工业互联网标识解析安全风险亟需引起关注
当前,我国工业互联网标识解析系统与产业应用尚处于建设初期,面临着诸如安全管理制度不完善、安全防护技术手段缺失、产业支撑能力不足、安全主体意识薄弱等日趋复杂的安全风险,加快推进标识解析体系安全防护能力建设迫在眉睫。建议在工业互联网规划设计阶段同步开展标识解析安全风险相关研究工作,从根源上识别出潜在的风险以及可能带来的后果等,做到提前谋划、预先布局,有效防范不断变化的安全风险并防患于未然。
一、传统网络基础资源的安全现状
互联网网络基础资源主要包括DNS域名、IP地址等,相关服务系统既是网络保持互连互通的基础,也是网络安全稳定运行的关键。
当前,网络基础资源及其服务系统的安全问题日益严峻。例如2019年10月,美国亚马逊公司DNS服务器受到DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,导致域名解析服务持续15小时无法访问;2019年2月,国家互联网应急中心监测到大量的家用路由器遭DNS劫持攻击,影响涉及我国境内全部省份的400多万个IP地址。
由此可见针对网络基础资源及其服务系统的安全攻击简单、直接、危害性大,攻击平均峰值和大规模攻击技术的成熟度逐年提高,构建更可信、更有效的网络基础资源设施安全保障体系势在必行。
二、工业互联网标识解析风险分析
工业互联网标识解析体系是工业互联网网络体系重要组成部分,是支撑工业互联网互联互通的神经枢纽。目前,国家顶级节点已经在北京、上海、广州、重庆、武汉等五地上线运行,覆盖25个行业的55个二级服务节点完成部署上线,标识注册总量突破38亿,日均解析量超过200余万次,接入标识服务节点的企业超过1700家。整个系统涉及工业互联网终端、解析系统、网络、工控系统及各种通用协议和软硬件,呈开放式与互联网相连接,势必为工业互联网标识解析发展带来许多新的安全隐患,极易被攻击,一旦系统出现安全问题,将对标识解析体系和工业生产等造成重大影响。
一是体系架构风险。标识解析体系是一个树状分层架构,主要由国家顶级节点、二级节点、公共递归节点和客户端组成。当体系架构中的某一层节点出现问题时,就会对整个架构的安全性产生一定程度威胁。具体来看,体系架构风险又可分为节点可用性风险、节点之间协同风险、关键节点关联性风险三种。节点可用性风险主要为DDoS攻击,通过僵尸网络利用各种服务请求耗尽被攻击节点的系统资源,造成被攻击节点无法处理合法用户的请求;节点之间协同风险主要为代理服务器或镜像服务器延时,引发解析过程中数据同步或者复制内容过程出现延迟现象,从而导致数据不一致或者数据完整性出现问题;关键节点关联性风险是指标识解析体系架构中某些关键节点出现问题,将会影响其他节点的功能。
二是身份管理风险。工业互联网标识解析身份安全风险主要包括人、机、物等标识解析系统中各种角色的身份风险。如身份认证安全和访问控制安全,用户客户端的安全和标识解析服务器身份的真实性核验,身份认证在不同层级间的节点互信、标识源的真实性验证、用户终端与标识解析节点间的互信等方面都存在被窃听或攻击的风险。常见的身份风险中人员风险主要为身份欺骗、越权访问、权限紊乱等;机器风险主要为身份欺骗和设备漏洞;物的风险主要为身份欺骗、身份标识与产品关联错误、设备漏洞等。
三是数据服务风险。工业互联网标识解析体系数据安全风险主要为标识注册数据、标识解析数据、标识服务日志数据等三类数据风险。在数据的采集、传输、存储、使用和销毁等全生命周期流转中,都可能存在诸如数据窃取、数据篡改、隐私数据泄露和数据丢失等安全风险。数据窃取风险主要是破坏数据的机密性,数据被非授权用户获得,使得标识注册数据、标识解析数据或日志数据外泄;数据篡改风险主要指攻击者对设备中存储的数据进行读取、恶意篡改、伪造等,导致数据处理算法和过程被破解,进而导致标识解析的注册数据、解析数据和日志数据被篡改。数据泄露和数据丢失风险主要指在没有安全的保护措施和合理的备份情况下,不法分子通过对缓存或代理服务器进行攻击获取了权限后读取、恶意删除数据,导致数据泄露或丢失。
四是系统运营风险。工业互联网标识解析体系主要存在物理和环境管理、访问控制、业务连续性管理、人员管理、分支机构管理以及流程管理几方面的运营风险。物理环境管理风险指业务范围内的物理和环境方面的控制和管理不到位,可能会引起未授权的访问、损害和干扰;访问控制风险主要包括用户的非授权登录、访问,对网络访问授权和认证管控风险,以及对关键应用的访问控制风险;业务连续性管理风险主要为在标识解析体系的运营过程中,突发情况或其他灾难发生时,可能导致服务业务中断或恶化,进而对机构运营产生负面影响;人员管理、分支机构管理和流程管理风险主要包括对人员角色鉴别、关键岗位角色管理、人员操作、分支机构授权、分支机构运营、业务流程管控、二级节点管理等诸多安全风险。
三、标识解析安全发展对策及建议
