工业互联网平台安全应用实践研究

工业互联网平台是推动信息技术与实体经济深度融合的“大杀器”，也是制造业OT与IT深度融合的大舞台，通过时间敏感网络（Time-SensitiveNetworking，TSN）、5G和统一架构（OPCUnifiedArchitecture，OPCUA）等技术推动，带来了工业互联网OT与IT前所未有的泛在连接，但其公性和通用性也导致其安全性脆弱。我国高度重视工业互联网的安全，陆续发布了《国务院关于深化“互联网+先进制造业”发展工业互联网的指导意见》《加强工业互联网安全工作的指导意见》《工业和信息化部关于工业大数据发展的指导意见》等政策文件，都明确了系统推进工业互联网安全建设，着力落实工业互联网安全保障工作。1工业互联网平台概述1.1工业互联网平台发展情况随着国内外对工业互联网平台变革性质和重要作用的认识不断深入，制造企业、自动化企业、通信企业、互联网企业等各类主体聚焦自身核心能力，基于公有云、私有云或混合云构建面向不同行业领域、不同技术架构、不同运行模式的工业互联网平台，旨在提升设备连接、设备管理、数据存储及处理、数据高级分析、软件应用管理、平台应用开发、整合集成等服务能力，用于满足工业领域设备产品管理、业务运营优化、社会化资源协作3个方面的需求，以实现降低成本、提高效率、提升产品和服务的品质、创造新价值4大成效。1.2工业互联网平台的体系架构典型的工业互联网平台按照传统软件的结构可以分为3层，分别为基础设施即服务（InfrastructureasaService，IaaS）、平台即服务（PlatformasaService，PaaS）和软件即服务（SoftwareasaService，SaaS），工业互联网平台功能架构如图1所示。图1工业互联网平台功能架构1.3工业互联网平台的分类我国工业互联网平台初步展现多元化发展态势，覆盖原材料、装备、机械、消费品、电子、交通等多种行业及场景。工业互联网平台的应用与创新在行业和区域中赋能工业数字化转型效果逐渐凸显，产业生态体系加速形成。根据不同的服务对象和主攻方向，工业互联网平台又可以分为资产管理型平台和资源配置型平台两大类。资产管理型平台聚焦设备资产的管理与运营，如GE的Predix、三一重工的根云等。资源配置型平台聚焦要素资源的组织与调度，实现对资源的精准配置、对流程的灵活重组。２工业互联网平台安全现状2.1工业互联网平台安全顶层设计《加强工业互联网安全工作的指导意见》等政策文件的发布实施和《工业互联网平台安全防护要求》（2018-1396T-YD）、《工业互联网安全体系框架》（GSJCPZT0247—2019）等平台安全标准陆续发布，为工业互联网平台安全顶层设计提供参考。2.2工业互联网平台安全现状概括工业互联网平台整合了“平台提供商+应用开发者+海量用户”等生态资源，实现了大规模制造资源的实时连接、控制和汇聚，因此工业互联网平台安全成为工业互联网安全的重中之重。目前，工业互联网平台安全现状概括为：一是各平台投入资源提升安全防护能力，以应对海量设备和系统接入的保护；二是针对云及虚拟化平台自身的安全性等传统课题的研究取得了突破；三是研究API接口开放给工业互联网平台带来的安全风险；四是针对云环境下安全风险跨域传播的级联效应开展研究实践；五是通过安全管理体系的创新，解决安全主体责任不清晰等各类管理问题。３工业互联网平台安全威胁特点从工业互联网诞生之日起，安全问题就如影相随。如前文所述，工业互联网具有威胁对象及类型分布广、安全风险影响因素繁复、攻击模式复杂多样的特点，而且广泛的互联互通易导致网络攻击路径增多，安全管理和标准体系不健全易导致协同防护缺失，企业责任意识淡薄易导致安全防护能力不足等问题，使得信息侧安全的老问题没有解决，信息物理融合的新问题又不断涌现。