工业互联网安全框架.docx
- 文档编号:11954847
- 上传时间:2023-06-03
- 格式:DOCX
- 页数:35
- 大小:647.57KB
工业互联网安全框架.docx
《工业互联网安全框架.docx》由会员分享,可在线阅读,更多相关《工业互联网安全框架.docx(35页珍藏版)》请在冰点文库上搜索。
工业互联网安全框架
工业互联网安全框架
前言
2017年11月,国务院印发了《关于深化“互联网+先进制造业”发展工业互联网的指导意见》,标志着我国工业互联网顶层设计正式出台,对于我国工业互联网发展具有重要意义。
安全是工业互联网发展的前提和保障,只有构建覆盖工业互联网各防护对象、全产业链的安全体系,完善满足工业需求的安全技术能力和相应管理机制,才能有效识别和抵御安全威胁,化解安全风险,进而确保工业互联网健康有序发展。
工业互联网安全框架是构建工业互联网安全保障体系的重要指南,是业界专家在工业互联网安全防护方面达成的共识,旨在为工业互联网相关企业应对日益增长的安全威胁、部署安全防护措施提供指导,提升工业互联网整体安全防护能力。
一、工业互联网安全概述
(一)工业互联网概念内涵
工业互联网是满足工业智能化发展需求,具有低时延、高可靠、广覆盖特点的关键网络基础设施,是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。
工业互联网深刻变革传统工业的创新、生产、管理、服务方式,催生新技术、新模式、新业态、新产业,正成为繁荣数字经济的新基石、创新网络国际治理的新途径和统筹两个强国建设的新引擎。
工业互联网包括网络、平台、安全三大体系。
其中,网络体系是基础。
工业互联网将连接对象延伸到工业全系统、全产业链、全价值链,可实现人、物品、机器、车间、企业等全要素,以及设计、研发、生产、管理、服务等各环节的泛在深度互联。
平台体系是核心。
工业互联网平台作为工业智能化发展的核心载体,实现海量异构数据汇聚与建模分析、工业制造能力标准化与服务化、工业经验知识软件化与模块化、以及各类创新应用开发与运行,支撑生产智能决策、业务模式创新、资源优化配置和产业生态培育。
安全体系是保障。
建设满足工业需求的安全技术体系和管理体系,增强设备、网络、控制、应用和数据的安全保障能力,识别和抵御
安全威胁,化解各种安全风险,构建工业智能化发展的安全
可信环境。
(二)工业互联网安全框架内容与范围
工业领域的安全一般分为三类,信息安全(Security)、功能安全(FunctionalSafety)和物理安全(PhysicalSafety)。
传统工业控制系统安全最初多关注功能安全与物理安全,即防止工业安全相关系统或设备的功能失效,当失效或故障发生时,保证工业设备或系统仍能保持安全条件或进入到安全状态。
近年来,随着工业控制系统信息化程度的不断加深,针对工业控制系统的信息安全问题不断凸显,业界对信息安全的重视程度逐步提高。
与传统的工控系统安全和互联网安全相比,工业互联网的安全挑战更为艰巨:
一方面,工业互联网安全打破了以往相对明晰的责任边界,其范围、复杂度、风险度产生的影响要大得多,其中工业互联网平台安全、数据安全、联网智能设备安全等问题越发突出;另一方面,工业互联网安全工作需要从制度建设、国家能力、产业支持等更全局的视野来统筹安排,目前很多企业还没有意识到安全部署的必要性与紧迫性,安全管理与风险防范控制工作亟需加强。
因此,工业互联网安全框架需要统筹考虑信息安全、功能安全与物理安全,聚焦信息安全,主要解决工业互联网面
临的网络攻击等新型风险,并考虑其信息安全防护措施的部
署可能对功能安全和物理安全带来的影响。
由于物理安全相关防护措施较为通用,故在本框架中不作重要考虑,主要对工业互联网的信息安全与功能安全进行讨论。
二、相关网络安全框架分析
(一)传统网络安全框架
