加快推进5G+工业互联网安全的标准化建设该做些啥?
近日,在中国移动5G+工业互联网推进大会上,中国移动联合中兴通讯、中国信通院、北京邮电大学、三一重工、鞍钢集团等单位共同发布了《5G+工业互联网安全白皮书》(以下简称“白皮书”)。白皮书旨在推进5G+工业互联网安全的标准化建设,促进5G与工业互联网深度融合的安全保障水平,加速推动“中国制造”向“中国智造”转型,助力实体经济高质量发展。白皮书针对智能制造、电网、矿山、港口等工业垂直行业在引入5G后的普适性安全需求,为5G+工业互联网应用场景的安全防护提供参考。
5G 赋能工业互联网带来新的安全挑战
5G以其高带宽、低时延、海量连接等特性将大幅提升工业互联网的信息化水平,逐步成为支撑工业生产的基础设施。5G与工业系统的深度融合势必将大量的ICT系统威胁和挑战带入工业OT网络,使得5G+工业互联网与传统的工控系统安全和互联网安全相比,其安全挑战更为艰巨。白皮书根据防护对象不同,分别从以下五个层面分析了5G与工业互联网融合面临的安全威胁。
在工业网络方面,5G 采用网络切片,为不同工业互联网业务提供差异化的服务,因此对网络的安全隔离能力提出更高的要求。其面对的安全挑战包括非法访问、资源争夺、非法攻击等切片间安全威胁,不同安全域间的非法访问、用户数据被窃听、针对公共NF 的拒绝服务攻击等切片内安全威胁,外部网络的非法访问、病毒木马攻击等切片与DN 网络间的安全威胁,非法租户的非法访问、管理员权限滥用、切片敏感信息的篡改等切片管理的安全威胁等。
在控制安全方面,工业控制协议、控制平台、控制软件在设计之初可能未考虑完整性、身份校验等安全需求。为此,其授权与访问控制不严格,身份验证不充分,配置维护不足,凭证管理不严。应用软件也持续面临病毒、木马、漏洞等传统安全挑战。5G 网络使得原来不联网或相对封闭的控制专网连接到互联网上,无形中增大了工控协议与IT 系统漏洞被利用风险。
在数据安全方面,5G 网络基于NFV、云计算、虚拟化技术使得安全边界模糊,流量不可见。MEC 节点位于网络边缘,处于运营商控制较弱的开放网络环境中,数据窃取、泄露的风险相对较高。工业互联网的多业务场景要求安全与业务需求、接入技术、终端能力等相结合,为此对数据管控有更严格的要求,要求企业数据不出园区。这对MEC 中数据存储、传输、处理的安全性提出了较高的要求。
在接入安全方面,5G 网络增大了大量工业IT 软件漏洞被利用风险。5G 开启了万物互联时代,5G 与工业互联网的融合使得海量工业终端接入成为可能,同时也带来攻击风险点的增加,终端设备本身,包括所用芯片、嵌入式操作系统、编码规范、第三方应用软件以及功能等,均存在漏洞、缺陷、后门等安全问题暴露在相对开放的5G 网络中,存在被利用的风险。
在应用安全方面,5G 网络基于网络能力开放技术,与工业互联网深度融合,使得工业互联网可以充分利用其网络能力灵活开发新业务。攻击者可以利用5G 网络能力开放架构提供的应用程序编程接口(API)对网络进行拒绝服务攻击。另外,多个应用间也存在互相非法访问的安全风险。5G 网络能力开放架构面临网络能力的非授权访问和使用、数据泄露、用户和网络敏感信息泄露等安全风险。边缘云平台(MEC)及服务也面临着虚拟化中常见的违规接入、内部入侵等内外部安全挑战,特别是MEC上应用程序缺陷,增加了非授权访问风险。
一体化的5G+工业互联网安全参考架构
5G 与工业互联网的融合,信息安全涉及到工业互联网的各个层面,单一的安全解决方案不能满足工业互联网信息安全的需要,需要统筹考虑,建立统一的安全防御体系。另外,5G+工业互联网安全工作需要从制度建设、产业支持等更全局的视野来统筹安排,让更多企业意识到信息安全的必要性与紧迫性,加强安全管理与风险防范控制。通过构建统一的工业互联网信息安全保障体系,较为全面覆盖接入、网络、控制、数据等安全风险,才能够有效地保障5G引入后的工业互联网安全。基于此,白皮书给出以下5G+工业互联网安全参考架构。
图1:5G+工业互联网安全参考架构
一体化的5G+工业互联网安全参考架构以5G 自身安全能力为基础,以我国的安全政策、相关法律和行业安全规划为主要指导原则,结合工业互联网实际应用场景安全需求,通过融合创新,将零信任、内生安全等前沿安全理念融入定制化安全方案中,在满足相应级别安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心及管理部分要求基础上,最大程度发挥安全措施的保护能力。
定制的5G+工业互联网场景化安全能力
