工業(yè)互聯(lián)網(wǎng)的安全挑戰(zhàn)及應(yīng)對(duì)策略

陶耀東+李強(qiáng)+李寧

摘要：從設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用、數(shù)據(jù)、人員等方面全面分析了工業(yè)互聯(lián)網(wǎng)面臨的挑戰(zhàn)，提出了應(yīng)對(duì)安全挑戰(zhàn)的10項(xiàng)策略，并創(chuàng)新性地出了整體建議和指導(dǎo)日常安全運(yùn)營的PC4R自適應(yīng)防護(hù)框架。指出工業(yè)互聯(lián)網(wǎng)應(yīng)用企業(yè)、安全服務(wù)企業(yè)、監(jiān)管部門，需要采取提出的應(yīng)對(duì)措施，形成聯(lián)動(dòng)的機(jī)制，從體制改革、管理流程優(yōu)化、人員意識(shí)培養(yǎng)、技術(shù)創(chuàng)新等方面著手，構(gòu)建PC4R的自適應(yīng)防御架構(gòu)，共同打造安全的工業(yè)互聯(lián)網(wǎng)。

關(guān)鍵詞： 工業(yè)互聯(lián)網(wǎng)；安全挑戰(zhàn)；應(yīng)對(duì)策略；PC4R自適應(yīng)防護(hù)框架

Abstract： In this paper， we analyze the challenges faced by the industrial Internet， and put forward 10 strategies from the aspects of equipment， network， control， application， data， personnel and so on. The PC4R adaptive protection framework is also proposed in this paper， which guides the daily safety operation of the industrial Internet enterprise. The industrial Internet companies， security services companies， network regulators should take measures to form linkage mechanism， and construct the PC4R adaptive defense framework from the aspects of the system reform， management process optimization， personnel training， technological innovation and so on. In this way， the secure Internet industry can be built.

Key words： industrial Internet； security challenges； strategies； PC4R adaptive protection framework

1 工業(yè)互聯(lián)網(wǎng)概況

工業(yè)互聯(lián)網(wǎng)是互聯(lián)網(wǎng)和新一代信息技術(shù)與工業(yè)系統(tǒng)全方位深度融合所形成的產(chǎn)業(yè)和應(yīng)用生態(tài)，中國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）提出的工業(yè)互聯(lián)網(wǎng)參考體系架構(gòu)[1]如圖1所示。其中，“網(wǎng)絡(luò)”是工業(yè)數(shù)據(jù)傳輸交換的支撐基礎(chǔ)；“數(shù)據(jù)”是工業(yè)智能化的核心驅(qū)動(dòng)；保障網(wǎng)絡(luò)與數(shù)據(jù)的“安全”是工業(yè)互聯(lián)網(wǎng)穩(wěn)定運(yùn)行、創(chuàng)造價(jià)值的前提。工業(yè)互聯(lián)網(wǎng)的安全可以分為：設(shè)備安全、網(wǎng)絡(luò)安全、控制安全、數(shù)據(jù)安全、應(yīng)用安全和參與全程的人員安全。

工業(yè)互聯(lián)網(wǎng)包含了工業(yè)控制系統(tǒng)、工業(yè)網(wǎng)絡(luò)，同時(shí)也包含了大數(shù)據(jù)存儲(chǔ)分析、云計(jì)算、商業(yè)系統(tǒng)、客戶網(wǎng)絡(luò)等商業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，如圖2所示。其中，工業(yè)控制系統(tǒng)（ICS）是指用于操作、控制、輔助自動(dòng)化工業(yè)生產(chǎn)過程的設(shè)備、系統(tǒng)、網(wǎng)絡(luò)以及控制器的集合[2]，包括：數(shù)據(jù)監(jiān)測(cè)控制與采集系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、智能終端、人機(jī)交互接口（HMI）等一系列系統(tǒng)[3]。

文章中，我們將分析工業(yè)互聯(lián)網(wǎng)的安全挑戰(zhàn)，并提出應(yīng)對(duì)措施、整體防御建議。

2 工業(yè)互聯(lián)網(wǎng)的安全挑戰(zhàn)

2.1 工業(yè)互聯(lián)網(wǎng)的安全現(xiàn)狀

在中國提出《中國制造2025行動(dòng)綱要》后，工業(yè)互聯(lián)網(wǎng)已經(jīng)是國家戰(zhàn)略組成，工業(yè)互聯(lián)網(wǎng)安全關(guān)系國家戰(zhàn)略安全。工業(yè)互聯(lián)網(wǎng)中工業(yè)網(wǎng)絡(luò)與采用Internet技術(shù)的商業(yè)網(wǎng)絡(luò)的打通，標(biāo)準(zhǔn)Internet的威脅也隨之而來——病毒和黑客。原本認(rèn)為不容易被攻擊的工業(yè)網(wǎng)絡(luò)，也因存在設(shè)備同時(shí)連接到企業(yè)網(wǎng)絡(luò)，而使該設(shè)備成為攻擊跳板，最后工業(yè)網(wǎng)絡(luò)受到攻擊。近年來全球工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)，如：2006年8月，美國BrownsFerry核電站受到網(wǎng)絡(luò)攻擊事件；2011年5月，Duqu病毒（Stuxnet變種）出現(xiàn)；2012年12月，震網(wǎng)病毒攻擊美國ChevronStuxnet等4家石油公司。根據(jù)RISI數(shù)據(jù)庫統(tǒng)計(jì)，發(fā)生在工控領(lǐng)域的安全事件與涉及的工業(yè)行業(yè)，數(shù)量明顯增多[4]，如圖3所示。

