數據安全視角下工業互聯網平臺的攻擊與防護

樊佩茹，王沖華

（國家工業信息安全發展研究中心，北京 100040）

1 引言

工業互聯網平臺是面向制造業數字化、網絡化、智能化的需求，基于海量數據采集、匯聚、分析構建的服務體系，支撐制造資源泛在連接、彈性供給和高效配置的工業云平臺。工業互聯網平臺在傳統云平臺的基礎上，疊加物聯網、大數據、人工智能等新興技術后，構建更精準、實時、高效的使用平臺，它向上承載應用服務，向下連接系統設備，是實現工業技術、經驗、知識的模型化、軟件化、復用化，形成資源富集、多方參與、協同演進、合作共贏的制造業生態的樞紐。其中，數據作為工業制造過程中一種備受關注的戰略資源，具有挖掘需求、預測制造、整合產業鏈的價值，是發展智能制造，促進制造業轉型升級的核心驅動力。

工業企業在生產制造、業務運行及問題發生和解決過程中，將會產生大量的數據。工業互聯網平臺通過對這些數據進行系統地收集、處理、分析和發掘，能夠輔助決策者更及時、高效地了解問題產生的過程、造成的影響和解決方式，進一步做出正確決策，這就實現了工業數據價值的最大化。

然而，隨著工業APP、企業設備上云，云端關鍵數據高價值密度聚合，分布式、開放化的云服務擴大了工業數據的暴露面，黑客入侵竊取數據的路徑增多，大規模工業數據泄露、篡改等安全風險加劇。工業互聯網平臺的發展推動了工業數據從企業設備層到平臺應用層的一體化貫通，在此過程中開放的各種API接口極易成為黑客入侵的渠道。此外，工業數據一般涉及到工業企業的生產要素、知識產權和商業機密，攻擊者通過非法入侵、勒索病毒等方式攫取商業機密或巨額經濟利益的攻擊活動日益盛行，平臺數據正成為黑客的重點攻擊目標。一旦工業互聯網平臺被黑客入侵攻擊，就可能引發大規模工業數據泄露、篡改等重大安全事件，將對工業企業生產安全、業務安全、社會安全甚至國家安全帶來巨大危害。

目前，國內外工業互聯網平臺仍在探索、發展、應用過程中，常采用傳統的防護手段保障數據安全。例如，工業數據采集系統中，主要通過工業防火墻和工業網閘等產品實現數據加密傳輸；工業互聯網平臺中，主要通過代碼審計、接口驗證、漏洞掃描、認證授權、安全監測等技術抵御外來攻擊，減少平臺數據受到危害的可能性。然而，當前工業互聯網平臺依然集中關注于數據預測性分析、資產運維優化、經營管理優化、資源匹配系統等功能性需求，面向特定的行業或工業場景提供服務時，進行大量定制化開發以滿足客戶的多樣性應用需求，導致服務成本和周期大幅增加。現有的工業互聯網平臺主要致力于實現長期的工業知識積累和數據分析技術進一步創新，對工業數據在平臺分析處理過程中隱藏的安全風險考慮較少，當前工業互聯網平臺數據還缺乏統一的安全考量和通用的安全防護措施，存在巨大的安全隱患。

我國高度重視工業互聯網數據安全，2017年，國務院發布《關于深化“互聯網+先進制造業”發展工業互聯網的指導意見》將“建立數據安全保護體系”列為主要任務之一，提出“建立工業互聯網全產業鏈數據安全管理體系，明確相關主體的數據安全保護責任和具體要求”，明確指出“加強數據收集、存儲、處理、轉移、刪除等環節的安全防護能力”。2019年，工信部發布《關于加強工業互聯網安全工作的指導意見（征求意見稿）》提出要建立工業互聯網全產業鏈數據安全管理體系，加強工業互聯網重要數據安全監測和管理。工業數據安全是推進工業互聯網平臺健康運行的重要保障。

