吳濤，黃健，郭鈺璐，楊飛，趙通（.中訊郵電咨詢設計院有限公司，北京 00048；.中國聯(lián)合網(wǎng)絡通信集團有限公司，北京 00033）

0 前言

在“新基建”背景下，數(shù)字化驅動的工業(yè)互聯(lián)網(wǎng)技術加速了信息空間與物理空間的融合，“鍵盤鼠標”與“大國重器”之間界面的逐步打破將導致工業(yè)互聯(lián)網(wǎng)暴露在互聯(lián)網(wǎng)“炮火”攻擊之下，不可避免地成為惡意勢力攻擊破壞的首要目標。近年來，工業(yè)互聯(lián)網(wǎng)安全形勢嚴峻，工業(yè)安全事件頻發(fā)。

自2010 年伊朗核電站Stuxnet 震網(wǎng)病毒攻擊事件起，針對工業(yè)互聯(lián)網(wǎng)的攻擊事件愈發(fā)頻繁，如2015 年烏克蘭電力公司遭到黑客攻擊，導致大規(guī)模停電；2017 年美國水務公司遭受黑客入侵，導致大量用戶信息泄露；2017 年的“魔窟”勒索病毒感染全球百余個國家和地區(qū)；近日委內瑞拉一大型水電站系統(tǒng)遭“黑客攻擊”，影響21 個州的供電事件。工業(yè)互聯(lián)網(wǎng)安全已經(jīng)成為了世界性難題，沒有安全保障的工業(yè)互聯(lián)網(wǎng)，其后續(xù)的發(fā)展將寸步難行。加強工業(yè)互聯(lián)網(wǎng)安全關鍵技術研究，推進工業(yè)互聯(lián)網(wǎng)安全技術發(fā)展已經(jīng)刻不容緩。

1 工業(yè)互聯(lián)網(wǎng)體系結構

工業(yè)互聯(lián)網(wǎng)體系包含網(wǎng)絡、平臺、安全三大功能體系，實現(xiàn)人、機、物全面互聯(lián)的新型網(wǎng)絡，圖1所示為工業(yè)互聯(lián)網(wǎng)體系結構示意。

圖1 工業(yè)互聯(lián)網(wǎng)體系結構

a）網(wǎng)絡。網(wǎng)絡是工業(yè)互聯(lián)網(wǎng)的基礎，實現(xiàn)工業(yè)體系內各系統(tǒng)、產(chǎn)業(yè)鏈、價值鏈泛在互聯(lián)。

b）平臺。平臺是工業(yè)互聯(lián)網(wǎng)的核心，構建基于海量數(shù)據(jù)采集、匯聚、分析的平臺能力。

c）安全。安全是工業(yè)互聯(lián)網(wǎng)的保障，通過構建涵蓋工業(yè)全系統(tǒng)的安全防護體系，增強設備、網(wǎng)絡、控制、應用和數(shù)據(jù)的安全保障能力，識別和抵御安全威脅，化解各種安全風險，構建工業(yè)智能化發(fā)展的安全可信環(huán)境。

2 工業(yè)互聯(lián)網(wǎng)的安全體系架構

工業(yè)互聯(lián)網(wǎng)的安全與傳統(tǒng)信息安全及生產(chǎn)物理安全有根本性的區(qū)別，工業(yè)互聯(lián)網(wǎng)所面臨的復雜安全挑戰(zhàn)，需要一套體系化的安全方案來應對，圖2所示為我國當前主流的工業(yè)互聯(lián)網(wǎng)安全體系架構示意。

圖2 工業(yè)互聯(lián)網(wǎng)安全框架示意圖

安全框架充分借鑒傳統(tǒng)網(wǎng)絡安全框架和國外成功實踐，包含了防護對象、防護措施及防護管理3個部分，3 個部分相輔相成、互為補充，形成一個完整、動態(tài)、持續(xù)的防護體系。

3 工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全隱患分析

工業(yè)互聯(lián)網(wǎng)子系統(tǒng)按照功能分為車間、企業(yè)、產(chǎn)業(yè)、平臺等模塊。各模塊具有大規(guī)模連接、設備多樣性、系統(tǒng)接口多等特征，其安全風險隱患主要表現(xiàn)在威脅對象廣、危險類型多、安全風險因素多、攻擊模式復雜幾個方面。

按照安全框架的防護對象，工業(yè)互聯(lián)網(wǎng)的安全工作主要聚焦在設備、控制、網(wǎng)絡、應用和數(shù)據(jù)五大領域，本文主要對工業(yè)互聯(lián)網(wǎng)中的網(wǎng)絡安全領域的關鍵技術進行研究。

