关基保护实践中的工业互联网网络安全风险及防护对策研究

王奕钧 黄长慧 贾艳 郝艳 陈晨 公安部第一研究所

引言

近年来，随着以大数据技术、云计算和边缘计算等技术为代表的新一代数字技术的兴起，全球开始进入数字经济时代，并开始与传统产业加速融合，“工业互联网”开始崭露头角。根据工业互联网联盟对工业互联网的定义：工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用生态，是工业智能化发展的关键综合信息基础设施[1]。工业互联网正在深刻改变传统制造业的生成方式、组织方式和商业模式，也不断推动了全球工业制造业的快速发展。我国也正在全面体系化的推进着工业互联网创新发展，在党中央、国务院的决策部署下，我国工业互联网顶层设计已经明确。2023年全国工业和信息化工作会议更是作出部署，要“完善工业互联网技术体系、标准体系、应用体系”[2]。预计2023年，我国将继续加大对工业互联网的支持力度，持续打出央地协同的政策“组合拳”。

针对工业领域的恶意攻击持续增加，敌对组织、黑客团伙一直在探测、验证更多的有效攻击渠道、攻击方式，实现对工业领域关键系统的成功入侵与破坏。无论是愈加成熟的高级持续性威胁（Advanced Persistent Threat，APT）攻击，还是新兴的勒索攻击，都在给工业生产带来极为严重的影响，并造成愈加巨大的损失。乌克兰断网事件、西班牙Iberdrola电力公司遭遇WannaCry勒索、特斯拉公司计算资源被植入挖矿软件等攻击事件，攻击者都实现了对工业网络和互联网络的攻击穿透、侵袭渗透与盗取破坏[3]。随着工业互联网系统建设的加速推进，必然会带来更多的防御缝隙和攻击暴露面，而我国的工业互联网已广泛应用于能源、电力、交通、军工、航空航天、医疗等涉及国计民生的传统产业，并且涉及到国家关键信息基础设施，因此其安全防护工作尤为重要。

公安部高度重视国内重要信息系统尤其是关键信息基础设施的安全保护工作，在深入贯彻实施网络安全等级保护制度的基础上，组织全国公安机关不断加强网络安全保卫工作，维护国家关键信息基础设施安全[4]。在开展关键信息基础设施保护的实践过程中发现，我国工业互联网依然存在诸多安全风险，主要表现在设备安全、控制安全、网络安全、应用安全和数据安全五个方面。

一、工业互联网的网络安全风险

工业互联网打破了传统工业的封闭环境，其范围、复杂度和安全风险都会随之增加，在开展关键信息基础设施保护的工作过程中发现，针对工业系统的网络安全问题开始不断暴露，网络安全风险将成为工业互联网的主要安全风险。通过分析工业互联网的架构和组成元素的特殊性，可以从设备安全、控制安全、网络安全、应用安全和数据安全五个方面总结分析出工业互联网面临的网络安全风险[5]。

（一）设备安全

原本相对封闭的传统生产设备的信息化程度不高、智能化水平不高，大量设备安全性十分薄弱，本身存在可以被利用的安全漏洞，随着工业互联网终端设备“智能化、网络化、扁平化”的发展趋势，生产环节中人机交互的过程和边界逐渐被压缩、取代甚至消失，这将导致海量设备直接暴露在网络攻击之下，现有的存量设备面对着巨大的安全风险。

首先，工业互联网中的设备种类繁多、生产厂家遍布全球，各种设备采用不同的操作系统，相同的操作系统不同版本间的功能也存在差异。由于缺乏工业设备的准入标准，同一版本的操作系统，不同厂家也对其做了定制化的修改，这就为存量设备网络安全改造增加了很多困难。

其次，工业互联网中的控制、生产设备对于可靠性、实时性和稳定性的要求很高。网络安全功能的引入会增加开销和延迟，甚至会影响原本稳定的工业设备功能，引入新的安全防护设备也会打破原本稳定的工业网络结构。如何平衡功能稳定和网络安全，成为最具挑战的技术难题。

