2022网信自主创新调研报告-工控安全
《网信自主创新调研报告》已经连续发布5年了。这5年也是XC工作不断推进并取得显著成效的时期。在这5年里,随着应用范围的不断扩大,自主创新的网信产业快速发展。未来一个时期,网信产业将面临新的机遇和挑战。为此,《2022网信自主创新调研报告》以“深化自主创新”为主题,对25个产业领域在重点行业的应用情况、存在的问题和对策建议进行了分析和讨论。
22.1.1 工控安全覆盖了全工业生产周期
受“震网病毒事件”的影响,早期的工控安全主要范围集中在从车间/工厂的设备层、控制层、监控层等的安全管理和安全技术的实施。2016年开始,信息化与工业化融合不断深入,互联网技术(4G/5G通信网络、边缘计算、云计算、大数据、人工智能……等)在工业领域得到广泛应用,工业控制系统的数字化、网络化、智能化趋势日益明显,工控安全的范围扩展到泛在的工业互联网网络层和工业云平台等,工控安全也从最初的重视生产一线的设备层和监控层,逐步演变为涵盖“人、机、料、法、环、测”全工业生产周期,构建了以工业互联网云平台、工业互联网络和工业互联网安全三位一体的工业互联网技术体系。由于工控系统的基础经济价值性,加之工控网络的开放性日益增加,使得工控系统成为网络攻击者重要的攻击目标,工控网络安全的重要性也日益凸显。
随着十四五“数字化中国”号角的吹响,更多的工业现场将更多的采用数字化的手段,进一步提升我国在数字化经济时代的领导力。国家相关部门积极推进工控安全工作,如《网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》等网络安全法律法规的落地施行,工控安全进入更加广阔的技术空间和应用领域。
22.1.2 国家政策指引工控安全防护建设
2019年12月1日发布的《网络安全等级保护2.0》系列标准,将工控系统纳入了等级保护范围。工控网络安全进入有标准可供遵循、依据标准建设、治理的阶段。在技术方面,等级保护指出的“一个中心,三重防护”为工业安全防护三同步原则,提供了重要的方向和测评指引。
2019年12月,工信部组织编制了《工业互联网企业网络安全分类分级指南(试行)》,该指南按企业所属行业网络安全影响程度、企业规模、企业应用工业互联网的程度、企业发生网络安全事件的影响程度等要素进行分级,在工业互联网联网企业的防护措施上延续了等保的思想,并在不同类别的企业进行试点,以提升企业的整体网络安全防护能力。
2021年,国务院正式颁布《关键信息基础设施安全保护条例》,其中明确提出的能源、交通、水利、国防科技等重要行业和领域与原工控领域重合。在此基础上,《信息安全技术关键信息基础设施安全保护要求》也正式发布,将于2023年5月1日正式施行。该标准将为我国更进一步开展关键工控领域的安全工作提供有力保障。
另外,在工业数据安全领域方面,随着2021年《数据安全法》正式施行,工业数据承载着工业产品全生命周期各个环节以及相关技术和应用,高效的数据共享和利用能有效的促进工业企业的数字化转型。目前,相关部门正在积极开展各领域的试点和成功案例推广,并以此为基础逐步形成工业数据分类分级,数据安全评估、治理、建设、运营的最佳实践。
22.1.3 工控安全产品和技术方案日益完善
据统计,业内普遍采用的技术、研制的产品可大致分为以下几类:第一类为内生/可信安全技术,如可信PLC、可信工业交换机、可信工业SCADA系统;第二类是安全终端类产品,如工控主机加载执行产品、主机加固产品等;第三类为以白名单为基础的流量访问控制产品,如工业防火墙、工业网闸、安全工业网关等产品;第四类为检测分析类产品,如工业入侵检测产品、工业流量审计产品、日志审计类产品等;第五类为综合类管理产品,如工控安全管理平台、工控态势感知产品、工控资产空间测绘等产品。经过近几年的发展,产业内各供应商的上述产品普遍完成了国产化的适配工作。
在安全防护整体技术落地方案方面,国内工控安全整体技术方案走过了网络隔离、网络纵深防御两个阶段,正处于探索完善工控安全主动防御体系阶段。网络隔离阶段主要通过网关、网闸、单向隔离等设备实现工业控制网络与互联网、办公网等其他网络的物理隔离。网络纵深防御主要通过多种防护手段建立多层级、成体系的多级防线,综合使用防火墙、入侵检测等多种安全技术形成整体防护能力,但这两种安全防护方案在面对复杂的高级持续性威胁时,难以发挥作用。
