《中国信息安全》杂志社是2012-10-26在北京市注册成立的全民所有制,注册地址位于北京市海淀区上地西路8号院1号楼704-707室。
《中国信息安全》杂志社的统一社会信用代码/注册号是91110000059205334A,企业法人江常青,目前企业处于开业状态。
《中国信息安全》杂志社的经营范围是:出版、发行《中国信息安全》杂志(期刊出版许可证有效期至2018年12月31日);设计和制作印刷品广告;利用自有《中国信息安全》杂志发布广告(广告经营许可证有效期至2018年12月31日);企业管理;会议服务;承办展览展示;组织文化艺术交流活动(演出除外)。(企业依法自主选择经营项目,开展经营活动;依法须经批准的项目,经相关部门批准后依批准的内容开展经营活动;不得从事本市产业政策禁止和限制类项目的经营活动。)。在北京市,相近经营范围的公司总注册资本为26079570万元,主要资本集中在 5000万以上 规模的企业中,共2027家。本省范围内,当前企业的注册资本属于良好。
通过百度企业信用查看《中国信息安全》杂志社更多信息和资讯。
《信息安全与技术》杂志经国家新闻出版总署批准,由工业和信息化部主管、中国电子信息产业发展研究院主办。《信息安全与技术》杂志是我国信息安全和信息技术领域集学术性与专业性为一体的月刊,为应用第一线的IT类工程技术人员提供一个工作肯定和技术交流的平台。(国际统一刊号:ISSN
1674-9456
国内统一刊号:CN
11-5937/TP
邮发代号:82—938)
通信地址:北京市海淀区紫竹院路66号赛迪大厦18层
文 中国现代国际关系研究院网络安全与 科技 安全研究所副所长 魏亮
当世界跨入21世纪第二个十年,经济 社会 的数字化转型加速,数字经济在新冠肺炎疫情催化下迅猛发展。据统计,数十个国家的数字经济产出已与传统经济形态接近平分秋色。数字经济增速更是遥遥领先。国际上,美日数字贸易协定正式实施,标志着世界范围内第一个以数字为基本元素的经贸协定落地生根。国际一流的双边、诸边经贸协定均涉猎数字经贸内容,甚至专辟一章详细加以规定。2020年以来,全球新崛起的独角兽企业多以数字经济起家。正在抗击新冠肺炎疫情的生物医药行业也增添了数字化的亮色。
近年来,在政策层面,世界主要国家纷纷出台数字化战略,为促进数字经济发展,形成新的国家竞争力谋篇布局。2019年底,美国出台了《联邦数据战略和2020年行动计划》,明确将数据列为重要的国家战略资产,以联邦政府的数据治理,牵引未来十年美国数字化发展的战略远景。2020年,欧盟出台数字化战略,加速推进一系列事关数字化的立法进程,着力构造和加强有欧盟特色的数字化发展模式,进而推动数字经济发展。日本菅义伟内阁刚一成立,即设立数字担当大臣,将政务数字化列为施政纲领的重要内容,提议成立数字厅,并希籍此引领日本数字经济发展。中国更是在数字经济创新方面引领世界潮流,明确将数据列为重要的生产要素。2020年4月9日,中共中央、国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》中明确提出,数据是与土地、劳动力、资本、技术并列的新型生产要素,并从推进政府数据开放共享、提升 社会 数据资源价值、加强数据资源整合和安全保护等三个方面,部署加快培育数据要素市场的发展任务。这是 历史 上第一次在国家层面明晰了数据的根本属性。为数据在市场框架内有序流动奠定了坚实基础。在数据使用制度方面,中国已经引领世界。
