李斌 張俊杰

摘? ?要：當前，國內許多企業(yè)都在開展工業(yè)互聯(lián)網建設。與傳統(tǒng)IT網絡不同，工業(yè)互聯(lián)網因與企業(yè)生產系統(tǒng)相連，無法直接照搬IT網絡的安全管控措施，否則企業(yè)正常生產將面臨嚴重威脅。文章從保證企業(yè)正常生產的角度出發(fā)，在安全管控建設措施上探討平衡點，同時易于企業(yè)部署、運維，總結出了適合大型制造業(yè)的工業(yè)互聯(lián)網安全最佳實踐。

關鍵詞：工業(yè)互聯(lián)網;IT;安全;OT;SCADA

中圖分類號： TP393.1? ? ? ? ? 文獻標識碼：B

Abstract： At present， many domestic enterprises are carrying out industrial Internet construction. Unlike the traditional IT network， the Industrial Internet cannot directly copy the security management and control measures of the IT network because it is connected to the production system of the enterprise. Otherwise， the normal production of the enterprise will face serious threats. From the perspective of ensuring the normal production of enterprises， this article discusses the balance point in the safety management and control measures， at the same time it is easy for enterprises to deploy， operate and maintain， and summarizes the best practices of industrial Internet security suitable for large manufacturing industries

Key words： industrial internet; it; security; ot; scada

1 引言

工業(yè)互聯(lián)網是全球工業(yè)系統(tǒng)與高級計算、分析、感應技術以及互聯(lián)網連接融合的結果，中國是傳統(tǒng)的制造業(yè)大國，也是世界第二大經濟體，其產業(yè)鏈的融合、創(chuàng)新等發(fā)展對國家綜合實力提高尤為重要。在全球倡導智能制造的大前提下，各國為了推動制造業(yè)的改革，都提出了“發(fā)展工業(yè)制造”戰(zhàn)略，其本質都是利用互聯(lián)網、物聯(lián)網、大數(shù)據(jù)、云計算或AI等先進的信息技術，推動制造業(yè)的數(shù)字化轉型。對制造業(yè)而言，轉型的方向毋庸置疑，但是在轉型過程中需要面對諸多挑戰(zhàn)，而其中安全問題尤為突出。

轉型前生產網絡是一個孤島網絡，外界無法訪問，威脅也就無法入侵。但是，轉型后生產網與互聯(lián)網融合，這就導致了生產網將面臨著來自互聯(lián)網上的所有威脅，像病毒、漏洞、黑客攻擊等，任何一個威脅如果控制不好，都將給生產網帶來毀滅性的打擊。歷史上也不乏這種典型的案例，如2016年烏克蘭電網遭受攻擊事件，伊朗核電站遭受震網病毒攻擊事件，這些在IT網絡中看似平常不過的威脅，在生產網中卻帶來了毀滅性的打擊。因此，在數(shù)字化轉型的背景下，制造業(yè)迫在眉睫地需要解決的就是工業(yè)網絡的安全問題。

2 數(shù)字化轉型下工業(yè)互聯(lián)網的業(yè)務與技術的變革

2.1 工作負載和應用逐漸向云端遷移

在數(shù)字轉型過程中，企業(yè)往往會把應用、數(shù)據(jù)等遷移到云端，使用云端的SaaS服務或者IaaS、PaaS架構，來擴展企業(yè)物理數(shù)據(jù)中心的方式，實現(xiàn)業(yè)務快速交付、彈性增長等目標，從而實現(xiàn)業(yè)務的快速轉型。此外，許多企業(yè)還會使用私有云和公有云的混合云架構，導致出現(xiàn)更大的攻擊面和維護的復雜性。