1、OSI安全体系结构
OSI安全体系结构是国际标准化组织(ISO)在对OSI开放系统互联环境的安全性深入研究的基础上提出的。
它定义了为保证OSI参考模型的安全应具备5类安全服务,包括鉴别服务、访问控制、数据完整性、数据保密性和不可抵赖性,以及为实现这5类安全服务所应具备的8种安全机制,包括加密、数字签名、访问控制、数据完整性、鉴别交换、业务流填充、路由控制以及公证。
OSI安全体系结构如图1所示,安全体系结构中的5类安全服务及8种安全机制可根据所防护网络的具体要求适当地配置于OSI参考模型的7个层次中。
图1OSI安全体系结构
OSI安全体系结构针对OSI参考模型中层次的不同,部署不同的安全服务与安全机制,体现出分层防护的思想,具有很好的灵活性。
然而,OSI安全体系结构专注于网络通信系统,其应用范围具有一定的局限性。
同时,OSI安全体系结构实现的是对网络的静态安全防护,而网络的安全防护具有动态性,该体系结构对于持续变化的内外部安全威胁缺乏足够的监测与应对能力。
此外,OSI安全体系结构主要从技术层面出发对网络的安全防护问题进行讨论,未考虑管理在安全防护中的地位和作用。
面对更复杂更全面的安全保障要求,仅依靠OSI安全体系结构是远远不够的。
2、P2DR模型
P2DR(PolicyProtectionDetectionResponse)模型是美国ISS公司提出的动态网络安全体系模型。
P2DR模型建立在基于时间的安全理论基础之上,将网络安全的实施分为防护、
检测和响应三个阶段。
在整体安全策略的指导下部署安全防
护措施,实时检测网络中出现的风险,对风险及时进行处置,并对处置过程中的经验进行总结以便对防护措施进行调整和完善。
这使得防护、检测和响应组成了如图2所示的动态安全循环,从而保证网络的安全。
图2P2DR模型
P2DR模型是一种基于闭环控制的动态安全模型,适用于需要长期持续安全防护的网络系统。
从总体上来讲,该模型与OSI安全体系结构一样,都局限于从技术上考虑网络的安全问题,忽视了管理对于安全防护的重要性,在模型的具体实施过程中极有可能因安全策略执行的不当影响安全防护效果。
3、信息保障技术框架
IATF(InformationAssuranceTechnicalFramework,信息保障技术框架)是美国国家安全局于1998年提出的,该框架
提出保障信息系统安全应具备的三个核心要素,即人、技术
和操作。
其中,人这一要素包括保障人身安全、对人员进行培训、制定安全管理制度等,强调了人作为防护措施的具体实施者在安全防护中的重要地位。
技术这一要素强调要在正确的安全策略指导下采取措施来为信息系统提供安全保障服务并对入侵行为进行检测。
操作这一要素则明确了要保证信息系统的日常安全应采取的具体防护手段。
此外,该框架将网络系统的安全防护分为网络和基础设施防御、网络边界防御、局域计算环境防御和支撑性基础设施防御四部分。
在每个部分中IATF都描述了其特有的安全需求和相应的可供选择的技术措施,为更好地理解网络安全的不同方面、分析网络系统的安全需求以及选取恰当的安全防御机制提供了依据。
IATF的具体内容如图3所示。
图3信息保障技术框架
IATF通过对上述四个部分分别部署安全保障机制,形成
对网络系统的纵深防御,从而降低安全风险,保障网络系统
的安全性。
但IATF与OSI安全体系结构一样,实现的都是对网络系统的静态安全防护,并未对网络系统部署动态持续的安全防护措施。
4、IEC62443
IEC62443是国际电工委员会工业过程测量、控制与自动化/网络与系统信息安全工作组(IEC/TC65/WG10)与国际自动化协会(ISA99)共同制定的工业控制系统安全防护系列标准。
该标准将工业控制系统按照控制和管理的等级划分成相对封闭的区域,区域之间的数据通讯通过管道进行,通过在管道上安装信息安全管理设备来实现分级保护,进而实现如图4所示的控制系统的网络安全纵深防御。
