智慧安全3.0引領，構建工業互聯網安全保障體系

一、背景

工業互聯網是連接工業全系統、全產業鏈、全價值鏈，支撐工業智能化發展的關鍵基礎設施，是新一代信息技術與工業生產深度融合所形成的新興業態和應用模式，是互聯網從消費領域向生產領域、從虛擬經濟向實體經濟拓展的核心載體。我國工業互聯網處于蓬勃發展階段，先后發布《工業互聯網發展行動計劃（2018-2020年）》《工業互聯網平臺建設及推廣指南》《工業互聯網創新發展行動計劃（2021-2023年）》等政策文件，全面部署工業互聯網發展。

二、工業互聯網安全建設刻不容緩

在新工業革命的大背景下，隨著工業互聯網建設進程的不斷深化，工業互聯網平臺的數量持續增加，聯網工業企業規模迅速擴大，工業互聯網的組織模式、生產模式和服務模式正在向跨設備、跨系統、跨廠區、跨地區的互聯互通轉變。工業互聯網脆弱的安全狀況以及所面臨日益嚴重的攻擊威脅，已經引起了國家的高度重視。

1、工業互聯網成為國家級網絡空間安全對抗新陣地

網絡空間已成為國際戰略博弈的新領域，近年來國家級網絡空間安全對抗不斷升級，網絡戰風險進一步加大。網絡攻擊對象也從公共互聯網向能源電力、制造業等工業互聯網領域轉移，網絡安全風險威脅進一步向工業企業內網、工業系統和設備、工業互聯網平臺及應用等更多對象和更大范圍延伸。從最早的針對伊朗核設施的“震網病毒”攻擊事件，到委內瑞拉數次發生大規模停電事件，我們可以看出工業互聯網已經成為國家間實施網絡安全威懾、制衡他國經濟發展的新重點，工業互聯網建設面對的網絡空間變得更加復雜，網絡安全問題異常嚴峻。

2、工業互聯網的發展增加了工業生產過程遭受網絡攻擊的可能性

新一代信息技術與工業生產的深度融合是工業互聯網發展的必由之路，不僅強化了物理世界與信息世界的聯系，使我們享受信息化技術帶來的工業高速發展紅利，但同時也使工業互聯網發展面臨著嚴峻的網絡安全挑戰。最初封閉的工業控制系統網絡邊界在工業互聯網發展進程中不可避免地被打破，攻擊者能夠從管理端、生產端、消費端等多個層面發起網絡攻擊，將信息世界的網絡安全威脅引入到物理世界。工業生產中的網絡安全事件雖然形式各異，但所帶來的危害都不僅僅停留在信息世界的“軟攻擊”，而是對物理世界的“硬摧毀”，加劇了工業互聯網企業遭受網絡攻擊造成的后果，輕則導致工業生產停擺帶來經濟損失，重則導致生產安全事故帶來人員傷亡，甚至危害國家安全、動搖執政根基。

3、工業互聯網安全防護意識和能力不足

工業互聯網企業是落實網絡安全責任的主體，目前還存在管理制度機制不健全或執行落實不到位，相關從業人員網絡安全意識不足的問題。同時，多數企業缺乏針對工業互聯網的有效防護措施，整體防護水平相對落后，仍存在工業主機安全防護不到位、工業互聯網網絡邊界防護措施不足、工業控制系統未建立安全配置、未使用身份認證、部分無效服務默認開啟等問題。部分企業的工業控制設備暴露于互聯網，面臨被遠程入侵等安全風險。

三、基于智慧安全3.0的工業互聯網安全防護體系

智慧安全3.0是以體系化建設為指引，構建“全場景、可信任、實戰化”的安全運營能力，實現“全面防護，智能分析，自動響應”的防護效果。

圖 1 工業互聯網安全視角下的“智慧安全3.0”

面向聯網工業企業、工業互聯網平臺企業以及標識解析企業，秉承智慧安全3.0的“全場景、可信任、實戰化”核心理念，打造工業互聯網安全防護體系，對終端用戶、產業供應鏈、重要門戶網站、核心網絡、重要信息系統與工業控制系統的運行等進行全覆蓋、全天候、全方位綜合安全防護，利用大數據技術通過安全數據采集、匯聚、威脅和事件處理分析，加強風險研判和預警，以網絡攻防對抗為出發點，按需調度網絡安全能力，提高應對網絡安全突發事件的快速反應能力。

