时间:2022-10-14 09:53:59
引言:寻求写作上的突破?我们特意为您精选了1篇5G+工业互联网网络安全探讨范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
1引言
随着我国通信技术的不断发展,尤其是5G通信技术的成熟落地,新型通信技术与工业互联网的融合,必将引发深刻的技术变革,对于提高工业的生产效率、智能化等方面都具有重大的现实意义,必将加快我国新型工业化进程,为中国乃至世界的经济创造源源不断的发展机遇[1-2]。正因如此,工业互联网领域的网络攻击造成的影响非常大,相比于传统互联网,5g+工业场景下的网络攻击,更为多样化和复杂化,传统网络安全技术手段在针对5G+工业互联网环境下,远不能满足工业生产应用需求,因此针对工业互联网的网络安全研究越加受到人们的关注[3]。
25G+工业互联网网络安全威胁分析
5G通信技术与工业互联网的融合,为万物互联提供可能,但同时开放的网络环境也改变了工业生产环境原有的封闭性。随着工业互联网设备的持续投入,越来越多的工业联网设备面临着遭受网络攻击的风险。加之企业尚需时间从封闭的工业互联网维护思维转变过来,导致网络安全意识淡薄、防护手段重视不足、应急支撑能力不足,5G+工业互联网安全方面面临诸多挑战。
2.15G环境下工业互联网虚拟化技术安全威胁
2.1.1网络虚拟化威胁
工业互联网业务需求存在很大的差异,难以制定统一标准,这也要求5G采用更灵活的按需组网方式-网络切片[4],网络切片技术将物理网络划分成多个独立虚拟网络,以此保证网络间的独立性,而不会影响整个网络传输。但现有的网络切片规范,没有对不同网络切片间做出匹配要求,因而在实际应用中,虚拟网络难以做到真正的独立,攻击人员一旦攻破其中一个切片的数据,通过不同安全域间的非法发文、数据窃听、木马等攻击手段,就很有可能获得访问其他切片的权限。另一方面,5G为满足工业互联网海量接入的需求,5G核心网部分UPF网元会下沉到基站侧,这导致传统的网络安全防护手段难以应用,一定程度上更容易遭受攻击[5]。
2.1.2平台虚拟化威胁
随着云计算、虚拟化平台技术不断成熟,大量系统开始部署于云端,这增大了工业数据保护的难度。相比于传统系统部署方案,基于虚拟化技术的工业互联网平台中多个客户共享同一个计算资源,虚拟机之间的隔离和防护通常成为黑客攻击的重点,跨虚拟机的非授权访问风险尤为突出。多数企业在设计平台之初,还是依照传统的设计思维,投放较大的精力用于业务平台的功能性,而很少投入到平台的安全架构上,这导致黑客常常利用虚拟化平台的设计缺陷,进行权限绕过、缓冲区溢出、未授权访问等攻击。
2.25G环境下工业互联网终端安全威胁
5G的海量接入能力,为各种各样的工业智能终端接入工业互联网提供了方案。但随之而来的,工业智能终端的各种网络安全缺陷与漏洞也同样引入到工业互联网中,进而将5G+工业互联网的网络安全问题复杂化。工业智能终端通常都配有调试端口,通过调试端口登入的账户,通常具备很高的系统权限,一旦成功接入系统,攻击者就可利用系统级权限进行内网的入侵渗透,这为实施攻击者提供了有力入侵条件;大量物联网设备采用相同或相似的嵌入式操作系统,这为实施大规模网络攻击提供了便利条件。物联网设备由于安装位置分散,数量庞大,很难其系统漏洞进行及时的更新升级,攻击者利用已经披露的系统漏洞进行批量入侵操作,即可造成大规模的网络攻击,甚至直接影响工业的生产活动;物联网终端设备为节约计算资源,很少采用复杂的认证机制或额外增加认证等安全芯片来实施访问控制,导致通信往往直接使用http之类未加密的协议,一旦通讯流量被截获,对流量进行解析并实施中间人攻击很容易实现。
2.35G环境下工业互联网数据安全威胁
