工業互聯網安全技術及標準化探究

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了工業互聯網安全技術及標準化探究范文，希望能給你帶來靈感和參考，敬請閱讀。

【摘要】工業互聯網推動了工業控制系統的升級和工業智能化的發展，但也面臨著一系列安全風險，研究安全技術能力已成為工業互聯網背景下的一項關鍵任務。本文從五個維度分析了工業互聯網安全風險并給出了相應對策，描述了工業互聯網安全關鍵技術，提出了一種工業互聯網生態安全防御機制，介紹了工業互聯網安全領域的標準化進展。

【關鍵詞】工業互聯網設備安全工業控制系統態勢感知技術

引言

隨著新一代信息技術、工業系統和互聯網的一體化發展，生產模式、生產要素發生重大變革，推動著智能化制造、平臺化設計和數字化管理等新模式涌現，催生出了信息化和工業化融合的工業新業態。在工業互聯網時代，IT和OT融合不斷加深，形成了相互開放的工業設施環境和互聯網設施環境，互聯網安全風險與工業安全風險相互滲透，工業互聯網安全面臨著眾多挑戰[1]。工業互聯網安全風險形式復雜，如果未能及時做好防范和應對，將會給制造、裝備、能源等傳統工業領域帶來嚴重沖擊，乃至影響國民經濟。近年來工業互聯網安全態勢始終嚴峻，工業互聯網安全事件不斷發生，如圖1所示[2]。2010年的伊朗核設施“震網”事件、2011年的美國停水事件、2015年的烏克蘭停電事件、2016年的美國斷網事件、2017年的沙特天然氣事件、2017年的全球“永恒之藍”事件和2019年的挪威鋁業事件，都是由于工業設備、工業系統或者工業網絡遭受了相關病毒攻擊，嚴重影響了不同工業企業的經濟效益，也給社會帶來了惡劣影響。因此，研究和推廣工業互聯網安全關鍵技術，推進工業互聯網安全標準化發展是重中之重。

1工業互聯網安全風險分析及對策

工業互聯網安全風險分析需要綜合考慮工業領域和互聯網領域。在工業領域，期望防范對工業設備和工業控制系統的威脅，以保障工業生產的持續性和穩定性；在互聯網領域，期望工業網絡、工業應用和工業數據的安全，以保障工業互聯網的服務能力和應用價值。因此從整體考慮工業互聯網安全風險，主要包括五大維度：設備安全、控制安全、網絡安全、應用安全和數據安全[3]，如圖2所示。

1.1設備安全

設備安全指工業儀表、工業機床、工業傳感器和工業產品等工業設備的安全，主要包括設備的線路安全、操作安全及功能安全等。傳統工業設備注重物理安全和功能安全，在工業互聯網環境下大量工業設備集成了嵌入式操作系統和功能軟件，導致設備自身安全漏洞被暴露在網絡環境中，容易遭受病毒攻擊。對于設備安全風險，可以引入設備內生防御機制進行防范。工業設備智能化水平不斷提高，為設備內生防御機制提供了軟硬件基礎，通過植入防御芯片、安全證書、安全模組及可信驗證等機制，降低設備遭受網絡病毒攻擊或非法訪問的風險。

1.2控制安全

控制安全指數據采集與監視控制系統、分布式控制系統和可編程邏輯控制器等工業控制系統的安全，其中包括工控協議和控制程序的安全。工控協議、控制程序主要依托封閉工業控制系統之間安全可信的環境進行布置，缺乏安全防護機制，然而在IT和OT融合發展的情況下，IT層的網絡攻擊進入OT層，工控協議、控制程序風險加劇。對于控制安全風險，可以通過安全監測審計技術進行抵御[4]。對工業控制系統部署授權、認證和監聽等信息安全功能，對工業控制系統的數據傳輸過程進行審計，有效檢測網絡陷阱和隱藏風險，規避第三方網絡攻擊。

