吳濤，黃健，郭鈺璐，楊飛，趙通（.中訊郵電咨詢設(shè)計(jì)院有限公司，北京 00048；.中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司，北京 00033）

0 前言

在“新基建”背景下，數(shù)字化驅(qū)動的工業(yè)互聯(lián)網(wǎng)技術(shù)加速了信息空間與物理空間的融合，“鍵盤鼠標(biāo)”與“大國重器”之間界面的逐步打破將導(dǎo)致工業(yè)互聯(lián)網(wǎng)暴露在互聯(lián)網(wǎng)“炮火”攻擊之下，不可避免地成為惡意勢力攻擊破壞的首要目標(biāo)。近年來，工業(yè)互聯(lián)網(wǎng)安全形勢嚴(yán)峻，工業(yè)安全事件頻發(fā)。

自2010 年伊朗核電站Stuxnet 震網(wǎng)病毒攻擊事件起，針對工業(yè)互聯(lián)網(wǎng)的攻擊事件愈發(fā)頻繁，如2015 年烏克蘭電力公司遭到黑客攻擊，導(dǎo)致大規(guī)模停電；2017 年美國水務(wù)公司遭受黑客入侵，導(dǎo)致大量用戶信息泄露；2017 年的“魔窟”勒索病毒感染全球百余個國家和地區(qū)；近日委內(nèi)瑞拉一大型水電站系統(tǒng)遭“黑客攻擊”，影響21 個州的供電事件。工業(yè)互聯(lián)網(wǎng)安全已經(jīng)成為了世界性難題，沒有安全保障的工業(yè)互聯(lián)網(wǎng)，其后續(xù)的發(fā)展將寸步難行。加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全關(guān)鍵技術(shù)研究，推進(jìn)工業(yè)互聯(lián)網(wǎng)安全技術(shù)發(fā)展已經(jīng)刻不容緩。

1 工業(yè)互聯(lián)網(wǎng)體系結(jié)構(gòu)

工業(yè)互聯(lián)網(wǎng)體系包含網(wǎng)絡(luò)、平臺、安全三大功能體系，實(shí)現(xiàn)人、機(jī)、物全面互聯(lián)的新型網(wǎng)絡(luò)，圖1所示為工業(yè)互聯(lián)網(wǎng)體系結(jié)構(gòu)示意。

圖1 工業(yè)互聯(lián)網(wǎng)體系結(jié)構(gòu)

a）網(wǎng)絡(luò)。網(wǎng)絡(luò)是工業(yè)互聯(lián)網(wǎng)的基礎(chǔ)，實(shí)現(xiàn)工業(yè)體系內(nèi)各系統(tǒng)、產(chǎn)業(yè)鏈、價值鏈泛在互聯(lián)。

b）平臺。平臺是工業(yè)互聯(lián)網(wǎng)的核心，構(gòu)建基于海量數(shù)據(jù)采集、匯聚、分析的平臺能力。

c）安全。安全是工業(yè)互聯(lián)網(wǎng)的保障，通過構(gòu)建涵蓋工業(yè)全系統(tǒng)的安全防護(hù)體系，增強(qiáng)設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用和數(shù)據(jù)的安全保障能力，識別和抵御安全威脅，化解各種安全風(fēng)險，構(gòu)建工業(yè)智能化發(fā)展的安全可信環(huán)境。

2 工業(yè)互聯(lián)網(wǎng)的安全體系架構(gòu)

工業(yè)互聯(lián)網(wǎng)的安全與傳統(tǒng)信息安全及生產(chǎn)物理安全有根本性的區(qū)別，工業(yè)互聯(lián)網(wǎng)所面臨的復(fù)雜安全挑戰(zhàn)，需要一套體系化的安全方案來應(yīng)對，圖2所示為我國當(dāng)前主流的工業(yè)互聯(lián)網(wǎng)安全體系架構(gòu)示意。

