陳詩洋 中國(guó)信息通信研究院安全研究所工程師

姜宇澤 中國(guó)信息通信研究院安全研究所工程師

李 藝 中國(guó)信息通信研究院安全研究所工程師

1 研究背景

工業(yè)互聯(lián)網(wǎng)安全意義重大，工業(yè)互聯(lián)網(wǎng)的連接打通了工業(yè)系統(tǒng)與互聯(lián)網(wǎng)，構(gòu)成了從廣度到深度前所未有的國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施，網(wǎng)絡(luò)安全與工業(yè)安全風(fēng)險(xiǎn)交織，挑戰(zhàn)空前復(fù)雜。應(yīng)對(duì)不當(dāng)，互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)將快速滲透到制造、能源、交通等關(guān)鍵領(lǐng)域，影響產(chǎn)業(yè)安全、經(jīng)濟(jì)安全乃至國(guó)家總體安全。

當(dāng)前工業(yè)互聯(lián)網(wǎng)安全形勢(shì)嚴(yán)峻，工業(yè)安全事件頻發(fā)。2015年烏克蘭電力公司遭到黑客攻擊，導(dǎo)致大規(guī)模停電；2016年美國(guó)域名系統(tǒng)受到DDoS攻擊，導(dǎo)致大面積斷網(wǎng)；2017年美國(guó)水務(wù)公司遭受黑客入侵，大量用戶信息泄露；2017年的“魔窟”勒索病毒利用美國(guó)家安全局被泄露安全漏洞“永恒之藍(lán)”肆虐全球事件，感染全球百余個(gè)國(guó)家和地區(qū)，直接威脅重要領(lǐng)域內(nèi)網(wǎng)、隔離網(wǎng)絡(luò)主機(jī)和數(shù)據(jù)安全，給全球網(wǎng)絡(luò)空間安全帶來嚴(yán)重威脅。因此，加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵技術(shù)研究，推進(jìn)工業(yè)互聯(lián)網(wǎng)安全技術(shù)發(fā)展已經(jīng)刻不容緩。

2 工業(yè)互聯(lián)網(wǎng)安全風(fēng)險(xiǎn)分析

工業(yè)互聯(lián)網(wǎng)打破傳統(tǒng)工業(yè)相對(duì)封閉可信的制造環(huán)境，傳統(tǒng)互聯(lián)網(wǎng)安全威脅向工業(yè)領(lǐng)域融合滲透，當(dāng)前工業(yè)互聯(lián)網(wǎng)“內(nèi)憂外患”，外部安全威脅及內(nèi)生安全風(fēng)險(xiǎn)并存，安全形勢(shì)嚴(yán)峻。

2.1 互聯(lián)互通導(dǎo)致網(wǎng)絡(luò)攻擊路徑增多

傳統(tǒng)工廠網(wǎng)絡(luò)環(huán)境相對(duì)封閉可信，通過與外部網(wǎng)絡(luò)隔離實(shí)現(xiàn)安全防護(hù)，基本不具備防范網(wǎng)絡(luò)攻擊的能力。隨著工業(yè)領(lǐng)域網(wǎng)絡(luò)化、智能化的推進(jìn)，工廠內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)逐步打通，傳統(tǒng)互聯(lián)網(wǎng)病毒、木馬、高級(jí)持續(xù)性攻擊等網(wǎng)絡(luò)風(fēng)險(xiǎn)向工廠內(nèi)蔓延，一旦某個(gè)環(huán)節(jié)被突破，全網(wǎng)將處于易受攻擊的高風(fēng)險(xiǎn)狀態(tài)。

2.2 標(biāo)識(shí)解析系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)嚴(yán)峻

