摘要：深入實施工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展戰(zhàn)略對加速我國產業(yè)數(shù)字化轉型、搶占國際競爭制高點意義重大。網(wǎng)絡體系是工業(yè)互聯(lián)網(wǎng)的基礎，網(wǎng)絡體系的安全是核心保障，從防護對象、防護措施、防護管理等視角出發(fā)，通過對網(wǎng)絡體系安全的總體研究，提出了相關安全建議，以期通過對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全的研究，保障工業(yè)實體經(jīng)濟安全快速發(fā)展。

內容目錄：

1　國內外工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全現(xiàn)狀

2　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全突出問題

3　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全參考框架

4　工業(yè)互聯(lián)網(wǎng)安全技術

5　工業(yè)互聯(lián)網(wǎng)安全體系新技術

6　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡終端安全

7　結　語

隨著數(shù)字時代全面到來，網(wǎng)絡作為工業(yè)互聯(lián)網(wǎng)互聯(lián)支撐的基礎地位逐漸凸顯，工業(yè)界的物理邊界和網(wǎng)絡邊界被完全打破，工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全防護變得脆弱、易受攻擊。工業(yè)互聯(lián)網(wǎng)通過網(wǎng)絡將物理實體和虛擬組件連接在一起，無處不在地為工業(yè)制造系統(tǒng)提供資源、數(shù)據(jù)和知識，同時網(wǎng)絡安全的重要性也上升到前所未有的高度，成為工業(yè)互聯(lián)網(wǎng)領域的新興熱點。

1　國內外工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全現(xiàn)狀

1.1　工業(yè)互聯(lián)網(wǎng)安全問題頻發(fā)

2021年2月，黑客試圖通過控制工控網(wǎng)絡，將美國佛羅里達州水處理系統(tǒng)的氫氧化鈉濃度提高100倍。2021年4月，以色列摩薩德針對伊朗納坦茲核設施的工業(yè)配電系統(tǒng)進行網(wǎng)絡攻擊，導致核設施斷電。2021年4月，勒索軟件團伙成功加密了某歐洲制造商的工業(yè)流程控制服務器，最終導致兩處生產工廠被迫關停。

1.2　國內研究概況

隨著工業(yè)互聯(lián)網(wǎng)國家戰(zhàn)略的推進，國內對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全的研究百花齊放，中國工業(yè)互聯(lián)研究院、工業(yè)互聯(lián)網(wǎng)產業(yè)聯(lián)盟、信通院等牽頭了工業(yè)互聯(lián)網(wǎng)相關課題。同時中國通信標準化協(xié)會設立了“工業(yè)互聯(lián)網(wǎng)特設任務組”，致力于國內工業(yè)互聯(lián)網(wǎng)安全標準體系建設，圍繞工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全發(fā)布了T11/AII 004—2018《工業(yè)互聯(lián)網(wǎng)安全防護總體要求》、GB/T 35673—2017《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全系統(tǒng)安全要求和安全等級》、GB/T 33007—2016《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全建立工業(yè)自動化和控制系統(tǒng)信息安全程序》等多個標準。1.3　國外研究概況國外權威研究機構美國工業(yè)互聯(lián)網(wǎng)聯(lián)盟 (Industrial Internet Consortium，IIC)發(fā)布工業(yè)互聯(lián)網(wǎng)參考架構(Industrial Internet Reference Architecture，IIRA)，其中的工業(yè)互聯(lián)網(wǎng)網(wǎng)參考架構在目前世界范圍內影響力較大。同時美歐等成立了美國網(wǎng)絡安全和基礎設施安全局 (Cybersecurity and Infrastucture Security Agency， CISA)、歐盟網(wǎng)絡與信息安全局(European Network and Information Security Agency， ENISA)，全面負責網(wǎng)絡和基礎設施的安全，并將工業(yè)互聯(lián)網(wǎng)安全列為優(yōu)先事項。其中CISA、 ENISA、能源部等政府機構非常重視工業(yè)、能源等領域的信息安全保障建設。

