工業(yè)互聯(lián)網的安全研究與實踐

李鴻培　北京奇虎科技有限公司李　強　360企業(yè)安全集團

?

工業(yè)互聯(lián)網的安全研究與實踐

李鴻培北京奇虎科技有限公司
李強360企業(yè)安全集團

在分析工業(yè)互聯(lián)網所面臨的信息安全風險的基礎上，針對工業(yè)互聯(lián)網信息安全保障體系的建設思路進行了探討；其次介紹了360公司在工業(yè)互聯(lián)網安全方面的安全理念及實踐；最后為工業(yè)互聯(lián)網的安全研究及安全能力建設工作提出了一些建議。

工業(yè)互聯(lián)網；信息安全體系；安全建議

1　引言

工業(yè)互聯(lián)網是互聯(lián)網和新一代信息技術與工業(yè)系統(tǒng)全方位深度融合所形成的產業(yè)和應用形態(tài)，是提升工業(yè)系統(tǒng)智能化能力的關鍵信息基礎設施。隨著德國提出工業(yè)4.0、美國提出工業(yè)互聯(lián)網、中國提出“互聯(lián)網+”及“中國制造2025”戰(zhàn)略計劃，全球工業(yè)領域的信息化正日益受到重視，工業(yè)生產正從以往基于計算機的設備自動化模式逐步轉向以互聯(lián)網為基礎的網絡化、智能化生產的方式。工業(yè)互聯(lián)網已成為工業(yè)化與信息化融合的基礎，互聯(lián)網、物聯(lián)網、云、大數據等當前最新技術的應用構建出新型的工業(yè)生產環(huán)境——虛擬物理系統(tǒng)（CPS），形成工業(yè)生產消費過程中的人與人、人與物、物與物廣泛互聯(lián)的萬物互聯(lián)的新時代。

在此背景下，電力、石化、交通、市政及關鍵制造業(yè)等國家關鍵基礎行業(yè)對信息網絡的依賴越來越強，相關行業(yè)的工業(yè)控制系統(tǒng)間也日益通過信息網絡來實現(xiàn)信息互聯(lián)互通及遠程控制。因此，工控系統(tǒng)將不能僅從系統(tǒng)可靠性的角度關注功能安全問題，更要注意防范來自網絡空間的黑客攻擊以及病毒、木馬、蠕蟲等惡意代碼的蓄意破壞，而這將成為當前保障工業(yè)系統(tǒng)安全的重要工作。工業(yè)互聯(lián)網產業(yè)聯(lián)盟（AII）在其論述工業(yè)互聯(lián)網體系架構的技術報告中，就明確地提出“網絡是基礎、數據是核心、安全是保障”，已經把安全作為工業(yè)互聯(lián)網的三大共性要素之一，其對安全問題的重視程度不言而喻。

本文將重點探討工業(yè)互聯(lián)網所面臨的信息安全風險、防護策略及安全實踐。

2　工業(yè)互聯(lián)網所面臨的信息安全風險

智慧城市、智能電網、智能家居、車聯(lián)網、移動互聯(lián)網、智能工廠以及與個人相關的聯(lián)網可穿戴設備的廣泛使用，已經表明在當前網絡連接無處不在。工業(yè)互聯(lián)網的發(fā)展將使得連入互聯(lián)網的工業(yè)系統(tǒng)/設備越來越多，導致以前相對封閉獨立的工業(yè)網絡及設備大量暴露在互聯(lián)網上。對此，國內外多個從事互聯(lián)網上設備的搜索引擎（如國外的Shodan、國內的ZoomEye、諦聽等）都能夠搜索發(fā)現(xiàn)大量暴露在互聯(lián)網上的工控設備的情況，圖1是諦聽團隊對暴露在互聯(lián)網上的工業(yè)設備分布的統(tǒng)計分析結果。顯然工業(yè)互聯(lián)網在通過工業(yè)系統(tǒng)間互聯(lián)提升工業(yè)系統(tǒng)間智能化協(xié)同、提升生產效率的同時，也可能會導致工業(yè)系統(tǒng)暴露在互聯(lián)網上，這可能導致別有用心的人能夠從互聯(lián)網上發(fā)現(xiàn)、訪問這些系統(tǒng)。

