關基保護實踐中的工業互聯網網絡安全風險及防護對策研究

王奕鈞 黃長慧 賈艷 郝艷 陳晨 公安部第一研究所

引言

近年來，隨著以大數據技術、云計算和邊緣計算等技術為代表的新一代數字技術的興起，全球開始進入數字經濟時代，并開始與傳統產業加速融合，“工業互聯網”開始嶄露頭角。根據工業互聯網聯盟對工業互聯網的定義：工業互聯網是互聯網和新一代信息技術與工業系統全方位深度融合所形成的產業和應用生態，是工業智能化發展的關鍵綜合信息基礎設施[1]。工業互聯網正在深刻改變傳統制造業的生成方式、組織方式和商業模式，也不斷推動了全球工業制造業的快速發展。我國也正在全面體系化的推進著工業互聯網創新發展，在黨中央、國務院的決策部署下，我國工業互聯網頂層設計已經明確。2023年全國工業和信息化工作會議更是作出部署，要“完善工業互聯網技術體系、標準體系、應用體系”[2]。預計2023年，我國將繼續加大對工業互聯網的支持力度，持續打出央地協同的政策“組合拳”。

針對工業領域的惡意攻擊持續增加，敵對組織、黑客團伙一直在探測、驗證更多的有效攻擊渠道、攻擊方式，實現對工業領域關鍵系統的成功入侵與破壞。無論是愈加成熟的高級持續性威脅（Advanced Persistent Threat，APT）攻擊，還是新興的勒索攻擊，都在給工業生產帶來極為嚴重的影響，并造成愈加巨大的損失。烏克蘭斷網事件、西班牙Iberdrola電力公司遭遇WannaCry勒索、特斯拉公司計算資源被植入挖礦軟件等攻擊事件，攻擊者都實現了對工業網絡和互聯網絡的攻擊穿透、侵襲滲透與盜取破壞[3]。隨著工業互聯網系統建設的加速推進，必然會帶來更多的防御縫隙和攻擊暴露面，而我國的工業互聯網已廣泛應用于能源、電力、交通、軍工、航空航天、醫療等涉及國計民生的傳統產業，并且涉及到國家關鍵信息基礎設施，因此其安全防護工作尤為重要。

公安部高度重視國內重要信息系統尤其是關鍵信息基礎設施的安全保護工作，在深入貫徹實施網絡安全等級保護制度的基礎上，組織全國公安機關不斷加強網絡安全保衛工作，維護國家關鍵信息基礎設施安全[4]。在開展關鍵信息基礎設施保護的實踐過程中發現，我國工業互聯網依然存在諸多安全風險，主要表現在設備安全、控制安全、網絡安全、應用安全和數據安全五個方面。

一、工業互聯網的網絡安全風險

工業互聯網打破了傳統工業的封閉環境，其范圍、復雜度和安全風險都會隨之增加，在開展關鍵信息基礎設施保護的工作過程中發現，針對工業系統的網絡安全問題開始不斷暴露，網絡安全風險將成為工業互聯網的主要安全風險。通過分析工業互聯網的架構和組成元素的特殊性，可以從設備安全、控制安全、網絡安全、應用安全和數據安全五個方面總結分析出工業互聯網面臨的網絡安全風險[5]。

（一）設備安全

原本相對封閉的傳統生產設備的信息化程度不高、智能化水平不高，大量設備安全性十分薄弱，本身存在可以被利用的安全漏洞，隨著工業互聯網終端設備“智能化、網絡化、扁平化”的發展趨勢，生產環節中人機交互的過程和邊界逐漸被壓縮、取代甚至消失，這將導致海量設備直接暴露在網絡攻擊之下，現有的存量設備面對著巨大的安全風險。

首先，工業互聯網中的設備種類繁多、生產廠家遍布全球，各種設備采用不同的操作系統，相同的操作系統不同版本間的功能也存在差異。由于缺乏工業設備的準入標準，同一版本的操作系統，不同廠家也對其做了定制化的修改，這就為存量設備網絡安全改造增加了很多困難。

其次，工業互聯網中的控制、生產設備對于可靠性、實時性和穩定性的要求很高。網絡安全功能的引入會增加開銷和延遲，甚至會影響原本穩定的工業設備功能，引入新的安全防護設備也會打破原本穩定的工業網絡結構。如何平衡功能穩定和網絡安全，成為最具挑戰的技術難題。