2　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全突出問題

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡一般由組織內外網(wǎng)構成，如圖1所示，內網(wǎng)包括辦公網(wǎng)、控制網(wǎng)、現(xiàn)場生產網(wǎng)、管理網(wǎng)和專用網(wǎng);外網(wǎng)包括無線網(wǎng)、移動網(wǎng)、互聯(lián)網(wǎng)和骨干網(wǎng)。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡的具體組成主要包括設備、服務等，如工業(yè)通信網(wǎng)關、通信模組、交換機、光纖接入等設備，工業(yè)無線、工業(yè)專線、深度覆蓋、標識解析等服務。網(wǎng)絡安全側主要涉及網(wǎng)關隔離、訪問控制、工業(yè)防火墻和安全態(tài)勢感知系統(tǒng)。

圖 1　工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全總覽圖

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系將連接對象延伸到工業(yè)全系統(tǒng)、全產業(yè)鏈、全價值鏈，打通“人、機、料、法、環(huán)”等全要素，實現(xiàn)設計、研發(fā)、生產、管理、服務等深度互聯(lián)，促進了端到端網(wǎng)絡、5G+、邊緣計算等關鍵技術與工業(yè)互聯(lián)網(wǎng)的融合應用。

2.1　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡易受攻擊性

互聯(lián)互通性是釋放工業(yè)互聯(lián)網(wǎng)全部潛在價值的關鍵所在，但卻系統(tǒng)性地增加了網(wǎng)絡攻擊面。當工業(yè)互聯(lián)網(wǎng)中的裝置、設備、系統(tǒng)等全面連接廣域分布的公司網(wǎng)絡甚至互聯(lián)網(wǎng)時，攻擊者將可以從多個角度實施網(wǎng)絡攻擊，攻擊來源可以來自外部或內部。安全通信、安全網(wǎng)絡監(jiān)控、安全數(shù)據(jù)和現(xiàn)場設備級別的安全代碼執(zhí)行等信息安全技術機制是必不可少的，而不是可選擇的。工業(yè)互聯(lián)網(wǎng)的信息安全問題將更加復雜多樣，大規(guī)模網(wǎng)絡連接因素(如工業(yè)云、工業(yè)大數(shù)據(jù)、供應鏈等)產生的影響將占有重要地位，工業(yè)控制設備、系統(tǒng)等生產要素將與網(wǎng)絡泛在化和持久化連接，而跨范圍的網(wǎng)絡連接將為攻擊者提供入侵破壞重要工業(yè)生產過程的多種可能性和可行性。

2.2　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡架構脆弱性

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡脆弱性可能由網(wǎng)絡配置、硬件、邊界監(jiān)控、通信驗證或無線網(wǎng)絡連接引起，包括：設計不合理的網(wǎng)絡架構，沒有足夠的信息安全防護措施;未存儲網(wǎng)絡詳細配置文件或缺少備份，在無線網(wǎng)絡邊界接入點位置缺少身份認證機制或身份認證不完善，對網(wǎng)絡密碼的錯誤管理措施;沒有定義明確的網(wǎng)絡安全邊界，防火墻缺失或配置不當，導致網(wǎng)絡控制設置不足以滿足系統(tǒng)的安全防護要求;未配置網(wǎng)絡流量監(jiān)控技術措施，特別是未使用加密機制的標準協(xié)議，如遠程終端協(xié)議(Telnet)或文件交換協(xié)議(File Exchange Protocol，F(xiàn)TP);未部署完整性檢查(網(wǎng)絡中存在未經(jīng)授權的設備)技術機制，缺少用于數(shù)據(jù)機密性保護的協(xié)議加密(例如在無線連接中)機制等。

2.3　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡協(xié)議脆弱性

工業(yè)互聯(lián)網(wǎng)協(xié)議脆弱性是有線和無線通信中使用的協(xié)議所固有的，如缺少消息身份認證、缺少消息加密等，工業(yè)控制系統(tǒng)網(wǎng)絡脆弱性可能由網(wǎng)絡配置、硬件、邊界監(jiān)控、通信驗證或無線網(wǎng)絡連接引起，包括：設計不合理的網(wǎng)絡架構，沒有足夠的信息安全防護措施;未存儲網(wǎng)絡詳細配置文件或缺少備份;在無線網(wǎng)絡邊界接入點位置 (例如，在無線客戶端和接入點之間)缺少身份認證機制或身份認證不完善;對網(wǎng)絡密碼的錯誤管理措施，如使用默認密碼、密鑰存儲未加密、不定期更改密碼;使用不安全的網(wǎng)絡端口;沒有定義明確的網(wǎng)絡安全邊界;防火墻缺失或配置不當;網(wǎng)絡控制設置不足以滿足工業(yè)控制系統(tǒng)的安全防護要求;未配置網(wǎng)絡流量監(jiān)控技術措施;使用沒有增加加密機制的標準協(xié)議，如Telnet或FTP;未部署完整性檢查(網(wǎng)絡中存在未經(jīng)授權的設備)技術機制;缺少用于數(shù)據(jù)機密性保護的協(xié)議加密(例如在無線連接中)機制等。