工業(yè)互聯(lián)網(wǎng)領域中的網(wǎng)絡安全主要指工廠內部網(wǎng)絡和工廠外部網(wǎng)絡的安全，其網(wǎng)絡示意如圖3所示。

圖3 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡示意圖

根據(jù)對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡架構及網(wǎng)絡安全相關工作內容的分解與分析，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡主要存在如下安全風險。

a）工廠原有的內部網(wǎng)絡為封閉網(wǎng)絡，原生產(chǎn)區(qū)域及各個設備之間未做嚴格的權限管控及區(qū)域隔離，在接入互聯(lián)網(wǎng)后，帶來攻擊風險。

b）工業(yè)互聯(lián)網(wǎng)包含了IT、CT、OT 相關技術，其安全體系所涉及到工業(yè)互聯(lián)網(wǎng)的攻擊形態(tài)、攻擊手段還未被完全掌握，基于現(xiàn)有的防火墻技術很難精確地定位與應對。

c）目前部分工控系統(tǒng)仍然使用微軟Windows 系統(tǒng)，由于原有的封閉網(wǎng)絡特性導致其部分系統(tǒng)存在長期未升級、版本停止服務、安全漏洞無法修復等風險。

d）工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡中傳輸大量的OT 側的控制數(shù)據(jù)，如果該類數(shù)據(jù)被劫持或者破解，將會給生產(chǎn)帶來極大破壞的風險。

4 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全防護技術

根據(jù)對工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡安全風險的分析，建議將網(wǎng)絡隔離技術、入侵檢測技術、網(wǎng)關防病毒技術、數(shù)據(jù)加密技術應用于工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全管控工作中，應對其安全風險，技術應用示意如圖4所示。

圖4 工業(yè)互聯(lián)網(wǎng)網(wǎng)絡安全技術應用示意圖

4.1 網(wǎng)絡隔離技術

網(wǎng)絡隔離可以有效防止網(wǎng)絡信息無序流轉，根據(jù)系統(tǒng)安全等級的不同，分區(qū)域、分設備、分用戶多維度隔離，當前主要有物理隔離、協(xié)議隔離和應用隔離3種隔離技術。

a）物理隔離。物理隔離技術主要在OT 區(qū)域實施，可以通過網(wǎng)絡規(guī)劃進行完全的物理隔離，也可以使用網(wǎng)閘技術來完成物理隔離。

b）協(xié)議隔離。該類隔離技術依靠TCP/IP 協(xié)議原理實現(xiàn)，如基于二層的MAC 地址訪問控制技術，基于VLAN 的廣播域控制技術，基于隧道協(xié)議（IPSec、GRE等）的VPN技術。

c）應用隔離。該技術主要指在工業(yè)互聯(lián)網(wǎng)的云平臺的SDN 的網(wǎng)絡環(huán)境中，如容器、虛擬機、沙箱虛擬化隔離技術等。

4.2 入侵檢測技術

入侵檢測技術（IDS）相對于防火墻的靜態(tài)防御技術，是一種主動保護自己免受攻擊的一種網(wǎng)絡安全技術，其提供了動態(tài)防御能力，整體提升了網(wǎng)絡安全防護體系的防御能力。

在工業(yè)互聯(lián)網(wǎng)中，很多工業(yè)控制設備在設計之初就未考慮過自己會暴露在工業(yè)互聯(lián)網(wǎng)上，缺乏防護設計，存在很大的漏洞隱患，一旦在線運行極易被攻擊，直接威脅網(wǎng)絡安全。同時數(shù)據(jù)安全方面，因工業(yè)互聯(lián)網(wǎng)發(fā)展產(chǎn)生的數(shù)據(jù)采集、匯聚，也會增加數(shù)據(jù)被泄露、被勒索攻擊和被濫用的風險。工業(yè)互聯(lián)網(wǎng)中設備眾多、網(wǎng)絡通信復雜，很難全面掌握網(wǎng)絡中所必須的業(yè)務通信需求，防火墻的靜態(tài)配置技術無法全面解決其安全風險，入侵檢測技術將作為防火墻技術的有效補充，整體提升工業(yè)互聯(lián)網(wǎng)的安全。

