人、数据和机器构成了工业物联网的关键要素,三者密切连接开启了设备与设备、设备与人的互联互通,进一步实现了现场生产与用户远程运维管理的无缝连接并协调数据分析与行动。
工业物联网关键要素的更深层次融合,助推传统产业以更快的发展速度创造更卓越的价值,以及更高生产力和生产效率。而工业物联网广泛的深度应用所引发的影响,也存在两面性。在提高工业效能和推动社会进程发展的同时,由网络的复杂性和不确定性引发的安全隐患就在“价值”的转角处。
补足短板 夯实安全检测和评估
工业物联网需要把数以亿计的终端工业设备连入互联网,使得原本相对封闭的工业控制网络变得越来越开放,开放带来便捷和效能的同时,漏洞数量和利用漏洞形成有效攻击的数量也在不断攀升。当一个工业物联网的系统中某个工业设备安全性较差时,系统中其他工业设备再安全也无济于事,这就形成工业物联网安全中的“短板效应” 。“短板”越多,与国计民生息息相关的工业物联网安全就越岌岌可危。
构筑工业物联网安全生态闭环,首先需要做好安全检测和评估,夯实工业物联网系统及设备的安全检测和风险评估。如果未进行相关检测就带“病”运行,一方面很容易在工业物联网中被攻击者利用进行入侵和攻击,轻则影响操作系统某些功能正常使用,重则大量隐私信息如核心工艺参数存在被窃取的风险,进而控制和破坏关键基础设施的工业设备,造成巨大的经济损失和人员伤亡,甚至威胁到国家安全。另一方面,在整个安全建设方案中如果未进行检测,也无法有效的“对症下药”进行安全防护方案的设计和建设。安全检测和评估,好比看病过程中的望闻问切和各种检查,是确保药到病除的重要基础。
在2017年6月1日即将实施的《中华人民共和国网络安全法》中,就明确提出国家将对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施实行重点保护以及对关键信息基础设施的安全性和可能存在的风险进行检测评估。
不破不立 安全检测要突破传统局限
那么,现有的检测手段或产品是否能对工业物联网中系统及设备进行有效的安全检测呢?从工业物联网中网络、系统、设备复杂性特点来看,工业控制网络中总线协议和应用层协议有几十种,同时这些协议的规约实现也不相同;另外,工业控制系统和设备的公开的漏洞较为有限,通过漏洞扫描方式进行检测有效性有待提升。具体来说,目前对工业物联网中安全漏洞进行检测的手段是比较局限的,具体体现在:
1.现有检测手段仅针对网络中的外围服务器和通用IT设备,无法触及亟待保护的核心工业设备;
2.现有的端口服务扫描、漏洞特征扫描等技术对漏洞库的依赖较大,但公开的工业控制网络安全漏洞库信息很少,导致无法实现深入、全面的检测;
3.基于公开漏洞的扫描技术和机制无法有效发现未知漏洞,同时在时间上永远滞后于攻击者利用的未知漏洞;
4.缺乏针对性检测工具,无法有效证明工业设备上的潜在漏洞是否存在。
结合工业物联网特点,我们建议对工业物联网中系统及设备进行安全检测尤其是漏洞检测需要考虑到以下几方面:
1.具备按需定制特性:根据工业设备及系统进行有针对性的定制化的检测,比如根据设备的通讯协议、通讯接口不同进行不同测试用例的定制;
2.具备全面的脆弱性检测功能:由于已知工业控制安全漏洞较为有限,需要对潜在的漏洞也能进行有效的检测,如进行基于工控协议的模糊测试来挖掘未知漏洞;
3.具备强大的可扩展性:由于工业控制设备通讯协议和通讯接口不尽相同,因此安全检测产品需要具备强大的可扩展性,方便进行支持的设备、协议、接口的扩展;
4.具备较强的易用性:在工业物联网中,能便捷地无需复杂的部署即可对工业物联网中系统及设备进行安全检测,操作简单且能及时生成和查看检测结果。