2.2 涵蓋多個環(huán)境的IoT設備的爆炸性增長

物聯(lián)網（IoT）設備的范圍很廣，從開關、打印機到機械臂、數(shù)控機床等，無所不包。然而，由于缺乏內置的安全特性，這些設備將面臨著巨大的安全挑戰(zhàn)。由于IoT類設備的資源限制、數(shù)量巨大等原因，端點安全解決方案對這類設備基本無能為力，以至形成安全隱患。

2.3 業(yè)務將覆蓋多個地理分布式的區(qū)域

目前，許多企業(yè)的業(yè)務將呈現(xiàn)多地理位置的分布式增長，企業(yè)分支機構的流量因SaaS應用、視頻、VoIP語音而呈指數(shù)級增長。然而，地理分布式的企業(yè)網絡環(huán)境，常常缺乏對用戶、設備、應用等維度的可視化。而企業(yè)分支機構必須回連總部，進行數(shù)據(jù)獲取、傳輸?shù)葎幼鳎髽I(yè)分支機構的安全隱患就有可能向整個企業(yè)擴散。

3 工業(yè)互聯(lián)網面臨的安全威脅分析

3.1 攻擊面的放大

敏感數(shù)據(jù)現(xiàn)在駐留在多云甚至IoT設備上，數(shù)據(jù)在Internet而不是私有網絡中移動，而且擴展到網絡邊界（無線接入、移動終端、工業(yè)OT網絡），這種動態(tài)、不斷變化的攻擊。會使得企業(yè)傳統(tǒng)的基于物理邊界的安全防護模型，不再有效。為了應對動態(tài)攻擊面帶來的安全隱患，很多企業(yè)部署了大量分散的點防護安全產品，這些安全產品無法做到互聯(lián)，因為相互間無法集成，這種分散式的安全架構，會帶來一些低效和安全漏洞。

3.2 更加復雜的安全威脅

安全威脅的數(shù)量和速度都在快速增長，黑產市場上Malware-as-Service（MaaS，惡意軟件即服務）的出現(xiàn)是重要原因之一。同時，高級威脅變得愈加復雜和精巧。許多安全威脅是同時多維度、多個點的并發(fā)攻擊，一次針對企業(yè)的攻擊，可以是在企業(yè)的網絡中心、邊界、云端全方位進行。這些復雜的攻擊同時也變得更加難以檢測，更加難以實施滲透防御。除了檢測之外，快速移除安全威脅變得至關重要。

3.3 安全管理和運維的難度增加

單點安全產品的增加和離散式的安全架構，增加了企業(yè)的網絡安全管理的復雜度。大型企業(yè)會使用多個安全解決方案來解決一個安全防護問題，在離散式安全架構中，這些解決方案通常無法進行互通互聯(lián)。復雜性的增加也加重了安全團隊的壓力，企業(yè)無法僅僅通過增加人手通過手工的方式來管理、應對日益復雜的安全威脅，這樣的話，建立統(tǒng)一安全監(jiān)測平臺，建立企業(yè)安全運營中心迫在眉睫。

3.4 與OT的融合給智能制造的安全帶來嚴峻的挑戰(zhàn)

網絡融合、企業(yè)OT與IT網互聯(lián)，采用通用Internet協(xié)議，運行在通用硬件上，使用主流IT操作系統(tǒng)，通過標準的WiFi協(xié)議連接，這樣會誘發(fā)很多安全問題。

（1）構網兩極化。OT/IT網絡共用同一網絡設備互聯(lián)，或OT/IT網絡物理隔離。

（2）管控系統(tǒng)設備數(shù)量巨大，位置分散，缺少專業(yè)的安全設備有效地針對OT/IT網進行安全區(qū)域劃分和進行安全運行狀態(tài)的統(tǒng)一監(jiān)控。