3　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全參考框架

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全防護應面向工廠內部網(wǎng)絡、外部網(wǎng)絡及標識解析系統(tǒng)等方面，通過融合網(wǎng)絡結構優(yōu)化、邊界安全防護、接入認證、通信內容防護、通信設備防護、安全監(jiān)測審計等多種防護措施，構筑立體化的網(wǎng)絡安全防護體系。工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全體系框架分別從通用安全技術、終端安全、安全審計3個視角進行構建。其安全框架如圖2所示，可以看到，工業(yè)互聯(lián)網(wǎng)的防護對象視角包括防火墻、終端安全、網(wǎng)絡審計等9類安全。其中，網(wǎng)絡審計面向外部網(wǎng)絡安全審計和內部網(wǎng)絡安全審計組成，其核心防控手段主要通過威脅防護、檢測感知、處置恢復措施進行安全防護。

圖 2　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全參考框架

4　工業(yè)互聯(lián)網(wǎng)安全技術

4.1　分段分層技術

工業(yè)互聯(lián)網(wǎng)中各層次網(wǎng)絡不能不加區(qū)別地相互連接，工業(yè)安全國際標準(如ISA/IEC 62443-1-1、NIST SP 800-821)建議將網(wǎng)絡分成若干部分，并且每個部分包含具有類似安全策略和通信要求的資產。為每個網(wǎng)段都分配一個信任級別，并保護通過網(wǎng)絡邊緣的通信連接過程，特別是保護不同信任級網(wǎng)段之間的通信和連接。網(wǎng)絡分段細粒度劃分的候選對象包括公共網(wǎng)絡、商業(yè)網(wǎng)絡、運營網(wǎng)絡、工廠網(wǎng)絡、控制網(wǎng)絡、設備網(wǎng)絡、保護網(wǎng)絡和安全網(wǎng)絡。分段技術可以提供有效的流量管理，盡管每個可以訪問管理和操作網(wǎng)絡的雙端口設備，都可以作為從一個網(wǎng)絡跳轉到另一個網(wǎng)絡的攻擊的中心點，但分段技術限制了攻擊面的影響范圍，可以最大化地降低安全威脅帶來的影響。

4.2　網(wǎng)關過濾技術

工業(yè)網(wǎng)關過濾技術可以從網(wǎng)絡接口的一條或多條消息中提取特定類型的應用程序級信息，并將該信息轉發(fā)到另一個網(wǎng)絡中，同時不保留原始網(wǎng)絡消息結構的任何部分。網(wǎng)關還可以對重要的應用程序功能進行編碼，例如，可以將工業(yè)互聯(lián)網(wǎng)中的IT與OT接口位置的雙端口歷史數(shù)據(jù)服務器看作一個雙向信息網(wǎng)關，具有明顯的持續(xù)性分析功能。歷史數(shù)據(jù)服務器使用工控設備專用通信協(xié)議，通過一個網(wǎng)絡接口從OT網(wǎng)絡收集數(shù)據(jù)，并使用客戶機/服務器協(xié)議通過第二個網(wǎng)絡接口將數(shù)據(jù)發(fā)布到IT網(wǎng)絡。通過為不同種類的網(wǎng)關提供不同程度的安全防護能力，重要的工業(yè)互聯(lián)網(wǎng)過濾技術包括以下幾個流程。

第一層過濾：物理隔離是指網(wǎng)段與任何外部網(wǎng)絡之間不存在有線或無線方式的在線連接。物理隔離是最強大的過濾形式，但不能提供任何形式的連接。

第二層過濾：分離物理網(wǎng)絡中的信令系統(tǒng)，但轉發(fā)開放系統(tǒng)互聯(lián)(Open System Interconnection，OSI)模型第二層的網(wǎng)絡幀，托管交換機和橋接防火墻是基于以太網(wǎng)媒體訪問控制(Media Access Control，MAC)地址或其他設備級尋址過濾消息的典型技術。虛擬局域網(wǎng)(Virtual Local Area Network，VLAN)交換機用于流量管理，但其本身并不是安全設備，因此不建議將VLAN作為不同信任級別網(wǎng)段的邊界保護技術措施。