5G与工业互联网的深度融合产生的海量数据,具有十分广泛的应用前景,通过大数据挖掘技术,可以促进新的业务模式与数字经济发展。但同时,我们也需要将更多的数据信息开放在互联网上,这导致工业数据的未授权访问、数据泄露等风险增大[6]。一方面工业生产中,在生产管理、生产操作、产品销售等各个环节都会产生大量数据,与传统的互联网流量数据相比,工业互联网中,工业通信协议(S7、Modbus等)让工业互联网数据更为复杂、种类繁多,其对安全防护需求等级也不同,导致针对数据的分类分级非常困难,难以开展差异化分级防护。另一方面,工业数据一部分通过云平台进行存储,一部分直接存储在终端设备上。但无论哪种存储方式,都存在数据丢失、泄露、篡改的安全风险。云平台的虚拟化技术难以做到完全可靠的隔离,导致跨虚拟机的非授权访问,从而引发数据泄露、篡改等问题。而对于存储在终端的数据,考虑到工业生产环境相对恶劣的条件,会影响工业互联网设备的平稳运行,导致数据丢失。
2.45G环境下工业互联网管理人员能力不足安全威胁
相比于传统的互联网环境,5G+工业互联网网络和系统的集成部署复杂程度要大大高于前者。这也给工业互联网的管理者带来的巨大的挑战。作为工业互联网的安全管理人员,应充分重视工业互联网的安全性。除关注传统互联网安全漏洞外,对物联网设备的安全漏洞也应及时了解并学会应急处置。同时,工业互联网的管理者也应合理地制定海量物联网设备的快速更新升级的方案。一旦物联网设备出现严重的网络安全漏洞,管理人员将不得不面对海量设备的升级更新问题。如何在对物联网设备进行升级的同时,确保生产环境的稳定安全运行,是管理者必须面对和解决的问题。
35G+工业互联网网络安全应对措施
3.1提高虚拟化技术的安全性
首先工业互联网复杂的网络需求对5G网络切片的安全性引入了诸多风险。因此网络切片应尽可能提供差异化的安全认证机制,以满足不同类型的工业互联网接入设备的安全需求。安全的5G的网络切片应充分考虑不同算力的工业互联网设备(如低性能的物联网传感设备、高性能的上位机工控设备等)在安全机制上的不同需求,提供差异化的认证方法、隔离策略、完整性保护算法、加密算法、凭证类型。其次,确保切片网络之间的传输安全性。工业互联网环境下,网络切片间的通信更为复杂,为确保数据在传输过程中的安全性得到保障,要考虑为每个网络切片定义不同的访问安全机制以及会话安全机制,在NRF与不同层级之间进行通信时需要增加信息验证。最后,安全隔离需要根据网络切片的实际使用场景,确保网络切片实例之间资源不会相互影响。从物理层面看,基于虚拟化技术的网络切片共享着相同的硬件资源,提高端到端的切片隔离,可以防止某个切片的安全漏洞对其他切片造成影响,消除攻击扩散、数据泄露的风险。
3.2提高工业互联网终端的安全性
5G+工业互联网场景下,联网终端设备种类繁多,对于传统传感器、新型智能节点、网络设备、服务器设备等需提供差异化的网络安全防护手段,将安全防护功能应用到工业控制设备、边缘计算节点、通用计算设备上,提供基于硬件的网络安全防护能力。对于物联网设备,可通过增加安全加密芯片,保证数据安全;对于通用类计算设备,研发集成安全能力的工业控制设备、安全路由、安全网关、安全边缘节点、可信服务器等,为工业互联网平台提供基于硬件的安全防护能力。如安全增强型PLC、安全网关、安全路由器、可信服务器,构建从基础设施层到应用系统层的安全计算环境。
3.3提高工业互联网设备的软件安全性
工业互联网设备软件安全威胁主要来源于操作系统漏洞以及其上的应用软件安全漏洞。对于通用型操作系统漏洞,一方面需要对系统进行及时升级并定期更新系统补丁,另一方面需做好系统进行安全加固,通过禁用不必要的操作账号、关闭非必需的服务(ssh、telnent、smb等)、增强密码复杂度、配置操作日志等,能够有效阻挡黑客攻击。对于嵌入式操作系统,应主动开启安全启动,开启此功能后,微处理器会在运行固件前,对加密密钥和固件的位置进行验证,同时可以启用处理器的受信任执行环境功能,在微处理器中开辟一个专门安全区域存储系统固件。其次限制内存分配。应该为缓冲区、操作系统和应用程序分配足够的内存空间,通过优化内存管理功能,能够有利于保持嵌入式系统平稳运行,并有效防止内存遭受缓冲区溢出攻击。
3.4提高工业互联网云平台的安全性