（3）OT網接入設備以有線/無線方式接入，網絡安全設備部署沒涉及“最后一公里”的安全體系聯(lián)動防御。

（4）缺乏主動阻止外部惡意攻擊和缺乏發(fā)現(xiàn)與阻擋高級可持續(xù)性攻擊的能力，安全攻擊易造成OT網的迅速癱瘓，給生產造成嚴重的影響。

（5）OT網設備接入缺乏必要身份或資產識別，定位安全威脅與取證過程低效。

（6）因為歷史原因，OT網服務器存在很多安全和管理風險點，如老舊的操作系統(tǒng)、漏洞多、無法打補丁、不支持數(shù)據(jù)加密等安全問題。

（7）昂貴的升級費用，設備系統(tǒng)存在非標準化，造成管理雜亂、漏洞多等安全問題。

（8）管理人員缺乏網絡安全知識，終端電腦/工控機缺乏定期病毒查殺習慣與機制，感染主機處理不及時，存在安全隱患。

（9）移動設備接入缺乏管理和制度，容易造成終端病毒感染與傳播。

4 工業(yè)互聯(lián)網的通用安全體系結構

4.1 體系結構綜述

制造型企業(yè)無論規(guī)模大小，在建設工業(yè)互聯(lián)網時，都應遵循“零信任”的基本安全原則，把網絡隔離從邊緣的接入層開始，融入到匯聚、核心乃至應用層的進程隔離，構筑一個從監(jiān)測、檢查、防御、移除的智能聯(lián)動，以實現(xiàn)安全閉環(huán)的工業(yè)互聯(lián)網的安全架構。基于云計算、工業(yè)互聯(lián)網、大數(shù)據(jù)、知識圖譜、安全聯(lián)動，以及最新的自有核心安全技術，構建一個實時、預測性、智能化、安全協(xié)同一體化的工業(yè)互聯(lián)網企業(yè)級安全監(jiān)測與態(tài)勢感知平臺。

通過深度工控資產自動探測技術、分布式漏洞探測技術、多類型工業(yè)控制協(xié)議識別技術、異常流量監(jiān)測技術，實現(xiàn)工業(yè)設備安全態(tài)勢信息自動采集、識別工控設備的漏洞與潛在威脅的能力。采用高性能的海量日志采集技術，對工控設備數(shù)據(jù)、工控安全設備數(shù)據(jù)、物聯(lián)網傳感器每日產生的海量日志數(shù)據(jù)進行采集，為大數(shù)據(jù)分析提供基礎數(shù)據(jù)。

通過大數(shù)據(jù)建模分析技術與基于多源數(shù)據(jù)的工業(yè)安全態(tài)勢知識圖譜構建技術，并結合中國國家信息安全漏洞庫及工控漏洞庫、專業(yè)安全廠商漏洞庫，進行安全威脅評估、態(tài)勢感知，預測預防設備潛在風險的發(fā)生，提高安全態(tài)勢感知的智能化水平和準確性。通過安全聯(lián)動協(xié)議，實現(xiàn)企業(yè)安全態(tài)勢感知與企業(yè)網絡安全隔離設備之間的聯(lián)動，及時阻斷工業(yè)互聯(lián)網絡中惡意程序的攻擊路徑，抑制安全威脅在網路中的影響范圍。

如圖1所示，建設微服務架構安全態(tài)勢監(jiān)測與感知PaaS云平臺，實現(xiàn)國家級監(jiān)測平臺與企業(yè)級工業(yè)互聯(lián)網集中化安全監(jiān)測與態(tài)勢感知平臺數(shù)據(jù)對接。

4.2 安全架構之安全分段

企業(yè)將物聯(lián)網設備和通信分為策略驅動的群組，并授予特定的適合工業(yè)互聯(lián)網的基準權限。采用內網分段防火墻等設施對網絡和設備進行微分段，使IT/OT系統(tǒng)能夠根據(jù)特定設備類型和網絡訪問需求，采用分層安全策略。