第三/四層過濾：最常用的工業(yè)互聯(lián)網(wǎng)消息過濾器是指能夠根據(jù)網(wǎng)絡地址、端口號和連接狀態(tài)過濾消息的防火墻，這種過濾技術被稱為包過濾器和狀態(tài)檢測。

4.3　網(wǎng)絡防火墻技術

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡防火墻廣泛用于分割復雜的工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡，大多數(shù)防火墻是第二層、第三層或第四層IP路由器/消息轉發(fā)器，具有復雜的消息過濾器。防火墻的形態(tài)可以是物理設備或虛擬網(wǎng)絡設備，防火墻的過濾功能檢查防火墻接收到的每條消息。如果篩選器確定消息符合防火墻配置的流量策略，則消息將傳遞到防火墻的路由器組件以進行轉發(fā)。防火墻也可以重寫消息，最常見的方式是通過執(zhí)行加密或網(wǎng)絡地址轉換(Network Address Translation，NAT)。

設備級防火墻旨在保護終端節(jié)點，可以是具有深度包檢查功能的傳統(tǒng)防火墻，或具有深度包檢查過濾器的第二層IP路由器，后者可以在不重新配置現(xiàn)有終端設備中的路由規(guī)則的情況下進行部署。

上文提到的過濾器技術(自學習過濾技術)可用于設備防火墻應用程序級過濾，該技術通過監(jiān)視一段時間內的流量，并自動創(chuàng)建過濾規(guī)則，將所有觀察到的流量標識為正常和允許的流量。學習模式完成后，可以將防火墻配置為僅轉發(fā)符合篩選器的流量，并丟棄所有其他流量。同時，可以設置可配置操作，允許某些應用程序級的內容通過，并禁止其他無關的內容。例如，允許寫入某些現(xiàn)場控制設備寄存器，而不是其他寄存器的策略;允許讀取和寫入任何寄存器，但不允許下載現(xiàn)場控制設備固件的策略。

4.4　網(wǎng)絡訪問控制技術

工業(yè)互聯(lián)網(wǎng)網(wǎng)絡訪問控制結合網(wǎng)絡控制和網(wǎng)絡安全控制，允許或限制對通信網(wǎng)絡的邏輯訪問。一個眾所周知的授權訪問機制是IEEE 802.1X，基于每個設備的憑據(jù)(如身份證書及用戶名和密碼)，允許或拒絕設備訪問網(wǎng)絡，IEEE 802.1X允許網(wǎng)絡運營商對可以在網(wǎng)絡中通信的設備集合保持強大的控制。

在一些情況下，網(wǎng)絡設備可以同時具有認證者和請求者的特征。請求者從身份認證器請求訪問，該身份認證器將訪問請求轉發(fā)給身份認證服務器以供審查。完成認證之后，交換機或無線接入點啟用端口或無線連接進行除IEEE 802.1X認證幀外的業(yè)務，身份認證服務器可以集成到工業(yè)現(xiàn)場控制設備中。身份認證服務器也可以作為整個網(wǎng)絡的集中資源，通過遠程身份認證接入服務(Remote Authentication Dial In User Service，RADIUS)實現(xiàn)。之后，可以集中管理用戶名和密碼等訪問憑據(jù)，并可供作為身份認證程序的所有網(wǎng)絡設備訪問。此外，用戶特定的配置信息可以通過 RADIUS 輸出， 并通過 IEEE 802.1X 分配， 例如特定 VLAN 的成員資格。

5　工業(yè)互聯(lián)網(wǎng)安全體系新技術

5.1　態(tài)勢感知技術

態(tài)勢感知技術是對相關環(huán)境的理解，包括態(tài)勢數(shù)據(jù)的收集、分析、警報、呈現(xiàn)、使用操作，以及安全信息的生成和維護活動，有助于形成一個整體的操作圖景。在理想情況下，工業(yè)互聯(lián)網(wǎng)安全和實時態(tài)勢感知應該無縫地跨越IT和OT子系統(tǒng)，并且不干擾任何正常的工業(yè)控制運營業(yè)務流程，設計中必須考慮到安全性，應該盡早評估風險，而不是事后考慮安全性。由工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢感知系統(tǒng)提供從各種生產現(xiàn)場傳感器和設備收集信息所需的“網(wǎng)絡-物理-人”的耦合數(shù)據(jù)，并提供一個報告和控制接口，便于在管理和保護生產與關鍵基礎設施的物理元素時有效地實現(xiàn)人在回路的參與。