最后，互聯網上廣泛使用的攻擊手段可以平移攻擊工業互聯網中的智能化、嵌入式設備。工業互聯網的智能化發展依賴大量的嵌入式、高性能設備，這些設備形成的網絡攻擊暴露面突破口數量龐大，木馬、病毒、APT等攻擊都可以通過網絡滲透到這些工業設備中，并以指數級的速度、層出不窮的手段感染擴散，最終對終端造成業務破壞或者進行惡意控制形成“僵尸網絡”。

（二）控制安全

工業控制系統廣泛運用于能源、電力、交通、軍工、航空航天、醫療以及市政等領域，用于控制關鍵生產設備的運行。隨著工控系統越來越開放，控制系統與外界的隔離逐漸被打破，隨著黑客攻擊技術的不斷發展，工控系統的安全隱患問題日益嚴峻，任何一點遭受攻擊都有可能導致整個系統癱瘓。

首先，傳統的工業控制系統缺乏網絡安全的頂層設計。傳統的工業控制安全主要專注于控制過程的功能安全；現有控制協議、控制軟件的設計基于信息網絡和控制網絡相對隔離，以及控制網絡相對可信這兩個前提；并且需要滿足高實時性和高可靠性的要求。因此，諸如認證、授權、加密等安全功能或者被弱化或者被舍棄，生產控制網絡安全防御頂層設計的缺失成為工業互聯網演進過程中的重要安全問題。

其次，對控制層設備開展安全防護面臨諸多困難?？刂茖釉O備對實時性、可靠性的嚴苛要求導致傳統的互聯網信息安全技術難以直接應用到工業現場。傳統控制層設備主要使用物理隔離的手段，隨著工業互聯網的“互聯互通”，使得控制層開始暴露給外部公共網絡，破壞了物理隔離的安全保障。此外，控制層設備通常會常年運行，受各種因素影響，控制層設備幾乎從不進行軟硬件升級，其安全漏洞難以及時消除，存在極大的安全隱患。

再次，傳統控制環境中的工業協議將面臨很多網絡安全問題。例如基于微軟的DCOM協議改造形成的OPC協議，但由于DCOM協議本身就存在安全隱患，因此OPC協議也極易被黑客攻擊利用。再比如DNP3.0協議，設計時在鏈路層報文頭中包含數據長度值、功能碼、限定詞，功能碼和限定詞可以限定數據部分的大小，但協議實現時并未對三者之間的計算關系進行校驗，直接導致非法構造的數據會被接受，進而引起緩沖區溢出。

最后，隨著工控系統越來越開放，高級持續性威脅（Advanced Persistent Threat，APT）成為威脅最大的攻擊。工業互聯網的發展使得控制網絡逐漸暴露在APT攻擊的攻擊范圍之內，但APT攻擊往往長期經營、高度隱蔽，由多種攻擊手段聯合組成，因此需要多種安全監測手段，甚至還需要人工介入輔助分析和識別，才能發現潛伏在工業互聯網上的APT攻擊線索和事件，因此目前工業互聯網缺少對APT攻擊有效的檢測和防護能力。

（三）網絡安全

隨著工業互聯網網絡IP協議化和無線化的發展導致很多工業現場層網絡協議向IP協議轉變，無線的引入在帶來便捷的同時也將網絡邊界變得模糊不清，“端到端”的發展思路將工業互聯網的邊界不斷外擴，這些都使傳統互聯網的安全風險直接平移到工業互聯網中，但是同時受限于工業互聯網的特殊性，又不能將互聯網成熟的網絡安全方案應用其中。

首先，在互聯網中針對TCP/IP協議的攻擊手段與方法已經非常成熟和普遍，而這些手段和方法同樣可以在工業物聯網中直接使用。例如：以太網IP協議逐漸取代專有協議成為工業互聯協議的主流，直接降低了攻擊工業互聯網的技術門檻；工業互聯網中使用的以外網交換機多為10M/100M的性能偏低的設備，互聯網上流行的DDoS攻擊輕松對工業互聯網造成局部癱瘓；工廠中的網絡互聯、生產、運營逐漸向互聯網上追求效率最大化、分析智能化、配置動態化方向進化，靜態的安全防護策略如何適配調整也成了工業互聯網安全的瓶頸。