为确保工业互联网云平台的安全,平台在设计之初应充分论证并加入各项安全机制。首先通过建立统一的权限管理机制,实现访问控制、用户身份认证、用户身份鉴别,满足工业互联网云平台访问权限的需要。合理的权限访问机制,进行权限分级,可以限制低权限的用户对非授权安全域之间的非法接入,从而避免节点和虚拟化环境数据的非授权访问。其次,利用加密手段保证,据工业互联网数据的分类分级,采用分级加密存储措施,包括单密钥和多密钥等多种加密方式。针对关键业务数据和用户个人信息等重要、敏感数据,不仅需要防泄漏、丢失和篡改,还要进行工业数据备份,以确保当发生数据丢失时通过备份的数据进行恢复,保证工业应用系统的业务数据安全及系统服务的连续性。
3.5提高工业互联网数据的安全性
5G+工业互联网场景中会使用海量智能节点、物联网设备,此类设备每天会产生大量的数据,其中不乏设计工业参数等敏感数据。为做好数据的防护工作,防止企业隐私数据遭到泄露。首先可以在边缘计算服务器与基站之间,建立鉴权流程和安全隧道的通信,保证工业互联网数据的机密性和完整性[7]。另其次应做好工业互联网的网络安全监测。通过在工业互联网内使用入侵检测、流量探针、态势感知等相关技术,实时获知工业互联网的安全态势及威胁动态。同时在网内部署数据库审计、操作日志审计等安全审计设备,能够实时记录人员对数据的各类操作,并对可疑的数据操作进行监测预警,有效降低敏感工业数据泄露的可能性。最后,在工业数据销毁环节,也要做好充分的安全保障。考虑到5G+工业互联网,海量的工业生产数据会占据了大量数据存储资源,定期对工业数据进行销毁可以有效降低数据存储成本,提高工业应用的服务效率。在工业数据销毁过程中,需采用科学的销毁方式,建立规范的审批、记录流程,专人监督数据的销毁过程,保证数据销毁的不可逆的同时防止工业数据销毁不当引发的数据丢失和泄露的风险。
3.6构建5G场景下工业互联网的网络安全应急管理体系
构建可靠的工业互联网网络安全应急管理体系,对应对5G+工业互联网面临的日益增多的网络安全事件具有重要的现实意义。一是建立网络安全监测和预警系统,实现生产、办公网络的网络安全信息共享,一旦监测到入侵、DDoS、蠕虫攻击等网络安全事件,应急处置中心通过研判事件级别,启动网络安全应急响应预案。二是定期举行网络安全应急演练,通过应急演练,可以培养全员的网络安全意识,及时发现网络安全处置的短板,提升应急管理水平。
3.7引入新型网络技术提高工业互联网安全性
人工智能技术的兴起为解决网络安全问题提供了新的思路。将图数据库技术应用到工业互联网安全漏洞库中,可以解决漏洞数据利用价值低、关联分析手段欠缺、可视化程度不足等问题。通过原始数据信息提取、关联关系分析、数据存储等手段,将数据导入到图数据库,可以实现高效存储、查询,并从时间、空间、关联关系等维度进行漏洞数据分析。进一步借助知识图谱技术,可以将工业互联网安全漏洞知识库与漏洞修复技术进行深度关联,进而实现智能化的工业互联网漏洞发现、漏洞自动修复功能。
4总结
5G与工业互联网的融合,将为工业互联网发展带来新的机遇和动能。面对5G+工业互联网更为复杂化的网络环境,本文从5G环境下网络传输安全、终端安全、数据安全等方面阐述了潜在的网络安全威胁,并进一步给出了相应的应对措施。
参考文献:
[1]吕廷杰.5G与产业互联网:重构数字经济生态[J].新经济导刊,2019(3):4.
[2]马红燕.“5G+工业互联网”推动企业数字化转型探究[J].现代工业经济和信息化,2021,11(4):3.
[3]杨波,宋翼.5G在工业互联网中的安全应用研究[J].通信技术,2020,53(11):5.
[4]陶耀东,贾新桐,崔君荣.工业互联网IT/OT一体化的安全挑战与应对策略[J].电信网技术,2017(11):5.
[5]杨鑫,时晓厚,沈云,等.5G工业互联网的边缘计算技术架构与应用[J].电子技术应用,2019,45(12):5.
[6]彭磊.新基建时代如何保障工业互联网数据安全[J].中国工业和信息化,2021(8):7.
[7]孙念,傅为政.基于大数据的工业互联网安全分析[J].数字通信世界,2020(5):1.
作者:岳守振 张琦 吕金华 李仲龙 单位:国家计算机网络与信息安全管理中心吉林分中心