工业互联网可以连接物理世界与数字世界,是新一代信息通信技术与先进制造业深度融合所形成的新兴业态与应用模式。
不过,新技术也要求新安全。工业互联网中各种设备互联,设备种类多、数量多,漏洞后门资源多,攻击路径多,攻击可达性强。那么,目前工业互联网平台的发展中存在哪些隐患和瓶颈?破解这些难题从何着手?在近日有问举办的“拟态防御如何护航工业互联网新基建”在线论坛上,中国工程院院士、之江实验室网络安全领域首席科学家邬江兴接受记者采访并给出了解读。
数据上下行存在网络安全问题
据介绍,一块几万乃至上百亿只晶体管组成的集成电路芯片,一个几万乃至上亿行代码构成的软件版本,一个复杂信息系统或控制装置,只要存在一个高危漏洞或植入一个后门,就可能导致整个信息系统乃至所有相同设施遭殃,甚至可能造成重大装备和人员生命的巨大损失。
工业互联网与互联网同为网络空间的一部分,不过,除了具有互联网存在的内生安全问题外,工业互联网还有一些不同之处。邬江兴说道,工业互联网领域,除了需要额外考虑设备的高可靠、高可用、高可信、确定性时延等服务品质外,还需确保数字世界与现实世界相交之处的安全防线。
他表示,互联网的价值与用户接入数量的平方比呈正比。工业互联网也一样,需要解决设备的泛在安全接入问题,将有用的数据采集到平台,打破烟囱式的数据孤岛效应。
另外,“目前,在工业互联网数据的上下行都存在网络安全问题。”邬江兴指出,在数据上行方面,过程制造行业要将关键节点的传感器数据反馈到云计算平台,对生产模型进行矫正,促进工艺升级。如果数据被篡改,就会引起产品质量下降甚至引发爆炸等风险,倘若工艺数据被窃取,企业将会失去核心竞争力。在数据下行方面,例如风力发电行业为了节约人力运维成本,需要对风机进行远程运维控制,一旦控制系统或网络节点的漏洞后门被攻击者所利用,就可能造成设备损坏或引发规模停电事故。
如何破解上述难题?邬江兴向记者说道,关键在于要创立支持功能安全与网络安全一体化的解决方案,综合考虑系统或设备的安全防护需求与防护成本,切实推动设备上网,企业上云,数据共享,区域治理。
拟态防御技术赋能工业互联网
记者了解到,目前国内的工业互联网平台大部分还是以入侵检测、访问控制、加解密、容灾备份、智能安全态势分析等传统信息安全防护手段为主,尚未能彻底解决基于潜藏于信息系统或控制装置内部的漏洞后门问题。
对于工业互联网新技术下产生的新安全问题,邬江兴提出基于内生安全机理的网络空间“拟态防御”技术。记者了解到,这项技术的核心思想是:结构决定安全、变结构产生内生安全效应。它能够有效解决工业互联网内生安全问题,有效防御“挖漏洞”、“设后门”、“植病毒”、“藏木马”等基于软硬件内部漏洞后门的经典网络攻击,有力抑制或管控确定或不确定风险、已知或未知的安全威胁,让安全有效直达工业生产第一线。
目前基于内生安全的拟态工业云平台、数据存储系统等已能提供有安全质量保障的可信服务。随着信息化、网络化的进一步深入,内生安全防护有必要覆盖工业控制网络的方方面。其中,拟态防御技术能很好地兼容传统安全技术,两者的叠加可获得指数量级的安全效果。
据邬江兴介绍,之江实验室目前已经完成了拟态工业云平台、数据中心、DCS、PLC、网关、交换机等核心设备的研制与测试工作。后续将结合行业的需求,物色相应的设备或设施进行改造与应用示范,进一步向整个工控网络领域推广。