3.1  全場景安全防護

工業互聯網全場景安全防護要滿足全領域、全要素、全類型三個方面的需求，為工業控制網絡、企業經營管理網絡以及互聯網搭建起信息交互的橋梁。

全領域方面，工業互聯網涵蓋了信息基礎設施、融合基礎設施以及創新基礎設施。其中，企業經營管理網絡和互聯網基于信息基礎設施并融合了云計算、人工智能、大數據等新一代創新基礎設施；工業控制網絡已經將通用的操作系統、數據庫等IT信息技術與OT操作技術實現了廣泛融合與應用，形成了IT與OT緊密結合的融合基礎設施領域。

全要素方面，工業互聯網帶來了控制網絡邊界的延伸與擴展，將終端用戶、內部員工、上下游產業鏈等各類要素融入工業生產，增加了參與工業生產的人員鏈、業務鏈、供應鏈的對象種類與數量。

全類型方面，工業互聯網帶來了工業控制網絡與企業經營管理網絡以及互聯網的互聯互通，導致工業生產需要面對惡意攻擊、內部威脅和無意識濫用等全類型的網絡安全風險。

工業互聯網的全場景安全防護得益于工業生產環節相對的穩定性與可預見性，我們能夠根據信息系統和工業控制系統參與生產作業的流程與范圍，按照生產制造邊界、價值傳遞邊界進行劃分，為工業互聯網構筑起針對全場景的安全防護能力，以便能在發生網絡安全威脅告警時進行有針對性安全防控，避免威脅范圍擴大。

3.2  可信任實現

針對參與工業互聯網業務流程的各類人員，應用零信任技術，基于數字證書、身份標識、生物特征、動態口令等多種手段，在區域邊界設置滿足相應安全要求的技術隔離與細粒度的訪問控制措施，有效解決在工業互聯網各個環節每一位參與者“是誰”和“能干什么”的人員可信任及行為可信任問題，并形成動態化威脅識別能力，實現對網絡邊界行為識別、確權、報警以及安全阻斷。

工業互聯網設備接入可信任方面，面對海量工業智能設備的泛在接入，工業智能設備在進行網絡連接時要采取準入機制，只有經過安全驗證的可信任設備才允許接入工業互聯網，同時能夠主動識別未知接入設備所使用的端口、協議、服務等，研判安全風險并采取報警、隔離與阻斷措施，避免未經檢驗授權的設備將惡意代碼引入工業互聯網。

供應鏈可信任方面，工業互聯網中應用的經營管理系統、工業控制系統、工業云平臺等通過采用安全可信、自主可控的處理器、存儲、內存、操作系統、應用軟件，應用密碼技術、安全算法、安全協議等措施保障自身的安全可信任。當條件受限時可以采用安全補償措施，通過應用層安全加固使上述各類系統和平臺具有一定的網絡安全防護能力。

數據流轉可信任方面，工業互聯網承載了企業的生產經營數據，涉及知識產權、商業秘密，甚至有關國家經濟與國防安全，具有高度的敏感性，發生數據安全事件會對經濟社會發展、國家安全造成直接或間接的損失和影響。為保障數據能夠安全、自由地在工業生產各環節中流動，發揮數據的最大價值，針對工業生產數據應采取標記用途、數據加密、訪問控制、數據脫敏等多種防護措施，覆蓋包括數據采集、傳輸、存儲、處理等在內的全生命周期的各個環節，實現數據“拿不到、看不懂、改不了、賴不掉”。

3.3  網絡安全實戰化

從攻防實戰化視角保障工業互聯網網絡安全，是推進互聯網與工業生產深度融合的基礎。

安全能力按需調度方面，針對工業互聯網業務實時性、連續性特點，為工業互聯網平臺提供云化安全能力服務，滿足平臺側工業應用安全、數據安全的彈性可擴展需求。工業控制系統網絡安全開展邊界防護、狀態監測與審計、態勢感知、威脅情報等安全能力建設，滿足業務安全與網絡安全協同的合規性需求。

高效攻防方面，基于網絡安全對抗即時有效的要求，通過檢測工業網絡流量獲取通信行為信息，借助深度包過濾、終端安全檢測、日志審計等掌握工業互聯網安全狀態，借助外部威脅情報并通過聚合、關聯分析形成全局安全態勢與威脅預警。