2.2 工業(yè)互聯(lián)網(wǎng)的各層次安全挑戰(zhàn)

工業(yè)互聯(lián)網(wǎng)安全主要受到來自圖1所示的5個(gè)層次安全挑戰(zhàn)，同時(shí)也包括可能參與到各個(gè)層面的人員因素，以及覆蓋多個(gè)層面的高級(jí)持續(xù)性威脅（APT）。

（1）設(shè)備層安全挑戰(zhàn)，指工業(yè)互聯(lián)網(wǎng)中工業(yè)智能設(shè)備和智能產(chǎn)品的安全挑戰(zhàn)，包括所用芯片安全、嵌入式操作系統(tǒng)安全、編碼規(guī)范安全、第三方應(yīng)用軟件安全以及功能安全等，均存在漏洞、缺陷、規(guī)范使用、后門等安全挑戰(zhàn)。

（2）網(wǎng)絡(luò)層安全挑戰(zhàn)，主要來自3方面：工業(yè)網(wǎng)絡(luò)、無線網(wǎng)絡(luò)、商業(yè)網(wǎng)絡(luò)。主要挑戰(zhàn)包括：網(wǎng)絡(luò)數(shù)據(jù)傳遞過程的常見網(wǎng)絡(luò)威脅（如拒絕服務(wù)、中間人攻擊等），網(wǎng)絡(luò)傳輸鏈路上的硬件和軟件安全（如軟件漏洞、配置不合理等），無線網(wǎng)絡(luò)技術(shù)使用帶來的網(wǎng)絡(luò)防護(hù)邊界模糊等[5]。

（3）控制層安全挑戰(zhàn)，主要來自控制協(xié)議、控制平臺(tái)、控制軟件等方面，其在設(shè)計(jì)之初可能未考慮完整性、身份校驗(yàn)等安全需求，存在輸入驗(yàn)證，許可、授權(quán)與訪問控制不嚴(yán)格，不當(dāng)身份驗(yàn)證，配置維護(hù)不足，憑證管理不嚴(yán)等安全挑戰(zhàn)。

（4）應(yīng)用層安全挑戰(zhàn)，指支撐工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)運(yùn)行的應(yīng)用軟件及平臺(tái)的安全，如：WEB、企業(yè)資源計(jì)劃（ERP）、產(chǎn)品數(shù)據(jù)管理（PDM）、客戶關(guān)系管理（CRM）以及正越來越多企業(yè)使用的云平臺(tái)及服務(wù)等。應(yīng)用軟件將持續(xù)面臨病毒、木馬、漏洞等傳統(tǒng)安全挑戰(zhàn)；云平臺(tái)及服務(wù)也面臨著虛擬化中常見的違規(guī)接入、內(nèi)部入侵、多租戶風(fēng)險(xiǎn)、跳板入侵、內(nèi)部外聯(lián)、社工攻擊等內(nèi)外部安全挑戰(zhàn)。

（5）數(shù)據(jù)層安全挑戰(zhàn)，是指工廠內(nèi)部生產(chǎn)管理數(shù)據(jù)、生產(chǎn)操作數(shù)據(jù)以及工廠外部數(shù)據(jù)等各類數(shù)據(jù)的安全問題，不管數(shù)據(jù)是通過大數(shù)據(jù)平臺(tái)存儲(chǔ)，還是分布在用戶、生產(chǎn)終端、設(shè)計(jì)服務(wù)器等多種設(shè)備上，海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等一些安全威脅。

（6）人員管理的挑戰(zhàn)，隨著工業(yè)與IT的融合，企業(yè)內(nèi)部人員，如：工程師、管理人員、現(xiàn)場(chǎng)操作員、企業(yè)高層管理人員等，其“有意識(shí)”或“無意識(shí)”的行為，可能破壞工業(yè)系統(tǒng)、傳播惡意軟件、忽略工作異常等，而針對(duì)人的社會(huì)工程學(xué)、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此，在工業(yè)互聯(lián)網(wǎng)中，人員管理的也面臨過巨大安全挑戰(zhàn)。

（7）APT，工業(yè)互聯(lián)網(wǎng)中的APT是以上6個(gè)方面各種挑戰(zhàn)組合，是最難應(yīng)對(duì)、后果最嚴(yán)重的威脅。攻擊者精心策劃，為了達(dá)成既定目標(biāo)，所長期持續(xù)地進(jìn)行攻擊，其攻擊過程包括收集各類信息收集、入侵技術(shù)準(zhǔn)備、滲透準(zhǔn)備、入侵攻擊、長期潛伏和等待、深度滲透、痕跡消除等一系列精密攻擊環(huán)節(jié)[6-7]。

