智能制造+互聯(lián)網(wǎng)時(shí)代面臨的安全風(fēng)險(xiǎn)和挑戰(zhàn)

來源:互聯(lián)網(wǎng)


      從網(wǎng)絡(luò)安全的角度分析,智能制造網(wǎng)絡(luò)化后攻擊剖面大大擴(kuò)大,將面臨設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、云平臺(tái)、數(shù)據(jù)等八個(gè)方面的安全挑戰(zhàn),但同時(shí)要看到參與到各個(gè)層面的人員因素,以及綜合各方面的高級(jí)持續(xù)性威脅APT。

  智能制造 + 互聯(lián)網(wǎng)時(shí)代面臨的安全挑戰(zhàn),概括來說,八方面的具體挑戰(zhàn)如下:

  1、設(shè)備層安全挑戰(zhàn)。智能制造領(lǐng)域網(wǎng)絡(luò)中伺服驅(qū)動(dòng)器、智能IO、智能傳感器、儀表、智能產(chǎn)品的安全挑戰(zhàn),包括:所用芯片安全、嵌入式操作系統(tǒng)安全、編碼規(guī)范安全、第三方應(yīng)用軟件安全以及功能安全等,這些設(shè)備均可能存在漏洞、缺陷、規(guī)范使用、后門等安全挑戰(zhàn);目前,在制造領(lǐng)域并未對(duì)以上問題開展深入研究。如:西門子漏洞CVE-2016-5849等。

  2、控制層安全挑戰(zhàn)。主要來自各類機(jī)床數(shù)控系統(tǒng)、PLC、運(yùn)動(dòng)控制器、所使用的控制協(xié)議、控制平臺(tái)、控制軟件等方面,其在設(shè)計(jì)之初可能未考慮完整性、身份校驗(yàn)等安全需求,存在輸入驗(yàn)證,許可、授權(quán)與訪問控制不嚴(yán)格,不當(dāng)身份驗(yàn)證,配置維護(hù)不足,憑證管理不嚴(yán),加密算法過時(shí)等安全挑戰(zhàn)。例如:國產(chǎn)數(shù)控系統(tǒng)所采用的操作系統(tǒng)可能是基于某一版本Linux進(jìn)行裁剪的,所使用的內(nèi)核、文件系統(tǒng)、對(duì)外提供服務(wù)、一旦穩(wěn)定均不再修改,可能持續(xù)使用多年,有的甚至超過十年,而這些內(nèi)核、文件系統(tǒng)、服務(wù)多年所爆出的漏洞并未得到更新,安全隱患長期保留。如:西門子漏洞CVE-2017-2685、三菱PLC漏洞CNVD-2016-06361等。

  3、網(wǎng)絡(luò)層安全挑戰(zhàn)。主要來自三方面:各類數(shù)控系統(tǒng)、PLC、應(yīng)用服務(wù)器通過有線網(wǎng)絡(luò)或無線網(wǎng)絡(luò)連接,形成工業(yè)網(wǎng)絡(luò),工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)連接形成企業(yè)內(nèi)網(wǎng)絡(luò),企業(yè)內(nèi)網(wǎng)絡(luò)與外面的云平臺(tái)連接、第三方供應(yīng)鏈連接、客戶的網(wǎng)絡(luò)連接。主要安全挑戰(zhàn)包括:網(wǎng)絡(luò)數(shù)據(jù)傳遞過程的常見網(wǎng)絡(luò)威脅(如:拒絕服務(wù)、中間人攻擊等),網(wǎng)絡(luò)傳輸鏈路上的硬件和軟件安全(如:軟件漏洞、配置不合理等),無線網(wǎng)絡(luò)技術(shù)使用帶來的網(wǎng)絡(luò)防護(hù)邊界模糊等。如:三菱網(wǎng)絡(luò)模塊漏洞CNVD-2016-06360。西門子網(wǎng)絡(luò)服務(wù)器漏洞CNVD-2012-7944等。

  4、應(yīng)用層安全挑戰(zhàn),指支撐工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)運(yùn)行的應(yīng)用軟件及平臺(tái)的安全,如:德馬吉森精機(jī)(DMG MORI)的CELOS系統(tǒng)所整合的ERP(企業(yè)資源計(jì)劃)/PPS(生產(chǎn)計(jì)劃與控制系統(tǒng))/PDM(產(chǎn)品數(shù)據(jù)管理)/MES制造執(zhí)行系統(tǒng)和CAD/CAM軟件和控制系統(tǒng)等。智能制造領(lǐng)域應(yīng)用軟件,與常見商用軟件的類似,將持續(xù)面臨病毒、木馬、漏洞等傳統(tǒng)安全挑戰(zhàn);如:Ge fanuc漏洞CVE-2008-0175和CVE-2008-0176,西門子上位機(jī)漏洞CNVD-2016-11465等。