工業(yè)互聯(lián)網(wǎng)在逐步實(shí)現(xiàn)IT、OT融合的同時(shí)，傳統(tǒng)信息安全風(fēng)險(xiǎn)與工業(yè)安全風(fēng)險(xiǎn)交織滲透產(chǎn)生新風(fēng)險(xiǎn)，工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)、平臺(tái)、數(shù)據(jù)、設(shè)備均面臨安全威脅。標(biāo)識(shí)解析系統(tǒng)安全風(fēng)險(xiǎn)嚴(yán)峻。需考慮實(shí)際運(yùn)行中與DNS系統(tǒng)的互聯(lián)互通、整體架構(gòu)的安全。面臨DDOS、緩存感染、系統(tǒng)劫持等網(wǎng)絡(luò)攻擊，需在設(shè)計(jì)階段同步部署相關(guān)防護(hù)措施。

2.3 工業(yè)互聯(lián)網(wǎng)平臺(tái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)加劇

工業(yè)互聯(lián)網(wǎng)平臺(tái)涉及設(shè)計(jì)協(xié)同、供應(yīng)鏈協(xié)同、制造協(xié)同、服務(wù)協(xié)同、用戶全流程參與以及產(chǎn)品服務(wù)延伸等方面。工業(yè)互聯(lián)網(wǎng)平臺(tái)面臨木馬病毒感染、拒絕服務(wù)攻擊、有組織有針對(duì)性的網(wǎng)絡(luò)攻擊（APT）等安全威脅，將危害生產(chǎn)運(yùn)行，甚至導(dǎo)致生產(chǎn)事故，從而威脅人身和國(guó)家安全。工業(yè)互聯(lián)網(wǎng)平臺(tái)承載著大量重要的工業(yè)數(shù)據(jù)，極易被竊取篡改，造成國(guó)家重要數(shù)據(jù)資源的流失；其也是高端制造生態(tài)的重要競(jìng)爭(zhēng)力，生產(chǎn)“決策控制”中樞，承載重要資源，我國(guó)平臺(tái)難以與跨國(guó)寡頭抗衡，安全可控面臨嚴(yán)峻挑戰(zhàn)。

2.4 工業(yè)互聯(lián)網(wǎng)面臨嚴(yán)峻的數(shù)據(jù)泄露風(fēng)險(xiǎn)

工廠數(shù)據(jù)由少量、單一、單向向大量、多維、雙向轉(zhuǎn)變，具體表現(xiàn)為工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)體量大、種類多、結(jié)構(gòu)復(fù)雜，并在IT和OT層、工廠內(nèi)外雙向流動(dòng)共享。這將帶來新的安全風(fēng)險(xiǎn)：數(shù)據(jù)泄露風(fēng)險(xiǎn)增大，生產(chǎn)數(shù)據(jù)從OT滲透到IT，從廠內(nèi)流向廠外；數(shù)據(jù)保護(hù)難度增大，體量大、種類多、保護(hù)需求不同、流動(dòng)方向和路徑復(fù)雜；大數(shù)據(jù)分析催生價(jià)值保護(hù)需求，生產(chǎn)數(shù)據(jù)價(jià)值低便于為大數(shù)據(jù)分析產(chǎn)生價(jià)值，如從生產(chǎn)數(shù)據(jù)推斷出工藝、導(dǎo)彈射程等敏感信息；用戶隱私數(shù)據(jù)泄露風(fēng)險(xiǎn)，工廠外個(gè)性化定制、服務(wù)化轉(zhuǎn)型涉及大量用戶隱私數(shù)據(jù)。

2.5 智能設(shè)備安全隱患突出

工業(yè)互聯(lián)網(wǎng)裝備由機(jī)械化向高度智能化改變，產(chǎn)生了嵌入式操作系統(tǒng)、微處理器和應(yīng)用軟件的新模式，將帶來以下安全風(fēng)險(xiǎn)：攻擊直達(dá)設(shè)備，由控制系統(tǒng)向智能設(shè)備蔓延；攻擊范圍擴(kuò)大；擴(kuò)散速度增加；漏洞影響擴(kuò)大，由特定型號(hào)設(shè)備向海量通用設(shè)備轉(zhuǎn)變。