工業(yè)互聯(lián)網(wǎng)態(tài)勢感知對于攻防對抗環(huán)境中的人類決策極為重要，安全分析人員必須了解正在發(fā)生的事情，以便提高決策的速度和有效性，并確定如何在未來更有效地緩解威脅。態(tài)勢感知取決于任務的具體背景和任務中個人的角色，傳感器和操作數(shù)據(jù)提供了有關正在發(fā)生的事情的原始資料。大數(shù)據(jù)分析和人工智能將態(tài)勢信息轉化為對正在發(fā)生的事情及對任務的影響，同時可以實現(xiàn)對感知預期結果的理解。

5.2　蜜罐和蜜網(wǎng)技術

在工業(yè)互聯(lián)網(wǎng)的上下文中，蜜罐可以以不同的方式實現(xiàn)，其主要取決于應用場景。例如，在OT網(wǎng)絡中，低交互蜜罐可以模擬網(wǎng)絡服務器(例如生產過程中的控制站)的操作，而在現(xiàn)場網(wǎng)絡中，蜜罐使用能夠模擬遠程終端控制系統(tǒng)(Remote Terminal Unit，RTU)操作的實現(xiàn)，如協(xié)議仿真器(Supervisory Control and Data Acquisition，SCADA)。在企業(yè)的流程控制網(wǎng)絡或信息與通信網(wǎng)絡中，高交互蜜罐是有足夠運行技術條件的(甚至以虛擬機的形式在同一主機上共存)，同時還可以模擬最小服務的低交互蜜罐。此外，在某些情況下，一些針對系統(tǒng)的攻擊可以重定向到蜜罐，從而提供有關攻擊者及其意圖的更多信息。

現(xiàn)場總線蜜罐運行于工業(yè)現(xiàn)場控制網(wǎng)絡中，與網(wǎng)絡中已有的可編程控制器(Programmable Controller，PLC)、RTU、傳感器和執(zhí)行器互聯(lián)互通和信息共享，并綁定網(wǎng)絡中未使用的IP地址段。其基本工作原理是：通過最大限度地模擬生產控制環(huán)境中的PLC、RTU及執(zhí)行器的行為和服務?，F(xiàn)場總線蜜罐主要工作于現(xiàn)場總線層，因此具有較高的迷惑性，可以引誘攻擊者更加深信當前面對的是一個值得攻擊的目標。同時，通過充當工業(yè)互聯(lián)網(wǎng)的誘餌，向上一級分布式生產控制系統(tǒng)(例如SCADA系統(tǒng)、分布式控制系統(tǒng)(Distributed Control System，DCS)的主站系統(tǒng)、PLC系統(tǒng)的上位機等)發(fā)送異常工業(yè)互聯(lián)網(wǎng)設備事件及設備相應ID，并引導攻擊事件的應急響應過程?，F(xiàn)場總線蜜罐的存在形態(tài)一般是模擬PLC，模仿真實PLC的行為和操作，也可以模擬RTU、傳感器或執(zhí)行器等。在正常情況下，現(xiàn)場總線蜜罐將等待來自某個探測網(wǎng)絡或假冒主站的入侵者試圖訪問網(wǎng)絡的連接嘗試。實際上，任何連接該蜜罐設備的嘗試都可能產生安全事件，因為根據(jù)蜜罐的設計初衷，現(xiàn)場總線蜜罐中的任何活動都是非法和未經(jīng)授權的(除蜜罐本身的管理操作外)。圖3為用于監(jiān)控現(xiàn)場總線網(wǎng)絡的現(xiàn)場總線蜜罐的基本結構。