最后，互联网上广泛使用的攻击手段可以平移攻击工业互联网中的智能化、嵌入式设备。工业互联网的智能化发展依赖大量的嵌入式、高性能设备，这些设备形成的网络攻击暴露面突破口数量庞大，木马、病毒、APT等攻击都可以通过网络渗透到这些工业设备中，并以指数级的速度、层出不穷的手段感染扩散，最终对终端造成业务破坏或者进行恶意控制形成“僵尸网络”。

（二）控制安全

工业控制系统广泛运用于能源、电力、交通、军工、航空航天、医疗以及市政等领域，用于控制关键生产设备的运行。随着工控系统越来越开放，控制系统与外界的隔离逐渐被打破，随着黑客攻击技术的不断发展，工控系统的安全隐患问题日益严峻，任何一点遭受攻击都有可能导致整个系统瘫痪。

首先，传统的工业控制系统缺乏网络安全的顶层设计。传统的工业控制安全主要专注于控制过程的功能安全；现有控制协议、控制软件的设计基于信息网络和控制网络相对隔离，以及控制网络相对可信这两个前提；并且需要满足高实时性和高可靠性的要求。因此，诸如认证、授权、加密等安全功能或者被弱化或者被舍弃，生产控制网络安全防御顶层设计的缺失成为工业互联网演进过程中的重要安全问题。

其次，对控制层设备开展安全防护面临诸多困难。控制层设备对实时性、可靠性的严苛要求导致传统的互联网信息安全技术难以直接应用到工业现场。传统控制层设备主要使用物理隔离的手段，随着工业互联网的“互联互通”，使得控制层开始暴露给外部公共网络，破坏了物理隔离的安全保障。此外，控制层设备通常会常年运行，受各种因素影响，控制层设备几乎从不进行软硬件升级，其安全漏洞难以及时消除，存在极大的安全隐患。

再次，传统控制环境中的工业协议将面临很多网络安全问题。例如基于微软的DCOM协议改造形成的OPC协议，但由于DCOM协议本身就存在安全隐患，因此OPC协议也极易被黑客攻击利用。再比如DNP3.0协议，设计时在链路层报文头中包含数据长度值、功能码、限定词，功能码和限定词可以限定数据部分的大小，但协议实现时并未对三者之间的计算关系进行校验，直接导致非法构造的数据会被接受，进而引起缓冲区溢出。

最后，随着工控系统越来越开放，高级持续性威胁（Advanced Persistent Threat，APT）成为威胁最大的攻击。工业互联网的发展使得控制网络逐渐暴露在APT攻击的攻击范围之内，但APT攻击往往长期经营、高度隐蔽，由多种攻击手段联合组成，因此需要多种安全监测手段，甚至还需要人工介入辅助分析和识别，才能发现潜伏在工业互联网上的APT攻击线索和事件，因此目前工业互联网缺少对APT攻击有效的检测和防护能力。

（三）网络安全

随着工业互联网网络IP协议化和无线化的发展导致很多工业现场层网络协议向IP协议转变，无线的引入在带来便捷的同时也将网络边界变得模糊不清，“端到端”的发展思路将工业互联网的边界不断外扩，这些都使传统互联网的安全风险直接平移到工业互联网中，但是同时受限于工业互联网的特殊性，又不能将互联网成熟的网络安全方案应用其中。

首先，在互联网中针对TCP/IP协议的攻击手段与方法已经非常成熟和普遍，而这些手段和方法同样可以在工业物联网中直接使用。例如：以太网IP协议逐渐取代专有协议成为工业互联协议的主流，直接降低了攻击工业互联网的技术门槛；工业互联网中使用的以外网交换机多为10M/100M的性能偏低的设备，互联网上流行的DDoS攻击轻松对工业互联网造成局部瘫痪；工厂中的网络互联、生产、运营逐渐向互联网上追求效率最大化、分析智能化、配置动态化方向进化，静态的安全防护策略如何适配调整也成了工业互联网安全的瓶颈。

