工业互联网安全:大风起于青萍之末
全面解析工业互联网安全面临的机遇和挑战。
工业互联网安全的春天: 青萍之末
随着全球及我国的工业互联网产业发展,带来了新的机遇,也带来新的挑战,在安全领域体现尤为明显,无论是信息安全领域还是工控安全领域。随着工业与互联网,即OT 与IT的融合,网络战从原来的通过人、导弹,到未来的通过网络虚拟空间摧毁实体空间。
工业信息安全是工业生产安全和网络空间安全相融合的领域,包含了工业数字化、网络化、智能化运行过程中的各个要素、各个环节的安全,主要体现为工业控制系统安全、工业网络安全、工业大数据安全、工业云安全、工业电子商务安全、工业APP安全等。
全球的工业信息安全产业发展,根据工信部提供的数据,市场规模保持稳定增长,预计2017年138亿美元,到2023年达228亿美元。其中终端安全约占47%,网络安全占33%,其他(应用安全、云安全等) 占20%。
其中安全技术也在这个风起清萍之末的时机持续升级,诸如安全可视化、态势感知、积极防御等技术均随着全球工业信息安全产业的发展得到了科研界、产业界的关注。
我国在全球的大浪潮中,不甘示弱,国家的政策法规充分利于行业发展。如: 2015年5月 中国制造2025,2016年5月 关于深化制造业与互联网融合发展的指导意见,2016年11月 网络安全法,2016年12月 国家网络空间安全战略, 2017年11月 深化“ 互联网+ 先进制造业“ 发展工业互联网的指导意见,2017年12月 工业控制系统信息安全行动计划(2018-2020年), 2018年 6月 工业互联网发展行动计划。
我国工业信息安全产业规模高速发展,细分行业覆盖政府、电信、金融、教育、工业等。行业格局有所调整,地方政府投入显著提升 2017年达1.79亿元,电力行业 2017年达1.43亿元,石油石化达1.16亿。
随着工业互联网产业联盟的建立,我国工业互联网的顶层架构已经具备。
企业参与工业信息安全业务也持续增长,据工业信息安全产业联盟数据统计,国内有138家企业涉足。
根据工业企业调研,80%企业认为安全投入应占工业互联网投入的5%-20%。大约8亿的市场空间。
工业互联网安全之挑战: 跬步千里
提到工业互联网,离不开智能制造这个概念,严格说来,中国符合智能制造的企业大约只有5% . 走在前沿的企业,如海尔已经开发了海安盾,赋能海尔工业互联网平台,基于零信任安全,重新定义工业互联网安全,每天预警和阻断互联网攻击10万次。
德国已经提出工业4.0的概念,但我国很多工业企业还没有达到工业3.0,工业化发展水平参差不齐,因此智能制造要解决五大难题:安全生产、环保、节能降耗、提升质量、降本增效。
不积跬步无以至千里,智能制造,安全为先,包括 safety+ security。工业企业关心的不是数据,而是生产。我们可以理解工业信息安全为三个方面:终端数据安全(仪器仪表、传感器数据等)、网络安全、数据中心信息安全。
在大多数的工业企业,我们还在建立基础的层层防御的级别:
1、多层次防火墙安全防护架构
2、应用层防护
3、内容加密等
4、以服务为核心建立智能运维中心
这个层层防御还仍然是网络安全范畴,对于工业企业还关心工业控制安全。传统上,这是两个独立领域,随着工业互联网产业的发展,对于两个领域安全的融合提出了新的挑战。
工业互联网安全之迷思:道阻且长
工控安全对于我们广大网络安全领域的厂商还是新的课题。我们可以以社会治安为比喻,在工业互联网产业中也存在工业控制治安。信息化的控制系统一切行为和风险都反映在运行数据中。
按照中控集团创始人、宁波工业互联网研究院创始人褚健老师的观点,工业信息安全包括三个层次: 虚拟网络空间如同水上,水面主机屏幕安全,水下控制系统等硬件系统的安全。
如何统一这三个层次?这里存在很多矛盾和难点,比如: 安全和控制系统之间的矛盾?不同安全产品之间的矛盾?工业生产企业顾虑安全实施是否带来更多的风险?安全投入成本问题?缺少工控安全普遍运行规则?工控系统私有协议问题?等等。
2018年8月3日的台积电勒索停产事件,台湾三个工厂出问题,损失近2亿美元,让我们看到工业互联网安全问题的迫切性。数据是核心,网络是基础,安全是前提。
Gartner IT-OT自适应安全架构给了我们一些基础参考,但在此基础上如何建立IT-OT一体化的自适应防护架构,仍然是一个问题。对于工业企业而言,工业互联网安全治理是一个长期的过程,需要充分考虑近期、中期、长期目标;需要战略投入和战术实施。
对于每一个从事网络安全的企业,也提出了新的挑战,如何针对性的提出满足工业互联网企业的网络安全方案,并和工控安全相结合,,从而更精准的满足工业企业的安全需求。
工业互联网安全之新星:流量可视化
安博通针对工业互联网的需求,推出新一代流量可视化产品,满足工业互联网领域以下三种典型场景的应用。
1、配合安全产品/态势感知平台
• 僵尸网络分析:结合域名、应用行为等信息进行DGA分析。
• 沙箱系统联动:上传文件/文件MD5等消息。
• 威胁情报系统联动:上送IP/URL等信息匹配信誉库。
• 报文抓取:分析攻击行为时,调取特定条件的报文。
• 会话抓取:分析攻击行为时,调取特定的会话。
• 流量趋势抓取:分析攻击行为时,调取特定的流量趋势。
• 按需上报:将提取的报头/载荷/特定协议和应用信息上报。
2、性能方向
业务方向
• NPM:时延、重传、RTT分析、抖动…
• APM:应用性能分析、应用和网络的边界。
针对的用户特征
• 存在带宽利用率检查需求,例如广域网专线。
• 业务复杂系统,经常变化,需要通过流量层面核查。
• 网络/应用性能存在问题,但边界界定不清。
• 存在流量调度需求,以采集到的性能数据作为依据。
• 需要分析网络中流量成分,协议、应用层面。
• 行业客户定制倾向明显。
3、内网可视化分析和追溯方向
业务方向
• 分析内网有哪些应用在跑,流量分布如何。
• 分析特定业务的用户/区域/时间使用情况分布,热度和趋势等。
• 分析特殊场景的流量情况,例如视频监控。
• 追溯需求,全包存储。
针对的用户特征
• 大型企业行业网,内网应用数量较多,使用情况比较复杂。
• 网络连通性、冗余性已经没有问题,但对流量应用不清晰。
• 公共安全行业调查取证类需求。