一種基于工業互聯網平臺的安全防護體系設計

魏文 許夢竹 劉仲亞 蒲星

摘? ?要：基于工業互聯網安全總體要求與工業互聯網平臺防護要求，文章提出了一套面向無線電管理行業的安全防護體系，包括安全防護總體架構、安全防護內容、安全防護等級以及基本要求等相關內容。這套安全防護體系由我國無線電管理行業首次提出，對健全我國各級無線電管理機構的信息安全防護機制，具有重要參考價值。

關鍵詞：工業互聯網;無線電管理一體化;信息安全;體系架構

中圖分類號： TN915.08? ? ? ? ? 文獻標識碼：A

Abstract： Based on the general requirements of industrial internet security and protection requirements of industrial Internet platform， this paper proposes a set of security protection system for radio management industry， including the general architecture， main content， protect level and basic requirements of security protection. This is the first time that this security protection system proposed in radio management field， it has significant value for improving the information security protection mechanism of radio management organizations in China.

Key words： industrial internet; radio management integration; information security; architecture

1 引言

近年來，隨著全球第四次工業革命興起，工業互聯網作為新一代信息技術與制造業深度融合的產物，對未來工業發展產生著深層次影響。工業互聯網[1]是滿足工業智能化發展需求，具有低時延、高可靠、廣覆蓋特點的關鍵網絡基礎設施，是新一代信息通信技術與先進制造業深度融合所形成的新興業態與應用模式。工業互聯網平臺[2，3]是面向制造業數字化、網絡化、智能化需求，構建基于海量數據采集、匯聚、分析的服務體系，支撐制造資源泛在連接、彈性供給、高效配置的工業云平臺。目前，我國無線電管理基本建成超短波、短波、衛星和信息管理等基礎設施網絡，完善了頻率、臺站、監測、衛星和檢測等數據庫，奠定了良好基礎。伴隨著新型無線電技術的迅猛發展，無線電技術設施逐步轉向自動化、智能化、小型化發展，促進技術設施互聯、信息數據共享、業務流程貫通，實現海量無線電管理數據采集與分析挖掘，對我國無線電管理信息化水平提出了新的要求。

基于工業互聯網理念的無線電管理一體化[4]是我國無線電管理全業務的高效管理、科學決策、流程連續與數據共享的長遠發展戰略。無線電管理一體化平臺[4]是無線電管理行業的工業互聯網平臺。隨著各級無線電管理機構一體化平臺的建設與發展，無線電管理技術設施多樣、用戶數量增加、網絡環境復雜等因素，導致外部網絡攻擊、非授權用戶訪問、數據異常丟失等，對一體化平臺造成越來越多的安全威脅[5]。因此，研究并構建無線電管理一體化安全防護體系，對推動我國無線電管理行業的信息化發展具有重要意義。

2 總體架構

按照工業互聯網的相關要求，無線電管理一體化安全防護體系是指涉及我國無線電管理行業監測設施、網絡基礎設施、一體化平臺和應用系統等安全防護的總體要求，包括層級劃分、防護內容、防護等級和防護要求等內容。如圖1所示，無線電管理一體化主要包括監測設施（邊緣層）、網絡基礎設施（IaaS層）、一體化平臺（PaaS層/平臺層）、應用系統（應用層）、安全防護平臺和無線電管理一體化（戰略層）等六個層級。其中，戰略層屬于非信息化實體表達;安全防護平臺即本文論述的安全防護體系。

圖2展示了一體化安全防護體系的總體設計模型，其主要防護范圍涉及無線電監測基礎技術設施、無線電網絡基礎設施、一體化平臺以及無線電管理專業應用系統等。本文對安全防護體系進行了立體化建模，其中層級劃分（y軸）是無線電管理一體化的四個信息化實體表達，即監測設施（邊緣層）、網絡基礎設施（IaaS層）、一體化平臺（PaaS層/平臺層）、應用系統（應用層）;防護內容（z軸）對照工業互聯網平臺的要求進行劃分和設計，包括邊緣安全、IaaS安全、平臺安全和應用安全等四個方面，與Y軸的層級劃分相互對應;防護要求（x軸）是結合工業互聯網安全防護等級，對每個層級劃分的防護內容提出具體設計方案。后續章節將詳細闡述以上內容。