1.3網絡安全

網絡安全指工廠內部和外部網絡以及標識網絡的安全，包括工廠網絡的通信主體、通信路徑和傳輸介質，以及標識身份、標識數據和標識行為的安全。一方面，工廠網絡容易被基于TCP/IP協議的手段攻擊，傳統靜態防護機制無法靈活、動態地保護組網后的復雜網絡結構。同時，標識解析系統在標識注冊、標識解析等過程中存在著身份失信、非法操作和信息泄露的風險。對于網絡安全風險，考慮簡化網絡結構、通信協議加密和網絡設備認證等方案。在標識解析系統方面，可以引入標識身份認證，以保證標識身份的真實性；通過標識數據加密來防止數據傳輸時暴露；借助標識行為授權機制防范異常的解析行為或篡改行為。

1.4應用安全

應用安全指實現工業互聯網業務價值的平臺和工業APP的安全。智能化制造、平臺化設計和數字化管理等新模式的涌現進一步打破了傳統工業環境的封閉性，需要OT層具備更高的安全防護水平。工業APP使用需求多樣，應用環境復雜，要求網絡具備較強的安全隔離能力。對于應用安全風險，考慮實施面向工業互聯網應用的安全防護策略。通過提供統一的身份認證、業務授權和行為審計等安全保障機制，實現工業互聯網應用的虛擬化安全和服務安全。

1.5數據安全

數據安全指研發設計、工業生產、營銷銷售、物流發貨等各環節數據的安全。工業互聯網環境下的工業數據展現出容量大、來源廣和格式不統一的特征，并在工廠內外以及工業領域和互聯網領域間雙向傳遞和流通。加之工業領域流程繁雜，業務壁壘多，不同信息化系統之間的數據難以兼容，且數據的流動方向不易追蹤，導致數據保護困難，存在被泄露、截獲和篡改的風險[5]。對于數據安全風險，在數據采集時進行識別、解析和清洗，在數據存儲時判別數據敏感等級并實施一定程度的加密，在數據傳輸時對數據進行簽名和驗證，實現對數據流向的動態管控，保障數據全生命周期安全。

2工業互聯網安全技術

在工業互聯網的演進過程中，常規安全防御手段面對層出不窮的安全風險逐漸落伍，工業互聯網安全受到嚴重威脅，急需發展相關安全技術。下面主要介紹白名單技術、網絡邊界防護技術、工業主機防護技術和態勢感知技術等工業互聯網安全技術[6]，如圖3所示。

2.1白名單技術

在傳統互聯網中，一般使用黑名單技術來阻隔安全威脅，但無法防止突發的未知攻擊手段。在傳統工業領域，工藝流程、生產設施和業務環節相對固定，相關軟件和工具的更新頻率低，通過白名單技術允許可信的對象通過，可以有效防范惡意攻擊行為。如果可信對象有變更，可以重新設置白名單。在工業互聯網中，通過將白名單技術和黑名單技術結合使用，把白名單技術作為主要防護手段、黑名單技術作為輔助防護手段，既可以保障業務對象的安全，也能滿足業務對象的實時性和高效性需求。

2.2網絡邊界防護技術

在互聯網領域通常采用IT防火墻作為邊界防護手段，但IT防火墻只支持少量通信協議，無法滿足工業領域OPCUA和Modbus等工業通信協議的協議解析和低時延通信要求。在工業互聯網網絡邊界防護中，根據網絡邊界的性質配置滿足工業通信協議要求的特定工業防火墻，以便在抵御網絡攻擊的同時，可以確保通信端口與通信服務器的穩定連接，保障不同工業通信協議的深度解析和低時延通信。另外，工業防火墻將實時監測各種工業通信指令，阻隔不安全的通信服務。