其次，由于组网方便、不受物理隔离的限制，无线互联技术也在逐渐向工业领域渗透。目前无线互联技术主要应用于信息采集、非实时控制和工厂内部信息传输，主要包括Wi-Fi、Zigbee、2G/3G/LTE、WIA-PA、WirelessHART等。无线网络协议本身接入、传输都存在安全缺陷，极易受到非法入侵、信息泄露、拒绝服务等攻击。

最后，为了提升生产效率，在工业互联网上承载了工厂从生产需求起至产品交付乃至运维的“端到端”的生产服务模式，因此工业互联网需要应对更灵活的组网需求，致使网络拓扑变得更加复杂，进而导致传统的防护策略和防护手段的防护效果大打折扣。同时，工业生产对信息交互实时性、可靠性具有较高的要求，难以接受复杂的安全机制，使得工业互联网的防护边界在不断外扩的同时安全机制、防护能力没有同步加强。

（四）应用安全

工业互联网应用主要包括工业互联网平台与工业应用程序两大类，其范围覆盖智能化生产、网络化协同、个性化定制、服务化延伸等方面。随着工业互联网的发展，支撑工业互联网业务运行的应用软件及平台大幅增加，如WEB、企业资源计划（ERP）、产品数据管理（PDM）、客户关系管理（CRM）以及正越来越多企业使用的云平台及服务等。这些应用软件面临传统的病毒、木马、漏洞等安全挑战。云平台及服务也面临着虚拟化中常见的违规接入、内部入侵、多租户风险、跳板入侵、内部外联、社工攻击等内外部安全挑战。另外，随着其他新技术的引用，比如人工智能和区块链等技术的引入，这些新技术的使用也会将安全风险引入到工业互联网当中。

同时，随着工业互联网的发展，未来会出现数量庞大的百万级的工业应用程序App，而且业务多种多样[6]，其中有多数工业App和生产设备有很大的关联，通过App可以监测和控制生产设备的运行及业务状态，因此工业应用程序App也是十分关键的攻击入口之一。由于受编程语言的限制，App本身的安全强度不够，攻击者只需具备一定的技术功底，就可以轻松发现App内的核心信息或者直接进行控制。而工业互联网数量庞大的工业App，业务不同，安全需求也各不相同，如何进行安全防护和统一的安全管理面临巨大的挑战。

（五）数据安全

数据安全遍布工业互联网各个环节，在工业互联网各个节点流动，所有的管理数据和操作数据都不断产生并且存储在工业互联网云平台中，同时其安全挑战也将贯穿于数据产生、使用、传输、存储、共享和销毁整个数据生命周期中。

数据是工业互联网的核心。工业数据包括工业领域信息化应用中所产生的数据，主要有现场设备数据、生产管理数据和外部数据。工业数据体量大、种类多、结构复杂，正在由少量的、单一的、单向的数据向大量的、多维的、双向的数据转变。大量机器设备的高频数据和互联网数据持续涌入，数据体量巨大，而且数据分布广泛，分布于机器设备、工业产品、系统管理、互联网等各个环节，既有结构化和半结构化的传感数据，也有非结构化数据，数据处理需求多种多样，如生产现场要求实现实时时间分析达到毫秒级，管理与决策应用需要支持交互式批量数据分析。另外，工业互联网标识解析系统中存储了大量涉及到国计民生的敏感数据，也需要提供隐私保护、真实认证、抗攻击能力等。这些工业数据在信息网络和控制网络之间、工厂内外双向流动共享，不管数据是通过大数据平台存储，还是分布在用户、生产终端、设计服务器等多种设备上，海量数据都将面临数据丢失、泄露、篡改等安全威胁。

因此，工业领域业务应用复杂，数据量庞大，数据种类和保护需求多样，数据流动方向和路径复杂，但是目前针对数据的生产、存储、传输、使用、共享和销毁，在各个层面上都缺乏对数据统一的安全管理，对重要工业数据以及用户数据的保护也带来极大的安全挑战。

二、防护对策

GB/T 39204-2022《关键信息基础设施安全保护要求》（以下简称《关保要求》）于2023年5月1日正式实施，作为我国首个关保国家标准，对关保落地实施有着十分重要的指导意义。《关保要求》承接了《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等国家法律法规，在网络安全等级保护的基础上，为全面开展关保提出了更加全面、更加细致的操作性要求。对工业互联网的安全防护也应参照《关保要求》从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面开展。