3 工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵技術(shù)發(fā)展現(xiàn)狀

針對(duì)工業(yè)互聯(lián)網(wǎng)的安全防護(hù)，國(guó)外已進(jìn)行了較多的研究與探索，主要分為設(shè)備安全防護(hù)、網(wǎng)絡(luò)安全防護(hù)、控制系統(tǒng)安全防護(hù)、平臺(tái)安全防護(hù)、數(shù)據(jù)安全防護(hù)5個(gè)方面。

3.1 設(shè)備安全防護(hù)

針對(duì)工業(yè)互聯(lián)網(wǎng)中接入的各類現(xiàn)場(chǎng)設(shè)備或物聯(lián)終端的安全防護(hù)，主要是通過操作系統(tǒng)加固、簽發(fā)證書等方式進(jìn)行，以實(shí)現(xiàn)對(duì)于工業(yè)互聯(lián)網(wǎng)設(shè)備的強(qiáng)身份認(rèn)證，從芯片層面實(shí)現(xiàn)設(shè)備身份的真實(shí)可信。賽門鐵克公司針對(duì)設(shè)備安全防護(hù)，提出了兩款解決方案，分別為Critical System Protection及Symantec Device Certificate Service。Critical System Protection作為一款輕量型安全防護(hù)客戶端，為物聯(lián)網(wǎng)設(shè)備嵌入式系統(tǒng)生產(chǎn)商和資產(chǎn)所有人提供了無特征、基于主機(jī)的強(qiáng)大安全防護(hù)，可用于托管場(chǎng)景和非托管場(chǎng)景，且不影響設(shè)備性能。而Symantec Device Certificate Service則是一款基于橢圓曲線加密技術(shù)（ECC）實(shí)現(xiàn)的公共密鑰基礎(chǔ)設(shè)施（PKI）的解決方案。目前已經(jīng)向全球聯(lián)網(wǎng)設(shè)備頒發(fā)了10億多個(gè)證書，覆蓋領(lǐng)域包括智能儀表、電纜箱、調(diào)制解調(diào)器及機(jī)車等。

3.2 控制系統(tǒng)安全防護(hù)

由于工業(yè)互聯(lián)網(wǎng)中的控制系統(tǒng)與傳統(tǒng)的信息系統(tǒng)之間存在著較大差異，因而其對(duì)系統(tǒng)行為的審計(jì)也有著不同的需求。在部署上，對(duì)于工業(yè)互聯(lián)網(wǎng)中控制系統(tǒng)的審計(jì)需要采取鏡像監(jiān)聽的方式，并保證監(jiān)聽網(wǎng)卡不能主動(dòng)外發(fā)數(shù)據(jù)包，有些大型的系統(tǒng)在橫向上會(huì)有多個(gè)區(qū)域，這就需要相關(guān)的審計(jì)技術(shù)與產(chǎn)品能夠支持分布式部署?？刂葡到y(tǒng)的安全，要求做到對(duì)整個(gè)控制系統(tǒng)中操作行為的可知可控，這就要求針對(duì)控制系統(tǒng)的行為審計(jì)技術(shù)能夠?qū)λ辛髁窟M(jìn)行全面分析處理，對(duì)于無法確定為正常的操作行為的內(nèi)容均應(yīng)視為異常行為，即可能存在潛在的風(fēng)險(xiǎn)。實(shí)現(xiàn)對(duì)異常/攻擊行為的溯源分析（事后），及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常行為并告警（事中）。