2.3工業主機防護技術

在互聯網領域，采用防病毒技術保護傳統IT主機，依托互聯網自主升級病毒庫，高效地識別和查殺網絡病毒。在工業領域，通過關閉不需要的配置端口、用戶賬號的基本權限認證、訪問進程的監控審計等措施加固工業主機，降低網絡攻擊風險，保障工業主機的安全性。在工業互聯網環境下同時采取工業主機加固技術和防病毒技術，形成雙重保障，可以有效防止工業主機受到惡意網絡和勒索病毒的攻擊。2.4態勢感知技術態勢感知是以不同態勢為基礎的識別和洞悉安全威脅的技術。通過態勢感知技術，對工業生產過程的業務數據、質量數據和安全數據進行采集和分析，對各種工業設備、工業控制系統、工業網絡和工業APP的工作情況進行實時地跟蹤和監測，同時基于工業互聯網不同態勢的安全數據分析和預測工業互聯網安全風險，實現安全風險的感知和預警[7]。

3工業互聯網生態安全防御機制

基于工業互聯網相關安全風險，本文提出一種工業互聯網生態安全防御機制，如圖4所示。安全防御機制分為系統接入、威脅識別和安全防御三個層級。在系統接入層，工業企業通常會在生產現場或者后臺接入傳感器和終端計算等終端設施，傳輸工業數據的網絡，云數據和云應用等云基礎設施，以及移動APP。在工業互聯網中接入眾多系統，必然會帶來各種工業互聯網安全風險，威脅識別層對此進行探測和識別。可識別的終端威脅包括篡改、仿冒和拒絕服務等，網絡威脅包括竊聽和橫向滲透等，云威脅包括權限繞過、數據泄露和DDoS等，移動APP威脅包括篡改和盜用等，這些工業互聯網安全風險會對工業生產和互聯網運營造成劇烈沖擊。安全防御層針對性地提出防御策略，防御策略總體上基于安全態勢感知技術圖4工業互聯網生態安全防御機制和從芯片到云端的端到端可信機制。對于終端威脅，實施傳感器過濾、身份標識和終端系統加固等手段。對于網絡威脅，實施流量感知、隔離和通信加密等手段。對于云威脅，實施數據防護、應用防護和虛擬化防護等手段。對于移動APP威脅，實施相應的應用防護手段。通過建立工業互聯網生態安全防御機制，可以有效保障工業互聯網安全。

4工業互聯網安全標準化進展

工業互聯網安全標準化工作是提升工業互聯網安全水平的重要保障，我國高度重視工業互聯網安全國家標準的制定和實施。目前SAC/TC124和SAC/TC260等標委會正在著手研制相關標準，已經涉及到工業控制系統和工業網絡等部分工業互聯網領域。部分已發布的工業互聯網安全國家標準如表1[8]。工業控制系統信息安全評估和驗收系列標準[9]提出了工業控制系統的規劃、設計、實施、運行和廢棄等生命周期信息安全評估和驗收的方法和要求，以降低信息安全風險。工業自動化和控制系統網絡安全系列標準提供了DCS和PLC在不同控制層級的網絡安全要求，對于網絡風險的防護、管理和評估具有重要意義。信息安全技術系列標準旨在指導建設自主的工業控制標準體系，規范產業的安全發展，保障工控領域信息環境的安全。基于目前工業互聯網發展的整體態勢，應加速制定重點領域的安全標準，對工業互聯網各方面安全風險的管理和防護工作提供標準化指導。

5結束語

工業互聯網作為新基建的關鍵領域之一，引領著傳統工業生產邁向智能化。在工業互聯網助力工業智能化發展的過程中，也造成了設備安全、應用安全和數據安全等各種安全風險。工業互聯網相關方應著重研究工業互聯網安全相關技術和標準，充分發揮安全技術和安全標準的應用價值，保障工業互聯網健康發展。

作者:任濤林 周志勇 孫明 張成龍 王勇 辛學祥 單位:青島海爾工業智能研究院有限公司