3 安全防護等級

工業互聯網系統的安全防護等級共分為五個級別，按照社會影響力、所提供服務的重要性、用戶數大小等影響因素[1]，防護要求逐步提升，其中“第五級”為最高防護等級。每個防護等級均對設備安全、控制安全、網絡安全、應用安全、數據安全五大防護內容提出了原則性要求，涉及身份鑒權、訪問控制、安全審計、入侵防范、惡意代碼防范、數據保密性保護、備份與恢復、銷毀、溯源等方面。

考慮到我國無線電管理工作，承擔著管頻率、管臺站、維護無線電波空中秩序的重要職能，是服務經濟社會發展、服務國防建設、服務黨政機關的重要支撐，是保障重大活動、突發事件等時期無線電通信安全的重要手段，積累的無線電管理數據也成為重要的戰略資源。綜上，無線電管理一體化安全對社會經濟發展、國防國家安全有著較為重要的影響。為此，本文建議無線電管理一體化安全防護應參照工業互聯網安全防護等級第三級開展建設，即“受到破壞后，會對系統提供商、個人及企業用戶等的合法權益產生特別嚴重損害，或者對社會秩序、經濟運行和公共利益造成嚴重損害，或者對國家安全造成損害[6]”。

4 安全防護內容

按照安全防護體系架構，安全防護內容包括邊緣安全、IaaS安全、平臺安全、應用安全四個方面，分別對應無線電管理一體化架構如圖1所示中無線電管理邊緣感知層的各類無線電監測設施、組成無線電監測網絡的網絡基礎設施、一體化平臺以及各類無線電監測專用業務應用系統。

4.1 邊緣安全

無線電管理一體化邊緣層由各類無線電監測站、手持類監測設備等無線電監測技術設施構成，無線電監測技術設施通過大范圍無線電監測數據采集，構建無線電管理一體化平臺重要數據基礎。邊緣防護內容主要對各類無線電監測設施的設備、控制、監測網絡、監測基礎數據進行防護。

4.2 IaaS安全

無線電管理一體化IaaS層由支撐一體化平臺的服務器、存儲、網絡、虛擬化等物理及虛擬資源構成。IaaS安全主要對網絡基礎設施的設備、控制、網絡以及數據進行防護。

4.3 平臺安全

無線電管理一體化平臺層由無線電管理一體化基礎平臺、業務平臺以及數據類平臺構成。平臺安全主要對一體化平臺的網絡、應用以及數據進行防護。

4.4 應用安全

無線電管理一體化應用層由各類無線電管理業務專用應用系統構成。應用安全主要對各類應用系統的網絡、訪問以及數據進行防護。

5 安全防護要求

基于工業互聯網安全防護等級第三級的要求，無線電管理一體化安全防護要求應考慮五個方面。（1）設備安全：設備、設備操作及運維用戶的身份鑒別、訪問控制、入侵防范、安全審計等;（2）控制安全：控制軟件的身份鑒別、訪問控制、入侵防范、安全審計，控制協議的完整性保護等;（3）網絡安全：網絡與邊界的劃分隔離、訪問控制、異常監測、入侵防范、機密性與完整性保護、安全審計等;（4）應用安全：應用系統的訪問控制、入侵防范、攻擊防范、行為管控、來源控制等;（5）數據安全：數據機密性保護、完整性保護、數據備份恢復、數據安全銷毀等。本文按照無線電管理一體化每個層級的不同特性，對安全防護內容逐一提出了具體的安全防護要求，匯總數據如表1所示。

5.1 邊緣安全防護要求

邊緣安全以各類監測技術設施為主體，其防護要求主要包括設備安全、控制安全、網絡安全和數據安全四個方面。

5.1.1設備安全

對邊緣層各類監測技術設施從訪問控制、身份鑒別、入侵防范、安全審計四個方面進行設備安全防護。

（1）應通過定制安全策略。實現對接入信息網絡平臺層的監測技術設施的訪問控制;應單獨分配運維用戶賬戶和權限，建立監測技術設施運維用戶訪問控制，并確保授予所需的最小權限;應重命名或刪除默認賬戶，修改默認賬戶的默認口令，及時刪除或停用多余的、過期的賬戶，避免共享賬戶存在。

（2）應采用鑒別機制。對接入信息網絡平臺層的監測技術設施、設備操作用戶等進行身份鑒別，身份標識應具有唯一性，鑒別信息應具有復雜度要求并定期更換;應采取必要措施，防止需遠程操作的監測設施身份鑒別信息在網絡傳輸中被竊聽。