控制系統(tǒng)的行為審計(jì)技術(shù)經(jīng)歷了從網(wǎng)絡(luò)層行為審計(jì)到應(yīng)用層行為審計(jì)的發(fā)展過程。由于控制系統(tǒng)中的通信內(nèi)容相對(duì)簡(jiǎn)單，一個(gè)完整的操作流程基本上能夠覆蓋各類通信行為，而且通信內(nèi)容上不會(huì)變幻不定。另外，控制系統(tǒng)中所采用的通訊協(xié)議通常都是明文方式。再加上控制系統(tǒng)安全對(duì)穩(wěn)定可靠、可知可控的需求，使得白名單規(guī)則匹配技術(shù)成為控制系統(tǒng)行為審計(jì)技術(shù)的主流。

3.3 網(wǎng)絡(luò)安全防護(hù)

目前在網(wǎng)絡(luò)安全防護(hù)方面，主要是采取縱深防御策略，遵循區(qū)域劃分、邊界隔離、鏈路防護(hù)、通信管控的原則，對(duì)工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)進(jìn)行有針對(duì)性的安全防護(hù)。

一是區(qū)域劃分。按照業(yè)務(wù)不同劃分安全區(qū)域，一般會(huì)將網(wǎng)絡(luò)劃分為管理信息層、現(xiàn)場(chǎng)控制層、現(xiàn)場(chǎng)設(shè)備層3個(gè)層面。其中，管理信息層主要用于日常辦公以及對(duì)從現(xiàn)場(chǎng)控制層匯總提交的業(yè)務(wù)數(shù)據(jù)進(jìn)行分析與管理等。現(xiàn)場(chǎng)控制層主要用于對(duì)現(xiàn)場(chǎng)設(shè)備運(yùn)行過程中產(chǎn)生的數(shù)據(jù)進(jìn)行收集，并對(duì)現(xiàn)場(chǎng)設(shè)備的運(yùn)行狀態(tài)進(jìn)行監(jiān)控?，F(xiàn)場(chǎng)設(shè)備層主要接入各類生產(chǎn)設(shè)備，通過硬接線或串口總線等方式與現(xiàn)場(chǎng)控制層中的智能控制設(shè)備進(jìn)行連接。二是邊界隔離。加入防火墻、單向傳輸?shù)妊b置實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界的隔離防護(hù)。一般在管理信息層通往互聯(lián)網(wǎng)的出口處部署防火墻，只允許符合規(guī)則的網(wǎng)絡(luò)流量通過該防火墻進(jìn)出企業(yè)網(wǎng)絡(luò)。針對(duì)管理信息層只對(duì)現(xiàn)場(chǎng)控制層匯總提交的業(yè)務(wù)數(shù)據(jù)進(jìn)行分析與管理，而不對(duì)現(xiàn)場(chǎng)控制層設(shè)備進(jìn)行操作的特點(diǎn)，在管理信息層與現(xiàn)場(chǎng)控制層之間部署單向數(shù)據(jù)傳輸裝置，只允許從現(xiàn)場(chǎng)控制層流向管理信息層的數(shù)據(jù)通過，從而阻斷攻擊者通過管理信息層向現(xiàn)場(chǎng)控制層進(jìn)行滲透的可能性。三是鏈路防護(hù)。構(gòu)建VPN等安全傳輸通道，實(shí)現(xiàn)對(duì)鏈路傳輸數(shù)據(jù)的安全防護(hù)。在該企業(yè)網(wǎng)絡(luò)中，對(duì)于現(xiàn)場(chǎng)控制層通往管理信息層，以及管理信息層設(shè)備之間的數(shù)據(jù)鏈路，可通過加密的方式對(duì)鏈路上傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)。另外，對(duì)于需要通過遠(yuǎn)程方式接入管理信息層網(wǎng)絡(luò)的情況，在管理信息層中設(shè)置遠(yuǎn)程接入服務(wù)器，運(yùn)維人員通過VPN通道接入企業(yè)網(wǎng)絡(luò)中。四是通信管控?；趨f(xié)議深度解析技術(shù)，實(shí)現(xiàn)對(duì)通信內(nèi)容的全面管控。通過協(xié)議深度解析技術(shù)，對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)部傳輸?shù)臄?shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的異常行為并采取適當(dāng)措施進(jìn)行處置。