  5、工業(yè)云安全挑戰(zhàn),從這次CIMT上可以看到,國內(nèi)各大機(jī)床廠商、數(shù)控系統(tǒng)廠商正在建立或即將建立的云平臺(tái)及服務(wù),這些云平臺(tái)及服務(wù)也面臨著虛擬化中常見的違規(guī)接入、內(nèi)入侵、多租戶風(fēng)險(xiǎn)、跳板入侵、內(nèi)外聯(lián)、社工攻擊等內(nèi)外安全挑戰(zhàn)。

  6、數(shù)據(jù)層安全挑戰(zhàn),是指智能制造工廠內(nèi)生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及工廠外數(shù)據(jù)等各類數(shù)據(jù)的安全問題,不管數(shù)據(jù)是通過大數(shù)據(jù)平臺(tái)存儲(chǔ)、還是分布在用戶、生產(chǎn)終端、設(shè)計(jì)服務(wù)器等多種設(shè)備上,海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。

  7、人員管理的挑戰(zhàn),隨著智能制造的網(wǎng)絡(luò)化和數(shù)字化發(fā)展,工業(yè)與IT的高度融合,企業(yè)內(nèi)人員,如:工程師、管理人員、現(xiàn)場(chǎng)操作員、企業(yè)高層管理人員等,其“有意識(shí)”或“無意識(shí)”的行為,可能破壞工業(yè)系統(tǒng)、傳播惡意軟件、忽略工作異常等,因?yàn)榫W(wǎng)絡(luò)的廣泛使用,這些挑戰(zhàn)的影響將會(huì)急劇放大;而針對(duì)人的社會(huì)工程學(xué)、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此,在智能制造+互聯(lián)網(wǎng)中,人員管理的也面臨巨大安全挑戰(zhàn)。

  8、高級(jí)持續(xù)性威脅(APT),智能制造領(lǐng)域中的APT是以上6個(gè)方面各種挑戰(zhàn)組合,是最難應(yīng)對(duì)、后果最嚴(yán)重的威脅。攻擊者目標(biāo)可能是偷取重點(diǎn)智能制造企業(yè)的產(chǎn)品設(shè)計(jì)資料、產(chǎn)品應(yīng)用數(shù)據(jù)等,也可能是在關(guān)鍵時(shí)刻讓智能制造企業(yè)生產(chǎn)停止、良品率下降、服務(wù)不及時(shí)等給企業(yè)造成直接損失,攻擊者精心策劃、為了達(dá)成既定目標(biāo),長期持續(xù)的進(jìn)行攻擊,其攻擊過程包括收集各類信息收集、入侵技術(shù)準(zhǔn)備、滲透準(zhǔn)備、入侵攻擊、長期潛伏和等待、深度滲透、痕跡消除等一系列精密攻擊環(huán)節(jié)。如:360APT報(bào)告:摩訶草組織。

  如何應(yīng)對(duì)?協(xié)同聯(lián)動(dòng)建立聯(lián)合防御體系!

  e-works通過調(diào)查多家企業(yè)和廠商,發(fā)現(xiàn)智能制造企業(yè)、集成商、用戶等,在推進(jìn)智能制造+互聯(lián)網(wǎng)過程中,面臨的各項(xiàng)安全挑戰(zhàn)幾乎沒有考慮,對(duì)安全的認(rèn)識(shí)還停留在“我們不連接外網(wǎng),會(huì)有什么問題呢?網(wǎng)絡(luò)攻擊根本進(jìn)不來!”的階段,工業(yè)安全在國內(nèi)智能化廠商的考慮重點(diǎn)中幾乎缺位。針對(duì)這個(gè)以上8類挑戰(zhàn),e-works建議智能制造企業(yè)、集成商、用戶等可以從以下方面進(jìn)行應(yīng)對(duì)。

  1、落實(shí)對(duì)工業(yè)安全的相關(guān)政策、指南、標(biāo)準(zhǔn)