2 工業互聯網平臺數據生命周期

工業互聯網平臺架構包括邊緣計算、工業云基礎設施（IaaS）、工業云平臺服務（PaaS）和工業應用（SaaS）四個層次。其中，云基礎設施層主要包括支撐工業互聯網平臺運行的基礎設施，涵蓋平臺的服務器、存儲器、網絡、虛擬化系統等物理資源調度與隔離等基礎功能，工業互聯網平臺支撐工業模型沉淀、工業大數據管理與分析、工業應用敏捷開發、新型工業應用等的核心能力主要集中在工業云平臺服務層和工業應用層。因此，從機器設備產生初始數據到形成高價值決策依據再到投入應用的過程中，本文將工業數據生命周期的各環節主要對應到工業互聯網平臺除工業云基礎設施層外的其他三個層次進行討論。

一般數據的生命周期包含采集、傳輸、匯聚、存儲、管理、清洗、挖掘、分析、共享、發布、遷移、銷毀等，根據數據在工業互聯網平臺流轉層次的不同，本文概括地將平臺數據分為：匯聚、分析和應用三個環節，與平臺各層次相對應，如圖1所示。

圖1 工業互聯網平臺數據生命周期

工業互聯網平臺與數據生命周期的三個環節的對應關系敘述為：

（1）邊緣計算層。支持多種通信接入手段和協議轉換技術，可實現多源異構工業數據的收集和聚合，對應數據生命周期的第一個環節—數據匯聚。

（2）工業云基礎設施層。平臺數據從所在物理位置講，都位于該層的存儲單元（磁盤）中；但是平臺數據存儲與訪問邏輯一般在工業云平臺服務層和工業應用層進行管理和控制，因此本文將數據存儲和訪問分別納入數據分析和應用兩個環節進行討論。工業云基礎設施層對應數據生命周期的第二個環節—數據分析中存儲數據的物理單元。

（3）工業云平臺服務層。在通用云平臺資源部署管理功能的基礎上，疊加工業數據處理系統、工業數據建模框架、工業應用開發環境、工業微服務組件庫等新的功能，可實現數據的存儲、清洗、管理、建模、挖掘和決策，為用戶形成有價值的決策依據，對應數據生命周期的第二個環節—數據分析。

（4）工業應用層。面向不同行業的不同場景，對傳統工業軟件進行改造升級，將數據投入到實際中使用，使其更好地滿足產品研發、生產、管理、決策和反饋等需求，可實現數據的共享、訪問、發布、遷移和銷毀，滿足用戶的多樣化需求，對應數據生命周期的第三個環節—數據應用。

在工業云平臺服務層，也可能出現數據應用的需求，同樣在工業應用層，也可能出現數據分析的場景。但通常來看，數據分析為數據應用奠定了基礎，在數據整個生命周期中處于第二環節；數據應用是數據分析的目的，是其存在于工業互聯網平臺上的最后一個階段，由此本文將其歸納到數據生命周期的第三環節。

3 工業互聯網平臺數據面臨安全威脅

工業領域中，大數據環境正在逐漸形成，工業系統運轉模式也正在轉變，從應激式的解決問題，到基于經驗的預防問題，到現在利用數據基于線索和事實避免問題，最終目的是實現知識的獲取和傳承。這一系列轉變的核心背后，是工業價值的轉型，而工業數據已經成為工業價值轉型的核心驅動力。然而相應的，工業數據的價值導致它已經成為一種高風險目標，容易遭到針對性的攻擊。工業互聯網平臺中流轉的數據一般具有較高的敏感性，涉及到工業企業的生產要素、知識產權和商業機密，有些數據資料甚至關系到國家安全，因此對數據的竊取、破壞或篡改，將造成嚴重的經濟損失、社會影響甚至國家安全等問題。

工業數據的整個生命周期貫穿在工業互聯網平臺的所有層次中，本文圍繞平臺數據全生命周期的三個環節，分析了數據在各階段面臨的安全威脅。

3.1 數據匯聚安全威脅

工業數據由智能傳感器、邊緣網關等各種終端設備和邊緣設備采集傳輸而來，工業互聯網平臺的邊緣層負責工業數據接入過程中的數據收集與聚合工作。首先，由于目前工業數據體量大、數據接口不同、數據格式標準各異，從而導致平臺邊緣層的數據接收軟件種類多樣、結構復雜，形成較大的攻擊面；其次，由于終端設備和邊緣設備計算資源有限，安全防護能力薄弱，所以工業數據在采集、傳輸的過程中，被竊聽、攔截、篡改、丟失的安全風險較高，容易產生錯誤、虛假的數據，干擾后期工業互聯網平臺上數據分析、處理、決策結果的正確性和可靠性；此外，攻擊者還有可能通過控制終端設備和邊緣設備，生成精心構造的攻擊數據，觸發平臺邊緣層數據接收端的漏洞或后門，對平臺實施入侵或發起大規模網絡攻擊，進一步對平臺安全造成危害。