圖 3　現(xiàn)場總線蜜罐的基本結構

密網(wǎng)技術是在蜜罐技術的基礎上發(fā)展而來的，工業(yè)互聯(lián)網(wǎng)入侵行為的網(wǎng)絡特性需要更大范圍的誘捕技術，通過在工業(yè)互聯(lián)網(wǎng)網(wǎng)絡上設置一些特殊的誘捕機群，并在其上運行專用的模擬軟件，模擬工業(yè)互聯(lián)網(wǎng)網(wǎng)絡上運行操作系統(tǒng)的主機群，將其并入到網(wǎng)絡上的安全域，對其進行低級別的安全保護，可以讓入侵者更容易地進入系統(tǒng)。入侵者進入系統(tǒng)后，其所有行為將受到系統(tǒng)軟件的監(jiān)視和記錄。通過收集關于入侵者行為的數(shù)據(jù)，系統(tǒng)軟件可以分析入侵者的行為，達到通過蜜網(wǎng)構建網(wǎng)絡攻擊行為分析模型，吸引攻擊者攻擊的目的。

5.3　人工智能技術下的工業(yè)攻防網(wǎng)絡

對生產制造企業(yè)實施的網(wǎng)絡攻擊通常分為工業(yè)間諜、工業(yè)破壞和數(shù)據(jù)盜竊3類，每類攻擊行為追求的目標各不相同，有些目的是獲取公司的機密信息，如機器或產品的最新技術發(fā)展，而有些目的則是金錢利益。在人工智能協(xié)助下實施的網(wǎng)絡攻擊將更精確、更有效地繞過工業(yè)生產控制系統(tǒng)，結合人工和計算機輔助方法的攻擊利用辦公IT信息系統(tǒng)和生產控制網(wǎng)絡中的各種數(shù)據(jù)源和通信系統(tǒng)識別漏洞，形成對辦公IT信息系統(tǒng)、生產控制網(wǎng)絡和人工智能系統(tǒng)自身的立體網(wǎng)絡攻擊。

從宏觀層面分析，人工智能輔助的網(wǎng)絡攻擊有兩種基本類型：技術性攻擊和對組織結構的攻擊。兩者之間有時會有一些重疊或差異，不易區(qū)分。更簡單的攻擊類型包括釣魚攻擊——發(fā)送大量包含各種惡意軟件鏈接的電子郵件，最廣為人知的攻擊事件之一是WannaCry蠕蟲勒索病毒;更智能的攻擊類型包括魚叉式網(wǎng)絡釣魚攻擊——在攻擊過程中，惡意攻擊者將發(fā)送個性化的電子郵件，其中包含具有后門功能的特洛伊木馬等內容的鏈接。魚叉式網(wǎng)絡釣魚攻擊也可用于0-day攻擊，0-day漏洞是未公開的軟件安全缺陷，暫時沒有可用的補救補丁程序，攻擊者可能會濫用這些漏洞。

6　工業(yè)互聯(lián)網(wǎng)網(wǎng)絡終端安全

工業(yè)互聯(lián)網(wǎng)系統(tǒng)，特別是現(xiàn)場控制設備的組件常使用出廠默認密碼，且在默認情況下禁用安全選項。因此，在工業(yè)互聯(lián)網(wǎng)域中安裝組件很容易，但非常不安全。一般30%的工業(yè)應用出廠后程序無法更改，并且很難說服工業(yè)控制系統(tǒng)制造商研發(fā)具有安全功能的產品組件。直到最近幾年，在幾次工業(yè)控制信息安全事件的推動下，一些工業(yè)制造商才開始改變其產品的默認安全狀態(tài)，而與此問題密切相關的威脅是在工業(yè)控制設備中包括密碼在內的身份認證信息通常不加密，網(wǎng)絡攻擊者可以在內存中以明文形式，或在通信過程中通過竊聽的方式獲取這些重要信息。此類威脅的典型案例是一家知名制造商的PLC設備外包裝清楚地顯示鉆孔模板，并說明電源插頭和非屏蔽雙絞線(Unshielded Twisted Pair，UTP)電纜的連接位置，并且隨設備附帶的光盤和一份兩頁的安裝手冊明確說明可以在連接PLC的網(wǎng)絡計算機設備中啟動光盤。這導致PLC安裝時沒有任何密碼保護就可以直接連接到互聯(lián)網(wǎng)。使用Shodan類互聯(lián)網(wǎng)搜索引擎的惡意攻擊者可以很容易發(fā)現(xiàn)這些沒有任何身份認證保護措施或只有簡單防護機制的PLC設備，并進一步控制該PLC設備以實施下一步網(wǎng)絡攻擊行動。

