400-868-1122
根云-工業(yè)趨勢分析
返回當前,我國工業(yè)互聯(lián)網(wǎng)標識解析系統(tǒng)與產(chǎn)業(yè)應(yīng)用尚處于建設(shè)初期,面臨著諸如安全管理制度不完善、安全防護技術(shù)手段缺失、產(chǎn)業(yè)支撐能力不足、安全主體意識薄弱等日趨復(fù)雜的安全風險,加快推進標識解析體系安全防護能力建設(shè)迫在眉睫。建議在工業(yè)互聯(lián)網(wǎng)規(guī)劃設(shè)計階段同步開展標識解析安全風險相關(guān)研究工作,從根源上識別出潛在的風險以及可能帶來的后果等,做到提前謀劃、預(yù)先布局,有效防范不斷變化的安全風險并防患于未然。
一、傳統(tǒng)網(wǎng)絡(luò)基礎(chǔ)資源的安全現(xiàn)狀
互聯(lián)網(wǎng)網(wǎng)絡(luò)基礎(chǔ)資源主要包括DNS域名、IP地址等,相關(guān)服務(wù)系統(tǒng)既是網(wǎng)絡(luò)保持互連互通的基礎(chǔ),也是網(wǎng)絡(luò)安全穩(wěn)定運行的關(guān)鍵。
當前,網(wǎng)絡(luò)基礎(chǔ)資源及其服務(wù)系統(tǒng)的安全問題日益嚴峻。例如2019年10月,美國亞馬遜公司DNS服務(wù)器受到DDoS(Distributed Denial of Service,分布式拒絕服務(wù))攻擊,導(dǎo)致域名解析服務(wù)持續(xù)15小時無法訪問;2019年2月,國家互聯(lián)網(wǎng)應(yīng)急中心監(jiān)測到大量的家用路由器遭DNS劫持攻擊,影響涉及我國境內(nèi)全部省份的400多萬個IP地址。
由此可見針對網(wǎng)絡(luò)基礎(chǔ)資源及其服務(wù)系統(tǒng)的安全攻擊簡單、直接、危害性大,攻擊平均峰值和大規(guī)模攻擊技術(shù)的成熟度逐年提高,構(gòu)建更可信、更有效的網(wǎng)絡(luò)基礎(chǔ)資源設(shè)施安全保障體系勢在必行。
二、工業(yè)互聯(lián)網(wǎng)標識解析風險分析
工業(yè)互聯(lián)網(wǎng)標識解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)體系重要組成部分,是支撐工業(yè)互聯(lián)網(wǎng)互聯(lián)互通的神經(jīng)樞紐。目前,國家頂級節(jié)點已經(jīng)在北京、上海、廣州、重慶、武漢等五地上線運行,覆蓋25個行業(yè)的55個二級服務(wù)節(jié)點完成部署上線,標識注冊總量突破38億,日均解析量超過200余萬次,接入標識服務(wù)節(jié)點的企業(yè)超過1700家。整個系統(tǒng)涉及工業(yè)互聯(lián)網(wǎng)終端、解析系統(tǒng)、網(wǎng)絡(luò)、工控系統(tǒng)及各種通用協(xié)議和軟硬件,呈開放式與互聯(lián)網(wǎng)相連接,勢必為工業(yè)互聯(lián)網(wǎng)標識解析發(fā)展帶來許多新的安全隱患,極易被攻擊,一旦系統(tǒng)出現(xiàn)安全問題,將對標識解析體系和工業(yè)生產(chǎn)等造成重大影響。
一是體系架構(gòu)風險。標識解析體系是一個樹狀分層架構(gòu),主要由國家頂級節(jié)點、二級節(jié)點、公共遞歸節(jié)點和客戶端組成。當體系架構(gòu)中的某一層節(jié)點出現(xiàn)問題時,就會對整個架構(gòu)的安全性產(chǎn)生一定程度威脅。具體來看,體系架構(gòu)風險又可分為節(jié)點可用性風險、節(jié)點之間協(xié)同風險、關(guān)鍵節(jié)點關(guān)聯(lián)性風險三種。節(jié)點可用性風險主要為DDoS攻擊,通過僵尸網(wǎng)絡(luò)利用各種服務(wù)請求耗盡被攻擊節(jié)點的系統(tǒng)資源,造成被攻擊節(jié)點無法處理合法用戶的請求;節(jié)點之間協(xié)同風險主要為代理服務(wù)器或鏡像服務(wù)器延時,引發(fā)解析過程中數(shù)據(jù)同步或者復(fù)制內(nèi)容過程出現(xiàn)延遲現(xiàn)象,從而導(dǎo)致數(shù)據(jù)不一致或者數(shù)據(jù)完整性出現(xiàn)問題;關(guān)鍵節(jié)點關(guān)聯(lián)性風險是指標識解析體系架構(gòu)中某些關(guān)鍵節(jié)點出現(xiàn)問題,將會影響其他節(jié)點的功能。