3.4 平臺(tái)安全防護(hù)

典型的工業(yè)互聯(lián)網(wǎng)平臺(tái)包括SaaS層、PaaS層和IaaS層。其中，SaaS層主要用于為用戶提供各類工業(yè)互聯(lián)網(wǎng)應(yīng)用，如實(shí)時(shí)監(jiān)控、資產(chǎn)管理、生產(chǎn)運(yùn)行、能源管理、物流管理等。PaaS層主要用于為平臺(tái)應(yīng)用開發(fā)者提供各類開發(fā)工具套件，并提供數(shù)據(jù)分析能力。IaaS層主要用于提供整個(gè)平臺(tái)運(yùn)行所需的各類物理及虛擬資源，包括服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、虛擬化等。應(yīng)結(jié)合工業(yè)互聯(lián)網(wǎng)平臺(tái)架構(gòu)，對(duì)于平臺(tái)中各層次應(yīng)采取相應(yīng)的安全防護(hù)措施，綜合運(yùn)用硬件加固、網(wǎng)絡(luò)隔離、代碼審計(jì)、數(shù)據(jù)保護(hù)、身份驗(yàn)證、訪問控制、行為管控、風(fēng)險(xiǎn)追蹤等技術(shù)，從整體上提升平臺(tái)安全防護(hù)能力。

在SaaS層，當(dāng)前主要采取身份驗(yàn)證與訪問控制技術(shù)，對(duì)于使用平臺(tái)中各類應(yīng)用的用戶身份進(jìn)行甄別，并對(duì)其可以訪問的資源進(jìn)行嚴(yán)格控制。在PaaS層，則需要采取代碼安全評(píng)估技術(shù)，在平臺(tái)應(yīng)用上線前對(duì)其代碼的安全性進(jìn)行評(píng)估，及時(shí)發(fā)現(xiàn)應(yīng)用在代碼層面可能出現(xiàn)的安全隱患。在IaaS層，主要是通過對(duì)各類基礎(chǔ)設(shè)施資源進(jìn)行安全加固的方式提高其安全性。例如對(duì)于硬件設(shè)備，可通過在其中加入安全芯片，確保硬件設(shè)備在啟動(dòng)時(shí)的初始硬件環(huán)境真實(shí)可信；對(duì)于操作系統(tǒng)，可通過關(guān)閉不必要的服務(wù)的形式，降低攻擊者利用系統(tǒng)服務(wù)漏洞對(duì)系統(tǒng)進(jìn)行攻擊的可能性。

3.5 數(shù)據(jù)安全防護(hù)

在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)的安全防護(hù)方面，目前主要基于數(shù)據(jù)加密與數(shù)據(jù)流向?qū)徲?jì)技術(shù)，實(shí)現(xiàn)覆蓋業(yè)務(wù)數(shù)據(jù)全生命周期的安全防護(hù)與追溯。以西門子為例，考慮到數(shù)據(jù)安全許可與加密，西門子與Identify3D（ID3D）建立了戰(zhàn)略伙伴關(guān)系。ID3D將確保數(shù)字化生產(chǎn)流程安全和可追溯性的解決方案集成于西門子的Sinumerik和PLM（產(chǎn)品生命周期管理）的產(chǎn)品組合。通過與Identify3D開展合作，西門子已經(jīng)實(shí)現(xiàn)利用端到端安全解決方案保護(hù)貫穿價(jià)值鏈各環(huán)節(jié)的所有流程數(shù)據(jù)的完整性。西門子與Indentify3D已在2017年9月舉行的德國(guó)漢諾威歐洲機(jī)床展（EMO）上展示了該軟件集成。通過將這些全新解決方案集成于西門子的產(chǎn)品組合，客戶將能夠?qū)ζ渲R(shí)產(chǎn)權(quán)進(jìn)行保護(hù)，根據(jù)分別定義的參數(shù)生產(chǎn)產(chǎn)品，并全面跟蹤生產(chǎn)部件。

