【网安智库】打造融入安全基因的工业互联网生态圈

工业互联网是互联网和工业系统深度融合所形成的产业生态，以机器、控制系统、信息系统和人之间的网络互联为基础，通过对工业数据的深度感知、实时交换、快速计算和高级建模，实现智能控制和运营优化的方式变革。

工业互联网中最重要的三个元素，是网络、数据和安全。其中网络是承载基础，通过物联网、互联网等技术实现工业系统的互联互通，促进工业数据的充分流动和无缝集成；数据是核心，包括工业控制数据、工业控制命令、生产的日志数据等，通过对工业数据的采集、分析和全周期感知，实现运营管理优化、生产协同与商业模式创新；安全是保障，通过构建涵盖工业全系统的安全防护体系，从而保障工业智能化的实现。

工业互联网体系分为工厂内部网络和工厂外部网络。内部网络包括操作技术（Operational Technology 简 称 OT) 和 信 息 技 术 IT，OT 网 络主要用于控制生产现场的控制器 (PLC, DCS)、传 感 器、 监 控 设 备 等 部 件，IT 网 络 包 括ERP,CRM,MES 等并与互联网联通；外部网络用于连接企业上下游、企业与智能产品、企业与用户等主体，即工业云平台。作为工业大数据的载体，工业云在工业互联网环境下得到广泛应用。

图 1 工业互联网架构示意图

工业互联网整体流程环节是工厂—工业云—工业互联网—消费网（如图 1 所示）。在工厂环节里主要是针对工业企业内部的信息安全控制、PoC（工业控制）、工业自动化、工业管理等几方面的工业承接。其中工厂到工业云的环节，是工业企业信息数据向工业云传递的过程，也是内部网络和外部网络的对接窗口。这里是整个工业互联网安全的重中之重，即如何有效地保证从 OT 到 IT 的安全，从 IT 角度怎么实现工业互联网安全。

在这个环节上，工业互联网安全分为五个层次：一是设备安全，包括基础设施、设备和工业控制的安全；二是网络安全，包括 PoC 工业协议网络和互联网 TCP/IP 协议网络之间的安全；三是控制安全，包括工业控制信号、工业控制设备、PoC 系统安全等；四是应用安全，是指基于工业企业的制造，工业互联互通以及所有业务系统、生产系统、生产管理系统的安全；五是数据安全，主要分为三部分 , 生产管理数据安全、数据操作数据安全、外部数据安全。（见图 2）

图 2 工业互联网安全体系

工业互联网安全主要有五个核心问题：首先是控制安全问题。基于控制系统的实时性和可靠性，如认证、授权、加密等信息安全功能被舍弃；IT 和 OT 的融合打破了传统安全可信的控制环境，目前尚缺乏有效的应对 APT 攻击检测和防护手段。

其次，是端对端生产模式下的网络安全问题。消费网和工业网的打通，从生产需求到产品交付的直接对接，灵活组网的方式导致传统基于静态防护策略的防护效果下降，而端口对接的安全问题会随着互联范围的扩大而日益突出。

三是生产设备安全问题。传统生产设备重点关注物理和功能安全，没有特别关注信息安全，使得设备在互联后直接暴露在网络攻击之下；四是应用安全问题。工业应用的安全需求多样，对工业应用的业务隔离能力和网络安全保障能力要求提高。

最后是数据安全。工业互联网数据体量大、种类多、结构不统一，包括工业数据和用户数据的各种类型数据，在 IT/OT、厂内 / 外双向流动共享，使得保护需求十分复杂多样。另外，工业企业的数据协议都是自有的专用协议，协议类型、复杂度都非常高，数据的获取和有效利用难度很大，要求较高的工业协议解析能力。2017 年 12 月中国工业部发布了《工业控制系统信息安全行动计划（2018-2020 年）》，明确提出了工业互联网发展的主要目标，是要建成工控安全管理工作体系，全行业工控安全意识普遍增强，将工控安全作为生产安全的重要组成部分，态势感知、安全防护、应急处置能力显著提升，建成一网一库三平台。上海市依据国家要求也制订了“三年行动计划”，包括“千百十”行动、“一平台、二机构、三对接”以及安全技术与成果转化成路线图。

这其中，最重要的就是工业安全有效管理体系、工业互联网态势感知系统和工业安全仿真测试平台。管理体系主要由政府和相关的主要协会承担工业互联网安全的管理制度制定、执行和落实；通过态势感知系统实时监控进行数据传递过程中出现的安全隐患，其核心是在于如何解析工业协议以及如何读取工业设备的日志和 Poc 日志，这些与信息共享和信息通报平台是相通的；目前，信息安全领域中的仿真测试平台比较成熟，与工业领域系统相关的仍在研发和测试阶段，如果工业安全沙箱平台能够很好地实现，则可以有效节省工业企业做风险评估、漏洞分析、漏洞检查、防护加固的成本和要求。 

2016 年下半年，乌克兰变电站遭受黑客攻击，智能变电站的开关失效连续进行开闭合，导致命令系统紊乱无限循环，引发近三分之一的变电站连锁反应，整个国家电力系统几乎瘫痪。其背后的攻击原理在于大多数电厂和智能变电站都采用了 61850 和 IEC104 通用协议，攻击者基于对电力网运营和工业网络通信的深刻理解，利用通用协议进行攻击，使得所有报警系统失效、触发断路器持续打开闭合的无限循环，从而引发防护措施导致变电站断电。这表明在工业互联网环境下，传统的边界防护和基于特征防护可能不会奏效。

从近些年工业企业遭受的网络攻击案例来看，工业企业在互联网环境下存在相当多的类似问题：首先是非法指令问题。是指绕过安全边界防护对工厂控制系统发送非法控制指令，导致工厂系统和设备出现故障、宕机甚至引发重大物理性安全事故。乌克兰变电站的案例就是黑客利用非法指令导致开关循环开闭合，导致变电站异常。重工业企业（包括核能、钢铁、化工、电力、能源）等因非法指令产生的事故通常会造成重大的人员、财产损失和社会失序，因而其在工业互联网环境下面临的安全问题是与国家安全、社会稳定紧密联系在一起的。其次是蠕虫勒索问题。主要因为生产区的设备无法及时更新系统，芯片安全比较薄弱，导致其容易遭受蠕虫勒索病毒的攻击。过去的蠕虫、僵尸病毒主要是针对互联网，但在 2017年发现了全球针对工业控制设备的新生蠕虫病毒将近 1.8 万个。

再次是重放攻击问题。攻击者不断利用原有的攻击方式进行循环式攻击，发送一个主机已经接受过的数据包欺骗系统，诱发系统防卫和报警机制做出反馈行为，影响系统运行稳定性。

违规设备接入问题也十分突出。工业企业对信息安全管理的普遍轻视、人员安全意识不高，使得设备的内部运维人员、第三方开发和工作人员不遵守操作流程，个人端口直接接入设备或内部网络系统的现象大量存在，增加了恶意程序威胁工业网络的风险。

然后是敏感文件操作问题。工业设备的配置文件被非法篡改，使得设备不能正常工作。

最后是新型的 APT 攻击，APT 恶意程序在网内通信，执行恶意指令，导致工厂系统事故。

总体而言，传统的安全策略方案主要是重视边界防护，包括使用网闸、工业防火墙、逻辑隔离等手段；偏防御轻检测，如平台硬件和软件加固、关键应用代码审计等；强调集中监控，依靠站内审计系统等。主要不足之处，缺乏纵深防御，一旦突破边界防护便很容易进行进一步的侵入；基于规则难以实时发现、应对新的威胁，更多是进行事后分析；工业设备的数据协议种类繁杂，集中监控的缺陷比较明显。

基于这些问题和不足，在工业互联网层面的安全措施主要是建立工业互联网态势感知平台，包括对于工控系统、设备行为、用户行为进行基于人工智能的安全分析。

通过主动扫描裸露在官网或者通过授权的设备，并且进行定期的漏洞扫描、分析和主流工业通信协议解析，实现对正常的操作命令、行为的画像，一旦发现有异常命令或参数产生，立刻进行报警和实时阻断。

同时在态势感知平台上积极应用基于人工智能的算法，在针对操作异常行为的捕获和分析，以及针对未知 APP 的攻击行为判断，使用人工智能算法是非常有效的。对于工业控制系统而言，可以进行旁路部署流量采集器，进行深度报文解释；通过大数据和机器学习技术，自动学习出设备行为基线，对偏离基线的行为

进行报警，如：设备异常通讯，设备非法操作等；同时在工业企业内部部署工控蜜罐，快速准确发现工控系统的入侵；最后，平台还可以支持离线分析，即输入离线流量文件，得出威胁评估报告，利用这一工具在各个工业企业进行风险评估。

在用户行为分析上，人工智能算法主要应用在用户画像和用户异常行为分析上，首先基于用户的行为类、登录类、授权类和档案类数据为用户生成标签数据，并依据大量的标签数据刻画出用户和群体画像；通过对于系统审核日志、画像操作量日志和业务系统操作日志的扫描分析，针对具体的异常场景（业务办理异常、权限变更异常、参数异常等）进行相应处理。

最后，是针对设备行为分析，通过工控流量采集器和离线分析收集设备数据，具体分析设备的异常接入、行为、被动识别和其他自定义场景，以威胁展示、预警通报和威胁评估的报告的方式输出最终结果。