企業(yè)工業(yè)互聯(lián)網的安全分段涵蓋了三個層次。

（1）接入層

采用“安全交換機+防火墻聯(lián)動”的解決方案，進行終端進入的隔離和控制。通過內網分區(qū)防火墻下連安全接入交換機，再擴展無線接入點的方式，構建一個端口級隔離的接入架構，與傳統(tǒng)IT交換網絡最大的不同，就是接入交換機和無線接入點上的任意終端之間的流量通訊，都需要經過內網分區(qū)防火墻集中轉發(fā)，即使是同一臺安全接入交換機、同一個無線接入點、同一個虛擬局域網Vlan內，通訊都會受到內網分區(qū)防火墻的集中控制，而內網分區(qū)防火墻將對流量做工業(yè)應用、協(xié)議的識別和威脅統(tǒng)一管控。

（2）匯聚/核心層

采用內網分段防火墻進行區(qū)域隔離。區(qū)域之間通過匯聚層的分段防火墻隔離接入，區(qū)域與區(qū)域之間的通訊將受到嚴格的審查。區(qū)域的劃分原則，可以基于部門、產線、業(yè)務歸口或者網絡屬性等統(tǒng)一劃分。

（3）應用層

采用NGFW/主機安全套件/虛擬化防火墻等，實現(xiàn)直至進程級的安全隔離。在工業(yè)互聯(lián)邊界層面，通過獨立的下一代防火墻做隔離防護，實現(xiàn)進出工業(yè)互聯(lián)網流量的分析、管控。

4.3 企業(yè)網絡分段安全架構實現(xiàn)的目標

企業(yè)網絡分段安全架構實現(xiàn)的五個目標：

（1）打破傳統(tǒng)網絡在安全意義下的扁平架構;

（2）采用安全策略驅動（基于用戶身份）的分段控制對關鍵設施/資源的訪問;

（3）按照業(yè)務、安全意圖靈活地構筑安全邊界;

（4）阻斷攻擊者/入侵者在內網的橫向移動;

（5）實現(xiàn)全網的可視化。

4.4 安全架構之APT防御

如今，大多數(shù)復雜的網絡攻擊，已經能夠從容突破傳統(tǒng)的反惡意軟件解決方案，并且在被入侵的網絡中實施APT攻擊。這些高度針對性的攻擊，可以逃避基于簽名的檢測方式，比如通過很多方式來掩蓋惡意屬性，壓縮、加密、多態(tài)等技術不勝枚舉;一些甚至已經開始突破虛擬沙盒環(huán)境、時間炸彈等。對抗如今的攻擊，需要綜合和整合的手段，不只是反惡意軟件，也不只是沙盒，更不只是分散的監(jiān)控系統(tǒng)。

企業(yè)工業(yè)互聯(lián)網安全架構的APT防御方案，采用了“沙盒+NGFW+蜜罐+態(tài)勢感知”的模式，針對0day、復雜攻擊等采用多種機制來檢測。

（1）部署沙盒

基于行為檢測0day/APT攻擊，聯(lián)動防火墻進行阻斷。在企業(yè)數(shù)據(jù)中心部署一套沙盒系統(tǒng)，利用下一代防火墻的檢查能力，將可疑流量和數(shù)據(jù)自動送入沙箱分析。沙箱基于行為分析手段，綜合分析給出結論，自動定制生成病毒碼寫入前端的下一代防火墻，實現(xiàn)聯(lián)動阻斷。

（2）部署蜜罐

檢測內網可疑的入侵行為，聯(lián)動防火墻進行實時阻斷。在企業(yè)數(shù)據(jù)中心部署一套蜜罐系統(tǒng)，利用蜜罐在全網的重要節(jié)點部署誘餌虛擬系統(tǒng)，主動引誘內網、外網的攻擊，并記錄下這些威脅的IP地址，然后聯(lián)動同步至下一代防火墻的黑名單中，實現(xiàn)阻斷。

（3）全網安全態(tài)勢感知

企業(yè)級集中化安全態(tài)勢監(jiān)測與感知平臺，具備三位一體的多維安全態(tài)勢監(jiān)測能力，包括工控網絡入侵態(tài)勢監(jiān)測、工控漏洞態(tài)勢監(jiān)測和工控異常流量監(jiān)測。

