新型IT技術與傳統工業OT技術的深度融合,使得工業系統逐漸互聯開放,也加劇了工業制造面臨的安全風險,帶來了更加艱巨的安全挑戰。根據CNCERT發布的2019年中國互聯網絡安全形勢總結,中國大型工業互聯網平臺平均每天遭受攻擊次數為90次。
工業互聯網連接大量工業控制系統和設備,匯聚海量工業數據,構建工業互聯網應用生態,與工業生產和企業管理息息相關。壹旦被入侵或攻擊,可能造成工業生產停滯,不僅影響單個企業,還會擴展到整個工業生態,給國民經濟造成重大損失,影響社會穩定,甚至對國家安全構成威脅。
最近發生了壹起重大工業安全事故,造成了惡劣影響。5月7日,美國最大的燃油運輸管道供應商Colonial Pipeline遭到勒索軟件攻擊,長達5500英裏的輸油管道被迫停運,嚴重影響了美國東海岸的燃油供應。美國首次因網絡攻擊宣布進入緊急狀態。
根據保護對象的不同,從網絡接入、工業控制、工業數據、應用接入四個方面分析了5G與工業互聯網融合面臨的安全威脅。
01
網絡訪問安全
5G開啟萬物互聯時代。5G與工業互聯網的融合,使得大量工業終端的接入成為可能,如數控機床、工業機器人、AGV等高價值的關鍵生產設備。如果這些關鍵終端設備存在漏洞、缺陷、後門等安全問題,壹旦暴露在相對開放的5G網絡下,將帶來攻擊風險點的增加。
02
工業控制安全
傳統工業網絡相對封閉,缺乏整體安全理念和整體安全管理保護體系。比如各種工業控制協議、控制平臺、軟件本身的設計框架缺乏完整的安全驗證手段,如數據完整性、身份驗證等安全設計,授權和訪問控制不嚴格,身份驗證不充分。各種創新型工業應用軟件面臨的安全問題,將相對封閉的工業網絡暴露在互聯網之下,增加了工業控制協議和工業IT系統被攻擊和利用的風險。
03
數據傳輸和呼叫安全
雲計算、虛擬化技術等新興IT技術在工業互聯網中的大規模應用,在促進關鍵工業設備使用效率、提升整體制造過程智能化和透明化的同時,打破了原有封閉、自治的工業網絡環境,使得安全邊界更加模糊甚至弱化。各種外部應用數據流和對工廠內數據資源的訪問缺乏足夠的透明度和相應的監管措施。同時,各種開放的API接口和多應用接入,使得傳統封閉制造業中的生產管理數據和生產運營數據開放流動,與工廠外部的各種應用和數據源交互、流動和享用,大大增加了工業數據安全傳輸和存儲的風險。
04
訪問安全性
工業互聯網核心的各類創新場景應用,帶來了更多參與者的基礎網絡、OT網絡、生產設備、應用、系統等。通過與5G網絡的深度融合,它們帶來了更高效的網絡服務能力,受益於更靈活的接入方式,但也帶來了新的風險和挑戰,應用接入安全問題日益突出。
針對上述工業互聯網遇到的安全問題,青雲科技旗下Evervite Networks的光網格網絡面向工業互聯網行業,提出了工業互聯網SD-NAAS(軟件定義網絡& amp;安全即服務(Security as a service)軟件定義網絡和安全即服務(security as a service)解決方案,依托統壹身份安全認證和訪問控制、東西向流量、南北向流量統壹的零信任網絡安全模型架構設計。借助SD-NaaS,工業互聯網平臺可以構建動態虛擬邊界,不會直接對外暴露應用,為工業互聯網提供接入終端/網絡的實時認證和動態授權,有效控制內外用戶、終端設備、工廠內工業主機、邊緣計算網關、應用系統等接入主體對工業互聯網平臺的訪問行為,全面提升工業互聯網的安全防護能力。幫助企業利用零信任網絡安全防護架構構建工業互聯網安全體系,讓5G、邊緣計算、物聯網等能力更好地服務於工業互聯網發展。
基於光網格SD-NaaS架構的工業互聯網安全體系大致可以分為四個層次:
基於統壹身份認證的網絡安全接入
首先,SD-NaaS平臺引入零信任安全概念,為接入工業互聯網的各類用戶和工控終端啟用全新的身份認證管理模式,提供全面的認證服務、動態業務授權和集中策略管理能力。SD-NaaS持續收集接入終端的日誌信息,結合身份數據庫、權限數據庫、大數據分析和身份畫像,持續評估終端的信任度,基於身份、權限、信任級別和安全策略動態授權網絡接入。
最小權限和動態授權的工業安全控制
其次,針對工業互聯網時代工業控制網絡面臨的安全風險,SD-NaaS零信任網絡平臺提出了全新的控制權限分配機制。基於“最小權限、動態授權”的原則,控制權限判斷不再基於簡單的靜態規則(IP黑白名單、靜態權限策略等。),但基於工控管理員、工程師、操作員等不同身份和信任級別。控制服務器、現場控制設備、測量儀器等不同終端的安全策略,以及不同的工控命令權限,並結合大數據安全分析進行動態評估授權,實現工業邊界最小授權和精細化訪問控制。這樣可以防止工業控制網絡受到未知漏洞的威脅,同時也可以有效防止操作人員非正常操作帶來的危害。
端到端加密,良好的授權數據保護
工業生產中會產生海量的工業數據,包括R&D設計、開發和測試、系統設備資產信息、控制信息、工況、工藝參數等。平臺上的應用之間存在大量的數據共享和協同處理需求。SD-NaaS平臺提供了更強的端到端數據安全保護方法。通過實時的信任檢測和訪問行為安全級別的動態評估,建立安全的加密隧道,保證應用之間數據流的安全可靠。同時,各種工業系統之間的API交互和數據庫調用,如生產質量控制系統、自動成本核算系統和生產進度可視化系統等。,SD-NaaS平臺可以實現細粒度的操作權限控制,對添加、刪除、修改、查詢等所有行為進行行為審計。
通過應用程序隱藏和代理訪問實現應用程序保護
最後,SD-NaaS平臺利用SDP安全網關和MSG微分段技術,實現工業互聯網平臺的應用隱身和安全訪問代理,有效管理工業互聯網平臺的網絡邊界和暴露面,動態授權最小粒度(如生產數據、庫存信息、進銷存管理等。)基於工程師、操作員、采購、銷售、供應鏈等不同身份,審核所有接入行為,構建全方位、全天候的應用安全防護屏障。
基於光網格網絡SD-NaaS解決方案,在工業視覺、智能巡檢、遠程駕駛、AI視頻監控等場景實現了安全可靠的落地;幫助企業在確保安全的基礎上,構建支撐制造資源泛在連接、柔性供應、高效配置的工業雲平臺,利用工業互聯網平臺,探索工業制造業數字化、智能化轉型發展的新模式和新業態。
SD-NaaS的最佳實踐:
申請光網絡產品解決方案
點擊申請使用光網絡產品解決方案。