数据流动是数字经济发展的核心,数据安全是数字经济发展的底线。在保障数据安全和防范数据滥用方面,主要经济体也做出了很多尝试。欧盟以防和罚为主,通过严格实行《通用数据保护条例》等法规,不断完善加强个人信息保护和非个人数据管理,形成围绕欧盟的数据防火墙。美国倡导数据流动,但在安全方面大多寄望于与别国达成事关数据安全制度的互认。这一工作在美国参与的双边和诸边经贸协定基础上正紧锣密鼓地开展。显而易见,欧盟和美国在数据安全和个人隐私保护方面的分歧巨大,甚至导致欧洲法院判定美欧之间的《隐私盾》协议失效。同时,也从另一个视角说明,维持数据流动和数据安全之间的平衡何其不易。
美欧两大经济体的实践表明,无论是像美国那样片面宣扬数据自由流动,还是像欧盟那样近乎苛刻的保障数据安全和个人隐私,都已经带来了很强的副作用。这一副作用在美国体现为 科技 巨头横行,影响力和掌控力甚或超过美国政府。2020年10月7日,美国国会众议院发布的关于谷歌等四家 科技 企业垄断的调查报告宣称,这些 科技 公司有效地充当了当今数字市场的守门人,拥有挑选赢家、收购或处置竞争对手的权力。同样,欧盟过于强硬的数据保护显然对其数字经济发展也造成了一定阻碍。《通用数据保护条例》实施以来受到惩罚的案例已达上百起,受罚对象从地方政府、医疗机构,到普通的家具商乃至足球俱乐部不一而足。目前,欧盟加速推动其新数字战略的成型和配套立法,也显现出他们实现数据流动和数据安全再平衡的急迫心理。从美欧的实践来看,仅靠政府来维持数据流动和数据安全之间的平衡,不但成本高而且效率低。美国 科技 巨头依靠数据优势,罗织的利益网络,已到了难以打破的境地。单靠反垄断手段对这些公司实施结构拆分,或将在短期大伤美国数字经济元气。另一方面,欧盟强监管的数据保护框架已经成势,要实现再平衡亦将经历痛苦过程并付出巨大代价。
在数字经济蓬勃发展、数据流动日益活跃的背景下, 探索 出一条市场化条件下,充分发挥数据作为重要生产要素优势、实现数据流动与数据安全动态平衡的机制尤为重要。通过明晰数据产权,最大可能的保障数字经济安全,同时激发市场主体的活跃度,来实现这一动态平衡,将成为一条有效路径。
1.明晰数据产权,保障数字经济安全,首先要明确数据的归属、确定数据的产权。即在确定数据所有权的基础上,依托区块链进行产权登记,形成数据产生的增值财富归谁所有,维护数据安全的成本由谁负担,数据的使用权、支配权、收益权、处置权如何行使等一系列制度安排,以及相关的惯例和道德准则。
2.明晰数据产权,保障数字经济安全,其次要设计数据交易模式和定价模型。一方面将数据脱敏、隐私保护的权利完全赋予数据产权的所有者,实现权责统一。鼓励数据产权所有者根据自己的意愿,通过市场规则和价格原理来保护隐私和核心敏感数据; 探索 建立凡交易即许可的数据产权转移和数据利用原则,通过细化数据交易产业链分工,进一步提升数据的可交易性和标准化程度。另一方面,在数据交易的早期,应根据数据的效用和稀缺性尽快形成更加简练的数据价值评估量表。随后根据交易的经验数据,初步形成经过优化的“第二价格密封拍卖”等符合数据特点,并能对冲信息不对称风险的定价模式。
3.明晰数据产权, 保障数字经济安全,还需要健全数据交易的制度框架,最终形成广泛的数据市场。在此基础上,数据的所有者可根据对价决定是否出让数据,数据的收集者也可根据价格考虑是否收购。这就在一定程度上避免了出现数据因“无价”而被滥用的现象。数据流动和数据安全之间的动态平衡也就有望形成。建立产权明晰的数据交易制度,关键在于数据的确权。由于确权问题一直有赖于政府或者中介机构做支撑,使海量数据的确权需付出极大经济成本,这也成为长期以来数据无序流动的重要原因之一。当前,区块链技术已使数据确权具备经济性。区块链技术的分布式簿记和不可更改特性,使数据确权和发现数据产权关系的成本大大降低,并推动数据流动成本随之降低。由此,除却那些关乎国家核心利益数据以外,其他数据的安全问题可以在一定程度上转化为催动数据交易的价格问题。当数据成为财产,越重要的数据价格越高,安全性也越高。