图4IEC62443实施案例
IEC62443系列标准中对于安全技术与安全管理的实施均提出了要求,但从总体上来看,与OSI安全体系结构和IATF一样,实现的都是静态安全防护。
而工业互联网的安全
防护是一个动态过程,需要根据外部环境的变化不断进行调
整。
在工业互联网安全框架的设计中,需要将动态防护的理念纳入其中。
(二)工业互联网安全框架
1、美国工业互联网联盟(IIC)的IISF
2016年9月19日,美国工业互联网联盟(IIC)正式发布工业互联网安全框架(IISF)1.0版本,拟通过该框架的发布为工业互联网安全研究与实施提供理论指导。
IISF的实现主要从功能视角出发,定义了如图5所示的六个功能,即端点保护、通信&连接保护、安全监测&分析、安全配置管理、数据保护以及安全模型&策略,并将这六个功能分为三个层次。
其中顶层包括端点保护、通信&连接保护、安全监测&分析以及安全配置管理四个功能,为工业互联网中的终端设备及设备之间的通信提供保护,对用于这些设备与通信的安全防护机制进行配置,并监测工业互联网运行过程中出现的安全风险。
在四个功能之下是一个通用的数据保护层,对这四个功能中产生的数据提供保护。
在最下层是覆盖整个工业互联网的安全模型与策略,它将上述五个功能紧密结合起来,实现端到端的安全防护。
图5美国工业互联网安全实施框架
总的来看,美国IISF聚焦于IT安全,侧重于安全实施,明确了具体的安全措施,对于工业互联网安全框架的设计具有很好的借鉴意义。
2、德国工业4.0安全框架
德国工业4.0注重安全实施,由网络安全组牵头出版了
《工业4.0安全指南》、《跨企业安全通信》、《安全身份标识》等一系列指导性文件,指导企业加强安全防护。
德国虽然从多个角度对安全提出了要求,但是并未形成成熟的安全体系框架。
但安全作为新的商业模式的推动者,在工业4.0参考架构(RAMI4.0)中起到了承载和连接所有结构元素的骨架作用。
德国RAMI4.0从CPS功能视角、全生命周期价值链视角和全层级工业系统视角三个视角构建了如图6所示的工业4.0参考架构。
从CPS功能视角看,安全应用于所有不同层次,因此安全风险必须做整体考虑;从全生命周期价值链视
角看,对象的所有者必须考虑全生命周期的安全性;从全层
级工业系统视角看,需要对所有资产进行安全风险分析,并对资产所有者提供实时保护措施。
图6工业4.0参考架构(RAMI4.0)
德国RAMI4.0采用了分层的基本安全管理思路,侧重于防护对象的管理。
在工业互联网安全框架的设计过程中可借鉴这一思路,并且从实施的角度将管理与技术相结合,更好地指导工业互联网企业部署安全实施。
(三)相关框架共性分析及经验借鉴
通过对以上相关网络安全框架的分析,总结出以下三方面的共性特征,在工业互联网安全框架的设计中值得思考并充分借鉴。
1、分类别部署安全防护措施上述相关网络安全框架中大多都体现出分类别部署安
全防护措施的思想。
例如在OSI安全体系结构中根据网络层
次的不同部署相应的安全防护措施,IATF、IEC62443通过划分不同的功能域来部署相应的安全防护措施,美国IISF与德国工业4.0框架中则根据资产类型的不同分别阐述其安全防护措施。
工业互联网安全框架在设计时可根据防护对象的不同部署针对性的安全防护措施,更好地发挥安全防护措施的防护效果。
2.构建动态安全模型成为主流
P2DR模型、美国IISF及德国工业4.0框架中均强调对安全风险进行持续的监测与响应,充分说明相对安全观已成为目前安全界的共识。
为应对不断变化的安全风险,工业互联网安全框架的设计需将动态与持续性安全防护纳入其中。
3.技术手段与管理手段相结合
IATF、IEC62443、美国IISF及德国工业4.0框架等在设计过程中均强调了技术手段与管理手段相结合的重要性。