二是身份管理風險。工業(yè)互聯(lián)網(wǎng)標識解析身份安全風險主要包括人、機、物等標識解析系統(tǒng)中各種角色的身份風險。如身份認證安全和訪問控制安全,用戶客戶端的安全和標識解析服務(wù)器身份的真實性核驗,身份認證在不同層級間的節(jié)點互信、標識源的真實性驗證、用戶終端與標識解析節(jié)點間的互信等方面都存在被竊聽或攻擊的風險。常見的身份風險中人員風險主要為身份欺騙、越權(quán)訪問、權(quán)限紊亂等;機器風險主要為身份欺騙和設(shè)備漏洞;物的風險主要為身份欺騙、身份標識與產(chǎn)品關(guān)聯(lián)錯誤、設(shè)備漏洞等。
三是數(shù)據(jù)服務(wù)風險。工業(yè)互聯(lián)網(wǎng)標識解析體系數(shù)據(jù)安全風險主要為標識注冊數(shù)據(jù)、標識解析數(shù)據(jù)、標識服務(wù)日志數(shù)據(jù)等三類數(shù)據(jù)風險。在數(shù)據(jù)的采集、傳輸、存儲、使用和銷毀等全生命周期流轉(zhuǎn)中,都可能存在諸如數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露和數(shù)據(jù)丟失等安全風險。數(shù)據(jù)竊取風險主要是破壞數(shù)據(jù)的機密性,數(shù)據(jù)被非授權(quán)用戶獲得,使得標識注冊數(shù)據(jù)、標識解析數(shù)據(jù)或日志數(shù)據(jù)外泄;數(shù)據(jù)篡改風險主要指攻擊者對設(shè)備中存儲的數(shù)據(jù)進行讀取、惡意篡改、偽造等,導(dǎo)致數(shù)據(jù)處理算法和過程被破解,進而導(dǎo)致標識解析的注冊數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)被篡改。數(shù)據(jù)泄露和數(shù)據(jù)丟失風險主要指在沒有安全的保護措施和合理的備份情況下,不法分子通過對緩存或代理服務(wù)器進行攻擊獲取了權(quán)限后讀取、惡意刪除數(shù)據(jù),導(dǎo)致數(shù)據(jù)泄露或丟失。
四是系統(tǒng)運營風險。工業(yè)互聯(lián)網(wǎng)標識解析體系主要存在物理和環(huán)境管理、訪問控制、業(yè)務(wù)連續(xù)性管理、人員管理、分支機構(gòu)管理以及流程管理幾方面的運營風險。物理環(huán)境管理風險指業(yè)務(wù)范圍內(nèi)的物理和環(huán)境方面的控制和管理不到位,可能會引起未授權(quán)的訪問、損害和干擾;訪問控制風險主要包括用戶的非授權(quán)登錄、訪問,對網(wǎng)絡(luò)訪問授權(quán)和認證管控風險,以及對關(guān)鍵應(yīng)用的訪問控制風險;業(yè)務(wù)連續(xù)性管理風險主要為在標識解析體系的運營過程中,突發(fā)情況或其他災(zāi)難發(fā)生時,可能導(dǎo)致服務(wù)業(yè)務(wù)中斷或惡化,進而對機構(gòu)運營產(chǎn)生負面影響;人員管理、分支機構(gòu)管理和流程管理風險主要包括對人員角色鑒別、關(guān)鍵崗位角色管理、人員操作、分支機構(gòu)授權(quán)、分支機構(gòu)運營、業(yè)務(wù)流程管控、二級節(jié)點管理等諸多安全風險。
三、標識解析安全發(fā)展對策及建議