（3）應遵循最小安裝原則。僅為邊緣層監測技術設施安裝必要的組件和應用程序，并關閉監測技術設施中不需要的系統服務、默認共享和高危端口;對監測技術設施運維過程應具有登錄失敗處理功能，配置并啟用結束會話、限制非法登錄次數和登錄連接超時時自動退出等措施;對于通過網絡進行管理的監測技術設施，應設定監測技術設施終端接入方式或網絡地址范圍對其進行限制。

（4）應啟用審計范圍覆蓋對監測技術設施進行操作的每個用戶、重要的用戶行為和重要安全事件的安全審計功能;審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等;應確保審計記錄的留存時間符合法律法規要求。

5.1.2 控制安全

對邊緣層監測管控、天線控制等控制系統從控制協議完整性保護、身份鑒別、入侵防范、安全審計四個方面進行控制安全防護。

（1）應采取控制協議完整性保護機制。確保控制協議中的各類指令不被非法篡改和破壞，控制協議應能識別和防范破壞控制協議完整性的攻擊行為。

（2）應對登錄控制系統軟件進行操作的用戶進行身份標識和鑒別，身份標識應具有唯一性，身份鑒別信息應具有復雜度要求并定期更換;對控制系統進行操作的過程應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和登錄連接超時時自動退出等相關措施。

（3）應遵循最小安裝原則。僅安裝需要的組件和程序，并關閉控制系統主機中不需要的系統服務、默認共享和高危端口;應能夠監測到對控制系統進行入侵的行為，并在發生嚴重入侵事件時提供報警。

（4）應啟用審計范圍覆蓋對控制系統進行操作的每個用戶、重要的用戶行為和重要安全事件的安全審計功能，具體要求同5.1.1（4）。

5.1.3 網絡安全

對邊緣層無線電監測技術設施信息網絡從邊界防護、訪問控制、入侵防范、安全審計四個方面進行網絡安全防護。

（1）無線電監測設施網絡與外部網絡之間應劃分為兩個區域，區域間應采用技術隔離手段，并在不同等級的網絡區域邊界部署訪問控制機制，設置訪問控制規則;應能夠對非授權設備的接入行為進行告警。

（2）應根據訪問控制策略設置訪問控制規則，保證跨網絡邊界的訪問和數據流通過邊界防護設備提供的受控接口進行通信，默認情況下受控接口拒絕所有通信;應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化;應該根據網絡邊界訪問控制規則，通過檢查數據包的源地址、目的地址、源端口、目的端口和協議等，確定是允許該數據包通過該區域邊界;內部網絡與外部網絡之間應采用訪問控制機制，禁止任何穿越區域邊界的Web、FTP等通用網絡服務。

（3）應在關鍵網絡節點處部署入侵防范措施，監測并檢測通過無線電監測設施關鍵節點發起的DDoS等網絡攻擊行為，當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并在發生嚴重入侵事件時提供告警。

（4）應在關鍵網絡節點進行安全審計，對重要的用戶行為和重要安全事件進行安全審計，具體要求同5.1.1（4）。

5.1.4 數據安全

對邊緣層監測技術設施信息網絡數據傳輸從完整性保護、保密性保護、備份與恢復三個方面進行數據安全防護。

（1）應采用密碼技術支持的完整性校驗機制。

（2）應采用適應無線電管理內部網絡特點的密碼技術支持的保密性保護機制。

（3）應根據無線電管理數據存儲策略，提供各級監測設施本地數據備份與恢復功能，保證數據一致性，且備份數據應采取與原數據一致的安全保護措施。

5.2 IaaS安全防護要求

IaaS安全以信息機房物理設備和虛擬化設備為主體，其防護要求主要包括設備安全、控制安全、網絡安全和數據安全等四方面。

5.2.1 設備安全

對IaaS層服務器等網絡基礎設施設備從訪問控制、身份鑒別、入侵防范、資源控制、惡意代碼防護、安全審計等六個方面進行設備安全防護。

（1）應采用技術措施對允許訪問服務器的終端地址范圍進行限制;應關閉服務器不使用的端口，防止非法訪問;應根據服務器和網絡設備管理用戶的角色分配權限，僅授予管理用戶所需的最小權限，應對網絡設備的管理員登錄地址進行限制。