圖2 工業(yè)互聯(lián)網(wǎng)安全框架示意圖

安全框架充分借鑒傳統(tǒng)網(wǎng)絡(luò)安全框架和國外成功實(shí)踐，包含了防護(hù)對象、防護(hù)措施及防護(hù)管理3個部分，3 個部分相輔相成、互為補(bǔ)充，形成一個完整、動態(tài)、持續(xù)的防護(hù)體系。

3 工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全隱患分析

工業(yè)互聯(lián)網(wǎng)子系統(tǒng)按照功能分為車間、企業(yè)、產(chǎn)業(yè)、平臺等模塊。各模塊具有大規(guī)模連接、設(shè)備多樣性、系統(tǒng)接口多等特征，其安全風(fēng)險隱患主要表現(xiàn)在威脅對象廣、危險類型多、安全風(fēng)險因素多、攻擊模式復(fù)雜幾個方面。

按照安全框架的防護(hù)對象，工業(yè)互聯(lián)網(wǎng)的安全工作主要聚焦在設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)五大領(lǐng)域，本文主要對工業(yè)互聯(lián)網(wǎng)中的網(wǎng)絡(luò)安全領(lǐng)域的關(guān)鍵技術(shù)進(jìn)行研究。

工業(yè)互聯(lián)網(wǎng)領(lǐng)域中的網(wǎng)絡(luò)安全主要指工廠內(nèi)部網(wǎng)絡(luò)和工廠外部網(wǎng)絡(luò)的安全，其網(wǎng)絡(luò)示意如圖3所示。

圖3 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)示意圖

根據(jù)對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)架構(gòu)及網(wǎng)絡(luò)安全相關(guān)工作內(nèi)容的分解與分析，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)主要存在如下安全風(fēng)險。

a）工廠原有的內(nèi)部網(wǎng)絡(luò)為封閉網(wǎng)絡(luò)，原生產(chǎn)區(qū)域及各個設(shè)備之間未做嚴(yán)格的權(quán)限管控及區(qū)域隔離，在接入互聯(lián)網(wǎng)后，帶來攻擊風(fēng)險。

b）工業(yè)互聯(lián)網(wǎng)包含了IT、CT、OT 相關(guān)技術(shù)，其安全體系所涉及到工業(yè)互聯(lián)網(wǎng)的攻擊形態(tài)、攻擊手段還未被完全掌握，基于現(xiàn)有的防火墻技術(shù)很難精確地定位與應(yīng)對。

c）目前部分工控系統(tǒng)仍然使用微軟Windows 系統(tǒng)，由于原有的封閉網(wǎng)絡(luò)特性導(dǎo)致其部分系統(tǒng)存在長期未升級、版本停止服務(wù)、安全漏洞無法修復(fù)等風(fēng)險。

d）工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)中傳輸大量的OT 側(cè)的控制數(shù)據(jù)，如果該類數(shù)據(jù)被劫持或者破解，將會給生產(chǎn)帶來極大破壞的風(fēng)險。

4 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)技術(shù)

根據(jù)對工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)安全風(fēng)險的分析，建議將網(wǎng)絡(luò)隔離技術(shù)、入侵檢測技術(shù)、網(wǎng)關(guān)防病毒技術(shù)、數(shù)據(jù)加密技術(shù)應(yīng)用于工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全管控工作中，應(yīng)對其安全風(fēng)險，技術(shù)應(yīng)用示意如圖4所示。