其次，由于組網方便、不受物理隔離的限制，無線互聯技術也在逐漸向工業領域滲透。目前無線互聯技術主要應用于信息采集、非實時控制和工廠內部信息傳輸，主要包括Wi-Fi、Zigbee、2G/3G/LTE、WIA-PA、WirelessHART等。無線網絡協議本身接入、傳輸都存在安全缺陷，極易受到非法入侵、信息泄露、拒絕服務等攻擊。

最后，為了提升生產效率，在工業互聯網上承載了工廠從生產需求起至產品交付乃至運維的“端到端”的生產服務模式，因此工業互聯網需要應對更靈活的組網需求，致使網絡拓撲變得更加復雜，進而導致傳統的防護策略和防護手段的防護效果大打折扣。同時，工業生產對信息交互實時性、可靠性具有較高的要求，難以接受復雜的安全機制，使得工業互聯網的防護邊界在不斷外擴的同時安全機制、防護能力沒有同步加強。

（四）應用安全

工業互聯網應用主要包括工業互聯網平臺與工業應用程序兩大類，其范圍覆蓋智能化生產、網絡化協同、個性化定制、服務化延伸等方面。隨著工業互聯網的發展，支撐工業互聯網業務運行的應用軟件及平臺大幅增加，如WEB、企業資源計劃（ERP）、產品數據管理（PDM）、客戶關系管理（CRM）以及正越來越多企業使用的云平臺及服務等。這些應用軟件面臨傳統的病毒、木馬、漏洞等安全挑戰。云平臺及服務也面臨著虛擬化中常見的違規接入、內部入侵、多租戶風險、跳板入侵、內部外聯、社工攻擊等內外部安全挑戰。另外，隨著其他新技術的引用，比如人工智能和區塊鏈等技術的引入，這些新技術的使用也會將安全風險引入到工業互聯網當中。

同時，隨著工業互聯網的發展，未來會出現數量龐大的百萬級的工業應用程序App，而且業務多種多樣[6]，其中有多數工業App和生產設備有很大的關聯，通過App可以監測和控制生產設備的運行及業務狀態，因此工業應用程序App也是十分關鍵的攻擊入口之一。由于受編程語言的限制，App本身的安全強度不夠，攻擊者只需具備一定的技術功底，就可以輕松發現App內的核心信息或者直接進行控制。而工業互聯網數量龐大的工業App，業務不同，安全需求也各不相同，如何進行安全防護和統一的安全管理面臨巨大的挑戰。

（五）數據安全

數據安全遍布工業互聯網各個環節，在工業互聯網各個節點流動，所有的管理數據和操作數據都不斷產生并且存儲在工業互聯網云平臺中，同時其安全挑戰也將貫穿于數據產生、使用、傳輸、存儲、共享和銷毀整個數據生命周期中。

數據是工業互聯網的核心。工業數據包括工業領域信息化應用中所產生的數據，主要有現場設備數據、生產管理數據和外部數據。工業數據體量大、種類多、結構復雜，正在由少量的、單一的、單向的數據向大量的、多維的、雙向的數據轉變。大量機器設備的高頻數據和互聯網數據持續涌入，數據體量巨大，而且數據分布廣泛，分布于機器設備、工業產品、系統管理、互聯網等各個環節，既有結構化和半結構化的傳感數據，也有非結構化數據，數據處理需求多種多樣，如生產現場要求實現實時時間分析達到毫秒級，管理與決策應用需要支持交互式批量數據分析。另外，工業互聯網標識解析系統中存儲了大量涉及到國計民生的敏感數據，也需要提供隱私保護、真實認證、抗攻擊能力等。這些工業數據在信息網絡和控制網絡之間、工廠內外雙向流動共享，不管數據是通過大數據平臺存儲，還是分布在用戶、生產終端、設計服務器等多種設備上，海量數據都將面臨數據丟失、泄露、篡改等安全威脅。

因此，工業領域業務應用復雜，數據量龐大，數據種類和保護需求多樣，數據流動方向和路徑復雜，但是目前針對數據的生產、存儲、傳輸、使用、共享和銷毀，在各個層面上都缺乏對數據統一的安全管理，對重要工業數據以及用戶數據的保護也帶來極大的安全挑戰。

二、防護對策

GB/T 39204-2022《關鍵信息基礎設施安全保護要求》（以下簡稱《關保要求》）于2023年5月1日正式實施，作為我國首個關保國家標準，對關保落地實施有著十分重要的指導意義?！蛾P保要求》承接了《網絡安全法》《數據安全法》《關鍵信息基礎設施安全保護條例》等國家法律法規，在網絡安全等級保護的基礎上，為全面開展關保提出了更加全面、更加細致的操作性要求。對工業互聯網的安全防護也應參照《關保要求》從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置六個方面開展。

首先，分析識別網絡邊緣設備和提升安全接入管控能力。圍繞工業互聯網平臺邊緣計算層對設備安全管控、接入認證、權限控制等安全能力的需求，開展互聯網暴露面資產測繪，突破邊緣設備可信接入、快速鑒權、動態阻攔、追蹤溯源等關鍵技術，實現邊緣層設備、系統接入平臺的可信、可管、可控、可審計和可追溯。

其次，建立工業互聯網平臺安全綜合防御體系。圍繞工業互聯網平臺各層次中關鍵硬件、軟件組件的安全需求，結合平臺安全參考框架，從安全防護對象、安全角色、安全威脅、安全措施、生命周期五個視角統籌規劃工業互聯網平臺安全建設，圍繞設備、網絡、系統、服務、數據等重點領域，在平臺各層面部署安全技術與安全管理措施，建立工業互聯網平臺安全綜合防御體系，提升平臺綜合防御能力。

再次，完善工業互聯網相關設備檢測并建立準入機制。梳理工業互聯網關鍵設備，對設備進行分類分級；完善相關安全標準規范，建立體系健全的工業互聯網設備安全監管和安全準入機制，保證設備在使用前進行嚴格的安全檢測。

同時，建立常態化監測預警、快速響應機制。與各網絡安全監管部門、行業內上下級單位、外部網絡安全企業建立通報預警通道、網絡安全信息共享機制。監測網絡關鍵節點部署攻擊監測設備、關鍵業務所涉及的系統，收集網絡內網絡層、系統層、應用層等各類設備和系統的安全日志，采用人工智能、大數據分析等技術自動化關聯分析各類信息，生成網絡安全預警信息，并對預警進行響應。

另外，研究工業互聯網平臺敏感數據可信交換與威脅情報共享機制。隨著工業互聯網平臺業務場景對數據分析決策的多樣化，對平臺數據資源開放共享、互聯互通的要求日益提高，不同行業、領域平臺間數據交互需求日益增多，數據的攻擊面被進一步擴大。需結合工業數據分級分類相關標準，圍繞工業互聯網平臺敏感數據可信交換共享的需求，研究敏感數據識別、標記、保護、跨平臺流動管控、審計、用戶差異化訪問及相關軟件和進程的安全保護等技術，確保敏感數據在不同域工業互聯網平臺間交換共享過程的安全可信。建立網絡威脅情報共享機制，實現基于威脅情報的協同防御體系，了解攻擊者的目標、手段以及慣用手法，了解攻擊鏈條，才有可能發現APT等高級別威脅。

最后，加快工業互聯網企業與安全企業聯合協同。工業企業本身網絡安全技術不高，人才儲備不足，面臨設備部署成本高、防御效果難評估、安全運維投入大、應急響應預案不充分等問題，而且由于生產技術保密等各種考慮，其與網絡安全企業的合作不夠深入。著力推廣工業互聯網平臺企業、工業企業、安全企業的聯合協同，整合各自優勢資源、采用多種合作形式，實現工業互聯網平臺安全建設和推廣，提升平臺安全服務水平。

三、結語

當傳統的工業制造與新興信息技術、互聯網技術相融合后，一個全新的工業時代正在人們面前徐徐拉開序幕，工業互聯網正是這一發展進程的產物。由于工業互聯網廣泛應用于能源、電力、交通、軍工、航空航天、醫療以及市政等領域，涉及到眾多國家關鍵基礎設施，因此對工業互聯網的安全防護工作就顯得尤為重要。但是對工業互聯網的防護是一項長期性、高難度、高復雜性的系統工程，仍然需要各行業主管單位開展頂層設計，完善網絡安全制度、標準指引工業互聯網安全發展；需要研發創新防護手段，對工業互聯網平臺、工業控制系統、工業大數據系統開展攻擊防護、漏洞挖掘、入侵發現、態勢感知等安全防護工作[7]；打造安全監測預警和防護處置平臺，實現對工業現場生產設備的實時威脅監測、威脅預警、威脅分析、威脅定位和快速處置，有針對性地保護工業互聯網設備；依托網絡與信息安全信息通報機制，開展監管單位、主管單位與企業間的網絡安全信息共享與協調聯動工作，全面提升我國工業互聯網的安全防護水平，保證我國工業互聯網的健康發展。