（2）應對登錄服務器和網絡設備的用戶進行身份標識和鑒別，身份標識應具有不易被冒用的特點，口令應有復雜度并定期更換;應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施;應采用安全方式防止用戶鑒別認證信息泄露。

（3）服務器所使用的操作系統應遵循最小安裝的原則，并保持系統補丁及時更新;應能夠檢測對重要服務器的入侵行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發生嚴重入侵事件時提供報警。

（4）應根據安全策略，設置登錄服務器的會話數量;應根據安全策略設置登錄服務器的操作超時鎖定。

（5）應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。

（6）應具有審計范圍覆蓋到網絡基礎設施上的每個用戶，內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等重要的安全相關事件的安全審計功能，具體要求同5.1.1（4）。

5.2.2 控制安全

應對網絡基礎設施相關的控制系統采取必要的控制安全防護措施，具體要求同5.1.2。

5.2.3 網絡安全

對IaaS層網絡基礎設施信息網絡從網絡區域劃分隔離、訪問控制、惡意代碼防護、網絡安全監測、安全審計等五個方面進行網絡安全防護。

（1）應根據業務系統的類型、功能及租戶的不同劃分不同子網、網段或安全組，并在各子網、網段或安全組之間采取技術手段進行隔離;應根據無線電管理業務需求對信息網絡劃分不同的安全域，安全域之間應采用技術隔離手段。

（2）應在網絡或網段邊界啟用訪問控制，應能根據會話狀態信息為數據流提供明確的允許/拒絕訪問的能力，控制力度到主機級;接入網絡邊界網關只開放接入服務相關端口;邊界安全網關應對源地址、目的地址、源端口、目的端口和協議等進行檢查，以允許/拒絕數據進出。

（3）應對惡意代碼進行檢測和清除。

（4）應對網絡設備運行狀況、網絡流量、管理員和運維人員行為等進行監測，識別和記錄異常狀態;應持續大流量攻擊進行識別、報警和阻斷的能力;應監視端口掃描、木馬后門攻擊、拒絕服務攻擊等攻擊行為，當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發生嚴重入侵事件時應提供報警;應對網絡通訊數據、訪問異常、業務操作異常、網絡設備流量、冗余機制等進行監測并報警。

（5）應對網絡系統中的網絡設備運行狀況、網絡流量、管理員和運維人員行為等進行日志記錄，安全審計具體要求同5.1.1（4）。

5.2.4 數據安全

對IaaS層數據從產生、傳輸、存儲、銷毀、備份與恢復等三個方面進行數據安全防護。

（1）數據產生時，應具有數據敏感度的界定標準，并根據敏感度進行分類。

（2）應保證鑒別信息等關鍵數據傳輸的保密性，并檢測數據在傳輸過程中的完整性。

（3）應采用加密技術或其他保護措施實現鑒別信息、關鍵數據和管理數據的存儲保密性，應支持對密碼算法、強度和方式等參數的可選配置，并檢測到數據在存儲過程中的完整性;應具備有效的磁盤保護方法或數據碎片化存儲等措施。

（4）應能夠清除因數據遷移等產生的遺留數據，對日志的留存期限應符合國家有關規定;應提供手段清除數據的所有副本。

（5）應提供數據本地備份與恢復功能，全量數據備份至少每周一次，增量備份至少每天一次，或提供多副本備份機制。

5.3 平臺安全防護要求

平臺安全以中間件、無線電管理高復用業務應用/服務為主體，其防護要求主要包括網絡安全、應用安全和數據安全等三方面。

5.3.1 網絡安全

對平臺層信息網絡安全防護的具體要求同5.2.3IaaS層網絡安全要求。

5.3.2 應用安全

對平臺層無線電管理高復用業務應用/服務從用戶身份鑒別、訪問控制、合規性檢查、來源保證、健壯性保證、資源控制、上線前檢測、安全審計等八個方面進行應用安全防護。

（1）應對使用平臺層的用戶、運行管理人員進行身份標識和鑒別，身份標識應具有唯一性;應采用口令、令牌、基于生物特征、數字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行身份鑒別，鑒別信息應具有復雜度要求并定期更換，并強制用戶首次登錄時修改初始口令;登錄過程應提供并啟用登錄失敗處理功能，多次登錄失敗后應采取必要的保護措施。