  針對(duì)工業(yè)系統(tǒng)信息安全的問題,先后出臺(tái)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信協(xié)[2011]451號(hào))、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》等相關(guān)文件,對(duì)工業(yè)系統(tǒng)連接管理、組網(wǎng)管理、配置管理、設(shè)備選擇和升級(jí)、數(shù)據(jù)管理、應(yīng)急管理做出了相應(yīng)要求,對(duì)工業(yè)控制系統(tǒng)設(shè)計(jì)、選型、、測(cè)試、運(yùn)行、檢修、廢棄各階段防護(hù)工作要求;《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》從安全軟件選型、訪問控制策略構(gòu)建、數(shù)據(jù)安全保護(hù)、資產(chǎn)配置管理等方面提出了具體實(shí)施細(xì)則,從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任等給出了指導(dǎo)意見。智能裝備制造商、應(yīng)用企業(yè)可以參考相關(guān)內(nèi)容,做好必要的安全防護(hù)、安全管理和安全意識(shí)培訓(xùn)。

  2、構(gòu)建持續(xù)檢測(cè)響應(yīng)能力

  假定智能制造系統(tǒng)無法阻止被攻破,也就是無法防護(hù)住,改變思路,在產(chǎn)品和解決方案設(shè)計(jì)中,增加攻破的發(fā)現(xiàn)能力,縮短攻擊發(fā)現(xiàn)的時(shí)間,將攻破后的進(jìn)行應(yīng)急響應(yīng)的思路,改變?yōu)槌掷m(xù)的監(jiān)測(cè)和響應(yīng),不斷加強(qiáng)監(jiān)測(cè)和威脅發(fā)現(xiàn)的能力,提升響應(yīng)的速度。

  3、應(yīng)用數(shù)據(jù)驅(qū)動(dòng)安全的理念

  目前國際上公認(rèn)解決網(wǎng)絡(luò)安全攻防不對(duì)稱的方法之一,是數(shù)據(jù)驅(qū)動(dòng)安全,2015互聯(lián)網(wǎng)安全(ISC2015)就提出要進(jìn)行態(tài)勢(shì)的感知,進(jìn)行威脅情報(bào)的共享和攻擊溯源。

  對(duì)于智能制造來說,對(duì)某一行業(yè)中某一家企業(yè)的攻擊,如果被發(fā)現(xiàn),攻擊方法和攻擊目標(biāo)被辨析,可以結(jié)合全網(wǎng)的安全大數(shù)據(jù)和企業(yè)自身的安全數(shù)據(jù)進(jìn)行分析,形成有效的威脅情報(bào),提供給整個(gè)行業(yè)的企業(yè),提供行業(yè)防御的效果。

  4、建立企業(yè)安全運(yùn)營中心

  根據(jù)Gartner的預(yù)測(cè),工業(yè)企業(yè)建立的安全運(yùn)維中心已成為一種趨勢(shì),預(yù)計(jì)到2020年將有40%的企業(yè)將建立安全運(yùn)營中心,該中心將建立企業(yè)的安全數(shù)據(jù)倉庫,對(duì)于APT攻擊,一個(gè)最大的挑戰(zhàn)之一是如何發(fā)現(xiàn)攻擊,應(yīng)用數(shù)據(jù)驅(qū)動(dòng)安全的理念。工業(yè)大數(shù)據(jù)進(jìn)行工業(yè)生產(chǎn)故障的預(yù)防性維護(hù),找出生產(chǎn)環(huán)節(jié)的異常,已經(jīng)成為目前工業(yè)大數(shù)據(jù)的主要應(yīng)用方向之一。智能制造企業(yè)和用戶對(duì)工業(yè)生產(chǎn)設(shè)備損壞或衰退的預(yù)測(cè)與發(fā)現(xiàn),生產(chǎn)流程停機(jī)的預(yù)測(cè)與發(fā)現(xiàn),其實(shí)就是一種工業(yè)生產(chǎn)的異常,而工業(yè)網(wǎng)絡(luò)受到攻擊也可以產(chǎn)生類似異常;安全運(yùn)營中心可以記錄工業(yè)互聯(lián)網(wǎng)企業(yè)持續(xù)監(jiān)測(cè)的安全信息,但這些信息堆積在倉庫里,如同“一團(tuán)亂麻”,解開亂麻,需要找到一個(gè)線頭,因此,可利用工業(yè)大數(shù)據(jù)發(fā)現(xiàn)工業(yè)生產(chǎn)異常的能力,為安全大數(shù)據(jù)的分析提供觸發(fā)條件或關(guān)鍵線索,這將成為數(shù)據(jù)驅(qū)動(dòng)安全的最值得實(shí)踐的方法之一。

