一、“5G+工业互联网”新趋势
从国家战略规划层面来看,数字化转型是十四五期间的一个重要目标,5G和工业互联网作为新基建的两个重要方向为数字化转型提供了强大推力,其中网络安全建设更是保障数字化转型稳步推进的重要力量。
要实现整个社会的数字化转型,网络化是首要条件。我们通常所说的互联网更多指的是消费互联网,而工业互联网作为数字化转型的重要基础,发展相对滞后。当前,大多数企业实现了办公自动化、信息化升级,但从信息产业化连通的角度来看,各个系统之间、各个企业之间还是信息孤岛的状态。数字化转型首先需要推动深度网络化的发展,将人、物、设备连接起来,打通上下游产业链。此时,工业互联网成为实现深度网络化的重要方式。
5G作为新一代信息通信技术演进升级的重要方向,是满足工业场景下特殊应用场景连接需求的重要支撑技术。工业生产中的各种图像、视频、以及运行控制数据非常庞杂,同时对数据交互的运动性、低时延等提出很高的要求,此时必须通过5G的超大带宽、超低时延、高可靠性以及海量连接等特性,将数据及时回传和下发,实现数字世界和物理世界的同步。
在已有成熟的网络化和信息化技术的基础上,大力发展“5G+工业互联网”,成为实现社会数字化转型的关键突破点所在。同时,结合数字化及智能化技术,推动物理世界与数字世界的全面映射和信息同步,最终实现生产力的高速提升。
二、“5G+工业互联网”的安全挑战
“5G+工业互联网”的应用和落地,打破了传统工业生产相对封闭可信的网络环境。技术的融合将大量ICT领域的威胁和挑战带入工业OT网络,病毒、木马、高级持续性攻击等安全风险一旦在工业互联网中爆发,将会造成巨大经济损失,并可能带来环境灾难和人员伤亡,甚至危及公众安全和国家安全。
“5G+工业互联网”与传统的工控系统安全和互联网安全相比,除了传统意义上的安全威胁以外(如:边界安全、主机安全、应用安全、数据安全等),其安全挑战主要来自以下三个方面。
2.1 新技术的应用带来技术场景安全挑战
一方面,5G作为新一代移动通信技术,采用了众多的新技术,如SBA、NFV/SDN、MEC、网络切片技术等。新技术在带来网络能力全面升级的同时,也使得网络边界变得模糊、网络的风险点不断增加,加剧了信息泄露、数据窃取的风险。
另一方面,随着工业互联网工作的推进和落地,日益开放的网络在造成大量工业互联网设备暴露在互联网上的同时,工业互联网平台和标识解析体系的部署和应用也给安全防护体系建设带来了新的技术场景安全需求。
面对5G与工业互联网技术的融合,我们除了看到数字化能力全面升级以外,还应该看到新技术不断应用所带来的新技术场景安全问题。在不断挖掘技术潜力的同时,更应该关注安全能力的建设和融合。
2.2 新的业务模式带来业务场景安全挑战
着眼5G核心网,在SBA、NFV/SDN、网络切片等技术背景下,其信令业务交互模式相较于前几代网络也发生了本质的变化。网元功能分离、自动化编排等能力在进一步提升移动通信网络灵活度和适应性的同时,也引入了信令风暴、网元违规访问等核心网业务安全问题。着眼5G垂直行业应用层面,除了传统的网站、邮箱等应用业务安全问题之外,AR/VR、智能驾驶等新的应用业务场景也使得安全的范畴在不断扩大。
着眼工业互联网领域:一方面,千行百业业务应用的网络安全需求存在巨大的差异性;另一方面,IT/OT的跨界融合,使得生产安全管理和网络安全管理的界限变得模糊,企业的控制和操作安全受到威胁,网络攻击从IT层渗透到OT层,造成了工业系统业务中断等风险。
产业的创新和升级是“5G+工业互联网”的根本目的和必然结果,我们一定要重视业务应用层面安全问题的解决,以保障产业健康稳定的发展。
2.3 安全运营能力不足带来攻防对抗安全挑战
工业互联网设备具有种类繁多、数量巨大、而安全能力薄弱等特点。同时,工业设备软件更新缓慢、用户及设备厂商通常无法及时发现或修复漏洞,最终造成设备漏洞较多。设备漏洞的存在进一步使得攻击者更容易利用其构建完整的攻击链路,更容易制造病毒长期危害工业互联网安全的问题。近几年全球水电、核电、制造等重要行业的企业遭受病毒攻击和感染的事件众多,大范围停电、生产线停摆等重大问题不断出现。