当前,我国正逐步形成以国内大循环为主体、国内国际双循环相互促进的新发展格局,数字经济必将成为这一新格局的有力支撑。明晰数字产权恰逢其时,并有潜力成为沟通国际国内双循环的重要桥梁。数据有序、安全、高效的跨境流动,是世界数字经济发展的根本保障,数据产权交易则成为联通内外的关键节点。国家间涉及双边、诸边、多边的数字经济协定可以由此展开,数据跨境流动过程中的安全问题也因产权交易而化繁为简。在交易过程中,数据的价格将被更加精准地发现,那些事关国家核心利益的数据也将会被更快、更准确地甄别和保护。
当然,一个产权明晰,流转顺畅的数据交易体系不是一蹴而就的,还需在运行当中修补漏洞、调整方向、试错前行。要把美好愿景化为现实,我们还需要在设计确权方式、定价模式等方面开展更深入地研究,政府也需要在数据要素市场上进一步做好引导、培育和深化工作。
(本文刊登于《中国信息安全》杂志2020年第11期)
文 中国信息通信研究院云计算与大数据研究所云计算部工程师 吴江伟
随着 5G、云计算、人工智能、大数据、区块链等技术的日新月异,数字化转型进程逐步推进,软件已经成为日常生产生活必备要素之一,渗透到各个行业和领域。容器、中间件、微服务等技术的演进推动软件行业快速发展,同时带来软件设计开发复杂度不断提升,软件供应链也愈发复杂,全链路安全防护难度不断加大。近年来,软件供应链安全事件频发,对于用户隐私、财产安全乃至国家安全造成重大威胁,自动化安全工具是进行软件供应链安全防御的必要方式之一,针对软件供应链安全及工具进行研究意义重大,对于维护国家网络空间安全,保护用户隐私、财产安全作用深远。
一、软件供应链安全综述
软件供应链定义由传统供应链的概念延伸扩展而来。业界普遍认为,软件供应链指一个通过一级或多级软件设计、开发阶段编写软件,并通过软件交付渠道将软件从软件供应商送往软件用户的系统。软件供应链安全指软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全,以及软件交付渠道安全的总和。软件供应链攻击具有低成本、高效率的特点,根据其定义可知,相比传统针对软件自身安全漏洞的攻击,针对软件供应链,受攻击面由软件自身扩展为了软件自身内部的所有代码、模块和服务及与这些模块、服务相关的供应链上游供应商的编码过程、开发工具、设备,显著降低了攻击者的攻击难度。同时,软件设计和开发所产生的任何安全问题都会直接影响供应链中所有下游软件的安全,扩大了攻击所造成的影响。
近年来,软件自身安全防御力度不断加大,攻击者把攻击目标由目标软件转移到软件供应链最薄弱的环节,软件供应链安全事件频发,对用户隐私及财产安全乃至国家安全造成重大威胁。最典型的如 2020 年 12 月,美国网络安全管理软件供应商“太阳风”公司(SolarWinds)遭遇国家级 APT 组织高度复杂的供应链攻击,直接导致包括美国关键基础设施、军队、政府等在内的超过 18000 家客户全部受到影响,可任由攻击者完全操控。
软件供应链安全影响重大,各国高度重视,纷纷推行政策法规推动软件供应链安全保护工作。2021 年 5 月 12 日,美国总统拜登签署发布《改善国家网络安全行政令》,明确提出改善软件供应链安全,要求为出售给政府的软件开发建立基线安全标准,不仅提供应用程序,而且还必须提供软件物料清单,提升组成该应用程序组件的透明度,构建更有弹性且安全的软件供应链环境,确保美国的国家安全。同年 7 月,美国国家标准与技术所(NIST)发布《开发者软件验证最低标准指南》,为加强软件供应链安全加码,明确提出关于软件验证的 11 条建议,包括一致性自动化测试,将手动测试最少化,利用静态代码扫描查找重要漏洞,解决被包含代码(库、程序包、服务)等。