加上以往工業(yè)設備因只關注系統(tǒng)功能實現(xiàn)，普遍缺乏對系統(tǒng)安全問題的重視，使得這些聯(lián)網的工業(yè)設備自身的脆弱性也很嚴重。根據筆者前幾年的研究報告可知：自從2010年震網事件之后，CVE統(tǒng)計的公開ICS系統(tǒng)漏洞數（每年新增）已呈急速增長的趨勢（見圖2），據CNCERT的漏洞庫CNVD的統(tǒng)計數據，近年來工控系統(tǒng)相關的漏洞累計已有近千條，并且多為高風險級別的漏洞。而且這些工控設備因種種原因不能及時實現(xiàn)系統(tǒng)更新/或打補丁，多數情況下只能“帶病”運行，其面臨安全風險可想而知。

顯然，暴露在互聯(lián)網上的工業(yè)系統(tǒng)或設備，必然會因其自身脆弱性被利用而大大增加遭受網絡攻擊的風險。

圖1　暴露在互聯(lián)網上的工業(yè)設備統(tǒng)計分析（源自：諦聽）

圖2　CVE公開的ICS系統(tǒng)漏洞數的年度新增趨勢

2.1互聯(lián)導致的潛在攻擊威脅

從工業(yè)互聯(lián)網產業(yè)聯(lián)盟提出的工業(yè)互聯(lián)網整體網絡架構可知，智能工廠內及工廠間的IT與OT系統(tǒng)存在廣泛的互聯(lián)，打破了以往OT系統(tǒng)相對封閉的安全生態(tài)，再加上關鍵的工業(yè)系統(tǒng)對國計民生的重要性，近年來已成為網絡黑客們研究攻擊的重點對象，針對工業(yè)控制系統(tǒng)的潛在攻擊威脅來源，孟雅輝等人在其文章中進行了較為詳細的分析（見圖3）。工業(yè)互聯(lián)網系統(tǒng)間的互聯(lián)特性，將使其核心工業(yè)生產控制系統(tǒng)面臨更多的安全威脅。不僅工業(yè)控制系統(tǒng)脆弱性（漏洞）被分析暴露的越來越多，而且相關安全事件也呈快速增長的趨勢，一些用于控制工控系統(tǒng)的惡意軟件及相關安全事件也被陸續(xù)曝光，如Stuxnet、Duqu、Havex等（見圖4）。其中，2010年震網病毒攻擊伊朗核電站，使8000臺離心機損壞；2014年Havex則利用供應商軟件網站的“水坑攻擊”，影響了歐美1000多家能源企業(yè)（供應鏈安全）；2015年12月，Blackengergy則造成了烏克蘭境內近1/3的地區(qū)持續(xù)斷電。

2.2互聯(lián)導致黑客組織的針對性攻擊（APT）成為最重

要威脅

工業(yè)互聯(lián)網及其相關工業(yè)控制系統(tǒng)的重要性，使得它們所面臨的網絡攻擊者往往是具有明確政治、經濟或軍事目的的黑客組織，且通常會采用難以防范的APT（高級持續(xù)性威脅）的攻擊方式來達到其目的。

自從2010年針對伊朗核電站的“震網病毒”事件之后，眾多工業(yè)系統(tǒng)的相關安全事件表明，國家關鍵基礎設施已成為未來網絡戰(zhàn)的重要攻擊目標。根據ICS-CERT（美國工業(yè)控制系統(tǒng)網絡應急小組）的報告，僅2015年處置的工業(yè)系統(tǒng)相關的安全事件高達295件；其中，關鍵制造（33%）與能源（16%）行業(yè)的安全事件約占一半，且魚叉式攻擊是主要的攻擊方式（見圖5）。2014年，黑客組織“蜻蜓組織”利用Havex惡意代碼攻擊歐美上千家能源企業(yè)工控系統(tǒng)；2014年底，德國聯(lián)邦信息安全辦公室（BSI）披露的一起針對德國鋼鐵廠的APT攻擊等系列安全事件，也進一步證實了這種推斷。

奇虎360在對黑客組織發(fā)動的大量高級持續(xù)性威脅的監(jiān)測及跟蹤研究中，發(fā)現(xiàn)國內的政府、能源、軍事及工業(yè)系統(tǒng)已成為黑客組織發(fā)動APT攻擊的重要攻擊目標（見圖6），魚叉攻擊與水坑攻擊是主要攻擊方式（見圖7）；而且發(fā)起APT攻擊的目的多是為了長期竊取敏感數據。

這些實踐和數據分析都表明了來自黑客組織的網絡攻擊威脅正在日益向工業(yè)互聯(lián)網滲透。我國在實施“中國制造2025”的國家戰(zhàn)略過程中，隨著互聯(lián)網與工業(yè)融合創(chuàng)新的不斷推進，各種聯(lián)網、智能化及自動化傳感裝置的廣泛應用，以及黑客攻擊技能的泛化、攻擊工具的商品化以及對工控系統(tǒng)脆弱性研究的逐步深入，來自信息網絡的APT等有組織、有目的的新型攻擊威脅將成為工業(yè)互聯(lián)網所面臨的最大安全威脅。