3 工業(yè)互聯(lián)網(wǎng)安全的應(yīng)對(duì)

措施

針對(duì)第2節(jié)提到了工業(yè)互聯(lián)網(wǎng)所面臨過的威脅，我們可從以下幾方面進(jìn)行系統(tǒng)應(yīng)對(duì)。

3.1 知己知彼

（1）知己——安全的前提

制作工業(yè)互聯(lián)網(wǎng)中企業(yè)內(nèi)網(wǎng)的設(shè)備清單，保證任何一件設(shè)備都處在安全的狀態(tài)。理解并且登記在企業(yè)網(wǎng)絡(luò)環(huán)境中的工控系統(tǒng)設(shè)備及其安全狀態(tài)，是工控安全管理的基礎(chǔ)。工控資產(chǎn)清單包括硬件清單、軟件清單、軟硬件配置清單、網(wǎng)絡(luò)拓?fù)鋱D等。

（2）知彼——主動(dòng)防御

采用蜜罐系統(tǒng)對(duì)入侵行為進(jìn)行捕獲，分析相關(guān)行為后，并采取更新防火墻、服務(wù)器、工作站等安全略策，進(jìn)行主動(dòng)防御，使得入侵無功而返。如Conpot[7]在GitHub發(fā)布開源工控蜜罐系統(tǒng)Conpot，該系統(tǒng)是工業(yè)控制系統(tǒng)服務(wù)器端的低交互的蜜罐技術(shù)，設(shè)計(jì)易于布置、修改和擴(kuò)展，通過提供各種通用的工業(yè)控制協(xié)議，可以構(gòu)建需要的系統(tǒng)，并且能夠模擬構(gòu)建基礎(chǔ)設(shè)施[8]。目前，其他一些國家將蜜罐技術(shù)用于研究工業(yè)互聯(lián)網(wǎng)的威脅源，攻擊途徑以及探索防御手段，技術(shù)應(yīng)用成熟，取得了很多成功，中國部分企業(yè)已開始嘗試使用。

3.2 網(wǎng)絡(luò)分區(qū)防護(hù)

圖4為參考NIST SP 800-82、IEC62443等國際工控領(lǐng)域指導(dǎo)性文獻(xiàn)的深度防御架構(gòu)，該架構(gòu)將工業(yè)互聯(lián)網(wǎng)劃分為外部區(qū)域集合、控制網(wǎng)絡(luò)區(qū)、企業(yè)網(wǎng)絡(luò)區(qū)、遠(yuǎn)程訪問區(qū)與生產(chǎn)現(xiàn)場(chǎng)。在相應(yīng)邊界設(shè)置防火墻，可保護(hù)整個(gè)的內(nèi)部系統(tǒng)免受外部的攻擊，隔離企業(yè)網(wǎng)絡(luò)與遠(yuǎn)程訪問區(qū)，控制系統(tǒng)網(wǎng)絡(luò)與其他網(wǎng)絡(luò)隔離，生產(chǎn)區(qū)與控制網(wǎng)絡(luò)隔離。為進(jìn)行工業(yè)互聯(lián)網(wǎng)保護(hù)，網(wǎng)絡(luò)分區(qū)與應(yīng)用防火墻可按4個(gè)階段改進(jìn)：第1階段雙宿主機(jī)防火墻；第2階段在企業(yè)網(wǎng)絡(luò)和控制網(wǎng)絡(luò)之間構(gòu)建防火墻[3]；第3階段添加路由的企業(yè)與控制網(wǎng)絡(luò)間的防火墻策略；第4階段添加非軍事區(qū)（DMZ）防火墻；最后是按照深度防御體系的布置防火墻，并采用基于行為感知的動(dòng)態(tài)分區(qū)技術(shù)[9]、特殊分區(qū)間的單項(xiàng)傳輸策略和基于威脅情報(bào)的非白即黑策略等。

3.3 安全的遠(yuǎn)程訪問

遠(yuǎn)程接入設(shè)備和移動(dòng)設(shè)備安全的遠(yuǎn)程訪問是工業(yè)互聯(lián)網(wǎng)開放的基礎(chǔ)。首先，對(duì)于企業(yè)工作人員移動(dòng)設(shè)備管理策略應(yīng)該至少要求遠(yuǎn)程訪問人員不得在公共網(wǎng)絡(luò)、私人WiFi、其他單位局域網(wǎng)中登錄，需要使用安全的網(wǎng)絡(luò)登錄，例如虛擬專用網(wǎng)絡(luò)（VPN）登錄，登錄需要使用強(qiáng)口令，并且口令、文件應(yīng)加密傳輸[10]，企業(yè)外部客戶遠(yuǎn)程訪問要做好訪問域、訪問權(quán)限控制等；再次，使用VPN技術(shù)保證遠(yuǎn)程訪問過程安全，也被列入到美國國土安全部發(fā)布的工業(yè)控制系統(tǒng)遠(yuǎn)程訪問的指導(dǎo)性文獻(xiàn)[11] ；另外，工業(yè)控制網(wǎng)絡(luò)網(wǎng)關(guān)無需對(duì)工控設(shè)備做任何改造或配置，便可完成數(shù)據(jù)包的轉(zhuǎn)發(fā)工作，不依賴任何硬件環(huán)境和軟件環(huán)境，適用于各種SCADA系統(tǒng)防護(hù)，也具有較強(qiáng)的適用性[12]。

