首页 >> >> 安全 >> 正文
中国工程院院士邬江兴:拟态防御技术保障工业互联网安全
  • 工联网
  • 2021年2月2日 09:01

工联网消息(IItime) 在新基建浪潮下,工业互联网受到更多关注。作为推动我国产业体系新旧动能转换的重要抓手,工业互联网将互联网和新一代信息技术与工业系统全方位深度融合,形成全面数据化、应用智能化、高度可靠化的产业新生态和新型的应用模式。

但随着工业领域自动化、数字化、信息化和智能化需求的日益增长,特别是人工智能、大数据、互联网等技术的不断渗透交融,使得工业控制网络自身得到长足发展,同时也带来前所未有的挑战。我国国家工业信息安全产业发展联盟统计的数据显示,中国工控系统95%以上仍存在漏洞,65%属于中高危漏洞,33%属于高危漏洞,可以轻易被远程控制。

工业互联网安全问题亟待解决

当我国的制造业与互联网“强强联合”,业界已经达成共识的第四次工业革命“工业互联网”概念便顺势而出。相较于互联网与工业互联网的安全体系,工业互联网与互联网虽同为网络空间的一部分,但除具有互联网存在的内生安全问题外,工业互联网还有一些不同之处。

中国工程院院士、之江实验室网络安全领域首席科学家邬江兴讲道,工业互联网存在两大挑战。首先,信息技术和网络技术的深度运用,使得功能安全或可靠性问题与网络安全问题交织在一起,在多数工作场景中功能安全与网络安全已密不可分。  

其次,工业控制网所连接的系统建设跨度长、所连接设备类型与范围广,未暴露的软硬件漏洞后门多,生产操作网络一旦与互联网关联,必然使原先被物理隔离的工业设施一跃成为网络攻击者的新目标,影响范围可直达生产一线的机器设备,可能会给实际生产设施造成严重的物理损坏。

对此,邬江兴表示,鉴于当前工业互联网领域的安全解决方案尚无法做到可量化设计与验证,若不能在系统或设备软硬件层面导入内生安全新技术内涵,即使将互联网那一套安全防护措施照搬照用,也很难打造有安全质量保证的工业互联网使用环境。因此,需要从架构设计层面出发,将差异化的不确定威胁转化为系统层面的可控概率问题,再运用可靠性理论与技术加以解决。

拟态防御技术保障工业互联网安全

众所周知,工业互联网由网络、平台、安全三个部分组成。其中,网络是基础、平台是核心、安全是保障。目前国内的工业互联网平台来看,大部分还是以入侵检测、访问控制、加解密、容灾备份、智能安全态势分析等传统信息安全防护手段为主,尚未能彻底解决基于潜藏于信息系统或控制装置内部的漏洞后门问题。

对于工业互联网新技术下产生的新安全问题,邬江兴提出网络空间拟态防御理论。网络空间拟态防御理论的核心思想是“结构决定安全、变结构产生内生安全效应”。基于拟态构造不仅能解决网络安全性不能量化设计、验证的难题,还能够一体化防御未知漏洞后门或随机性故障引发的不确定安全威胁。

据了解,之江实验室目前已经完成了拟态工业云平台、数据中心、传统仪控(DCS)、可编程逻辑控制器(PLC)、网关、交换机等核心设备的研制与测试工作。这些拟态构造工业互联网设备,具有“测不准效应”,能够形成独特的“拟态防御迷雾”,它能够有效解决工业互联网内生安全问题,有效防御“挖漏洞”“设后门”“植病毒”“藏木马”等基于软硬件内部漏洞的经典网络攻击,让安全有效直达工业生产第一线。 

此外,邬江兴表示,健全安全保障体系应从政策制度、技术标准、设备生态、人员操作规范四个维度着手。 

在政策制度方面,建立健全数据共享与保护制度,对进行数据共享的企业给予政策倾斜,对破坏合法数据共享的行为进行处罚;

在技术标准方面,建立完善的行业技术标准,规范安全性测试度量体系;

在设备生态方面,构筑基于内生安全技术的设备与服务生态,为新生行业和升级转型中的行业提供信息安全与网络安全保障;

在人员操作规范方面,加强对设备操作人员、管理人员等安全技能基础的培训力度,强化安全意识与安全防护技能。

可见,作为发展中的事物,工业互联网的安全领域仍有很多东西值得探索和追寻,需要产业上下游共同营造安全的工业互联网生态。

编 辑:田小梦
分享到: