推动工业互联网加快发展，青莲云TinyScan高效检测工业互联网安全漏洞

时间：2020-05-07 10:54:01

关键字：工业互联网 CAN TINY 安全漏洞

手机看文章

扫描二维码
随时随地手机看文章

[导读] 　　一、工业互联网国家政策体系不断发展　　2018年6月，工信部印发《工业互联网发展行动计划（2018-2020年）》　　目标2020年底，初步建成工业互联网基础设施和产业体

　　一、工业互联网国家政策体系不断发展

　　2018年6月，工信部印发《工业互联网发展行动计划（2018-2020年）》

　　目标2020年底，初步建成工业互联网基础设施和产业体系，在重点任务八大行动中，明确提出安全保障水平增强行动。

　　2019年7月，十部门发布《加强工业互联网安全工作的指导意见通知》

　　第8条提到：强化平台和工业应用程序（APP）安全。要求工业互联网平台的建设、运营单位按照相关标准开展平台建设，在平台上线前进行安全评估，建立健全工业APP应用前安全检测机制。

　　第14条提到：构建工业互联网设备、网络、平台、工业APP等的安全评估体系，依托产业联盟、行业协会等第三方机构为工业互联网企业持续开展安全能力评测评估服务。

　　第15条提到：鼓励和支持专业机构、网络安全企业等提供安全诊断评估、安全咨询、数据保护、代码检查、系统加固、云端防护等服务。

　　第16条提到：加强攻击防护、漏洞挖掘、态势感知等安全产品研发。支持通过众测众研等创新方式，聚集社会力量，提升漏洞隐患发现技术能力。

　　2020年3月工信部发布《推动工业互联网加快发展的通知》

　　通知中明确提出要完善安全技术监测体系和对100个以上的工业APP开展检测分析，增强APP安全性。健全安全检查检测机制，定期对重点平台、工业企业、工业APP开展检查检测，指导和服务企业排查安全隐患，及时做好安全整改，提高企业安全防护水平。

　　二、工业互联网安全隐患不断显现

　　由于工业互联网的快速发展，越来越多新的安全风险和攻击面被暴露在互联网或企业内网中。随着业务上云和数据互通的场景出现，在享受互联互通带来节本提效的好处同时，也需要有能力识别出潜在的安全隐患。国家多部门在一系列有关工业互联网的政府公告中也都提出针对工业互联安全建设的指导意见。

　　在传统工控安全领域之外，目前存在的可能导致工业生产安全的隐患有以下三类：

　　1、工业边缘设备的安全：如工业路由器、网关、DTU的安全，此类设备在部署位置上属于核心边缘节点，在功能上既要满足边缘计算，也要满足数据收发，是工业生产安全和运营安全环节中的重要组成部分。但是通常情况下，工业边缘设备并没有一套完善的定期安全检测机制和安全监测机制，黑客可以通过攻击工业边缘设备来影响生产流程或者通过入侵边缘设备来发起更大规模的工业内网攻击。

　　2、工业互联网云平台的安全：随着企业纷纷上云上平台，不管是第三方的公有云平台还是企业自己建立的私有云平台，都面临来自Web安全领域的黑客攻击风险。工业互联网云平台作为PaaS服务在为工业设备和生产业务提供管理和运营的同时，其自身也是一个暴露在互联网上的Web应用，随时可能面临诸如暴力破解、SQL注入、DDoS等网络攻击，而工业企业普遍对云安全和Web安全了解甚少，无法评估自身业务的安全健壮性。

　　3、工业APP的安全：工业APP在业务发展上为工业互联网场景带来极大的管理便利性，基本实现了对工业设备的管理、对云平台的管理、对业务流程的管理以及常见的数据分析、故障告警、售后维护等日常管理功能。工业APP在满足管理功能的同时，自身也涉及到多类企业生产隐私数据、云端接口数据、业务管理权限等高危红线，一旦发生安全事故，将有可能出现敏感数据泄露、生产安全流程被篡改等恶意后果。

　　基于以上三个安全维度和国家相关政策要求，青莲云推出了IoT安全检测平台：TinyScan。TInyScan围绕工业边缘设备安全、工业互联网云平台安全、工业APP安全三方面提供端到端的远程自动化安全检测服务，并且提供标准的企业级API，可以与工业企业内部信息系统集成，通过持续、定期、有效的安全检测来构建工业互联网企业的生产研发安全监测体系，规范企业安全测试流程，帮助企业建立安全测试和安全开发的技术规范。

　　三、青莲云IoT安全检测平台产品介绍

　　平台简介：以SaaS服务的形式，提供覆盖设备固件、云平台/API、客户端APP的远程自动化安全检测服务，并出具可下载、可复测的企业专属安全检测报告，标准的企业API接口，帮助企业实现定期自动化安全监测，也可以通过API将TInyScan的自动化漏洞挖掘能力集成在企业内部的安全管理平台或运维平台中，帮助企业建立属于自己的安全测试流程。

　　平台内含数百种检测项目，包括但不限于：

　　• 设备固件安全检测：软件漏洞检测、组件漏洞检测、CVE漏洞识别、敏感信息检测、硬编码检测、加密安全检测、认证安全检测、系统服务检测、远程溢出漏洞检测、用户密码检测等等。

　　• 云平台/API安全检测： SQL注入检测、XSS检测、远程命令执行检测、远程文件包含检测、目录遍历检测、CSRF检测、身份识别检测、水平权限检测、敏感文件泄露检测等等

　　• 客户端APP检测：组件安全检测、任意调试检测、任意备份检测、加密检测、文件读写检测、系统漏洞检测、认证安全检测、端口安全检测、恶意代码执行检测等等。

　　TInyScan安全检测结果示例（支持PDF报告下载）

　　四、收费模式

　　青莲云IoT安全检测平台提供免费版和商业版两种版本，不同版本所提供的检测能力和服务能力有所不同