3.4 漏洞和補(bǔ)丁管理

入侵者或黑客用漏洞對(duì)工業(yè)互聯(lián)網(wǎng)中的商業(yè)網(wǎng)絡(luò)和工控系統(tǒng)展開攻擊，如零日漏洞攻擊?？茖W(xué)地檢測(cè)各類服務(wù)器、終端和工控系統(tǒng)漏洞，并合理更新補(bǔ)丁是工業(yè)互聯(lián)網(wǎng)防御的重要組成。CVE、中國國家信息安全漏洞庫、國家信息安全漏洞共享平臺(tái)等權(quán)威機(jī)構(gòu)漏洞庫統(tǒng)計(jì)出現(xiàn)的包括工控系統(tǒng)在內(nèi)的各類漏洞，可作為漏洞掃描的參考。同時(shí)，企業(yè)用戶在自己的工業(yè)網(wǎng)絡(luò)中，主動(dòng)利用漏洞掃描技術(shù)提前檢測(cè)主機(jī)、網(wǎng)絡(luò)、工控系統(tǒng)的安全脆弱性，這也是一種主動(dòng)防御技術(shù)。針對(duì)工業(yè)互聯(lián)網(wǎng)中的工控系統(tǒng)，因其是實(shí)時(shí)連續(xù)運(yùn)行的系統(tǒng)，更新補(bǔ)丁需要科學(xué)的策略，工信部451號(hào)文件也明確了對(duì)補(bǔ)丁安全管理提出了要求。

3.5 攻擊檢測(cè)與應(yīng)急響應(yīng)

異常檢查是對(duì)防火墻的補(bǔ)充，可檢查內(nèi)部的攻擊、異常，并可檢測(cè)跨防火墻攻擊。異常檢查包括入侵檢測(cè)、病毒查殺、異常代碼檢測(cè)等。業(yè)界已提出一些入侵檢測(cè)模型、異常檢測(cè)方法，如：非參數(shù)累積和（CUSUM）模型、基于多分類支持向量機(jī)（SVM）的入侵檢測(cè)方法[13]，以及基于系統(tǒng)級(jí)行為特征的ICS場(chǎng)景指紋異常檢查方法[14]。業(yè)界也通過對(duì)工業(yè)網(wǎng)絡(luò)中的流量進(jìn)行被動(dòng)監(jiān)測(cè)控制，進(jìn)行分析檢測(cè)異常，如對(duì)工業(yè)網(wǎng)絡(luò)用差分自回歸移動(dòng)平均模型（ARIMA）方法對(duì)正常流量建模后檢測(cè)異常[15]。工業(yè)大數(shù)據(jù)現(xiàn)在已開始應(yīng)用在工業(yè)系統(tǒng)和工業(yè)網(wǎng)絡(luò)健康預(yù)測(cè)性管理（PHM）[16]，通過對(duì)工業(yè)網(wǎng)絡(luò)、控制系統(tǒng)、設(shè)備上提取關(guān)鍵信息，經(jīng)過大數(shù)據(jù)建模、分析、預(yù)測(cè)，提前預(yù)測(cè)工業(yè)系統(tǒng)的狀態(tài)和可能存在的異常，布置相關(guān)預(yù)案。將工業(yè)大數(shù)據(jù)用于工業(yè)互聯(lián)網(wǎng)的異常檢測(cè)和應(yīng)急響應(yīng)，將有機(jī)會(huì)提前發(fā)現(xiàn)由于工業(yè)互聯(lián)網(wǎng)入侵引起的安全事件，抓住先機(jī)[17]。

工業(yè)互聯(lián)網(wǎng)受到攻擊是不可避免事件，優(yōu)秀的安全策略的一個(gè)重要指標(biāo)是能在盡可能短的時(shí)間內(nèi)檢測(cè)到入侵事件，做出響應(yīng)動(dòng)作，使系統(tǒng)回復(fù)正常的生產(chǎn)過程，這需要對(duì)應(yīng)急響應(yīng)包括對(duì)入侵事件分類、針對(duì)不同類型的入侵事件執(zhí)行不同的響應(yīng)動(dòng)作，最后采取恢復(fù)系統(tǒng)的動(dòng)作，制訂面向網(wǎng)絡(luò)的故障維修事件應(yīng)急響應(yīng)策略，進(jìn)一步優(yōu)化響應(yīng)時(shí)間。

