浙江龙网

  1. 首页 > 生活百科 > >

工业互联网设备的网络安全管理与防护研究 网络设备安全( 二 )

互联网防护安全管理网络设备


(二)工业互联网设备安全防护要求分析
工业互联网设备的功能安全、网络和数据安全等 。,需要结合实际应用形式下网络安全漏洞的排查和解决,基于设备的应用周期和智能属性,实施差异化管理保护 。
部分设备在设计开发中没有深入考虑网络安全问题,长期不间断运行,难以进行深度安全检测或部署安全防护措施,存在不同程度的漏洞和隐患 。据中国国家信息安全漏洞共享平台(CNVD) [9]统计,与工控系统设备相关的漏洞数量为2955个(截至2020年12月),工控系统设备每年新增漏洞数量为593个 。根据中国信息通信研究院工业互联网设备安全评估及相关监测结果,相当一部分工业互联网设备存在指令篡改、访问敏感信息、权限绕过等中高风险漏洞 。一些工业安全设备甚至存在高风险漏洞,安全防护能力明显不足 。我国部分工业互联网设备系统持续遭受来自境外的定向扫描和恶意感染,僵尸网络、木马、蠕虫、病毒等攻击和感染,网页攻击和系统攻击的频率和次数不断增加 。中国工业领域广泛应用的罗克韦尔PLC和西门子windows控制中心存在严重的高风险漏洞 。因此,对工业互联网设备中的漏洞进行深入的安全检测,尤其是无损安全检测和防护,已经成为工业企业和设备供应商普遍迫切的需求 。
从设备应用周期和适用的网络安全防护措施来看,工业互联网设备需要进行差异化、分类化的网络安全管理和防护 。一个是已经部署的“库存”设备 。由于其资源和性能有限,且长期运行,很有可能长期没有进行网络安全检测,难以全面掌握潜在威胁 。对于该类设备的安全防护,需要详细分析实际应用情况,通过防护措施叠加、监测感知等方式加强风险防控 。另一类是新应用的“增量”设备,特别是具有远程控制、数据采集分析、计算处理功能的智能设备,多采用通用操作系统(如嵌入式Linux等) 。),在一定程度上降低了攻击者的入侵难度;如果一些智能设备被恶意控制和攻击,可能具有大规模主动扩散能力,成为“跳板”后成为智能攻击的一部分;对于该类设备的安全防护,需要整合自身功能、应用场景,支持业务需求,加强自身硬件安全防护、网络通信、数据安全等机制的设计,采取网络安全感知、监测预警、应急响应等措施 。
三.工业互联网设备安全领域的国际进展
(1)安全监督和审查
传统工业强国的网络安全法律和监管措施不断升级,网络安全审查逐步加强,涉及相关设备和产品的安全保障能力审查,以及设备和产品全周期、设计、应用等环节的安全机制审查 。
美国将网络安全审查提升为国家战略和国际竞争手段 。其网络安全审查涵盖政府采购、关键信息基础设施保护、对外投资和供应链等方面,并建立了较为完备的审查组织、程序和标准 。其中,供应链审查制度是美国网络安全审查的关键方面,具有代表性;针对相关技术、设备、产品等供应链安全审查的内容和范围逐步完善,出台了一系列强制性安全审查规范,要求企业签订网络安全协议 。2000年,美国国家电信和信息系统安全委员会发布了《国家信息系统安全采购政策》,要求产品在入侵检测、防火墙、操作系统、数据库管理等方面 。必须通过国家信息保障联盟(NIAP)通用标准评估和认证系统框架下的风险评估和认证[10] 。2015年,美国财政部和商务部要求国家标准技术研究院(NIST)根据相关技术标准进行供应链安全风险审查[11] 。2020年,美国颁布了《物联网网络安全改进法案》,禁止联邦机构购买任何不符合最低安全标准的物联网设备,并要求NIST公布联邦政府使用物联网设备的标准和指南[12] 。
英国要求相关设备和产品通过政府通信总部制定的通信电子安全团队的安全认证后才能销售 。俄罗斯工业和贸易部侧重于对外商投资战略性工业交易的安全审查[13] 。
(2)安全测试和认证
网络安全检测认证是设备产品进入市场应用前的重要环节,也是一些国家法律要求的环节 。目前,国际网络信息安全认证评估体系趋于稳定,国际通用认证标准逐步建立,欧洲创立的国际通用认证规则(CC)和信息技术安全评估标准(ITSEC)并存 。
各国的网络安全测试认证大多由相关机构或协会承担,委托实验室、企业和专业机构具体实施 。评价体系通常由一个评价认证协调机构、一个评价认证实体和若干技术检测机构组成 。例如,美国由NIAP管理,并授权给相关实验室、公司和其他评估机构 。目前只颁发通用标准证书 。英国由通信和电子安全局管理,德国由信息安全局管理 。两者都授权商业评估机构进行测试和认证,并颁发ITSEC和CC证书 。

推荐阅读


上一篇:用水缸养龟是否可行? 坛子里养乌龟

下一篇:头很痒怎么办 头痒怎么办