近期,六方云前沿技术文章《工业领域关键信息基础设施网络安全防护体系研究》入选光电行业核心期刊《福光技术》,文章对“新基建”下工业领域关基网络安全的现状进行了梳理,从技术角度提出了建设关基网络安全防护体系的可行性与实践价值。
工业领域关键信息基础设施网络安全防护体系研究
摘要:工业领域的关键信息基础设施主要包括电力、水务、燃气、石油石化等重要的行业和领域,本文面向工业领域关键信息基础设施开展研究,调研某省工业领域关键信息基础设施网络安全现状,分析其面临的安全问题,研究安全防护体系,并进行案例验证。
关键词:工业领域;信息基础设施;网络安全防护
关键信息基础设施(以下简称“关基”)主要指影响国家、社会、公共利益的通信、电子政务及国防科工等领域,除此之外,还包括电力、水务、燃气、石油石化等重要的工业行业和领域。与其他领域关基不同,工业领域的关基由于其网络架构的特殊性、网络传输的实时性及工业协议种类多等特点,导致其安全防护在防护技术、措施和管理层面都存在一定的特殊性。工业领域的关基一旦遭受网络攻击,不仅影响系统正常运行或引发数据泄露,还可能会威胁到人民生命财产安全,甚至社会稳定和国家安全,因此亟须针对工业领域的关基开展网络安全防护体系研究,进一步提升其安全防护水平。本文主要面向工业领域的关基开展研究,调研某省工业领域关基的网络安全现状,分析该领域面临的问题,研究包含各个层面安全防护要点的安全防护体系,并在化工行业进行案例验证,以保障工业领域关基的安全运行。
由于某省的产业门类齐全,能较好反映我国工业领域关基的安全现状,故选取该省工业领域关基相关工业企业作为调研样本,共选取200余家企业开展调研,调研结果分析如下:工业资产:参与调研的企业中,使用企业资源计划系统(E R P)的企业占比约7成,使用制造企业生产过程执行管理系统(M E S)的企业仅占3成,使用Windows操作系统的企业占7成;使用国产可编程逻辑控制器(PLC)的企业不到1成,使用国产分散控制系统(DCS)的企业约为5成,使用国产数据采集与监视控制系统(SCADA)的企业不足3成。安全技术:参与调研的企业中,超过7成的企业在其工控系统所在的物理环境部署了防护措施,近5成的企业使用了工业主机防护软件,但超过3成的企业工控系统直接与互联网连接,多数企业未在安全域之间部署安全隔离措施,只有近3成的企业部署了工业防火墙等安全隔离设备;部署入侵检测系统(IDS)、入侵防护系统(IPS)等监测手段的企业不足2成。安全管理:参与调研的企业中,60%的企业建立了工控网络安全配置策略,超过6成的企业建立了工控系统资产清单,只有4成的企业与服务商明确了信息安全责任和义务,6成的企业制定了工控安全事件应急响应预案,但定期开展应急演练的企业只有4成。根据调研结果,当前工业领域关基网络安全存在的问题主要有:
企业安全主体责任落实不到位。工业领域关基相关企业初步建立了网络安全防护策略,企业防护意识有所提升;但很多企业仍未明确安全主体责任,未建立安全责任制,内部人员普遍存在使用弱密码、账号共用的现象;工控设备、系统的访问权限管理混乱,极易获取敏感信息。工控系统国产化水平偏低。工业领域关基在高端装备、控制系统、工业标准等方面高度依赖国外,国内产业实力难以满足企业应用需求。国内厂商尚未掌握工控核心技术,大部分工控系统设备及核心元器件技术由国外垄断,工控系统及设备自主化进程仍需加快。工控安全产业生态亟待完善。工业领域关基的网络安全风险呈现多元化特征,导致安全隐患发现难度更高。但工业领域关基相关的安全产业生态中的产品设计、运维、评估、实施等服务能力不足,无法形成完整的安全产业链。同时,尚未出台针对工业领域关基的安全防护体系,缺少相关的安全产品和服务。
工业领域关基的网络安全架构如图1所示,基于其复杂的内网、外网协同的网络状态和安全业务需要,设计了四层架构:终端层、控制层、网络层、应用层,以满足工业领域关基网络安全的防护要求。终端层包含执行器、计量器、生产设备、智能装备等终端设备,终端层的安全防护层面主要指物理安全,包括终端设备的物理位置选择、访问控制、防火、防盗、电磁防护等要求;控制层包含工程师站、操作员站和工业控制系统,控制层安全防护层面分为控制安全和设备安全,其中控制安全包括工控系统安全、组态软件安全、工业数据库安全,设备安全包括主机安全、控制设备安全、介质安全;网络层包含交换机、工业网关等网络设备,网络层安全防护层面为网络安全,包括网络架构、边界防护、网络设备安全、访问控制、入侵防范等要求;应用层包含M E S、E R P等应用系统,应用层安全防护层面为应用安全,包括身份鉴别、访问控制、安全审计等;数据安全和管理安全层面贯穿整个工业领域关基的网络安全防护体系,为其提供全面的安全防护。
为验证工业领域关基安全防护体系的有效性,选取化工行业典型企业XX化工集团开展防护体系的实例验证。本次验证的范围主要包括XX化工集团下属化工有限公司DCS控制系统的物理环境、主机、网络、业务应用系统、安全管理制度和人员等,从物理、控制、设备、网络、应用、数据、管理等七个方面,对其网络安全防护情况进行综合验证,并改善其安全防护要点。通过本次案例验证,XX化工集团的DCS控制系统通过以下防护措施,可以更好地实现对关基的安全防护:设备安全层面,在工业主机上安装防病毒软件,并在安装前进行验证测试。控制安全层面,对接入网络的主机采取控制措施,如实名接入认证、IP地址与MAC地址绑定等。网络安全层面,采取身份认证、安全监测等措施对无线网络入网进行严格管控。数据安全层面,对重要或敏感的工业数据进行分类分级后,对其进行加密存储或隔离保护。管理安全层面,建立关基网络和系统的安全策略配置清单,并定期核查。随着人工智能、5G、物联网等新技术与工业的深度融合应用,工业领域关基的网络边界逐渐模糊,网络攻击面不断扩大,“新基建”下的工业领域关基网络安全面临更为复杂多变的新挑战。下一步需继续推进工业领域关基的网络安全保障工作,通过政产学研协同合作,从政策、技术、产业、人才等方面持续发力,不断提升工业领域关基的安全防护水平。[1]林枫. 工业控制系统网络安全防护体系的思考[J]. 信息通信,2017,(05):123-124. [2017-09-21].[2]朱世顺,刘行. 新形势下电力工业控制系统网络安全防护保障体系研究[J]. 保密科学技术,2017,(05):62-64. [2017-09-21].[3]陈亚亮,杨海军,姚钦锋,戴沁芸. 工业控制系统网络安全防护体系研究[J]. 信息网络安全,2014,(10):57-59.[4]陈亚亮,杨海军,姚钦锋,戴沁芸. 工业控制系统网络安全防护体系研究[A].,2014:3.[5]周奇辉. 工业控制系统网络安全性研究[J]. 网络空间安全,2016, 7(06):56-59+64. [2017-09-21].
