工业互联网平台安全对象在哪些层面面临安全威胁
工业互联网平台安全对象在以下层面面临安全威胁:
边缘计算方面:边缘计算层设备普遍缺乏安全设计。边缘计算层设备地理位置分散、暴露,多通过物理隔离的方式进行保障,普遍缺乏身份认证与数据加密传输能力,自身安全防护水平不足。攻击者容易对设备进行物理控制和伪造,并以此为跳板向其他设备与系统发动攻击。边缘计算层设备普遍缺乏安全设计。边缘计算层设备地理位置分散、暴露,多通过物理隔离的方式进行保障,普遍缺乏身份认证与数据加密传输能力,自身安全防护水平不足。攻击者容易对设备进行物理控制和伪造,并以此为跳板向其他设备与系统发动攻击。
工业云基础设施方面:工业互联网平台存在与传统云平台相同的脆弱性。现有的工业互联网平台高度依赖底层传统云基础设施的硬件、系统和应用程序,一旦底层设备或系统受损,必然对平台上层的应用和业务造成重大影响,可能导致系统停顿、服务大范围中断等后果,使工业生产和企业经济效益遭受严重损失。虚拟化技术安全隔离能力有限。工业云基础设施层通过虚拟化技术为多租户架构、多客户应用程序提供物理资源共享能力,但虚拟化技术提供的隔离机制可能存在缺陷,导致多租户、多用户间隔离措施失效,造成资源未授权访问问题。
工业云平台服务方面:传统安全手段的安全机制单一,无法满足多样化平台服务的安全要求。工业云平台服务层包括工业应用开发测试环境、微服务组件、大数据分析平台、工业操作系统等多种软件栈,支持工业应用的远程开发、配置、部署、运行和监控,需要针对多样化的平台服务方式创新、定制安全机制。当前工业互联网平台一般采用传统信息安全手段进行防护,无法满足多样化平台服务的安全要求。微服务组件缺乏安全设计或未启用安全措施。工业云平台服务层微服务组件与外部组件之间的应用接口缺乏安全认证、访问控制等安全设计,或者已部署接口调用认证措施但未启用,容易造成数据非法窃取、资源应用未授权访问等安全问题。
工业应用方面:工业应用层传统安全防护技术应用不足。当前工业应用层的软件重视功能、性能设计,鉴别及访问控制等安全机制设计简单且粒度较粗,攻击者可通过IP欺骗、端口扫描、数据包嗅探等通用手段发现平台应用存在的安全缺陷,进而发起深度攻击。第三方远程运维带来安全隐患。工业应用层中涉及的大量控制系统和软件来自国外,漏洞后门尚不掌握,服务商通过远程运维的方式接入工业互联网平台,一旦第三方远程运维业务流程存在安全缺陷,将给工业互联网平台带来安全隐患。
工业数据方面:数据安全防护责任边界模糊。工业数据具有体量大、种类多、关联性强等特点,流经工业互联网平台多个层次,在采集、传输、存储、处理、使用等多个环节中涉及的责任人众多,工业互联网平台上工业数据安全防护的主体责任边界模糊,难以界定。数据敏感度标识不清晰,敏感数据标识及保护技术待完善。工业数据包含研发、生产、运维、管理等数据信息,在不同的应用场景下,数据的价值不同,敏感程度也不同,如果不能对数据敏感度进行准确识别和有效分类,将无法实现对敏感数据的细粒度标识。在工业数据投入使用时,还需要根据业务场景对工业数据进行脱敏处理,当前平台仍缺乏完善的数据脱敏和隐私保护措施,在工业数据使用过程中存在敏感信息泄露等安全问题。