圖3　工業(yè)互聯(lián)網整體網絡架構（左）及工業(yè)控制系統(tǒng)所面臨的潛在攻擊威脅（右）

圖4　工業(yè)系統(tǒng)相關安全事件的快速增長趨勢

2.3工業(yè)互聯(lián)網所面臨的主要安全問題

向工業(yè)互聯(lián)網演進的過程中，主要存在以下幾方面的安全問題：

（1）設備/系統(tǒng)間的互聯(lián)使大量生產裝備和產品直接暴露在網絡攻擊之下，木馬病毒在設備之間的傳播擴散速度將呈指數級增長。

（2）工廠網絡的靈活組網需求使網絡拓撲的變化更加復雜，傳統(tǒng)靜態(tài)防護策略和安全域劃分方法面臨動態(tài)化、靈活化的挑戰(zhàn)。

（3）IT和OT的融合打破了傳統(tǒng)安全可信的控制環(huán)境，網絡攻擊從IT層滲透到OT層，從工廠外滲透到工廠內，有效的APT攻擊檢測和防護手段缺乏。

（4）網絡化協(xié)同、服務化延伸、個性化定制等新模式新業(yè)態(tài)的出現(xiàn)對傳統(tǒng)公共互聯(lián)網的安全能力提出了更高要求。

（5）工業(yè)領域業(yè)務復雜，數據種類和保護需求多樣，數據流動方向和路徑復雜，數據保護難度增大。

3　工業(yè)互聯(lián)網信息安全保障體系的建設思路

工業(yè)互聯(lián)網通過網絡互聯(lián)及信息化技術提升工業(yè)系統(tǒng)綜合效益的同時，也將造成工業(yè)系統(tǒng)面臨來自互聯(lián)網的信息安全威脅的強大壓力。面對新的信息安全威脅，工業(yè)互聯(lián)網的發(fā)展將促使傳統(tǒng)工業(yè)控制系統(tǒng)安全理念的巨大轉變。

3.1從注重功能安全到功能安全與信息安全并重

傳統(tǒng)的工業(yè)系統(tǒng)因其相對封閉性，多關注如何避免工業(yè)系統(tǒng)因系統(tǒng)故障或誤操作而造成的業(yè)務中斷問題，很少關注因黑客攻擊所造成的信息安全問題，本文分析表明，隨著工業(yè)化與信息化的深度融合，信息安全已成工業(yè)互聯(lián)網所面臨的重要安全問題。因此，關于工業(yè)互聯(lián)網的安全防護理念將不僅要解決工業(yè)系統(tǒng)自身的功能安全，更要及時處置來自互聯(lián)網絡的信息安全威脅；實現(xiàn)從傳統(tǒng)的僅注重功能安全到當前功能安全與信息安全并重的安全理念轉變（見圖8）。

圖5　ICS-CERT 2015年處置的安全事件（295件）的統(tǒng)計分析

圖6　2015APT組織主要攻擊行業(yè)分布（來源：奇虎360）

3.2從關注安全合規(guī)性轉變到更關注安全效益、及時減損的安全運營

傳統(tǒng)IT系統(tǒng)安全防護建設的重點是構建基于安全產品及安全基線的合規(guī)性安全防護體系，這種基于歷史知識和最佳實踐的方式，并不能抵御未知的入侵攻擊，建設的最大目的是為了抵御已知攻擊的泛濫。

為了應對未知的新型入侵攻擊，可期望通過安全運維模式，以快速的檢測與應急響應能力，盡可能降低因遭受攻擊而造成的損失。從這個角度來說，安全建設的目標將不再僅是強調合規(guī)性，而更加關注安全建設的防護效果和安全效益。

而作為國家關鍵基礎設施重要組成部分的工業(yè)互聯(lián)網及其核心系統(tǒng)，因其主要面對來自黑客組織的APT等新型未知攻擊，傳統(tǒng)的合規(guī)性安全防護策略只能增大攻擊者的攻擊代價，并不能真正地阻擋住攻擊者。因此，對于工控系統(tǒng)的安全防護理念，也將需要實現(xiàn)從重點關注功能安全到符合政策、標準的信息安全合規(guī)性建設，再到關注安全效益、及時減損的安全運營的轉變。

3.3基于動態(tài)安全運營，構建多機制安全協(xié)同的縱深防護體系

面對工業(yè)互聯(lián)網發(fā)展過程中如此復雜的安全防護需求及所面對的針對性攻擊威脅，工業(yè)互聯(lián)網產業(yè)聯(lián)盟提出了相對完善的工業(yè)互聯(lián)網安全體系架構（見圖9）。