我国对软件供应链安全问题也给予了高度重视,2017 年 6 月,我国发布实施《网络产品和服务安全审查办法》,将软件产品测试、交付、技术支持过程中的供应链安全风险作为重点审查内容。2019 年12 月 1 日,《信息安全技术 网络安全等级保护基本要求》2.0 版本正式实施,在通用要求及云计算扩展部分明确要求服务供应商选择及供应链管理。
二、软件供应链安全挑战
目前,软件供应链安全受到高度重视,但仍面临多重现实挑战,可以总结分为以下五大类。
1. 软件设计开发复杂化成为必然趋势
随着容器、中间件、微服务等新技术的演进,软件行业快速发展,软件功能及性能需求也不断提升,软件设计开发复杂化已经成为必然趋势。这一现状同时带来了软件设计、开发及维护难度陡增,设计与开发过程不可避免的产生安全漏洞,为软件供应链安全埋下隐患。
2. 开源成为主流开发模式
当前,开源已经成为主流开发模式之一,软件的源代码大多数是混源代码,由企业自主开发的源代码和开源代码共同组成。根据新思 科技 《2021 年开源安全和风险分析》报告显示,近 5 年,开源代码在应用程序中所占比例由 40% 增至超过 70%。开源的引入加快了软件的研发效率,但同时也将开源软件的安全问题引入了软件供应链,导致软件供应链安全问题多元化。
3. 快速交付位于第一优先级
由于业界竞争环境激烈,相较于安全,功能快速实现,软件快速交付仍处于第一优先级,虽然软件通常实现了安全的基本功能需求,如身份认证鉴权、加解密、日志安全审计等,但整体安全防护机制相对滞后,以后期防护为主,前期自身安全性同步建设往往被忽视,软件自身代码安全漏洞前期清除存在短板。
4. 软件交付机制面临安全隐患
软件交付指软件由软件供应商转移到软件用户的过程。传统软件交付以光盘等存储设备为载体,随着互联网等技术的发展,通过网络对于软件进行快速分发已经成为基本模式,不安全的分发渠道同样会对软件供应链安全产生重大影响。
5. 使用时软件补丁网站攻击
针对软件供应链安全防护,软件的生命周期并非结束于软件交付之后,而是直到软件停用下线。软件在设计及开发过程中难免存在安全缺陷,通过补丁下发部署是修复软件缺陷漏洞的最通用方式。软件补丁的下发部署同样受分发渠道影响,受污染的补丁下载站点同样会造成软件供应链安全问题。
三、软件供应链安全防护工具
软件供应链安全涉及众多元素及环节,参考业界常见划分,软件供应链环节可抽象成开发环节、交付环节、使用环节三部分。针对交付环节及使用环节安全防护,主要通过确保分发站点及传输渠道安全。开发环节与软件源代码紧密相关,安全防护较为复杂,囊括编码过程、工具、设备及供应链上游的代码、模块和服务的安全,涉及四类安全工具,包括软件生产过程中的工具和软件供应链管理工具。
1. 静态应用程序安全测试工具
静态应用程序安全测试(SAST)是指不运行被测程序本身,仅通过分析或者检查源程序的语法、结构、过程、接口等来检查程序的正确性。源代码静态分析技术的发展与编译技术和计算机硬件设备的进步息息相关,源代码安全分析技术多是在编译技术或程序验证技术的基础上提出的,利用此类技术能够自动地发现代码中的安全缺陷和违背安全规则的情况。目前,主流分析技术包括:(1)词法分析技术,只对代码的文本或 Token 流与已知归纳好的缺陷模式进行相似匹配,不深入分析代码的语义和代码上下文。词法分析检测效率较高,但是只能找到简单的缺陷,并且误报率较高。