3.6 態(tài)勢(shì)感知

態(tài)勢(shì)感知指綜合分析工業(yè)互聯(lián)網(wǎng)安全要素，結(jié)合企業(yè)、商業(yè)網(wǎng)絡(luò)和工業(yè)網(wǎng)絡(luò)狀態(tài)，評(píng)估工業(yè)互聯(lián)網(wǎng)的安全狀況，預(yù)測(cè)其變化趨勢(shì)，以可視化的方式展現(xiàn)給用戶，并給出相應(yīng)的應(yīng)對(duì)措施和報(bào)表。在中國，將態(tài)勢(shì)感知技術(shù)用于互聯(lián)網(wǎng)、企業(yè)內(nèi)網(wǎng)已經(jīng)出現(xiàn)了解決方案，如360公司的天眼下一代態(tài)勢(shì)感知和未知威脅發(fā)現(xiàn)平臺(tái)，但是將態(tài)勢(shì)感知用于工業(yè)互聯(lián)網(wǎng)還是比較少。其他一些國家提出專門應(yīng)用于ICS的態(tài)勢(shì)感知參考架構(gòu)（SARA），并提出構(gòu)建網(wǎng)絡(luò)入侵自動(dòng)響應(yīng)和策略管理系統(tǒng)（CAMPS）[19-20]。

從技術(shù)發(fā)展趨勢(shì)來看，只要解決了工業(yè)網(wǎng)絡(luò)中的協(xié)議多樣性、應(yīng)用多樣性的問題，互聯(lián)網(wǎng)態(tài)勢(shì)感知和未知威脅發(fā)現(xiàn)的方法就同樣能夠適用于工業(yè)互聯(lián)網(wǎng)中，那么態(tài)勢(shì)感知和未知威脅發(fā)現(xiàn)將是工業(yè)互聯(lián)網(wǎng)應(yīng)對(duì)安全挑戰(zhàn)的重要策略選項(xiàng)。

3.7 用戶與實(shí)體行為分析

如何確定有效特權(quán)賬戶是否被盜用，應(yīng)用是否被攻破，設(shè)備是否因攻擊進(jìn)入異常狀態(tài)也是工業(yè)互聯(lián)網(wǎng)用戶最棘手的問題之一，解決該問題的最新安全對(duì)策是用戶與實(shí)體行為分析（UEBA）方案。

UEBA方案從物理傳感器、網(wǎng)絡(luò)設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫和用戶處收集數(shù)據(jù)，利用這些數(shù)據(jù)創(chuàng)建一條基線，以確定在各種不同情況下，什么狀態(tài)是正常狀態(tài)。建立基準(zhǔn)線后，通過聚合數(shù)據(jù)、機(jī)器學(xué)習(xí)，發(fā)現(xiàn)非正常的模式。用戶行為分析管理員也可以創(chuàng)建自定義規(guī)則來定制解決方案，以便更貼合工業(yè)互聯(lián)網(wǎng)用戶及其特定服務(wù)、數(shù)據(jù)和過程的需求，未來部署了UEBA方案的工業(yè)互聯(lián)網(wǎng)用戶，準(zhǔn)確率命中異常事件的速度將遠(yuǎn)快于傳統(tǒng)的安全信息和事件管理（SIEM）系統(tǒng)，可防御80%復(fù)雜攻擊。

3.8 打造安全的產(chǎn)品

工業(yè)互聯(lián)網(wǎng)中運(yùn)行了的服務(wù)器、終端、工業(yè)控制系統(tǒng)、傳感器等，特別是工控系統(tǒng)、工業(yè)軟件，其開發(fā)人員一般是控制領(lǐng)域的人員，其信息安全知識(shí)不足，往往存在開發(fā)環(huán)境過時(shí)，操作系統(tǒng)版本過時(shí)并沒有補(bǔ)丁，編碼規(guī)范不嚴(yán)格，所引入的開源組件代碼安全性未知等情況，所完成的產(chǎn)品可能在出廠時(shí)就帶有各種開發(fā)人員未知的缺陷、漏洞等，在進(jìn)入應(yīng)用現(xiàn)場(chǎng)后，才開始考慮產(chǎn)品的安全，導(dǎo)致后期修復(fù)、升級(jí)、防護(hù)投入巨大，這也是工控系統(tǒng)安全事件頻繁發(fā)生的根源之一。因此，我們需要轉(zhuǎn)變思路，將產(chǎn)品進(jìn)入使用后進(jìn)行防護(hù)保證“產(chǎn)品的安全”這種通常模式，轉(zhuǎn)變?yōu)楫a(chǎn)品進(jìn)入使用前，先按安全規(guī)范，對(duì)問題排除，使其成為“安全的產(chǎn)品”。

各大工業(yè)互聯(lián)網(wǎng)解決方案廠商，特別是工控產(chǎn)品廠商，可以聯(lián)合信息安全廠商建立自己的產(chǎn)品的開發(fā)流程、編碼規(guī)范、出廠標(biāo)準(zhǔn)等。工業(yè)互聯(lián)網(wǎng)應(yīng)用用戶，在將系統(tǒng)投入使用前也請(qǐng)專業(yè)的安全服務(wù)商、第三方檢測(cè)機(jī)構(gòu)幫助發(fā)現(xiàn)、解決可能存在的問題。越早發(fā)現(xiàn)產(chǎn)品或整體網(wǎng)絡(luò)安全問題，其修復(fù)成本越低。