4 工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵技術(shù)趨勢(shì)分析

4.1 態(tài)勢(shì)感知將成為保障工業(yè)互聯(lián)網(wǎng)安全的重要技術(shù)手段

鑒于工業(yè)互聯(lián)網(wǎng)對(duì)于國(guó)民生產(chǎn)及社會(huì)穩(wěn)定的重要意義，對(duì)于工業(yè)互聯(lián)網(wǎng)的安全防護(hù)，必須做到在安全威脅對(duì)其正常運(yùn)行造成實(shí)質(zhì)性影響之前及時(shí)發(fā)現(xiàn)并妥善處置，這就要求今后的工業(yè)互聯(lián)網(wǎng)需要具備完備的安全態(tài)勢(shì)感知機(jī)制。在具體建設(shè)過程中，可借助工業(yè)互聯(lián)網(wǎng)的大數(shù)據(jù)分析能力以及邊緣計(jì)算能力，基于協(xié)議深度解析技術(shù)以及事件關(guān)聯(lián)分析技術(shù)，分析工業(yè)互聯(lián)網(wǎng)當(dāng)前運(yùn)行狀態(tài)并預(yù)判未來安全走勢(shì)，實(shí)現(xiàn)對(duì)工業(yè)互聯(lián)網(wǎng)安全的全局掌控，并在出現(xiàn)安全威脅時(shí)通過網(wǎng)絡(luò)中各類設(shè)備的協(xié)同聯(lián)動(dòng)機(jī)制及時(shí)進(jìn)行抑制，阻止安全威脅的繼續(xù)蔓延。

4.2 內(nèi)生安全防御成為未來工業(yè)互聯(lián)網(wǎng)安全防護(hù)大趨勢(shì)

目前在工業(yè)互聯(lián)網(wǎng)，尤其是控制系統(tǒng)、現(xiàn)場(chǎng)設(shè)備及其之間所采用的通信協(xié)議，由于最初主要考慮功能實(shí)現(xiàn)及實(shí)時(shí)性保證，對(duì)于安全性方面的設(shè)計(jì)做出了較多犧牲，從而給攻擊者以可乘之機(jī)。對(duì)于工業(yè)互聯(lián)網(wǎng)，應(yīng)當(dāng)更加注重提升工業(yè)互聯(lián)網(wǎng)自身在安全設(shè)計(jì)方面的完備性，提高工業(yè)互聯(lián)網(wǎng)自身的免疫力。隨著網(wǎng)絡(luò)帶寬與處理性能的不斷提升，為更多安全機(jī)制今后引入工業(yè)互聯(lián)網(wǎng)的安全防護(hù)提供了可能。在今后的安全設(shè)計(jì)中，在設(shè)備層面，可以通過對(duì)設(shè)備芯片與操作系統(tǒng)進(jìn)行安全加固，并對(duì)設(shè)備配置進(jìn)行優(yōu)化的方式實(shí)現(xiàn)；在對(duì)應(yīng)用程序的脆弱性分析方面，可通過引入漏洞挖掘技術(shù)，對(duì)于上述工業(yè)互聯(lián)網(wǎng)應(yīng)用及控制系統(tǒng)采取靜態(tài)挖掘、動(dòng)態(tài)挖掘，或是二者相結(jié)合的方式進(jìn)行，實(shí)現(xiàn)對(duì)自身隱患的常態(tài)化排查；而對(duì)于安全保障機(jī)制欠缺的各類通信協(xié)議，則可以在新版本協(xié)議中加入數(shù)據(jù)加密、身份驗(yàn)證、訪問控制、完整性驗(yàn)證等機(jī)制提升其安全性，并逐步取代現(xiàn)有協(xié)議。