(2)抽象解释技术,用于证明某段代码没有错误,但不保证报告错误的真实性。该技术的基本原理是将程序变量的值映射到更加简单的抽象域上并模拟程序的执行情况。因此,该技术的精度和性能取决于抽象域对真实程序值域的近似情况。(3)程序模拟技术,模拟程序执行得到所有执行状态,分析结果较为精确,主要用于查找逻辑复杂和触发条件苛刻的缺陷,但性能提高难度大。主要包括模型检查和符号执行两种技术,模型检查将软件构造为状态机或者有向图等抽象模型,并使用模态/时序逻辑公式等形式化的表达式来描述安全属性,对模型遍历验证这些属性是否满足;符号执行使用符号值表示程序变量值,并模拟程序的执行来查找满足漏洞检测规则的情况。(4)定理证明技术,将程序错误的前提和程序本身描述成一组逻辑表达式,然后基于可满足性理论并利用约束求解器求得可能导致程序错误的执行路径。该方法较为灵活性,能够使用逻辑公式方便地描述软件缺陷,并可根据分析性能和精度的不同要求调整约束条件,对于大型工业级软件的分析较为有效。(5)数据流分析技术,基于控制流图,按照某种方式扫面控制流图的每一条指令,试图理解指令行为,以此判断程序中存在的威胁漏洞。数据流分析的通用方法是在控制流图上定义一组方程并迭代求解,一般分为正向传播和逆向传播,正向传播就是沿着控制流路径,状态向前传递,前驱块的值传到后继块;逆向传播就是逆着控制流路径,后继块的值反向传给前驱块。
2. 动态应用程序安全测试工具
动态应用程序安全测试(DAST)技术在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击,分析应用程序的反应,从而确定该应用是否易受攻击。以 Web 网站测试为例对动态应用程序安全测试进行介绍,主要包括三个方面的内容:(1)信息收集。测试开始前,收集待测试网站的全部 URL,包括静态资源和动态接口等,每一条 URL 需要包含路径和完整的参数信息。(2)测试过程。测试人员将测试所需的 URL列表导入到测试工具中。测试工具提供“检测风险项”的选择列表,测试人员可根据测试计划选择不同的风险检测项。测试工具在测试过程中,对访问目标网站的速度进行控制,保证目标网站不会因为同一时刻的请求数过高,导致网站响应变慢或崩溃。测试人员在设定测试任务的基本信息时,根据目标网站的性能情况填入“每秒请求数”的最大值。测试工具在测试过程中保证每秒发送请求的总数不超过该数值。(3)测试报告。在安全测试各步骤都完成后,输出测试报告。测试报告一般包含总览页面,内容包括根据测试过程产生的各种数据,输出目标网站安全性的概要性结论;测试过程发现的总漏洞数,以及按照不同安全等级维度进行统计的漏洞数据。
3. 交互式应用程序安全测试工具
交互式应用程序安全测试(IAST)通过插桩技术,基于请求及运行时上下文综合分析,高效、准确地识别安全缺陷及漏洞,确定安全缺陷及漏洞所在的代码位置,主要在三方面做工作:流量采集、Agent监控、交互扫描。(1)流量采集,指采集应用程序测试过程中的 HTTP/HTTPS 请求流量,采集可以通过代理层或者服务端 Agent。采集到的流量是测试人员提交的带有授权信息有效数据,能够最大程度避免传统扫描中因为测试目标权限问题、多步骤问题导致扫描无效;同时,流量采集可以省去爬虫功能,避免测试目标爬虫无法爬取到导致的扫描漏水问题。(2)Agent 监控,指部署在 Web 服务端的 Agent 程序,一般是 Web 服务编程语言的扩展程序,Agent通过扩展程序监控 Web 应用程序性运行时的函数执行,包括 SQL 查询函数、命令执行函数、代码执行函数、反序列化函数、文件操作函数、网络操作函数,以及 XML 解析函数等有可能触发漏洞利用的敏感函数。