3.9 安全即服務(wù)

在工業(yè)互聯(lián)網(wǎng)中將廣泛使用云計(jì)算、大數(shù)據(jù)技術(shù)，在云平臺(tái)所面臨的問題，如虛擬化安全問題、分布式拒絕服務(wù)（DDOS）攻擊和挑戰(zhàn)黑洞（CC）攻擊等，采用傳統(tǒng)硬件或設(shè)備已經(jīng)無法防護(hù)，安全產(chǎn)品轉(zhuǎn)化新的形勢(shì)，即安全即服務(wù)。安全服務(wù)即以云服務(wù)的方式在云端為用戶提供各種安全解決方案，包括：態(tài)勢(shì)感知、DDOS防護(hù)、域名系統(tǒng)（DNS）劫持、IP攻擊等；在安全運(yùn)維管理方面，安全也正變成一種服務(wù)，被工業(yè)互聯(lián)網(wǎng)企業(yè)采購；企業(yè)也不再維持一個(gè)龐大的信息安全維護(hù)人員，而是在工業(yè)互聯(lián)網(wǎng)中布置響應(yīng)感知探針，構(gòu)建安全管理平臺(tái)后，發(fā)現(xiàn)網(wǎng)絡(luò)中的安全問題，自動(dòng)對(duì)接專業(yè)的安全服務(wù)公司或安全專家，由安全專家根據(jù)所約定的安全事件級(jí)別，提供相應(yīng)的響應(yīng)服務(wù)，服務(wù)內(nèi)容包括：網(wǎng)絡(luò)安全評(píng)估、滲透測(cè)試、取證溯源、響應(yīng)恢復(fù)等。

3.10 以人為中心的安全

在工業(yè)互聯(lián)網(wǎng)中，以人為中心的安全策略（PCS）可以作為應(yīng)對(duì)人員管理挑戰(zhàn)的戰(zhàn)略應(yīng)對(duì)。在以PCS指導(dǎo)的安全策略中[20]，可以從問責(zé)、責(zé)任、即時(shí)性、自治、社區(qū)、比例、透明度等方面設(shè)計(jì)較好的安全制度和流程，建立人員的信任空間，包括人員的自治性、主動(dòng)性、對(duì)話、查詢等。這個(gè)策略實(shí)施過程中應(yīng)強(qiáng)調(diào)個(gè)人的責(zé)任和信任，并強(qiáng)調(diào)限制性、預(yù)防性的安全控制。進(jìn)一步地，工業(yè)互聯(lián)網(wǎng)企業(yè)可以建立用戶和實(shí)體行為分析UEBA的系統(tǒng)，并結(jié)合端點(diǎn)、網(wǎng)絡(luò)和應(yīng)用的情況，提供了圍繞用戶行為的、以用戶為中心的分析。這種跨不同實(shí)體相關(guān)性分析使得分析結(jié)果更加準(zhǔn)確，讓威脅檢測(cè)更加有效。

4 工業(yè)互聯(lián)網(wǎng)安全挑戰(zhàn)的

整體防御建議

4.1 整體防御建議

（1）從“應(yīng)急響應(yīng)”轉(zhuǎn)變?yōu)椤俺掷m(xù)響應(yīng)”。假定工業(yè)互聯(lián)網(wǎng)系統(tǒng)受到破壞并需要不斷監(jiān)測(cè)控制和修復(fù)，則需要建立多點(diǎn)防御、聯(lián)合防御，與產(chǎn)業(yè)界合作開展防御響應(yīng)。

（2）以“數(shù)據(jù)驅(qū)動(dòng)安全”。對(duì)工業(yè)互聯(lián)網(wǎng)中的所有層面構(gòu)建進(jìn)行全面持續(xù)的監(jiān)測(cè)控制，通過全面的數(shù)據(jù)感知和分析，建立企業(yè)安全數(shù)據(jù)倉庫，并結(jié)合云端威脅情報(bào)，實(shí)現(xiàn)對(duì)已知威脅、高級(jí)威脅、APT攻擊的有效預(yù)防、發(fā)現(xiàn)、防御和過程回溯。

（3）開發(fā)安全運(yùn)維中心，構(gòu)建組織流程和人員團(tuán)隊(duì)，支持持續(xù)監(jiān)測(cè)控制并負(fù)責(zé)持續(xù)的威脅防護(hù)流程，規(guī)劃好外部安全服務(wù)合作伙伴，保證“人在回路”，應(yīng)對(duì)各類安全事件。

4.2 工業(yè)互聯(lián)網(wǎng)的PC4R自適應(yīng)防護(hù)

架構(gòu)

為幫助工業(yè)互聯(lián)網(wǎng)用戶應(yīng)對(duì)工業(yè)物聯(lián)網(wǎng)所面臨的各種挑戰(zhàn)，結(jié)合整體防御的3點(diǎn)建議，我們提出了可以工業(yè)互聯(lián)網(wǎng)信息安全日常運(yùn)作的自適應(yīng)防護(hù)架構(gòu)——PC4R，其由6個(gè)過程閉環(huán)組成，該6個(gè)過程均需要人在回路，全程參與，具體如圖5所示。