首先，分析识别网络边缘设备和提升安全接入管控能力。围绕工业互联网平台边缘计算层对设备安全管控、接入认证、权限控制等安全能力的需求，开展互联网暴露面资产测绘，突破边缘设备可信接入、快速鉴权、动态阻拦、追踪溯源等关键技术，实现边缘层设备、系统接入平台的可信、可管、可控、可审计和可追溯。

其次，建立工业互联网平台安全综合防御体系。围绕工业互联网平台各层次中关键硬件、软件组件的安全需求，结合平台安全参考框架，从安全防护对象、安全角色、安全威胁、安全措施、生命周期五个视角统筹规划工业互联网平台安全建设，围绕设备、网络、系统、服务、数据等重点领域，在平台各层面部署安全技术与安全管理措施，建立工业互联网平台安全综合防御体系，提升平台综合防御能力。

再次，完善工业互联网相关设备检测并建立准入机制。梳理工业互联网关键设备，对设备进行分类分级；完善相关安全标准规范，建立体系健全的工业互联网设备安全监管和安全准入机制，保证设备在使用前进行严格的安全检测。

同时，建立常态化监测预警、快速响应机制。与各网络安全监管部门、行业内上下级单位、外部网络安全企业建立通报预警通道、网络安全信息共享机制。监测网络关键节点部署攻击监测设备、关键业务所涉及的系统，收集网络内网络层、系统层、应用层等各类设备和系统的安全日志，采用人工智能、大数据分析等技术自动化关联分析各类信息，生成网络安全预警信息，并对预警进行响应。

另外，研究工业互联网平台敏感数据可信交换与威胁情报共享机制。随着工业互联网平台业务场景对数据分析决策的多样化，对平台数据资源开放共享、互联互通的要求日益提高，不同行业、领域平台间数据交互需求日益增多，数据的攻击面被进一步扩大。需结合工业数据分级分类相关标准，围绕工业互联网平台敏感数据可信交换共享的需求，研究敏感数据识别、标记、保护、跨平台流动管控、审计、用户差异化访问及相关软件和进程的安全保护等技术，确保敏感数据在不同域工业互联网平台间交换共享过程的安全可信。建立网络威胁情报共享机制，实现基于威胁情报的协同防御体系，了解攻击者的目标、手段以及惯用手法，了解攻击链条，才有可能发现APT等高级别威胁。

最后，加快工业互联网企业与安全企业联合协同。工业企业本身网络安全技术不高，人才储备不足，面临设备部署成本高、防御效果难评估、安全运维投入大、应急响应预案不充分等问题，而且由于生产技术保密等各种考虑，其与网络安全企业的合作不够深入。着力推广工业互联网平台企业、工业企业、安全企业的联合协同，整合各自优势资源、采用多种合作形式，实现工业互联网平台安全建设和推广，提升平台安全服务水平。

三、结语

当传统的工业制造与新兴信息技术、互联网技术相融合后，一个全新的工业时代正在人们面前徐徐拉开序幕，工业互联网正是这一发展进程的产物。由于工业互联网广泛应用于能源、电力、交通、军工、航空航天、医疗以及市政等领域，涉及到众多国家关键基础设施，因此对工业互联网的安全防护工作就显得尤为重要。但是对工业互联网的防护是一项长期性、高难度、高复杂性的系统工程，仍然需要各行业主管单位开展顶层设计，完善网络安全制度、标准指引工业互联网安全发展；需要研发创新防护手段，对工业互联网平台、工业控制系统、工业大数据系统开展攻击防护、漏洞挖掘、入侵发现、态势感知等安全防护工作[7]；打造安全监测预警和防护处置平台，实现对工业现场生产设备的实时威胁监测、威胁预警、威胁分析、威胁定位和快速处置，有针对性地保护工业互联网设备；依托网络与信息安全信息通报机制，开展监管单位、主管单位与企业间的网络安全信息共享与协调联动工作，全面提升我国工业互联网的安全防护水平，保证我国工业互联网的健康发展。