(3)交互扫描,指 Web 应用漏洞扫描器通过Agent 监控辅助,只需要重放少量采集到的请求流量,且重放时附带扫描器标记,即可完成对 Web 应用程序漏洞的检测。例如,在检测 SQL 注入漏洞时,单个参数检测,知名开源 SQL 注入检测程序 SQLMAP需要发送上千个 HTTP 请求数据包;交互扫描只需要重放一个请求,附带上扫描器标记,Agent 监控SQL 查询函数中的扫描器标记,即可判断是否存在漏洞,大大减少了扫描发包量。
4. 软件组成分析软件组成分析
(SCA)主要针对开源组件,通过扫描识别开源组件,获取组件安全漏洞信息、许可证等信息,避免安全与法律法规风险。现有的开源组成扫描技术分为五种。(1)通过进行源代码片段式比对来识别组件并识别许可证类型。(2)对文件级别提取哈希值,进行文件级哈希值比对,若全部文件哈希值全部匹配成功则开源组件被识别。(3)通过扫描包配置文件读取信息,进行组件识别从而识别组件并识别许可证类型。(4)对开源项目的文件目录和结构进行解析,分析开源组件路径和开源组件依赖。(5)通过编译开源项目并对编译后的开源项目进行依赖分析,这种方式可以识别用在开源项目中的开源组件信息。
四、软件供应链安全研究建议
1. 发展软件安全工具相关技术
软件供应链安全防护的落地离不开安全工具的发展使用。大力发展软件安全工具技术,解决安全开发难点需求,进行安全前置,实现安全保护措施与软件设计、开发同步推进。
2. 提升软件供应链安全事件的防护、检测和响应能力
软件供应链安全防护需要事前、事中、事后的全方位安全防御体系。软件供应链安全攻击事件具有隐蔽性高、传播性强、影响程度深的特点,软件供应链作为一个复杂、庞大的系统,难免存在脆弱节点,应提升对软件供应链安全攻击事件的防护、检测和响应能力,避免安全事件造成重大影响。
3. 构建完善软件供应链安全相关标准体系
通过科研院所及标准机构完善软件供应链安全标准体系,普及软件供应链安全防范意识,提升企业组织对软件供应链安全的重视程度,进行软件供应链安全投入,推进安全建设工作落实。
4. 建立软件供应链安全可信生态
实现软件供应链安全需要各领域企业的共同努力。企业共建安全可信生态将满足不同用户、不同行业、不同场景的安全可信需求,提升业界整体软件供应链安全水平。
(本文刊登于《中国信息安全》杂志2021年第10期)
文 小米集团 陈长林 李泽霖
打造具有国际竞争力的制造业,是我国提升综合国力、保障国家安全、建设世界强国的必由之路。推进以智能制造为核心的智能工厂建设是实现这一目标的重点方向,是我国迈进世界强国大门的关键一环。而信息安全是保障智能工厂系统能够顺利运转的根基。
小米作为一家互联网 科技 制造公司,一直走在创新的前列。在小米十周年的演讲中,创始人雷军对小米的过去十年进行了总结和复盘,也对未来十年提出了三个发展策略:重新创业、互联网 + 制造、行稳致远。在“互联网 + 制造”这条路线上,小米经过过去三年的努力,已经建成了百万台级的全自动化智能工厂(即“黑灯”工厂),致力于超高端手机的自动化生产。对于这条自动化水平极高的生产线,信息安全是其重要根基,是保证整个工厂安全、高效、稳定运转的关键一环。小米把信息安全体系建设作为智能工厂稳健运营的基石,在信息安全管理体系建设与实践上也下足了功夫。
小米智能工厂的信息安全管理体系包括三道防线:
第一道防线——安全技术体系,包括设备层、网络层、系统层和应用层。
第二道防线——安全管理体系,包括安全制度与全员安全意识培训。
第三道防线——安全审计,以攻击方蓝军视角对系统进行渗透测试。