3.2 數據分析安全威脅

工業互聯網平臺數據分析環節面臨的安全威脅來自工業云基礎設施層和工業云平臺服務層。

工業云基礎設施層包括了數量眾多、種類多樣的硬件和軟件組件，如主機設備、磁盤陣列、虛擬化軟件棧、虛擬機系統等。這些組件數目巨大、種類多樣，組件之間交互過程復雜，使得工業數據到達平臺時，將會面臨著極大的攻擊面。利用虛擬機逃逸、跨虛擬機側信道攻擊、鏡像篡改等新型攻擊的方式，攻擊者能夠竊取到虛擬機中的敏感工業數據、加密密鑰等信息，甚至獲得虛擬機的控制權，進而利用虛擬化軟件棧的漏洞，穿透整個工業互聯網平臺，滲透到平臺主機層，對整個平臺的數據安全構成威脅。

當討論數據在平臺不同層次面臨的安全威脅時，首先應考慮其存儲單元面臨的物理威脅，如數據存儲的物理介質被破壞，數據銷毀時相應物理介質未一同銷毀等問題。工業云基礎設施層的物理安全，是數據安全和整個工業互聯網平臺安全的基礎，可通過其他技術與管理手段進行解決，因此本文不討論由工業云基礎設施層物理威脅引起的數據安全問題。

工業云平臺服務層是基于工業知識顯性化、模型化、標準化構建的工業服務環境，包括通用PaaS平臺、工業應用開發工具、工業微服務組件、工業大數據分析平臺等，通過對工業大數據的清洗、挖掘和分析，支撐企業實現先進制造、生產、運行、管理的優化，輔助管理員做出有效決策。工業云平臺服務層處理著海量工業企業的工藝參數、產能數據等高價值數據，容易遭到針對性攻擊，一旦被入侵，可能導致敏感信息泄露，威脅平臺和工業企業的數據安全；攻擊者還有可能篡改工業數據，操縱數據分析處理軟件，給出扭曲的、錯誤的、精心制造的分析結果，誤導工業企業做出錯誤判斷和決策，給企業、甚至國家造成重大經濟損失。

多數企業在建設工業互聯網平臺時，使用了第三方服務商提供的IaaS或PaaS服務，第三方服務商又可能依賴第四方、第五方服務商提供的硬件或軟件組件支持服務運行，隨著工業互聯網平臺服務供應鏈長度的增加，數據在其生命周期的第二個環節，面對的攻擊面將不斷擴大，面臨的安全威脅更加嚴峻。

3.3 數據應用安全威脅

工業數據經過有效地分析和挖掘后，只有應用到生產制造、產品銷售、售后服務等過程中，才能幫助工業企業了解和解決可見的問題，分析和預測不可見的問題，輔助管理者做出正確的決策。工業數據生命周期的第三個環節—數據應用，主要對應于工業應用層。工業互聯網平臺應用層部署著大量的工業應用程序，涉及到專業工業知識和特定工業場景，一般會集成封裝多個低耦合的工業微服務組件，功能復雜，若開發過程中編碼不符合安全規范，或使用了不安全的第三方庫，則會非常容易出現安全漏洞和缺陷，為工業數據安全帶來突出的問題。此外，工業數據在發布和共享時面臨訪問授權驗證、信息泄露的問題；在遷移時面臨平臺認證、安全級別變更的問題；在銷毀時面臨數據殘留問題，對工業互聯網平臺的數據安全造成危害。

4 構建可信的工業互聯網平臺

我國工業互聯網平臺正處于高速發展階段，平臺實現的薄弱環節較多，工業數據類型多樣、流動復雜、分散分布等特征增加了防護的難度。傳統的IT掃描、檢測、監控、病毒查殺等被動防御手段無法有效地抵御針對工業互聯網平臺數據的網絡攻擊。可信計算采用“度量+管控”的思路，其目標不是消除平臺系統或軟件中的漏洞或缺陷，而是阻止一切未知的或非法的程序執行，防患于未然，通過構建可信的工業互聯網平臺，確保系統按照預定的期望執行，確保數據按照預期的方式被處理。