四、基于智慧安全3.0的工業互聯網安全解決方案

工業互聯網涉及位于互聯網的工業云平臺、位于管理信息網絡的企業資源層，以及位于工業控制網絡的制造執行層、過程控制層、現場控制層和現場設備層。互聯網工業云平臺實現工業行業知識和應用的智能集成，支撐工業生產資源泛在連接、彈性供給、高效配置，打通數據和應用的煙囪式孤島，提高工作效率，保障知識傳遞的真實性。工業控制系統實現企業生產業務的自動化運行，管理信息系統借助跨網數據交換實現企業生產經營數據與工業現場生產數據的交換共享，從而對生產作業活動進行智能調配。通信網絡為兩者之間的數據交換提供支撐。

    圖2 基于智慧安全3.0的工業互聯網網絡安全防護技術體系拓撲圖

4.1  多場景邊界安全防護

在區域邊界部署防火墻設備，對流經區域邊界的數據包依據相應的訪問控制策略進行控制，阻斷非授權訪問，并對違反策略的操作行為進行記錄并形成日志，定期對日志進行分析處理。

工業網閘實現控制網絡與管理信息網絡從物理層面和邏輯層面斷開直接連接，杜絕網絡威脅通過辦公網絡入侵控制系統的可能。

4.2  工業互聯網安全可信任

在操作系統層面對工業互聯網設備進行安全加固，更新廠商發布的核心安全補丁，并在更新補丁之前在測試系統中進行測試，制訂詳細的回退計劃。在進行遠程運維管理時對通過網絡傳輸的認證信息、數據報文等采取加密、散列等措施進行安全防護，避免敏感信息被竊聽、截取或篡改。

采用加密認證裝置對接入控制網絡的工業互聯網設備進行身份認證，并基于密碼技術對傳輸數據進行機密性、完整性保護。

在網絡交換機旁路部署入侵檢測系統，對網絡流量的鏡像數據進行基于協議與行為的深度檢測，及時發現應用端口傳輸的惡意代碼，避免服務器遭受應用層攻擊。

利用數據庫加密系統對數據進行傳輸加密以及存儲加密，實現數據庫安全策略管理、訪問監測、日志審計等功能。利用數據脫敏設備、數據分級分類模塊、數據加密和加密資源檢索模塊、敏感數據審計模塊，實現敏感數據發現、系統實時脫敏、脫敏風險評估、數據脫敏結果驗證、數據自動分類分級、數據加密和加密資源檢索、數據使用合規性監管等數據安全性防護手段。利用數據審計系統實現對數據庫增、刪、改、查等操作的審計，實時記錄每個數據的操作過程。

4.3  實戰化安全態勢管控

部署網絡安全監測預警平臺，實現對工業控制網絡和管理信息網絡安全態勢的全面掌控。通過采集網絡流量和安全設備、網絡設備的日志信息、配置信息進行集中分析和處理，結合綠盟威脅情報分析和共享平臺提供的威脅情報數據，及時洞悉工業互聯網資產面臨的安全威脅，了解最新的威脅動態，實施積極主動的威脅防御和快速響應策略，并準確地進行威脅追蹤和攻擊溯源，實現網絡綜合態勢管理、攻擊鏈和業務行為基線的風險預警管理等，對網絡攻擊等事件以及惡意軟件傳播等攻擊行為產生報警，統籌管理網絡安全設備，建立高效防控體系。

圖3 工業互聯網安全態勢管控架構圖

采用“軟件定義安全 SDS” 架構，將虛擬化安全設備和傳統硬件安全設備進行資源池化的整合，形成云安全集中管理平臺。通過該平臺實現安全設備服務化和管理的集中化，以及安全能力的“按需調度、彈性擴展”，加強針對性安全能力適配客戶的合規性需求。工業互聯網平臺安全部署如下圖所示。

圖4 工業互聯網平臺安全部署圖

五、結語

工業互聯網帶來工業生產網絡邊界的融合以及數據的融合，傳統的相對靜態、被動和孤立的攻擊檢測和防御體系已經無法有效應對當前以規模化、自動化、0day高級持續性攻擊為特征的各種安全威脅，必須采取積極主動的防御策略，構建由邊界管控、權限控制、威脅監控、態勢感知、快速響應和全面追溯反制組成的“智慧安全”工業互聯網防御體系。在借助信息化幫助工業企業快速應對市場需求、提升效率的同時，有效地保障工業互聯網網絡安全。