（1）信息感知

工業(yè)互聯(lián)網(wǎng)中，實(shí)現(xiàn)對(duì)工業(yè)網(wǎng)絡(luò)中工業(yè)現(xiàn)場(chǎng)（壓力、摩擦、振動(dòng)、溫度、電流等）關(guān)鍵物理量數(shù)字化感知、存儲(chǔ)，為工業(yè)現(xiàn)場(chǎng)異常分析、預(yù)防性健康監(jiān)測(cè)分析提供物理信息來源。

（2）數(shù)據(jù)匯集

對(duì)數(shù)控系統(tǒng)（CNC）/ PLC、分布式數(shù)控（DNC）、SCADA、制造執(zhí)行系統(tǒng)（MES）、ERP等工業(yè)控制系統(tǒng)及應(yīng)用系統(tǒng)所運(yùn)行的關(guān)鍵工業(yè)數(shù)據(jù)進(jìn)行匯聚，該過程不是簡單的數(shù)據(jù)采集，是產(chǎn)品全生命周期的各類要素信息的同步采集、管理、存儲(chǔ)、查詢，為后續(xù)過程提供控制信息來源。在網(wǎng)絡(luò)方面，進(jìn)行全網(wǎng)流量的被動(dòng)存儲(chǔ)等，為工業(yè)互聯(lián)網(wǎng)企業(yè)建立安全數(shù)據(jù)倉庫。

（3）轉(zhuǎn)化分析

數(shù)據(jù)特征提取、篩選、分類、優(yōu)先級(jí)排序、可讀，可以實(shí)現(xiàn)從數(shù)據(jù)到信息的過程，使得數(shù)據(jù)具有信息安全意義。信息主要包括內(nèi)容和情景兩方面，內(nèi)容指工業(yè)互聯(lián)網(wǎng)中的設(shè)備信號(hào)處理結(jié)果、性能曲線、健康狀況、報(bào)警信息、DNC及SCADA網(wǎng)絡(luò)流量等；情景指設(shè)備的運(yùn)行工況、維護(hù)保養(yǎng)記錄、人員操作指令、人員訪問狀態(tài)、生產(chǎn)商務(wù)任務(wù)目標(biāo)、生產(chǎn)銷售機(jī)理等；該過程針對(duì)單個(gè)設(shè)備或單個(gè)網(wǎng)絡(luò)做縱向的數(shù)據(jù)分析，計(jì)算相對(duì)來說比較簡單。

（4）網(wǎng)絡(luò)融合

該過程面向工業(yè)互聯(lián)網(wǎng)中的設(shè)備集群和企業(yè)跨域運(yùn)維和經(jīng)營活動(dòng)的關(guān)聯(lián)，將機(jī)理、環(huán)境、群體、操作、外部威脅情報(bào)有機(jī)結(jié)合，基于大數(shù)據(jù)進(jìn)行橫向大數(shù)據(jù)分析和多維分析，利用群體經(jīng)驗(yàn)預(yù)測(cè)單個(gè)設(shè)備的安全情況；并建立虛擬網(wǎng)絡(luò)與實(shí)體系統(tǒng)相互映射，實(shí)現(xiàn)綜合模型的應(yīng)用，如蜜罐、入侵檢測(cè)等；也可以根據(jù)歷史狀況和當(dāng)前狀態(tài)差異化的發(fā)現(xiàn)網(wǎng)絡(luò)及工控系統(tǒng)異常。

（5）認(rèn)知預(yù)測(cè)

該過程在網(wǎng)絡(luò)層的基礎(chǔ)上，加入人的職責(zé)，人在回路，對(duì)企業(yè)的工業(yè)互聯(lián)網(wǎng)規(guī)律、異常、目標(biāo)、態(tài)勢(shì)、背景等完成認(rèn)知，確定安全基線，結(jié)合大數(shù)據(jù)可視化平臺(tái)，發(fā)現(xiàn)看不見的威脅，預(yù)測(cè)黑客攻擊。

（6）響應(yīng)決策

根據(jù)認(rèn)知預(yù)測(cè)的結(jié)果，一旦完成了對(duì)事件的識(shí)別并確認(rèn)優(yōu)先級(jí)排序后，人在回路的決策、部署、優(yōu)化、響應(yīng)，可實(shí)現(xiàn)安全價(jià)值，而啟動(dòng)相關(guān)響應(yīng)策略，如隔離受損系統(tǒng)或賬戶，使其無法訪問其他系統(tǒng)，從而遏制威脅。同理，人在回路也可以在決策之后，形成團(tuán)隊(duì)，一旦受損系統(tǒng)或賬戶得以遏制，并利用持續(xù)監(jiān)測(cè)控制所收集的數(shù)據(jù)來源確定根本原因和所有違規(guī)行為。