工控安全主动防御体系主要应对高级持续性威胁和未知威胁免疫,常见的分支技术体系有可信计算和可信网络、多模态主动安全防御、零信任防御体系等,主动防御体系是下一代工业信息安全的主流技术发展方向。
22.2.1 国产软硬件供应链面临挑战
由于历史原因,我国很多工业软硬件及系统过度倾向于采用进口产品,导致自主工业产业发展迟缓。缺“芯”少“魂”的现象在工业领域同样存在,特别是工业软件、高端制造、基础原料等领域出现大量被“卡脖子”的局面。这些情况对工业设计、工业生产和工控安全都提出了很大的挑战。
在工业控制领域,完全面向工业生产制造环境的自主硬件产品还不成熟。设备在现场苛刻环境里的稳定性和性能,是我们面临的一个很大挑战。例如,一些芯片和关键元器件,在工业宽温条件下不足以高质量工作,如工业闪存、工业CPU等关键器件还比较短缺;在工业设计领域,工业设计软件主要依赖于进口;在基础软件领域,缺乏高精度协同的工业协议和实时的操作系统。
22.2.2 技术快速发展引入安全风险
近年来,5G、物联网、云计算、大数据、区块链和人工智能等新技术在工业互联网中大量迭代应用,促进工业的自动化、信息化,以及最终达到数字化。一度非常封闭的工业生产环境也随着OT(Operation Technology)与IT(Information Technology)的融合,引入了更多的安全威胁,其主要表现在:一是原有OT领域的漏洞并没有充分发现,且大多数工业现场不具备升级和打补丁的条件,联网后使被利用的风险增加;二是数据的广泛流动,加剧可用性和完整性的风险;三是APT攻击针对性强、破坏性大,长期威胁工业安全活动;四是企业"内鬼"更容易猖狂等。
从整个工业互联网数字化趋势来看,数字化转型成功必然需要完成IT与OT的完全融合,而工业生产企业的重视安全生产运营远远高于网络安全,这一特性极大地削弱了生产环境应对安全威胁的能力。因此,需要融合IT与OT技术特性应用创新手段解决发展带来的新网络安全问题。
22.2.3 工控安全人才严重缺乏
2017年以来,我国开展了一系列工控安全的意识教育与人才培养工作,为普及工控安全意识,提升工业信息安全知识技能,培养工业信息安全人才队伍打下了扎实基础。但是,随着工业互联网、智能制造的蓬勃发展,产业对于工控安全人才的需求发生了变化。原来的工控网络安全人才主要来源于自动化和原网络安全人才的融合。随着工业数字化转型的推进,工控安全人才还需要掌握生产制造、数字化仿真建模、工艺应用、虚拟现实等各数字化交叉学科。由于工业安全市场相对分散和小众,服务于工控安全的人才供给不足问题日益突出。
22.3.1 以关键信息基础设施安全保护为牵引,强化技术创新
党和国家高度重视关键信息基础设施安全。工控安全的完善需强化基础科学领域创新,提升工业基础自我造血能力;强化供应链深度创新合作,建立并不断完善供应链安全保障,引导技术创新。
(1) 强化工控安全基础科学和基础应用创新
进一步梳理电子、工业设计软件、工业互联网平台、工业边缘等基础领域的实际痛点问题,由关键技术点切入,从共性技术、底层基础、设备设施、上层应用,对控制设备、控制网络、控制软件、设计能力形成工控安全领域协同创新的闭环,促进工控行业的功能安全和信息安全提速发展。
鼓励科研机构、行业企业、安全研究人员等开展合规的工控安全漏洞挖 掘、验证、报送、修复等工作,进一步加强工控领域的漏洞管理生态,加大漏洞发现,漏洞通报与漏洞生命周期管理机制。
建立工业安全情报系统,形成持续健全的漏洞库管理运营机制,及时信息共享,筑牢应急处置能力。
(2) 发挥龙头企业支撑带动作用,引领供应链协同创新
制定技术、管理、工作标准,形成供应链标准参考模型,以实现共同利益最大化为目标的一体化运行机制,充分发挥标准体系在供应链领域的指导作用。应用区块链、大数据、物联网等先进技术,加强开放交互式信息平台建设,促进节点企业能力信息共享、状态信息共享、制造信息共享等。避免技术、工艺变更欺诈等信任机制破坏行为,推动供应链各环节设施设备和信息数据的高效对接,实现信息全链条覆盖。同时对全链条数据进行短期实时动态监控和中长期运行条件监控,以数据为载体推动供应链的可视化,构建信息追溯查询平台,实施数据的全生命周期管理,加强供应链协同管理,实现内外高效协同。
22.3.1 以关键信息基础设施安全保护为牵引,强化技术创新
党和国家高度重视关键信息基础设施安全。工控安全的完善需强化基础科学领域创新,提升工业基础自我造血能力;强化供应链深度创新合作,建立并不断完善供应链安全保障,引导技术创新。
(1) 强化工控安全基础科学和基础应用创新