针对工业互联网标识解析可能存在的安全风险,中国信通院围绕安全风险防控已经采取了一些手段措施,提出了工业互联网标识可信解析技术方案和软件实现,构建了工业互联网标识解析安全风险分析模型。但当前的安全形势依然很严峻,需要社会各界、各产业界等更加关注、多投入,发挥产业与技术优势,加强交流合作和资源共享,共同构建标识解析安全防护整体架构,持续优化工业互联网标识解析安全环境和产业生态。
一是协同推进。相比传统网络安全,工业互联网安全呈现出涉及范围广、复杂度高、安全要求高等新特点,进一步增加了安全防护的难度。构建标识解析安全生态,需要产业各界积极参与,投入更多的人力、物力。同时调动政产学研用的积极性,各方发挥各自技术和优势,群策群力、找准位置、形成合力,推动技术共享合作纵深发展,共建工业互联网标识解析安全产业生态,持续推进标识解析产业快速、健康、稳定发展。
二是提早布局。加强核心技术创新研究,重点突破标识解析安全核心技术的研究,将更多的安全因素纳入标识解析体系框架设计中,在标识解析体系建设初期从根源上把控风险,提前防范;加快推进安全风险预警和态势感知平台建设,提升标识解析体系安全防御能力。
三是全面分析。加快推进标识解析安全风险分析、标识解析节点接入认证、标识解析体系安全防护等研究工作;强化工业互联网标识解析安全创新成果转化和产业发展力度,推动产业快速发展。
四是逐项突破。在认证、加密、隐私保护等重点方向开展技术验证;逐步推广使用国产密码算法和符合国家密码管理部门规定的安全认证产品对标识解析的开放式协议架构进行加固;推动科研院所和高校等设立重点实验室,积极探索人工智能、区块链、零信任、大数据等新技术在标识解析安全防护能力建设中的创新应用。
五是重视标准。加快工业互联网标识解析安全关键亟需标准研制,积极引导和开展标识解析节点接入认证、解析体系安全防护、可信解析和安全运营规范等方面标准的研究、制定、推广。
六是人才培养。强化工业互联网标识解析安全人才培养,加强安全宣传教育,鼓励企业和高校安全专家积极参与“智能+”学院、专题会议等主题演讲活动;引导高等院校、科研机构和安全企业成立联合实验室,建立人才联合培养机制,促进技术研究和复合型人才培养;同时依托工业互联网产业联盟平台,组织开展技能大赛等活动,提升工业互联网标识解析安全从业人员的技能水平。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
路透社称谷歌Chrome浏览器造成大规模用户信息泄露
6月18日,据路透社报道,网络安全威胁检测厂商Awake Security的研究人员近日宣布,在谷歌的Chrome浏览器的扩展程序商店中发现了一个间谍插件,目前这一插件已经被下载了3200万次。 对于这款插件,Awake Security联合创始人兼首席科学家加里·戈隆布(Gary Golomb)表示,按照下载数量计算,这是Chrome商店中出现过的影响最为严重的恶意软件。由于开发者填写的虚假身份信息,因此不知道是谁发布了这个间谍插件,也不知道其目的是什么。他还表示,这些扩展程序可以躲避反病毒企业或安全软件的扫描。 而谷歌方面则拒绝对该新发现的间谍插件发表评论,也没有讨论这款插件和以前的其他恶意扩展程序的区别,并且拒绝公布该插件的影响范围。但谷歌发言人斯科特·维斯托弗(Scott Westover)表示目前已经删除了这款恶意扩展程序。 长期以来,都有恶意软件开发者利用谷歌Chrome浏览器的扩展程序商店散播恶意软件,2018年,研究人员发现每十个提交到Chrome扩展程序商店的插件中,就有一个存在恶意软件。随后,谷歌宣布他们将提升安全程度,增加人工审核员。 【责任编辑: 赵宁宁 TEL...
- 下一篇
如何保护企业的远程劳动力
对VPN服务器上的DDoS攻击不仅会使远程工作陷入瘫痪,而且使IT管理员无法访问其系统。需要采用几种确保其安全的方法。 运营业务的连续性在疫情期间对于组织至关重要。而现在,组织距离最佳时机还有很长的路要走。不断发展的冠状病毒疫情给个人和组织都带来了巨大的挑战,在大规模转向家庭远程工作和提供在线服务的过程中,保持业务正常运营对许多企业来说都很艰难。 在疫情期间,确保业务连续性的一个关键部分是网络弹性。也就是说,能够确保数字服务的连续性,从员工在家履行职责所需的应用程序和数据,到电子商务网站和移动应用程序等任何面向客户的元素。 但是,疫情将如何影响组织的网络弹性?它们如何应对挑战以减轻业务风险? 网络弹性是多方面的 网络弹性不仅在于确保关键的数字系统和应用程序继续运行。它是关于保护这些系统和应用程序免受恶意干扰,无论是由于数字破坏还是更复杂的企图渗透到组织基础设施并窃取数据。 它还与保护组织的在线声誉有关,确保破坏性或不真实的新闻故事不会在社交媒体中传播。不断发展的冠状病毒疫情对组织管理所有这三个方面的能力产生了巨大影响。 VPN访问成为瓶颈 大多数组织必须适应的工作环境的急剧变化使核心系...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果