當前工業(yè)領域安全防護常用的分層分域的隔離與邊界防護思路及傳統(tǒng)的IT安全手段已不能有效識別和抵御所有可能的攻擊。在假定系統(tǒng)總是能夠被攻破的前提下，系統(tǒng)安全能力建設重點將更強調動態(tài)安全運營的能力：

（1）如何能及時洞察系統(tǒng)中的安全缺陷（漏洞），并盡早主動彌補。

（2）如何能快速、準確地發(fā)現(xiàn)攻擊入侵，并進行及時處置。

圖7　APT組織的攻擊方式統(tǒng)計分析（來源：奇虎360）

圖8　安全理念：從注重功能安全到功能安全與信息安全并重

具體將通過建立面向工業(yè)互聯(lián)網的安全監(jiān)測預警體系，充分結合安全大數據分析能力和威脅情報，幫助用戶及時洞察工業(yè)互聯(lián)網中的安全風險、隱患和安全威脅，進而基于威脅情報分享及應急處置決策機制，實現(xiàn)安全機制/產品間的有效協(xié)同，形成威脅感知、監(jiān)測預警與應急處置的動態(tài)安全運營閉環(huán)，最終實現(xiàn)基于多種安全機制密切協(xié)同的縱深安全防護體系，大大提升對所監(jiān)測工業(yè)網絡系統(tǒng)的綜合安全保障能力。

4　奇虎360的工業(yè)互聯(lián)網安全理念與實踐

圖9　工業(yè)互聯(lián)網的安全體系架構（工業(yè)互聯(lián)網產業(yè)聯(lián)盟）

奇虎360公司基于在互聯(lián)網安全及工業(yè)控制系統(tǒng)安全領域多年的深入研究，明確提出了針對工業(yè)互聯(lián)網安全防護思路：

（1）縱深防御，提高攻擊成本。

（2）主動挖掘漏洞，加強自我保護。

（3）加強數據安全保護，確保生產、管理與控制相關的各種敏感數據的安全。

（4）假設被攻擊，強調如何發(fā)現(xiàn)已被突破，并將攻擊者清除出去的能力建設。

在上述針對工業(yè)互聯(lián)網安全防御理念的基礎上，奇虎360已在工業(yè)互聯(lián)網安全領域做了大量研究與實踐工作：

●作為國內率先運用大數據技術發(fā)現(xiàn)未知威脅（APT）的廠商，具有看見威脅的能力，不僅發(fā)現(xiàn)了數十個APT攻擊，而且發(fā)布了多個APT攻擊研究報告。已經啟動了工業(yè)控制系統(tǒng)安全監(jiān)測預警平臺的研究與建設工作，目的是及時發(fā)現(xiàn)針對工業(yè)系統(tǒng)的有目的攻擊并進行有效阻斷。

●通過自身或是結合第三方的力量來共同挖掘漏洞；盡可能早地發(fā)現(xiàn)、修補工業(yè)系統(tǒng)及相關IT系統(tǒng)的漏洞，避免或降低企業(yè)因系統(tǒng)被攻擊而造成的損失。

●云平臺在工業(yè)制造領域的作用越來越重要，所以云平臺自身的安全以及利用云服務及安全大數據技術提供安全服務，也將成為工業(yè)互聯(lián)網安全的重要需求。而奇虎360作為全球最大的云安全系統(tǒng)運營公司，不僅擁有多年的云安全運維及保障服務能力，而且具有很強大的云安全服務能力。

●工業(yè)設備的自身安全，工業(yè)設備在出廠時就應該是安全的，現(xiàn)在越來越多的工業(yè)廠商開始注重這方面。360不僅在這方面和多家工控安全廠商有合作，而且在智能硬件的安全方面也已有相當的技術與人才積累。

●針對工控系統(tǒng)的業(yè)務環(huán)境提出構建白名單監(jiān)測機制。這是因為工業(yè)系統(tǒng)在業(yè)務層面的操作行為相對規(guī)范，更加適合用白名單機制來檢測、發(fā)現(xiàn)違規(guī)的異常操作。

5　結束語

為保障工業(yè)互聯(lián)網及其關鍵系統(tǒng)的安全，除提供工業(yè)系統(tǒng)傳統(tǒng)必備的功能安全能力之外，還必需加強工業(yè)互聯(lián)網的信息安全保障能力。針對工業(yè)互聯(lián)網及關鍵系統(tǒng)的業(yè)務特點、自身脆弱性以及可能面臨的各種網絡安全威脅，需要在工業(yè)互聯(lián)網的安全體系架構設計、系統(tǒng)建設的供應鏈安全保障、工業(yè)系統(tǒng)上線前安全檢查以及工業(yè)系統(tǒng)安全的運維與管理等方面進行綜合、全面地考慮。