入侵檢測技術對網(wǎng)絡進行檢測，提供對內部攻擊、外部攻擊和誤操作的實時監(jiān)控，對網(wǎng)絡安全提供動態(tài)保護，其具有事前警告、事中防御、事后取證的特點，很好地彌補了防火墻只能作為靜態(tài)防御的不足。對緩沖區(qū)溢出、SQL 注入、暴力猜測、DOS 攻擊、掃描探測、木馬后門等各類黑客攻擊和惡意流量進行實時檢測及報警。

入侵檢測系統(tǒng)的部署示意如圖5所示。

圖5 入侵檢測部署示意圖

部署方式采用旁路方式，從防火墻上將流量鏡像到IDS 設備，這樣可以使用防火墻與IDS 進行聯(lián)動配置，提高系統(tǒng)整體安全。

4.3 網(wǎng)關式防病毒技術

傳統(tǒng)的主機側的防病毒系統(tǒng)如果在工業(yè)互聯(lián)網(wǎng)上實施需要部署在每一臺工控設備即服務器上，由于工業(yè)系統(tǒng)對軟件的兼容性、可靠性、穩(wěn)定性要求非常高，其防病毒產(chǎn)品必須經(jīng)過嚴格的測試后才能安裝，因此帶來適配周期長、測試樣例復雜、改造成本高等諸多難以短時解決的困難，如果采用網(wǎng)關式防病毒技術就能夠很好地規(guī)避工業(yè)互聯(lián)網(wǎng)中防病毒軟件部署困難的問題，網(wǎng)關防病毒示意如圖6所示。

圖6 網(wǎng)關防病毒示意圖

網(wǎng)關防病毒技術依靠病毒特征碼匹配，在網(wǎng)關處將數(shù)據(jù)包還原成文件進行病毒處理。該種方案將原有的分布式的主機查殺毒方式轉變?yōu)榧惺降木W(wǎng)關病毒防范，對于原有工業(yè)互聯(lián)網(wǎng)因設備老舊，系統(tǒng)版本廠家已經(jīng)停止服務無法適配病毒軟件，軟件因病毒軟件兼容性帶來的附加改造成本均能得到很好的改善，既降低了防病毒方案的技術實現(xiàn)，同時也降低了防病毒系統(tǒng)實施的成本。

在工業(yè)互聯(lián)網(wǎng)的系統(tǒng)中，防病毒網(wǎng)關的部署方式主要有如下3種。

a）透明模式。該模式部署簡單，所有流量均進行病毒查殺，但存在單點隱患。

b）旁路代理模式。只針對引入特定協(xié)議的流量進行病毒查殺，合理配置下，成本與收益最佳。

c）旁路模式。與旁路代理模式一致，該模式只做檢測，不做病毒查收，該模式更多作為已有的主機側病毒的補充方式。

4.4 數(shù)據(jù)安全傳輸技術

工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡中會傳遞大量OT側控制數(shù)據(jù)，數(shù)據(jù)的密級很高，數(shù)據(jù)安全傳輸是非常重要的需求，可采用隧道技術方案來解決數(shù)據(jù)安全傳輸問題。

根據(jù)技術特點、應用場景、安全特性和工作原理對隧道技術進行分類及對比，如表1所示。

表1 隧道協(xié)議對比表

考慮到各個企業(yè)內部、外部的安全傳輸需求，推薦使用IPSec 技術作為工業(yè)互聯(lián)網(wǎng)的安全傳輸解決方案，既提供了身份認證功能，又提供了數(shù)據(jù)加密功能。

5 工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡安全技術趨勢

5.1 原生安全的持續(xù)完善

在現(xiàn)有的工業(yè)互聯(lián)網(wǎng)的安全實踐中，由于OT網(wǎng)絡從原有的封閉特性向開放型網(wǎng)絡演進，其原生的網(wǎng)絡安全設計不足的缺陷會被逐步放大，要從根本上提高工業(yè)互聯(lián)網(wǎng)的安全基礎，需要從系統(tǒng)的設計階段就將系統(tǒng)安全性、網(wǎng)絡安全性等綜合考慮進去。

5.2 智能動態(tài)防護

工業(yè)互聯(lián)網(wǎng)的防護對象多，防護環(huán)節(jié)長，如果整個安全體系都是依靠被動的響應防守，整個安全體系設計將龐大而冗雜，且無法做到安全事件的精準防控，因此，對于工業(yè)互聯(lián)網(wǎng)的防護體系，未來目標需要向動態(tài)均衡、自我學習的智能動態(tài)防護體系發(fā)展，從而保障工業(yè)互聯(lián)網(wǎng)的安全運行。