第一道防线——安全技术体系
小米智能工厂安全防护体系主要通过应用层、系统层、网络层、设备层 4 个层面组成,通过纵深防御体系,最大程度保障小米智能工厂的安全。
一、设备层防护
智能工厂中,不仅有机器人、工业摄像头、AGV 等工业智能设备,同时还会配备监控摄像头、门禁系统、智能储物柜等常规的 IoT 设备。这些设备在生产之初更多考虑的是设备功能的实现以及设备性能的稳定性,而在安全性的设计考量上往往较为匮乏。
近几年来,行业内智能设备被攻击的案例层出不穷。据各大安全厂商的不完全统计,在所受到的DDoS 攻击中,黑客操纵僵尸网络从而发起的攻击占总数量的一半以上。而互联网中海量缺乏安全性设计的物联网设备就成为这些攻击的“重灾区”。2017 年,由 Mirai 僵尸程序组成的僵尸网络发起的大规模 DDoS 攻击,导致美国、中国、巴西等国家大面积的网络瘫痪。而感染的主要设备有监控摄像头、数字视频录像机及路由器等大量物联网设备。
小米拥有全球最大的消费级物联网,对物联网的安全尤为重视,也为此在 2018 年正式成立了 AIoT安全实验室,实验室的组成成员均在 IoT 安全、网络安全等方面有着丰富的经验和实践。利用这一优势,小米针对智能工厂中的智能设备进行了全面地安全审计,挖掘设备本身存在的潜在安全隐患,并在第一时间联系相应的厂商进行分析、修复和整改。这一举措将从源头上尽可能地消除设备的安全隐患,缩减可能遭受攻击时的攻击面,在设备层面上做到安全性的提升。
二、网络层防护
智能工厂主要由生产网、集成系统网、办公网三大网络组成。
生产网中的设备主要有数控机台、机器人、传感器等;集成系统网中的设备主要有 MES、SAP、MOM 等;办公网中的设备主要为工厂员工办公使用的 PC。这三大网络分别具有不同的特征属性。
生产网是实际生产线所在的网络环境,该网络需要具备极高的稳定性和可靠性,一般会划分为多个产线,不同产线承担不同的生产需求。而由于生产网的极高可靠性要求,一些安全变更(如操作系统补丁、安全策略变更、防护变更等)需要一定周期,不能收到更新时立即进行。所以,对生产网的网络层防护就变得格外重要。有效的网络层防护能够阻挡外部黑客、病毒的攻击,为生产网建立完备的安全屏障。小米在生产网的防护中,采用了单向隔离的安全策略,并对生产网的单向访问策略也做了严格的限制,从网络层面上阻断了可能的攻击路径。同时,在生产网内部,也对高危端口(如 TCP135/139/445/1433/3306/5985/5986 等)进行了禁用,避免病毒利用这些高风险端口在生产网中扩散。
集成系统网中拥有大量工业控制应用系统,这些系统与传统的应用系统类似,通常会开放 Web、远程桌面、SSH 等服务。小米搭建了全套零信任防护体系,对集成系统网中所有服务都实施了访问控制,仅允许授权用户访问,将非法攻击者拒之门外。对所有集成系统中的服务器,小米通过部署自研的HIDS(主机型入侵检测系统),实时监控服务器的安全状况,并对外部攻击进行阻断和拦截。对于系统本身,小米安全团队会对其产品全流程进行安全把控,在研发、测试、上线阶段进行安全评估,及早地发现问题,提升系统整体安全性。
办公网主要是工厂员工日常办公所使用的网络。由于办公网中环境复杂,为了避免对其对核心生产网造成不良影响,办公网与核心生产网完全隔离。而为了保障办公网的安全性,小米在每一名员工的办公 PC 都强制安装了杀毒软件和安全合规检测软件,以保障 PC 的安全性和合规性。为了能够及时发现办公网中的安全隐患和潜在的安全风险,小米在网络出口侧部署了威胁检测系统,实时发现存在隐患和威胁的 PC,并采取相应的安全策略进行紧急处理和防护。