设计工业互联网安全框架时,需充分借鉴技管相结合的思路,双重保障,从而更好地帮助工业互联网相关企业提升安全防护能力。
三、工业互联网安全框架设计
(一)设计思路
本工业互联网安全框架是在充分借鉴传统网络安全框架和国外相关工业互联网安全框架的基础上,并结合我国工业互联网的特点提出的,旨在指导工业互联网相关企业开展安全防护体系建设,提升安全防护能力。
对于工业互联网安全框架的构建,可以从以下三方面进行阐述:
第一,明确安全防护对象是前提。
安全防护对象的确定是一个根本问题,是明确工业互联网安全防护工作范畴的基础,并为防护工作的实施指明方向。
在传统网络安全框架与国外相关工业互联网安全框架中,都明确界定了防护对象。
2016年8月工业互联网产业联盟(AII)发布的《工业互联网体系架构(版本1.0)》中的安全体系部分也从防护对象角度提出了工业互联网安全的五大重点方向,即设备安全、控制安全、网络安全、应用安全和数据安全。
因此本框架充分借鉴这一思路,将设备、控制、网络、应用、数据作为工业互联网安全防护的研究对象。
第二,部署安全防护措施是关键。
工业互联网安全框架的实施离不开安全防护措施的部署。
在诸多传统网络安全框架中都将安全防护措施作为框架的重要组成部分。
OSI安全框架中阐述的安全服务与安全机制即是针对不同防护对象
部署了相应的防护措施。
在P2DR等安全模型中引入了动态
安全的理念,除了部署静态的安全防护措施外,还增加了监测响应、处置恢复等环节,形成了动态、闭环的安全防护部署机制。
设计工业互联网安全框架的过程中,需要结合工业互联网安全防护的特殊要求,采取静态防护与动态防护措施相结合的方式,及时发现并加以有效处置安全事件。
第三,落实安全防护管理是重要保障。
在网络安全防护领域有“三分技术、七分管理”的传统。
传统网络安全框架IATF、IEC62443等均强调了管理对于网络安全防护的重要性。
国外工业互联网安全相关框架也将管理与技术相结合,强调技术与管理并重。
设计工业互联网安全框架的过程中,需要将技术与管理有效结合,构建科学完备的安全防护管理体系,指导工业互联网相关企业提升安全防护管理水平。
综上所述,工业互联网安全框架的构建需要包含防护对象、防护措施以及防护管理三个方面,从三个不同的视角指导企业开展工业互联网安全防护工作。
(二)安全框架
工业互联网安全框架从防护对象、防护措施及防护管理三个视角构建。
针对不同的防护对象部署相应的安全防护措施,根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应。
同时加强防护管理,明确基于安全目
标的可持续改进的管理方针,从而保障工业互联网的安全。
工业互联网安全框架如图7所示。
图7工业互联网安全框架
其中,防护对象视角涵盖设备、控制、网络、应用和数据五大安全重点;防护措施视角包括威胁防护、监测感知和处置恢复三大环节,威胁防护环节针对五大防护对象部署主被动安全防护措施,监测感知和处置恢复环节通过信息共享、监测预警、应急响应等一系列安全措施、机制的部署增强动态安全防护能力;防护管理视角根据工业互联网安全目标对其面临的安全风险进行安全评估,并选择适当的安全策略作为指导,实现防护措施的有效部署。
工业互联网安全框架的三个防护视角之间相对独立,但彼此之间又相互关联。
从防护对象视角来看,安全框架中的每个防护对象,都需要采用一系列合理的防护措施并依据完备的防护管理流程对其进行安全防护;从防护措施视角来看,
每一类防护措施都有其适用的防护对象,并在具体防护管理
流程指导下发挥作用;从防护管理视角来看,防护管理流程的实现离不开对防护对象的界定,并需要各类防护措施的有机结合使其能够顺利运转。
工业互联网安全框架的三个防护视角相辅相成、互为补充,形成一个完整、动态、持续的防护体系。