进一步梳理电子、工业设计软件、工业互联网平台、工业边缘等基础领域的实际痛点问题,由关键技术点切入,从共性技术、底层基础、设备设施、上层应用,对控制设备、控制网络、控制软件、设计能力形成工控安全领域协同创新的闭环,促进工控行业的功能安全和信息安全提速发展。
鼓励科研机构、行业企业、安全研究人员等开展合规的工控安全漏洞挖 掘、验证、报送、修复等工作,进一步加强工控领域的漏洞管理生态,加大漏洞发现,漏洞通报与漏洞生命周期管理机制。
建立工业安全情报系统,形成持续健全的漏洞库管理运营机制,及时信息共享,筑牢应急处置能力。
(2) 发挥龙头企业支撑带动作用,引领供应链协同创新
制定技术、管理、工作标准,形成供应链标准参考模型,以实现共同利益最大化为目标的一体化运行机制,充分发挥标准体系在供应链领域的指导作用。应用区块链、大数据、物联网等先进技术,加强开放交互式信息平台建设,促进节点企业能力信息共享、状态信息共享、制造信息共享等。避免技术、工艺变更欺诈等信任机制破坏行为,推动供应链各环节设施设备和信息数据的高效对接,实现信息全链条覆盖。同时对全链条数据进行短期实时动态监控和中长期运行条件监控,以数据为载体推动供应链的可视化,构建信息追溯查询平台,实施数据的全生命周期管理,加强供应链协同管理,实现内外高效协同。
22.3.2 以技术创新引领工控安全高质量发展
工控网络安全技术在多年发展的基础上,目前已建立起“白名单+访问控制”技术为主产品和服务体系,较好的解决了现役工控系统的网络安全问题,但数字化的兴起面临一系列新的挑战,亟待于发展融合的工控网络安全创新技术解决面临的新问题。
(1) 可信计算在工控安全领域的创新与应用
可信计算作为保障各类信息系统安全的底层基础安全技术,也可以广泛应用于工控系统中,并和工控安全技术相结合,进一步提高工业控制系统安全防御能力。在部分可信安全的试点方案中,通过实施可信保障的安全管理中心,并形成安全计算环境、安全区域边界、安全通信网络三重防御多级可信互联技术框架,达到主动免疫的防护效果。
(2) 工控细分行业场景化的小步式技术创新
随着客户对网络安全认知的理解加强以及相关技术的成熟进步,用户已不满足于仅仅合规建设,提出了适用于现场的需求,同时也促进了不同的工业领域面向工控安全的不少小步技术创新。大概分为如下几类:
首先是特定技术使用场景的融合式创新。如国家电网按自身需求提出的具备过程管控、网络通信代理、恶意代码检测、违规外联管控、高危指令管控等多种安全功能的移动运维需求;在轨道交通领域,提出了能适应车机车载环境运行的,能同时满足信号系统、列车控制系统、乘客系统网络安全的创新性车载防护系统。
其次是网络安全和功能安全的融合式小步创新。如部分行业用户提出了防止误操作和已有网络安全功能相结合的技术创新;一些行业用户提出形成工控网络安全和生产安全一张网,建立大数据安全处置运营系统的技术需求。
(3) 先进技术迭代创新
IT领域的技术更新迭代速度远远快于工控网络。常见如零信任技术思想体系、5G+融合网络、大数据与人工智能等。
比如在工控领域,可以建立工业互联网、工业物联网等细分领域轻量级的零信任技术解决方案,形成动态授权,动态策略,主动响应机制,进一步系统性的加强工业网络主动安全防御能力。
在5G+工业联网安全服务领域,覆盖端、边、管、云的四个安全应用场景,形成5G泛终端内生安全能力感知、切片全流量安全检测、5G MEC云安全 资源池、5G安全编排与工控自动化运营能力的整体技术创新。
最后,随着工业数字化建设浪潮下工业网络互联互通,大数据、人工智能技术在工控安全领域的应用有了可能,通过整合零散的工业安全大数据,运用大数据安全分析模型和人工智能手段,深入挖掘安全风险与攻击事件,可以建立工业网络安全横向威胁感知、AI异常分析、追踪溯源等分析能力。
22.3.3 以工业网络靶场为抓手促进人才队伍建设
工业互联网安全人才除了需要掌握大量理论知识外,更需要注重实践动手能力。因此,工业互联网全方面的攻防研究、测试与实训演练等实验、演练场景对相关人才的培养十分重要。工业网络靶场通过搭建工业互联网安全教学实训平台,实现理论教学与实训教学相结合。基于工业网络靶场,可开展不同知识梯度的安全教学,定制生成工业互联网各种学习、实训、实践任务,能有效满足工业互联网行业人才培养的不同特色需求,促进相关领域产学研的落地。面对工控安全人才极度匮乏的现状,工业网络靶场将在人才教育培训方面发挥着愈来愈重要的作用。