4.1 工業互聯網平臺薄弱環節

總的來看，工業互聯網平臺的薄弱環節主要體現為兩大因素。

（1）人的因素

人的多變、不可控是制約工業互聯網平臺安全的一大因素。隨著工業企業生產業務環境與“互聯網+”的融合，及針對人的社會工程學、釣魚攻擊等行為日漸增多，企業內部人員如工程師、操作員、管理員等，“有意識”和“無意識”的行為，都可能泄露敏感信息，傳播惡意軟件甚至破壞工業系統。

（2）技術的因素

一方面，數據采集設備安全防護能力薄弱導致來源的數據不可信。早期的工業數據采集設備運行在相對封閉的獨立環境中，一般僅考慮設備的功能性和穩定性，安全性考慮不足，容易引發工業互聯網平臺邊緣層接收的數據存在可信性不確定問題。接收的數據可能是過期的、錯誤的、被篡改的、或者是攻擊者精心構造的，給平臺后續的數據分析帶來了巨大的隱患。

另一方面，平臺安全防護缺乏針對性。現有工業互聯網平臺產品重點關注工業數據分析、資產運維優化、經營管理優化、資源匹配協同等多樣性的客戶需求，在平臺安全方面主要通過安全監測、安全審計、漏洞掃描修復、認證授權等通用方式進行保障。然而，這類防護功能主要依賴系統級安全軟件提供的支撐，在缺乏硬件保護的情況下，一旦安全軟件自身遭到攻擊，所提供的安全防護能力將立即失效，工業互聯網平臺安全也就岌岌可危。

4.2 “戰略”+“戰術”雙重保障

針對上述薄弱環節，構建可信的工業互聯網平臺時，應從“戰略”+“戰術”兩方面進行保障。如圖2所示。

從“戰略”角度講，完善政策制度，加快標準研制，推動規范指導，建立健全的工業互聯網平臺可信管理體系，規范人的行為。工業互聯網平臺可信管理體系建設，旨在指導人做出可信的行為，判斷人的行為是否可信，制約人無法做出不可信行為，對人的不可信行為給出可信防護策略，以最大限度地減少和避免由于人的失誤給工業互聯網平臺帶來的安全威脅。

圖2 可信的工業互聯網平臺構建思路

從“戰術”角度講，應用可信的計算技術，從工業數據可信采集、工業設備可信接入、工業軟件可信運行、工業互聯網平臺可信性檢測等方面，建立完整的工業互聯網平臺可信技術體系。以可信芯片作為硬件基礎，在工業互聯網平臺邊緣計算層、工業云基礎設施層、工業云平臺服務層、工業應用層進行信任擴展，構建信任鏈，從系統級對平臺進行信任度量，構建可信的工業互聯網平臺，對平臺軟件提供可信的防護能力，保證工業數據在工業互聯網平臺上的可信匯聚、可信分析和可信應用。

安全技術為保證工業互聯網平臺安全奠定基礎，安全管理為安全技術切實發揮作用提供保障。工業互聯網平臺可信管理體系與可信技術體系相結合，從“戰略”+“戰術”的角度，保障工業互聯網平臺中人的可信和技術的安全，能建立一個完整的集工業數據匯聚、分析、應用為一體的工業互聯網平臺數據可信生態體系。

5 結束語

工業數據包括了高價值密度的核心業務數據、積累的產品研發數據、生產制造數據、供應鏈數據以及客戶服務數據等，是工業領域的核心數據資產。工業數據的高價值導致它已經成為一種高風險目標，面臨嚴峻的安全威脅。數據在工業互聯網平臺流轉時，其匯聚、存儲、挖掘、使用、共享、遷移等環節都容易遭到針對性攻擊，一旦數據被竊取、破壞或篡改，將造成嚴重的經濟損失、社會影響，甚至威脅到國家安全。本文圍繞著工業數據的生命周期，分析了其在工業互聯網平臺各層次面臨的安全威脅針對平臺現有的安全薄弱環節，提出“戰略”+“戰術”的防護理念，給出一種可信工業互聯網平臺的構建思路，以保障工業數據在平臺上全生命周期的安全。