2.5.2 一般性与特殊性相统一的过程构建
从顶层视角建立安全体系全景视图以指导安全建设,要将一般性与特殊性进行统一,把握“变”与“不变”、“适应”与“非适应”的原则,从总体上提升网络安全能力成熟度,凸显安全对业务的保障作用。
1.安全理念和框架的“变”与“不变”
“不变”相对容易理解,因为工业互联网中的信息安全问题与传统信息技术领域中的安全问题有不少相似之处,所以经典模型的P2DR、IATF的纵深防御以及其他主动防御框架都可以在工业互联网的不同场景下找到相应的应用,从而为工业互联网提供宏观的借鉴和指导。
“变”包含两点。一是应对新的安全问题与挑战要有新的变化。在工业互联网的发展过程中,平台或者系统不断引入创新技术会带来很多新的安全挑战。安全挑战是持续存在和动态变化的,因此安全理念要具有动态性。附加式防御的有效性取决于先验知识的完备性和精确感知能力,属于“亡羊补牢”的后天式免疫,因此安全框架中要有内生安全策略。二是安全的相对性决定了安全系统必须根据自身的运行状态、被保护系统的风险性质进行持续改进。传统的“护城河式”“创可贴式”的安全防护架构已经无法满足工业互联网安全的需求,需要重新评估和审视传统边界防护、纵深防护安全架构的认知盲点,针对工业场景多、差异大、信息化历史包袱重等情况以及不同发展阶段的特点,对系统架构进行解构分析、规划设计,建设自适应、自成长、具备进化能力的安全体系。例如,很多工业企业的网络架构正在从传统的普渡模型架构迁移到“云管边端”架构,工业互联网安全需要构建全新的身份信任体系、重构访问控制的信任基础,将安全能力嵌入工业生产系统,结合工业互联网网络结构扁平化、车间级和现场级网络逐步融合、高实时控制信息与非实时过程数据共网传输、测量仪器设备资源受限、边缘计算设备功耗成本要求高等特点做出相应的调整。
2.安全模型和技术的“适应”与“非适应”
传统安全模型解决的问题和工业互联网亟待解决的问题有所不同,对其改进需视情况而定。在工业控制系统里广泛应用的FMEA(失效模式及影响分析)等方法并不适于分析信息安全问题。因为其危险源于传统的安全问题,这类问题是自然发生的安全问题,而信息安全是非传统安全问题,是人为因素造成的。而传统网络安全中使用的STRIDE、ATT&CK等威胁分析模型也不适用于工业控制系统和工业互联网的安全分析。现有工控版本的ATT&CK和KillChain等模型虽然做了相应的调整,但思路上还是没有考虑信息物理融合的攻击以及行业与工艺模型,因此模型在工控侧过于抽象。随着CPS系统的发展,需要建立新的信息物理安全威胁分析模型和方法(第3章将详细介绍)。
面向工业互联网的安全技术迁移和安全控制结构的演化应因事利导。工业互联网涉及工业生产全流程,以泛在感知、全面连接为基础,构建数据驱动的智能优化闭环,在这个网络上承载、传递着需求、消费、生产的一切,围绕平台生态、产业模式、技术实现的安全技术对象和方法与传统互联网安全并不完全一致,不考虑区别而直接套用原有模型、技术、方法会导致防护效果不佳,并存在安全风险。工业互联网安全技术可以借鉴传统互联网安全技术中的方法,研发适合工业互联网防护对象与动态防御特点的新技术,并针对工业生产全流程进行整体安全设计,做到统筹兼顾。