6.1　端側設備安全技術

終端側安全防護技術主要有：高效靈活配置的網(wǎng)關過濾技術，易于識別和使用的端點通信策略，基于加密的通信端點之間的強相互認證，通過強制執(zhí)行從策略派生的訪問控制規(guī)則的授權機制和加密機制，確保交換信息的機密性、完整性和實時性。其中需要特別注意的是高效靈活配置的網(wǎng)關過濾技術，傳統(tǒng)的工業(yè)自動控制領域強調信息流保護技術，而工業(yè)互聯(lián)網(wǎng)則傾向于使用加密控制技術同時結合保護技術，例如應用于傳輸層[如傳輸層安全性協(xié)議(Transport Layer Security，TLS)]或中間件層[如數(shù)據(jù)分發(fā)服務(Data Distribution Service，DDS)]的加密控制等，通過終端側配合采用各層通信鏈路相應的安全控制和技術機制來抵御不同的網(wǎng)絡攻擊。

6.2　端側設備安全流程要點

建立端側設備安全的第一步是使用支持加密的身份認證協(xié)議進行身份認證(如果建立了公鑰基礎設施，則通過交換身份證書進行身份認證)，然后，通信雙方必須根據(jù)策略中定義的訪問控制規(guī)則交換數(shù)據(jù)。例如，在醫(yī)療設備工業(yè)系統(tǒng)中，具備采集病人真實的醫(yī)學指標的終端設備，一般不允許共享患者的數(shù)據(jù)。為確保被交換時信息的機密性和完整性，應使用標準加密技術[如高級加密標準(Advanced Encryption Standard，AES)等對稱算法和RSA等非對稱算法]、消息認證技術和消息認證碼，以實現(xiàn)端側加密。特別需要注意的是，針對不提供交換信息的完整性和機密性的工業(yè)互聯(lián)網(wǎng)通信協(xié)議，可以通過加密和認證的隧道式路由，或者通過信息流控制技術進行保護，進而提高這類協(xié)議的安全性。這些技術通常使用在進行身份認證過程中協(xié)商建立的加密密鑰，但應注意避免沒有身份認證過程的單純加密。

此外，由于傳統(tǒng)網(wǎng)絡安全缺乏考慮工業(yè)場景，特別是工業(yè)制造廠商對所有機器和設備在各種環(huán)境條件下的正常和安全運行有特殊要求。因此，符合氣候條件(例如灰塵、濕度、溫度等)、機械條件(例如沖擊、振動等)和安全條件(例如限制功耗以避免爆炸)要求，需要基于安全性額外考慮加固措施。

7　結 語

隨著工業(yè)互聯(lián)網(wǎng)帶來的價值密度變高，對工業(yè)系統(tǒng)進行惡意攻擊的方式也越來越多，其中一個不可否認的原因是，工業(yè)互聯(lián)網(wǎng)通信網(wǎng)絡在生產制造業(yè)中越來越普及。以前孤立的控制設施現(xiàn)在通過跨越國界的通信網(wǎng)絡連接起來，供應鏈沿線的合作活動也越來越自動化，產生了額外的攻擊目標，這意味著可以在更大的范圍內發(fā)現(xiàn)漏洞，價值鏈和與之相關的業(yè)務可能受到入侵和破壞。本文從通用安全技術、終端安全、安全審計3個方面出發(fā)，提出了工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系安全框架，旨在應對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全的復雜性，期待拋磚引玉激發(fā)同行思路，雖然工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全面臨重重挑戰(zhàn)，但后續(xù)仍將關注互聯(lián)網(wǎng)分層的縱深防御技術，通過不同層級的各類安全措施的部署，研究“與攻擊周旋”的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全實踐課題。

引用本文：郭剛,林紫微,楊超,等.工業(yè)互聯(lián)網(wǎng)網(wǎng)絡體系安全防護研究[J].信息安全與通信保密,2022(9):9-17.

作者簡介 >>>

郭　剛，男，碩士，高級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等;

林紫微，男，碩士，中級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)終端設備、物聯(lián)網(wǎng)設備、網(wǎng)絡、安全等;

楊　超，男，碩士，中級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等;

鄭康偉，男，碩士，中級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)終端設備、網(wǎng)絡、安全等;

葉林佶，男，碩士，高級工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等;

王浩人，女，碩士，助理工程師，主要研究方向為工業(yè)互聯(lián)網(wǎng)應用、網(wǎng)絡、安全、工業(yè)大數(shù)據(jù)等。

選自《信息安全與通信保密》2022年第9期(為便于排版，已省去原文參考文獻)

文章來源：信息安全與通信保密雜志社