传统封闭的工业网络使得企业对网络安全问题重视度不高,而随着工业互联网的不断推进和落地,联网程度的不断提高,在工业互联网设备的安全状态不能快速改变的现状下,安全运营能力的高低成为衡量工业互联网安全整体水平的重要方面。
三、智慧安全3.0,助力“5G+工业互联网”安全
“智慧安全3.0”理念是绿盟科技在数字化经济形势下对网络安全面临的新挑战的观察和对未来发展的深度思考,是基于自身多年安全实践所提出来的创新型安全理念体系。该理念的提出旨在构建“全场景、可信任、实战化”的体系化安全能力,达到“全面防护,智能分析,自动响应”的防护效果。
聚焦“5G+工业互联网”所面临的安全挑战,绿盟科技以场景安全为切入点,突出可信任、实战化的安全防护思想,着力构建“5G+工业互联网”新场景下的安全防护体系,为推进社会数字化转型保驾护航。
3.1 绿盟科技5G安全防护体系
绿盟科技5G安全防护体系充分考虑传统防护理念和创新安全理念的深度融合。在深入理解5G安全需求的基础上,结合多年的网络安全技术和经验积累,创新性地提出了“以集中化态势分析为核心、以全方位安全防护体系建设为根本”的“3+X”5G安全整体防护思路,着力打造智能、敏捷的5G安全运营闭环。总体安全体系架构如下图所示。
一方面,整体思路着眼于5G网络的全域安全防护体系建设,实现针对终端域安全、边缘域安全、核心域安全、应用域安全和管理域安全的全覆盖。通过传统安全产品和技术的升级和改造,以及针对性的创新研究和突破,实现安全能力与5G安全需求的完美适配。
另一方面,着力打造集中化态势分析系统,以大数据分析为基础,实现针对5G基础设施安全(维度1)、5G网络服务安全(维度2)以及通用应用安全(维度3)3个方面的态势分析,并重点研究5G与各垂直行业的融合安全,实现针对千行百业特殊应用的垂直行业应用态势分析(维度X)。
整体防护思路以态势分析作为核心分析和处理的决策点,以防护体系作为态势分析决策的执行点,同时也作为感知点为态势分析提供源源不断的数据支撑。两大体系双向联动,最终实现智能、敏捷的安全运营闭环打造。
3.2 绿盟科技工业互联网安全防护体系
绿盟科技工业互联网安全防护体系,是由安全基础设施、安全运营、安全管理和政府/行业安全监管四个组成部分构建的一体化动态综合防御体系。总体安全体系架构如下图所示。
工业互联网安全防护体系围绕工业互联网平台、网络、数据、主机、接入等方面构建整体安全防护保障体系。对工业互联网平台边缘层、工业IaaS层、工业PaaS层、工业SaaS层面临的突出安全风险进行深度分析,应用工业互联网平台安全防护核心技术,形成抗DDoS、虚拟机逃逸、镜像篡改、数据窃取与篡改等安全防护手段。利用纵深防御安全能力模型,形成边界安全、业务和应用安全、数据安全的工业互联网平台整体解决方案,从而形成完整的防攻击、防病毒、防入侵、防窃密、防控制等综合安全防御能力。
同时,通过对工业互联网平台流量、主机、设备等进行全面、可靠的网络安全监测分析,形成对工业互联网的综合安全态势监管能力保障,从威胁识别、通报预警、风险评估、应急响应、溯源分析等方面对工业互联网平台各类威胁进行研判分析和处置,构建工业互联网企业对其安全的可视化监管、风险管控、处置和分析的全方位安全运营体系,为工业互联网平台可持续运营提供先导性的安全决策与分析手段。
另外,通过完善对工业物联网设备的安全接入和认证能力,借鉴“零信任”网络安全防护体系建设思想,从平台边缘层用户、设备和数据接入层面,有效提升工业互联网平台的接入安全保障水平。
四、总结
“创新驱动发展,加快发展现代产业体系”是当前我国现代化建设过程中的一个重要主题。在新基建的大背景下,5G与工业互联网的深度融合成为现代化产业体系创新升级的重要动力。此时,构建“5G+工业互联网”的安全体系,全面提升网络安全防护水平已经在产业界形成共识。面对经济社会转型过程中迫切的安全需求,绿盟科技愿与各方共同携手,实现共赢,为保障数字新基建的可持续健康发展共同努力。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。