本工业互联网安全框架与美国IIC的IISF虽呈现视角有不同,但设计思路有共通之处,在防护内容上也具有一定的对应关系。
图8展示了工业互联网安全框架与美国IIC的IISF之间的映射关系。
其中,防护对象视角中的五大防护对象对应了美国IIC的IISF中的端点保护、通信&连接保护以及数据保护中所界定的防护对象;防护措施视角中的三类安全技术手段与美国IIC的IISF中的端点保护、通信&连接保护、数据保护、安全监测&分析以及安全配置管理中提出的防护技术手段相对应;防护管理视角中的内容与美国IIC的IISF中的安全模型&策略具有对应关系。
由此可以看出,二者均从指导企业开展工业互联网安全工作出发,强调技管结合、动静互补,持续提升企业的工业互联网安全防护能力。
工业互联网安全框架的提出,有助于深化我国工业互联网产业联盟与其他国际组织的合作与交流,对于我国企业与国际接轨、开拓海外市场也具有积极意义。
图8工业互联网安全框架与美国IIC的IISF的映射关系
(三)防护对象视角
防护对象视角主要包括设备、控制、网络、应用、数据五大防护对象,如图9所示。
具体内容包括:
1、设备安全:
包括工厂内单点智能器件、成套智能终端等智能设备的安全,以及智能产品的安全,具体涉及操作系统/应用软件安全与硬件安全两方面。
2、控制安全:
包括控制协议安全、控制软件安全以及控制功能安全。
3、网络安全:
包括承载工业智能生产和应用的工厂内部网络、外部网络及标识解析系统等的安全。
4、应用安全:
包括工业互联网平台安全与工业应用程序安全。
5、数据安全:
包括涉及采集、传输、存储、处理等各个环节的数据以及用户信息的安全。
图9防护对象视角
(四)防护措施视角
为帮助相关企业应对工业互联网所面临的各种挑战,防护措施视角从生命周期、防御递进角度明确安全措施,实现动态、高效的防御和响应。
防护措施视角主要包括威胁防护、监测感知和处置恢复三大环节,如图10所示。
图10防护措施视角
1、威胁防护:
针对五大防护对象,部署主被动防护措施,阻止外部入侵,构建安全运行环境,消减潜在安全风险。
2、监测感知:
部署相应的监测措施,实时感知内部、外部的安全风险。
3、处置恢复:
建立响应恢复机制,及时应对安全威胁,
并及时优化防护措施,形成闭环防御。
(五)防护管理视角
防护管理视角的设立,旨在指导企业构建持续改进的安全防护管理方针,在明确防护对象及其所需要达到的安全目标后,对于其可能面临的安全风险进行评估,找出当前与安全目标之间存在的差距,制定相应的安全防护策略,提升安全防护能力,并在此过程中不断对管理流程进行改进。
防护措施视角的内容如图11所示。
1、安全目标
图11防护措施视角
为确保工业互联网的正常运转和安全可信,应对工业互联网设定合理的安全目标,并根据相应的安全目标进行风险评估和安全策略的选择实施。
工业互联网安全目标并非是单一的,需要结合工业互联网不同的安全需求进行明确。
工业互联网安全包括保密性、完整性、可用性、可靠性、弹性和
隐私安全六大目标,这些目标相互补充,共同构成了保障工
业互联网安全的关键特性。
(1)保密性:
确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。
(2)完整性:
确保信息在存储、使用、传输过程中不会被非授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。
(3)可用性:
确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。
(4)可靠性:
确保工业互联网系统在其寿命区间内以及在正常运行条件下能够正确执行指定功能。
(5)弹性:
确保工业互联网系统在受到攻击或破坏后恢复正常功能。
(6)隐私安全:
确保工业互联网系统内用户的隐私安全。