5G 网络为应对新技术新架构带来的安全挑战,参照相关5G安全规范,同时遵循《电信网和互联网管理安全等级保护要求》,提供了无线接入安全、5GC安全、MEC安全、切片安全及管理安全端到端的安全通信能力。但对于垂直行业,特别是对安全要求严苛的工业系统,5G 提供的基础安全能力无法满足不同业务场景下的安全需求。为此,白皮书指出,5G在使能工业互联网的过程中,要以5G自身安全能力为基础,结合工业互联网特征与运营模式,融合零信任、内生安全等前沿安全技术,构建定制化的5G+工业互联网安全方案,来满足工业互联网自身的等级保护要求。白皮书给出可从以下几个方面进行定制化方案构建:
差异化切片满足企业网络安全隔离需求。根据行业的安全隔离要求和需要保障的关键SLA(服务等级协议)选择不同类型的切片,并进行参数配置,从资源隔离和业务保障的角度,无线网络可以提供多种切片隔离技术,从而提供差异化的网络服务。不同业务系统可以根据自身需求选择不同的网络隔离方案。
UPF下沉 +FlexE 支持企业低时延业务需求。为了进一步降低端到端通信时延,可以将5G 网络中UPF(用户面功能)下沉到MEC, 通过将数据、应用、智能引入基站边缘侧,减少数据传输路由节点,以降低端到端通信时延。另外,在5G 网络中采用FlexE 交叉技术来实现网络设备之间的信息传递,它实现基于物理层的用户业务流转发,用户报文在网络中间节点无须解析,业务流交叉过程近乎瞬间完成,实现单跳设备转发时延1~10us,有效解决时间报文的模拟、欺骗。
多重机制提供企业端到端数据安全保障。为降低5G行业应用中数据安全风险,5G 提供了更强壮的数据安全保护方法。白皮书从接入认证、访问控制、数据传输方面给出建议。采用切片二次认证机制,即在用户接入网络时所做认证之后为接入特定业务建立数据通道而进行的认证,从而保证企业对安全策略自主可控;遵循最小权限授权原则,为不同用户分配不同的数据操作权限,避免不可靠来源用户的接入,提供选择多种访问控制方式,另外,对关键敏感数据采用SHA256、AES256 等加密算法进行加密存储;保护数据在网络间传输,可采用5G 新增的安全边缘保护代理功能,以保护工业互联网中数据产生、处理、使用等环节的安全。
零信任架构增强海量终端的接入安全。传统安全采用边界防护方式,即在网络边界验证终端身份,确定用户是否被信任。随着攻击方式和威胁多样化,传统网络接入安全架构凸显出很大的局限性,为此,5G+工业互联网安全架构引入基于零信任安全理念,启用新型身份验证管理模式,充分利用身份验证凭据、设备、网络、应用等多种资源的组合安全边界。5G 工业互联网零信任安全架构下的终端安全接入不再以网络边界为限,无论来自企业网络之外的用户,还是来自企业网络内部的用户,在建立连接前均需进行认证授权。5G 工业互联网零信任安全架构,使得原来的被动防御向主动防御转变,从边界防御方式向内生安全转变,有力保障5G 网络环境下海量行业终端的接入安全。
态势感知保障网络整体安全能力。5G应用于工业系统以后,原有的被动式防御已不可靠,无法有效防止有组织的规模性攻击,迫切需要新的安全技术。5G工业互联网态势感知技术,可以覆盖5G 资产,包括5GC网元、切片、虚机、物理机、中间件等,并能将各层级资产进行关联,根据资产关联关系定位漏洞、脆弱性与攻击事件等威胁事件对业务的影响,能够追踪攻击链定位威胁发生的源头,并分析可能的波及范围,根据资产价值及业务影响来确定处置方式与手段。另外,态势感知还可以基于对网络攻击事件的深度挖掘,结合网络的基础设施情况和运行状态,对网络安全态势做出评估,对未来可能遭受的网络攻击进行预测。
5G与工控系统的深度融合是工业互联网提质增效的关键,在融合过程中必然会带来安全问题。而要调和5G 网络的开放性与工控协议的私密性,特别是解决工控协议安全性较弱的问题,就必须要引入内生安全防御的理念,提升工业互联网自身在安全设计方面的完备性。另外,5G网络的开放性,将加速推动工业互联网跨部门、跨行业、跨平台信息共享和联动处置机制建立,任何一个企业都很难进行单独的防御,为此,基于5G网络的工业互联网企业,需要与移动运营商、设备提供商、安全服务商、监管机构等建立协同机制,共同应对来自5G、工业等跨领域、跨行业的安全挑战。
目前5G工业互联网安全防护发展尚处起步阶段。此次白皮书的发布,为5G赋能工业互联网提供了安全参考,随着5G融入工业互联网的广度和深度持续增强,有必要引入新的安全理念、安全技术,来不断完善5G工业互联网安全防护体系,保障工业数字化转型升级行稳致远。