、信息安全的跨领域、跨行业的挑战。网络安全的能力,将变成一种可定制的服务,智能制造企业和用户的依据自己的威胁、成本、人才、运行阶段按需使用。
智能制造领域,通过高档数控机床及基础制造装备通过网络与工业软件、商业软件、工程师、供应商、客户高效互联,向着智能化、高效化、专业化、网络化方向发展;企业外部的商业网络与企业内部办公网络、工业网络的边界被联通,工业企业将面临设备、网络、控制、应用、云、数据、人员等多方面安全挑战。
综上,机床制造企业、数控系统厂商、先进制造集成商在进行智能化、网络化、数字化产品和解决方案设计时,工业安全必须同步考虑;智能制造用户在采购智能化产品、建设网络化、智能化先进制造系统的,为保证自己的生产安全、数据安全,应同时要求供应商提供在工业安全方面的防护措施,并加强企业员工的安全意识。在智能制造+互联网的背景下,工业安全不容缺位。
e-works数字化企业网拥有70多万会员,其中包括6万多家制造企业的信息化主管领导和CIO。e-works网站拥有海量的制造业信息化知识库和丰富的原创栏目,日均访问量达10万人次以上,是国内外主流信息化厂商面向制造业首选的市场推广平台。SAP、IBM、华为、三星等近千家国内外主流IT厂商与e-works建立了市场推广合作。e-works系列微信号的订阅人数已超过32万人,是智能制造领域最具影响力的移动社交媒体。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。