為更好地促進工業(yè)互聯(lián)網的安全能力建設，促進整個工業(yè)互聯(lián)網安全產業(yè)的發(fā)展，結合實踐經驗，提出了一些關于產業(yè)發(fā)展的參考建議，具體如下：

（1）開展對重要工業(yè)系統(tǒng)所使用軟、硬件的靜態(tài)和動態(tài)代碼脆弱性分析以及系統(tǒng)漏洞分析研究；構建由國家主管機構主導的權威應急響應小組、專業(yè)漏洞庫或漏洞信息分享平臺以及完善的漏洞補丁發(fā)布機制。

（2）開展對工業(yè)系統(tǒng)通信協(xié)議的安全性分析，制定國家或行業(yè)級的安全協(xié)議標準。

（3）建立適用于行業(yè)的風險評估與安全檢查機制，配合專業(yè)的檢查工具，定期對工業(yè)系統(tǒng)進行合規(guī)性安全檢查并督促不合格單位進行安全整改。

（4）促進工控系統(tǒng)安全防護從以符合政策、標準的安全合規(guī)性建設為重點，向關注安全效益、及時減損的安全運營的轉變，制定相應的制度、標準。

（5）開展針對工業(yè)互聯(lián)網的APT安全防護技術研究，建立威脅情報分享機制。

（6）要求供應商產品進行安全測評，而且在新產品上線前或進行系統(tǒng)軟件更新前，對系統(tǒng)代碼進行測試，盡可能地發(fā)現(xiàn)潛伏的間諜軟件功能。

（7）在自主可控產品成熟的條件下，盡可能采用自主可控的系統(tǒng)或產品替代國外的同類產品，來盡可能避免國外產品存在后門或其他有意植入的未聲明功能的安全威脅。

（8）建立供應商黑白名單、審計供應商自身IT安全體系、建立供應商可信訪問網關等，實現(xiàn)供應鏈安全管控。

（9）在電力、石化或關鍵制造業(yè)等重點行業(yè)，可由國家主管部門或企業(yè)用戶策劃啟動一些行業(yè)級工業(yè)互聯(lián)網安全建設的試點工程。

（10）通過構建產業(yè)聯(lián)盟等利益共同體，整合各方的優(yōu)勢技術與產品，提出具有行業(yè)特色的工業(yè)互聯(lián)網安全解決方案，并通過示范工程項目進行試點推廣。

［1］AII.工業(yè)互聯(lián)網體系架構［R］.北京:工業(yè)互聯(lián)網產業(yè)聯(lián)盟（AII），2016，6.

［2］李鴻培.工控系統(tǒng)的安全風險及對策［R］.CCF Yocsef論壇，2014，11.

［3］李鴻培，王曉鵬.工控系統(tǒng)安全態(tài)勢報告［R］.綠盟科技，2014，9.

［4］李鴻培，忽朝儉，王曉鵬.工業(yè)控制系統(tǒng)的安全研究與實踐［J］.保密科學技術，2014（04）:17-23

［5］CVE.http://www.cve.m itre.org/.

［6］CNVD.http://www.cnvd.org.cn/.

［7］孟雅輝，畢學堯.工業(yè)4.0進程中的工控系統(tǒng)信息安全［EB/ OL］.http://sec.chinabyte.com/346/13007346.shtm l.

［8］ICS-CERT_Monitor_Nov-Dec2015_S508C.http://ics-cert. us-cert.gov/.

［9］Dragonfly:Western Energy Companies Under Sabotage Threat.

［10］360天眼實驗室.2015年中國高級持續(xù)性威脅研究報告—解讀版［R/OL］.http://zt.360.cn/2015/reportlist.htm l？list=4.

［11］北京威努特技術有限公司.工業(yè)控制系統(tǒng)網絡安全評估及整體防御體系建設方案［EB/OL］.

Study and practice of Industrial Internet security

LI Hongpei， LI Qiang

First， this paper analyzes the information security risks that the Industrial Internet is facing， and based on that，discusses the idea of building an information security architecture for the Industrial Internet. Second， it is followed by a brief introduction on the security concepts and practices that Qihoo 360 has made in terms of Industrial Internet security. Finally，some advices are proposed on security research and capability building for the Industrial Internet.

Industrial Internet； information security architecture； security advices

2016-08-07）