三、系统层防护
生产网中有大量的工控上位机,这些工控机来自多家供应商,存在操作系统不统一、安全防护水平参差不齐的问题。而在工控行业,经常会出现一机中毒、全厂遭殃的情况,给整个生产造成严重的影响。
为了解决这些问题所带来的安全风险,小米针对生产网制作了标准的操作系统镜像,在操作系统镜像中加入了 IP 安全策略、系统补丁、杀毒软件等安全模块,拉齐系统安全基线。工控电脑终端统一加入工厂专用域,便于管理人员进行集中地安全管理和操作审计。
四、应用层防护
在工业网络中,文件传输是常见的一个应用场景。但是,不恰当的文件传输方式极易造成病毒的传播与扩散,对正常生产造成影响。
文件传输的需求主要分为产线内传输、产线间传输和外部交换等。为了满足这一正常业务需求,我们构建了专用文件摆渡服务。
在文件摆渡服务的设计上,主要分为几个部分:文件服务器上部署实施病毒监控服务,保证文件服务器上所有文件的安全性。文件服务器上开启审计策略,对文件交换行为进行记录和审计。向生产网开放 SMB 文件共享接口,并与产线专用域账号打通,用于产线内和产线间的文件传输需求。向办公网开放 Web 文件共享接口,并接入零信任防护系统,用于产线与办公网的文件摆渡。通过统一的文件传输管控,不仅仅解决了业务的使用需求,同时也增强了文件的安全性。
第二道防线——安全管理体系
人员安全意识是安全防护中重要的一环,往往也是安全防护体系中的薄弱环节。近几年,针对企业员工的安全攻击手段层出不穷,从传统的钓鱼邮件、人员渗透到新型的 BadUSB、钓鱼 Wi-Fi 等,都对智能工厂的安全产生巨大的威胁。
小米在员工信息安全意识方面,定期进行钓鱼邮件演练,提升员工对钓鱼邮件的识别能力。定期举办安全意识培训,介绍业内常见的安全攻击和渗透手段,从而提升员工安全意识,降低类似攻击发生的概率。
第三道防线——安全审计
仅从技术层面和人员意识方面进行防护仍然不够,小米蓝军通过模拟真实黑客攻击,对整个安全防护体系进行检验,发现其中的薄弱之处,然后加以修复和整改。
实践是检验真理的唯一标准,在安全防护领域也是如此,一个优秀的安全防护体系必须能够经得起攻击的检验。小米蓝军是一支拥有丰富经验的企业网络攻击团队,通过模拟真实黑客的攻击手法,对整个安全防护体系进行攻击模拟,以评判其在应对攻击时的安全表现。
小米蓝军的渗透测试不仅仅需要对安全方案中提到的四大层面进行安全评估,同时也会结合最新的安全攻击技术,对安全方案未覆盖到的风险点进行挖掘,推动整体安全建设。
除了定期的渗透测试外,小米蓝军还拥有实时漏洞监控与扫描平台,7 24 小时不间断对工厂网络进行安全扫描,及时发现安全问题,规避安全风险。
展 望
李克强总理在考察制造业企业时指出“中国制造 2025 的核心就是实现制造业智能升级”。未来,小米将会紧跟国家《中国制造 2025》的发展方向,将企业的发展与中国制造业的未来绑在一起。当前,我们已经进入了“5G+AIoT”的时代,消费端产品能力的实现对企业的技术创新能力和保障信息安全的能力提出了更为严苛的要求。所以,如果没有安全这一“夯实基础”,就无法搭建起一直追求高精尖的中国制造业这一“上层建筑”。
在小米十周年演讲中,创始人雷军对“互联网 +制造”方向也提出了更高的要求和目标。在智能工厂的第二阶段,希望建成千万台级别的超高端智能手机生产线,该工厂将实现极高的自动化,同时也会具备更为严苛的安全标准以保障生产线的高效运转。未来,小米将会继续深耕智能制造业,努力推动中国制造走在更为安全、先进、稳健的前进道路上,为实现“中国制造 2025”这一伟大的十年计划做出应有的贡献。
(本文刊登于《中国信息安全》杂志2021年第1期)