2、风险评估为管控风险,必须定期对工业互联网系统的各安全要素
进行风险评估。
对应工业互联网整体安全目标,分析整个工业互联网系统的资产、脆弱性和威胁,评估安全隐患导致安全事件的可能性及影响,结合资产价值,明确风险的处置措施,包括预防、转移、接受、补偿、分散等,确保在工业互
联网数据私密性、数据传输安全性、设备接入安全性、平台
访问控制安全性、平台攻击防范安全性等方面提供可信服务,并最终形成风险评估报告。
3、安全策略工业互联网安全防护的总体策略,是要构建一个能覆盖
安全业务全生命周期的,以安全事件为核心,实现对安全事件的“预警、检测、响应”动态防御体系。
能够在攻击发生前进行有效的预警和防护,在攻击中进行有效的攻击检测,在攻击后能快速定位故障,进行有效响应,避免实质损失的发生。
安全策略中描述了工业互联网总体的安全考虑,并定义了保证工业互联网日常正常运行的指导方针及安全模型。
通过结合安全目标以及风险评估结果,明确当前工业互联网各方面的安全策略,包括对设备、控制、网络、应用、数据等防护对象应采取的防护措施,以及监测响应及处置恢复措施等。
同时,为打造持续安全的工业互联网,面对不断出现的新的威胁,需不断完善安全策略。
四、工业互联网安全防护措施实施
工业互联网安全框架在实施过程中的重点是针对防护对象采取行之有效的防护措施。
为此,本章针对工业互联网安全的五大防护对象面临的安全威胁,分别介绍其可采取的
安全防护措施,并对监测感知与处置恢复两类贯穿工业互联
网全系统的防护措施进行介绍,为企业部署工业互联网安全防护工作提供参考。
(一)设备安全
工业互联网的发展使得现场设备由机械化向高度智能化发生转变,并产生了嵌入式操作系统+微处理器+应用软件的新模式,这就使得未来海量智能设备可能会直接暴露在网络攻击之下,面临攻击范围扩大、扩散速度增加、漏洞影响扩大等威胁。
工业互联网设备安全指工厂内单点智能器件以及成套智能终端等智能设备的安全,具体应分别从操作系统/应用软件安全与硬件安全两方面出发部署安全防护措施,可采用的安全机制包括固件安全增强、恶意软件防护、设备身份鉴别与访问控制、漏洞修复等。
1、操作系统/应用软件安全
(1)固件安全增强工业互联网设备供应商需要采取措施对设备固件进行
安全增强,阻止恶意代码传播与运行。
工业互联网设备供应商可从操作系统内核、协议栈等方面进行安全增强,并力争实现对于设备固件的自主可控。
(2)漏洞修复加固
设备操作系统与应用软件中出现的漏洞对于设备来说
是最直接也是最致命的威胁。
设备供应商应对工业现场中常见的设备与装置进行漏洞扫描与挖掘,发现操作系统与应用软件中存在的安全漏洞,并及时对其进行修复。
(3)补丁升级管理工业互联网企业应密切关注重大工业互联网现场设备
的安全漏洞及补丁发布,及时采取补丁升级措施,并在补丁安装前对补丁进行严格的安全评估和测试验证。
2、硬件安全
(1)硬件安全增强对于接入工业互联网的现场设备,应支持基于硬件特征
的唯一标识符,为包括工业互联网平台在内的上层应用提供基于硬件标识的身份鉴别与访问控制能力,确保只有合法的设备能够接入工业互联网并根据既定的访问控制规则向其他设备或上层应用发送或读取数据。
此外,应支持将硬件级部件(安全芯片或安全固件)作为系统信任根,为现场设备的安全启动以及数据传输机密性和完整性保护提供支持。
(2)运维管控工业互联网企业应在工业现场网络重要控制系统(如机
组主控DCS系统)的工程师站、操作员站和历史站部署运维管控系统,实现对外部存储器(如U盘)、键盘和鼠标等使用USB接口的硬件设备的识别,对外部存储器的使用进行
严格控制。
同时,注意部署的运维管控系统不能影响生产控
制区各系统的正常运行。
(二)控制安全
工业互联网使得生
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 工业 互联网 安全 框架