圖4 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全技術(shù)應(yīng)用示意圖

4.1 網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離可以有效防止網(wǎng)絡(luò)信息無序流轉(zhuǎn)，根據(jù)系統(tǒng)安全等級的不同，分區(qū)域、分設(shè)備、分用戶多維度隔離，當(dāng)前主要有物理隔離、協(xié)議隔離和應(yīng)用隔離3種隔離技術(shù)。

a）物理隔離。物理隔離技術(shù)主要在OT 區(qū)域?qū)嵤梢酝ㄟ^網(wǎng)絡(luò)規(guī)劃進(jìn)行完全的物理隔離，也可以使用網(wǎng)閘技術(shù)來完成物理隔離。

b）協(xié)議隔離。該類隔離技術(shù)依靠TCP/IP 協(xié)議原理實(shí)現(xiàn)，如基于二層的MAC 地址訪問控制技術(shù)，基于VLAN 的廣播域控制技術(shù)，基于隧道協(xié)議（IPSec、GRE等）的VPN技術(shù)。

c）應(yīng)用隔離。該技術(shù)主要指在工業(yè)互聯(lián)網(wǎng)的云平臺的SDN 的網(wǎng)絡(luò)環(huán)境中，如容器、虛擬機(jī)、沙箱虛擬化隔離技術(shù)等。

4.2 入侵檢測技術(shù)

入侵檢測技術(shù)（IDS）相對于防火墻的靜態(tài)防御技術(shù)，是一種主動保護(hù)自己免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)，其提供了動態(tài)防御能力，整體提升了網(wǎng)絡(luò)安全防護(hù)體系的防御能力。

在工業(yè)互聯(lián)網(wǎng)中，很多工業(yè)控制設(shè)備在設(shè)計(jì)之初就未考慮過自己會暴露在工業(yè)互聯(lián)網(wǎng)上，缺乏防護(hù)設(shè)計(jì)，存在很大的漏洞隱患，一旦在線運(yùn)行極易被攻擊，直接威脅網(wǎng)絡(luò)安全。同時數(shù)據(jù)安全方面，因工業(yè)互聯(lián)網(wǎng)發(fā)展產(chǎn)生的數(shù)據(jù)采集、匯聚，也會增加數(shù)據(jù)被泄露、被勒索攻擊和被濫用的風(fēng)險。工業(yè)互聯(lián)網(wǎng)中設(shè)備眾多、網(wǎng)絡(luò)通信復(fù)雜，很難全面掌握網(wǎng)絡(luò)中所必須的業(yè)務(wù)通信需求，防火墻的靜態(tài)配置技術(shù)無法全面解決其安全風(fēng)險，入侵檢測技術(shù)將作為防火墻技術(shù)的有效補(bǔ)充，整體提升工業(yè)互聯(lián)網(wǎng)的安全。

入侵檢測技術(shù)對網(wǎng)絡(luò)進(jìn)行檢測，提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時監(jiān)控，對網(wǎng)絡(luò)安全提供動態(tài)保護(hù)，其具有事前警告、事中防御、事后取證的特點(diǎn)，很好地彌補(bǔ)了防火墻只能作為靜態(tài)防御的不足。對緩沖區(qū)溢出、SQL 注入、暴力猜測、DOS 攻擊、掃描探測、木馬后門等各類黑客攻擊和惡意流量進(jìn)行實(shí)時檢測及報警。

入侵檢測系統(tǒng)的部署示意如圖5所示。

圖5 入侵檢測部署示意圖

部署方式采用旁路方式，從防火墻上將流量鏡像到IDS 設(shè)備，這樣可以使用防火墻與IDS 進(jìn)行聯(lián)動配置，提高系統(tǒng)整體安全。

4.3 網(wǎng)關(guān)式防病毒技術(shù)

傳統(tǒng)的主機(jī)側(cè)的防病毒系統(tǒng)如果在工業(yè)互聯(lián)網(wǎng)上實(shí)施需要部署在每一臺工控設(shè)備即服務(wù)器上，由于工業(yè)系統(tǒng)對軟件的兼容性、可靠性、穩(wěn)定性要求非常高，其防病毒產(chǎn)品必須經(jīng)過嚴(yán)格的測試后才能安裝，因此帶來適配周期長、測試樣例復(fù)雜、改造成本高等諸多難以短時解決的困難，如果采用網(wǎng)關(guān)式防病毒技術(shù)就能夠很好地規(guī)避工業(yè)互聯(lián)網(wǎng)中防病毒軟件部署困難的問題，網(wǎng)關(guān)防病毒示意如圖6所示。