針對工業(yè)互聯(lián)網(wǎng)標識解析可能存在的安全風險,中國信通院圍繞安全風險防控已經(jīng)采取了一些手段措施,提出了工業(yè)互聯(lián)網(wǎng)標識可信解析技術(shù)方案和軟件實現(xiàn),構(gòu)建了工業(yè)互聯(lián)網(wǎng)標識解析安全風險分析模型。但當前的安全形勢依然很嚴峻,需要社會各界、各產(chǎn)業(yè)界等更加關(guān)注、多投入,發(fā)揮產(chǎn)業(yè)與技術(shù)優(yōu)勢,加強交流合作和資源共享,共同構(gòu)建標識解析安全防護整體架構(gòu),持續(xù)優(yōu)化工業(yè)互聯(lián)網(wǎng)標識解析安全環(huán)境和產(chǎn)業(yè)生態(tài)。
一是協(xié)同推進。相比傳統(tǒng)網(wǎng)絡(luò)安全,工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)出涉及范圍廣、復(fù)雜度高、安全要求高等新特點,進一步增加了安全防護的難度。構(gòu)建標識解析安全生態(tài),需要產(chǎn)業(yè)各界積極參與,投入更多的人力、物力。同時調(diào)動政產(chǎn)學研用的積極性,各方發(fā)揮各自技術(shù)和優(yōu)勢,群策群力、找準位置、形成合力,推動技術(shù)共享合作縱深發(fā)展,共建工業(yè)互聯(lián)網(wǎng)標識解析安全產(chǎn)業(yè)生態(tài),持續(xù)推進標識解析產(chǎn)業(yè)快速、健康、穩(wěn)定發(fā)展。
二是提早布局。加強核心技術(shù)創(chuàng)新研究,重點突破標識解析安全核心技術(shù)的研究,將更多的安全因素納入標識解析體系框架設(shè)計中,在標識解析體系建設(shè)初期從根源上把控風險,提前防范;加快推進安全風險預(yù)警和態(tài)勢感知平臺建設(shè),提升標識解析體系安全防御能力。
三是全面分析。加快推進標識解析安全風險分析、標識解析節(jié)點接入認證、標識解析體系安全防護等研究工作;強化工業(yè)互聯(lián)網(wǎng)標識解析安全創(chuàng)新成果轉(zhuǎn)化和產(chǎn)業(yè)發(fā)展力度,推動產(chǎn)業(yè)快速發(fā)展。
四是逐項突破。在認證、加密、隱私保護等重點方向開展技術(shù)驗證;逐步推廣使用國產(chǎn)密碼算法和符合國家密碼管理部門規(guī)定的安全認證產(chǎn)品對標識解析的開放式協(xié)議架構(gòu)進行加固;推動科研院所和高校等設(shè)立重點實驗室,積極探索人工智能、區(qū)塊鏈、零信任、大數(shù)據(jù)等新技術(shù)在標識解析安全防護能力建設(shè)中的創(chuàng)新應(yīng)用。
五是重視標準。加快工業(yè)互聯(lián)網(wǎng)標識解析安全關(guān)鍵亟需標準研制,積極引導(dǎo)和開展標識解析節(jié)點接入認證、解析體系安全防護、可信解析和安全運營規(guī)范等方面標準的研究、制定、推廣。
六是人才培養(yǎng)。強化工業(yè)互聯(lián)網(wǎng)標識解析安全人才培養(yǎng),加強安全宣傳教育,鼓勵企業(yè)和高校安全專家積極參與“智能+”學院、專題會議等主題演講活動;引導(dǎo)高等院校、科研機構(gòu)和安全企業(yè)成立聯(lián)合實驗室,建立人才聯(lián)合培養(yǎng)機制,促進技術(shù)研究和復(fù)合型人才培養(yǎng);同時依托工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟平臺,組織開展技能大賽等活動,提升工業(yè)互聯(lián)網(wǎng)標識解析安全從業(yè)人員的技能水平。
如果您想了解更多樹根科技為工業(yè)企業(yè)提供的工業(yè)互聯(lián)網(wǎng)解決方案,可以直接點擊網(wǎng)頁右方彈框的“聯(lián)系我們”,或者直接撥打樹根科技的熱線:400-868-1122.
如果您想了解更多樹根科技為工業(yè)企業(yè)提供的工業(yè)互聯(lián)網(wǎng)解決方案,可以直接點擊網(wǎng)頁右方彈框的“聯(lián)系我們”,或者直接撥打樹根科技的熱線:400-868-1122.