部署態(tài)勢感知系統(tǒng)將核心資產、安全威脅事件和脆弱性漏洞管理相結合，利用大數(shù)據(jù)安全智能分析，迅速甄別關鍵威脅并做出智能響應，并進行持續(xù)的合規(guī)性掃描檢測，實現(xiàn)企業(yè)級實時安全風險感知、評估審計與合規(guī)要求的統(tǒng)一風險管理平臺。

所部署的SIEM系統(tǒng)能收集、監(jiān)視和報告防火墻、入侵防御系統(tǒng)、防病毒產品、數(shù)據(jù)防泄漏產品、VPN、訪問控制審計產品等發(fā)生的行為，用于整合和收集各種安全信息，并匯總到一起進行統(tǒng)一分析和檢測。還可以對第三方漏洞掃描工具，進行統(tǒng)一調度和集中管理，能屏蔽不同漏掃產品之間的差異，實現(xiàn)企業(yè)級安全漏洞的集中標識和管理。同時，安全漏洞會與安全事件分析相結合，實現(xiàn)全面的安全風險評估。將企業(yè)資產價值、安全事件和漏洞等信息，進行基于大數(shù)據(jù)的安全智能分析，迅速識別高危風險事件。

5 工業(yè)互聯(lián)網的安全體系建設預期成果

企業(yè)級集中化安全監(jiān)測與態(tài)勢感知平臺的各個組件平臺，均采取旁路部署的模式，組成一個獨立的網絡，不與企業(yè)智能制造網絡產生交集，不影響生產網絡的正常運行。大數(shù)據(jù)分析平臺采用在線或離線兩種模式，獲取威脅情報升級包和漏洞庫升級包，即便與互聯(lián)網隔離的環(huán)境下，也能實現(xiàn)工控安全威脅的智能分析，如圖2所示。

（1）企業(yè)網絡升級改造，實現(xiàn)企業(yè)工業(yè)網絡互連，形成部署、運行安全態(tài)勢監(jiān)控的企業(yè)信息基礎設施。

（2）建設工控協(xié)議識別、漏洞自動采集與分析系統(tǒng)，實現(xiàn)對工業(yè)設備及安全設備的資產監(jiān)控、漏洞發(fā)現(xiàn)、操作行為監(jiān)控和異常流量監(jiān)測。

（3）建設工控與工控安全設備大數(shù)據(jù)采集系統(tǒng)，支持對企業(yè)內多類型工業(yè)設備、多種工業(yè)協(xié)議、多類型安全設備的日志采集與大數(shù)據(jù)存儲。

（4）建設安全態(tài)勢監(jiān)控與感知大數(shù)據(jù)分析系統(tǒng)，在大數(shù)據(jù)采集的基礎上，結合國家工控漏洞庫CNNVD、專業(yè)廠商漏洞庫，利用大數(shù)據(jù)分析與知識圖譜深度學習技術，實現(xiàn)未知攻擊預警、安全態(tài)勢分析與威脅等級研判。

（5）建設安全態(tài)勢感知與網絡隔離安全聯(lián)動一體化平臺，實現(xiàn)安全預警與網絡隔離的聯(lián)動，快速阻斷攻擊路徑，控制感染范圍。

（6）建設微服務架構安全態(tài)勢監(jiān)測與感知PaaS云平臺，為安全態(tài)勢感知提供部署靈活、可移植、高彈性、高可擴展性的云計算平臺。

（7）建設企業(yè)級集中化安全態(tài)勢監(jiān)測與感知平臺，實現(xiàn)全局總覽、威脅分析、攻擊事件還原，把握總體安全態(tài)勢。

（8）建設企業(yè)級監(jiān)測平臺與國家監(jiān)測平臺級聯(lián)上報與數(shù)據(jù)共享子系統(tǒng)，實現(xiàn)國家監(jiān)測平臺和企業(yè)監(jiān)測平臺之間的信息共享。