圖6 網(wǎng)關(guān)防病毒示意圖

網(wǎng)關(guān)防病毒技術(shù)依靠病毒特征碼匹配，在網(wǎng)關(guān)處將數(shù)據(jù)包還原成文件進(jìn)行病毒處理。該種方案將原有的分布式的主機(jī)查殺毒方式轉(zhuǎn)變?yōu)榧惺降木W(wǎng)關(guān)病毒防范，對于原有工業(yè)互聯(lián)網(wǎng)因設(shè)備老舊，系統(tǒng)版本廠家已經(jīng)停止服務(wù)無法適配病毒軟件，軟件因病毒軟件兼容性帶來的附加改造成本均能得到很好的改善，既降低了防病毒方案的技術(shù)實(shí)現(xiàn)，同時也降低了防病毒系統(tǒng)實(shí)施的成本。

在工業(yè)互聯(lián)網(wǎng)的系統(tǒng)中，防病毒網(wǎng)關(guān)的部署方式主要有如下3種。

a）透明模式。該模式部署簡單，所有流量均進(jìn)行病毒查殺，但存在單點(diǎn)隱患。

b）旁路代理模式。只針對引入特定協(xié)議的流量進(jìn)行病毒查殺，合理配置下，成本與收益最佳。

c）旁路模式。與旁路代理模式一致，該模式只做檢測，不做病毒查收，該模式更多作為已有的主機(jī)側(cè)病毒的補(bǔ)充方式。

4.4 數(shù)據(jù)安全傳輸技術(shù)

工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)中會傳遞大量OT側(cè)控制數(shù)據(jù)，數(shù)據(jù)的密級很高，數(shù)據(jù)安全傳輸是非常重要的需求，可采用隧道技術(shù)方案來解決數(shù)據(jù)安全傳輸問題。

根據(jù)技術(shù)特點(diǎn)、應(yīng)用場景、安全特性和工作原理對隧道技術(shù)進(jìn)行分類及對比，如表1所示。

表1 隧道協(xié)議對比表

考慮到各個企業(yè)內(nèi)部、外部的安全傳輸需求，推薦使用IPSec 技術(shù)作為工業(yè)互聯(lián)網(wǎng)的安全傳輸解決方案，既提供了身份認(rèn)證功能，又提供了數(shù)據(jù)加密功能。

5 工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全技術(shù)趨勢

5.1 原生安全的持續(xù)完善

在現(xiàn)有的工業(yè)互聯(lián)網(wǎng)的安全實(shí)踐中，由于OT網(wǎng)絡(luò)從原有的封閉特性向開放型網(wǎng)絡(luò)演進(jìn)，其原生的網(wǎng)絡(luò)安全設(shè)計(jì)不足的缺陷會被逐步放大，要從根本上提高工業(yè)互聯(lián)網(wǎng)的安全基礎(chǔ)，需要從系統(tǒng)的設(shè)計(jì)階段就將系統(tǒng)安全性、網(wǎng)絡(luò)安全性等綜合考慮進(jìn)去。

5.2 智能動態(tài)防護(hù)

工業(yè)互聯(lián)網(wǎng)的防護(hù)對象多，防護(hù)環(huán)節(jié)長，如果整個安全體系都是依靠被動的響應(yīng)防守，整個安全體系設(shè)計(jì)將龐大而冗雜，且無法做到安全事件的精準(zhǔn)防控，因此，對于工業(yè)互聯(lián)網(wǎng)的防護(hù)體系，未來目標(biāo)需要向動態(tài)均衡、自我學(xué)習(xí)的智能動態(tài)防護(hù)體系發(fā)展，從而保障工業(yè)互聯(lián)網(wǎng)的安全運(yùn)行。