5 結(jié)束語

工業(yè)互聯(lián)網(wǎng)打通了商業(yè)網(wǎng)絡(luò)與工業(yè)網(wǎng)絡(luò)的邊界，傳統(tǒng)的網(wǎng)絡(luò)邊界概念正在逐漸模糊，網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性、信息系統(tǒng)和工業(yè)控制系統(tǒng)的脆弱性，給工業(yè)互聯(lián)網(wǎng)帶來了設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用、數(shù)據(jù)、人員等多方面安全挑戰(zhàn)。工業(yè)互聯(lián)網(wǎng)應(yīng)用企業(yè)、安全服務(wù)企業(yè)、監(jiān)管部門，需要采取文章所提出的應(yīng)對(duì)措施，形成聯(lián)動(dòng)的機(jī)制，從體制改革、管理流程優(yōu)化、人員意識(shí)培養(yǎng)、技術(shù)創(chuàng)新著手，構(gòu)建PC4R的自適應(yīng)防御架構(gòu)，并通過內(nèi)外部大數(shù)據(jù)、威脅情報(bào)驅(qū)動(dòng)安全防御，全程人在回路，利用用戶本身、專業(yè)安全服務(wù)機(jī)構(gòu)的力量，進(jìn)行預(yù)測(cè)、防護(hù)、檢測(cè)、響應(yīng)，并根據(jù)不斷出現(xiàn)的、新的威脅形式，完善應(yīng)對(duì)策略，共同打造安全的工業(yè)互聯(lián)網(wǎng)。

Equipmeent [R]. Silicon Valley： Trend Micro Incorporated， 2013

[3] STOUFFER K， PILLITTERI V， LIGHTMAN S， et al. Guide to Industrial Control Systems Security： SP800-82 [S]. Gaithersburg： NIST， 2015

[4] Industrial Security Incidents Database （ISID） [EB/OL].http：//www.risidata.com/

[5] GENGE B， HALLER P， KISS I. Cyber-Security-Aware Network Design of Industrial Control Systems [J]. IEEE Systems Journal， 2016， 1932（8184）： 1-12

[6] 360天眼實(shí)驗(yàn)室. 2015年中國高級(jí)持續(xù)性威脅研究報(bào)告-解讀版 [R/OL]. [2016-06-26]. http：//zt.#/2015/reportlist.html？list=4

[7] Lukas. CONPOT ICS/SCADA Honeypot [EB/OL]. http：//conpot.org/

[8] VASILOMANOLAKIS E，SRINIVASA S. Did You Really Hack a Nuclear Power Plant？ An Industrial Control Mobile Honeypot[C]//2015 IEEE Conference on Communications and Network Security （CNS）. USA： IEEE， 2015： 729-730. DOI： 10.1109/CNS.2015.7346907

[9] MACHII W， KATO I， KOIKE M， et al. Dynamic Zoning Based on Situational Activitie for ICS security[C]// 2015 10th Asian Control Conference （ASCC）. USA： IEEE， 2015： 1-5. DOI： 10.1109/ASCC.2015.7244717

[10] ICS-CERT. Cybersecurity for Electronic Devices[R]. Washington： DHS， 2013

[11] CNPI. Configuring and Managing Remote Access for Industrial Control System[R]， Washington： DHS， 2010

[12] 黃昱澤. 基于TCP_IP協(xié)議的工業(yè)控制網(wǎng)絡(luò)遠(yuǎn)程數(shù)據(jù)通信網(wǎng)關(guān)的研究與實(shí)現(xiàn)[D]. 昆明：昆明理工大學(xué)， 2012

[13] 羅耀鋒. 檢測(cè)技術(shù)與自動(dòng)化裝置[D]. 杭州： 浙江大學(xué)， 2013

[14] 彭勇， 向憧， 張淼， 等. 工業(yè)控制系統(tǒng)場(chǎng)景指紋及異常檢測(cè)[J]. 清華大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2016， 56（1）：14-21

[15] 高春梅. 基于工業(yè)控制網(wǎng)絡(luò)流量的異常檢測(cè)[D]. 北京： 北京工業(yè)大學(xué). 2014

[16] LEE J， BAGHERI Behrad，KAO H. A Cyber-Physical Systems architecture for Industry 4.0-Based Manufacturing Systems[J]. Society of Manufacturing Engineers， 2015 （3）： 18-23

[17] ICS-ISAC. Situational Awareness Reference Architecture （SARA）[EB/OL]. http：//ics-isac.org/blog/sara/

[18] SAUNDERS N，KHANNA B，COLLINS T. Real-Time Situational Awareness for Critical Infrastructure Protection[C]//2015 IEEE International Conference on Smart Grid Communications （SmartGridComm）. USA： IEEE， 2015： 151-156

[19] Gartner. Gartner Identifies the Top 10 Technologies for Information Security in 2016[EB/OL]. http：//www.gartner.com/newsroom/id/3347717

[20] Detect Security Breaches Early by Analyzing Behavior [EB/OL]. http：//www.gartner.com/smarterwithgartner/detect-security-breaches-early-by-analyzing-behavior/