6 結束語

工業(yè)互聯(lián)網是一個長期的建設過程，中國的制造業(yè)發(fā)展都在“摸著石頭過河”，對于龐大的制造業(yè)來說，管理層能下定決心做數(shù)字化轉型，已經是非常不容易的事情。一次成功的轉型少不了各方面的投入，變革和轉型肯定會帶來陣痛，但是陣痛之后便是發(fā)展的新階段。本文針對大企業(yè)的實際情況，并結合Fortinet提出的工業(yè)安全思路，綜合了目前學術界對工業(yè)互聯(lián)網的研究成果，總結出了適合中國大型制造業(yè)的工業(yè)網絡建設方案，對工業(yè)網絡的架構模型、轉型過程中面臨的問題、建設誤區(qū)等都有重要分析，為制造業(yè)企業(yè)建設工業(yè)互聯(lián)網，提供一定參考和借鑒依據(jù)。

參考文獻

[1] 張翀昊，唐麗萍.工業(yè)互聯(lián)網的安全挑戰(zhàn)及應對策略[J].電子技術與軟件工程，2019 （14）.

[2] 張海港，歐陽佩佩.海爾工業(yè)互聯(lián)網安全實踐[J].中國信息安全，2019 （06）.

[3] 何洪流，尚朝鋒.工業(yè)互聯(lián)網安全研究與政策探討[J].數(shù)字通信世界，2019 （04）.

[4] 杜霖.全面推進工業(yè)互聯(lián)網等融合領域安全工作[J].現(xiàn)代電信科技，2017 （06）.

[5] 張淙哲，房育良.工業(yè)互聯(lián)網的現(xiàn)代概念與模型架構剖析[J].電信網技術，2017 （11）.

[6] 李強，田慧蓉，杜霖，劉曉曼.工業(yè)互聯(lián)網安全發(fā)展策略研究[J].世界電信，2016 （04）.

[7] 邢黎聞.何積豐院士：工業(yè)互聯(lián)網安全發(fā)展趨勢與關鍵技術[J].信息化建設，2016 （11）.

[8] 中國工業(yè)互聯(lián)網安全態(tài)勢報告（2018年）[J].中國信息安全， 2019 （06）.

[9] 工業(yè)互聯(lián)網創(chuàng)新發(fā)展20問[J].中國計量，2019 （08）.

[10] 李海花.工業(yè)互聯(lián)網的發(fā)展歷程及實現(xiàn)路徑[J].互聯(lián)網天地，2019 （08）.

[11] 黃子河.《加強工業(yè)互聯(lián)網安全工作的指導意見》系列解讀[J].網絡安全和信息化，2019 （10）.

[12] 工業(yè)互聯(lián)網發(fā)展行動計劃（2018-2020年）[J].中國計量， 2018 （10）.

[13] 童群.工業(yè)互聯(lián)網發(fā)展現(xiàn)狀及對策[J].設備管理與維修， 2018 （22）.

[14] 毛華陽.基于大數(shù)據(jù)的工業(yè)互聯(lián)網安全初探[J].電信技術， 2018 （11）.

作者簡介：

李斌（1967-），男，漢族，廣東潮州人，廣東機械學院（現(xiàn)廣東工業(yè)大學），本科，珠海格力電器股份有限公司，工程師;主要研究方向和關注領域：企業(yè)5G+工業(yè)互聯(lián)網、園區(qū)網絡的設計與管理、大型數(shù)據(jù)中心的設計與管理、企業(yè)信息安全管理。

張俊杰（1970-），男，漢族，河北滄州人，清華大學，本科，珠海格力電器股份有限公司，工程師;主要研究方向和關注領域：企業(yè)信息化建設及數(shù)字化轉型、智能制造、工業(yè)互聯(lián)網。