  另外利用安全大數(shù)據(jù)進(jìn)行智能制造系統(tǒng)中的用戶和實(shí)體行為分析(UEBA),對(duì)用戶的行為和設(shè)備的行為用大數(shù)據(jù)的方法建立一個(gè)基線,偏離基線太多的時(shí)候也會(huì)出現(xiàn)異常,也成為安全大數(shù)據(jù)重要應(yīng)用手段之一。

  5、構(gòu)建產(chǎn)業(yè)協(xié)同的聯(lián)合防御體系

  我國目前暴露在公網(wǎng)的工業(yè)設(shè)備,超過2000臺(tái),美國在公網(wǎng)的工業(yè)設(shè)備達(dá)到數(shù)萬臺(tái),包括:PLC、數(shù)控系統(tǒng)以及相關(guān)工業(yè)應(yīng)用系統(tǒng)等,隨著我國智能制造的發(fā)展,未來我國將與美國類似,將有大量的工業(yè)設(shè)備暴露在公網(wǎng)上,任何一個(gè)企業(yè)由于在人才、設(shè)備、數(shù)據(jù)、情報(bào)方面的限制,單獨(dú)進(jìn)行防御將存在巨大困難,未來工業(yè)互聯(lián)網(wǎng)企業(yè)、工業(yè)互聯(lián)網(wǎng)企業(yè)設(shè)備提供商、安全服務(wù)商、監(jiān)管機(jī)構(gòu)將建立協(xié)同機(jī)制,共同應(yīng)對(duì)智能制造+互聯(lián)網(wǎng)安全來自工業(yè)、互聯(lián)網(wǎng)、信息安全的跨領(lǐng)域、跨行業(yè)的挑戰(zhàn)。網(wǎng)絡(luò)安全的能力,將變成一種可定制的服務(wù),智能制造企業(yè)和用戶的依據(jù)自己的威脅、成本、人才、運(yùn)行階段按需使用。

  智能制造領(lǐng)域,通過高檔數(shù)控機(jī)床及基礎(chǔ)制造裝備通過網(wǎng)絡(luò)與工業(yè)軟件、商業(yè)軟件、工程師、供應(yīng)商、客戶高效互聯(lián),向著智能化、高效化、專業(yè)化、網(wǎng)絡(luò)化方向發(fā)展;企業(yè)外的商業(yè)網(wǎng)絡(luò)與企業(yè)內(nèi)辦公網(wǎng)絡(luò)、工業(yè)網(wǎng)絡(luò)的邊界被聯(lián)通,工業(yè)企業(yè)將面臨設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用、云、數(shù)據(jù)、人員等多方面安全挑戰(zhàn)。

  綜上,機(jī)床制造企業(yè)、數(shù)控系統(tǒng)廠商、先進(jìn)制造集成商在進(jìn)行智能化、網(wǎng)絡(luò)化、數(shù)字化產(chǎn)品和解決方案設(shè)計(jì)時(shí),工業(yè)安全必須同步考慮;智能制造用戶在采購智能化產(chǎn)品、網(wǎng)絡(luò)化、智能化先進(jìn)制造系統(tǒng)的,為保證自己的生產(chǎn)安全、數(shù)據(jù)安全,應(yīng)同時(shí)要求供應(yīng)商提供在工業(yè)安全方面的防護(hù)措施,并加強(qiáng)企業(yè)員工的安全意識(shí)。在智能制造+互聯(lián)網(wǎng)的背景下,工業(yè)安全不容缺位。

  e-works數(shù)字化企業(yè)網(wǎng)擁有70多萬會(huì)員,其中包括6萬多家制造企業(yè)的信息化主管領(lǐng)導(dǎo)和CIO。e-works網(wǎng)站擁有海量的制造業(yè)信息化知識(shí)庫和豐富的原創(chuàng)欄目,日均訪問量達(dá)10萬人次以上,是國內(nèi)外主流信息化廠商面向制造業(yè)首選的市場(chǎng)推廣平臺(tái)。SAP、IBM、華為、三星等近千家國內(nèi)外主流IT廠商與e-works建立了市場(chǎng)推廣合作。e-works系列微信號(hào)的訂閱人數(shù)已超過32萬人,是智能制造領(lǐng)域最具影響力的移動(dòng)社交媒體。

標(biāo)簽:

相關(guān)文章

熱門文章