3.1云边网端结构的攻击面更为广泛与传统工业系统相比，“云边网端”结构复杂、攻击面繁多，从云平台、边缘计算设备到信息传输网络，再到终端设备，存在各种各样的威胁。“云边网端”的架构在为工业转型升级、产业创新发展提供重要支持的同时，也暴露出以下安全隐患。（1）广泛端点连接的存在。工业互联网中存在大量端点设备，从大量传感器和执行器等现场设备到数据采集与监控系统等控制设备，延伸到基于云的设备。端点设备的延伸扩大了工业互联网的攻击面。（2）棕色地带的存在。工业互联网中不可避免地存在大量棕色地带，棕色地带中存在大量“老化”或“过时”的工业设备，这些设备由于内存和资源受限、安全防护措施不足等问题，连接到网络中会引入新的安全风险。（3）工业数据流安全。工业互联网中存储和传输着大量的工业数据，包括云平台中的数据传输、云平台和端点之间的数据传输以及端到端的数据传输，这些工业数据在传输过程中很容易被攻击者篡改，导致数据不一致，进而影响企业的正常运行。3.2面向供应链的攻击无处不在工业互联网平台将多个企业通过云平台、互联网、通信技术等连接到一起，在带来便利的同时也使工业互联网供应链更长、环节更多，出现脆弱性和漏洞的可能性增加，受攻击风险更大。工业互联网平台与传统的IT网络相比，包含功能各异的工业、通信和信息类产品服务，这些产品服务使得工业互联网供应链协同更加错综复杂，随之而来的供应链安全问题也给工业互联网平台自身安全带来了重大风险。结合广义和狭义上的供应链攻击，从攻击者、供应商和需求方的角度来看，存在各种安全风险。对于恶意攻击者而言，可以在产品设计和开发过程中，对开发环境进行污染、植入恶意代码；在生产、运输过程中，实施供应链物理拦截攻击、插入后门程序；在安装、维护阶段，实施抵近攻击，造成物理破坏。对于供应商而言，可能泄露需求方内部机密信息，例如订单数量和型号等；可能违规收集用户信息，滥用大数据分析，进而造成危害；可能会破坏产品的可靠性，使用劣质产品以假乱真。对于需求方而言，存在内部人员恶意篡改销售数据、违规操作、泄露敏感信息等风险，进而对企业生产造成损失。3.3工业互联网平台的网络风险严峻工业互联网平台作为工业互联网的中枢系统，旨在构建基于海量数据采集、分析、计算的服务体系，形成将制造业资源广泛连接、弹性供给、高效配置的工业云平台。因此，工业互联网平台的安全是工业互联网安全的核心和关键。海量设备和系统的接入使得攻击者可利用边缘终端设备的脆弱点对平台实施入侵，或成为发起大规模网络攻击的“跳板”，在数据采集、传输、转换的过程中导致数据被侦听、拦截、篡改、丢失的安全风险大幅度增加。3.4信息物理融合安全威胁显著增加随着网络技术的不断进步，传感器、水灌溉泵、汽车发动机正在转化为数据源和接收器。在工业互联网环境中，来自网络的威胁不仅会破坏数据的机密性和完整性，还会影响信息与物理环境，造成难以预估的灾难性后果。数字化、网络化的发展使控制系统的传输功能、状态评估滤波器、传感与反馈回路等可能会被恶意攻击者操纵，设备和控制系统会因为信息安全因素而暴露在物理可靠性、弹性和安全性的威胁之下。由于跨域网络攻击日益成为现实，物理域、信息域乃至认知域都将面临新的网络安全挑战，网络技术手段在信息化、智能化、工业化进程中的黏合剂效应更加显著。工业互联网系统不仅面临来自信息侧的威胁，还面临物理域与信息域手段的叠加作用，因此防范难度更大。从现实案例来看，这种融合也表现为阶段连续性的信息物理融合，通过信息侧发起威胁，引发关键信息基础设施内部信息域的局部扰动，再运用这种扰动制造跨越效应，引起信息域或者物理域更大尺度的暂态变化，并结合物理侧手段进一步迟滞或者破坏其他域的正常工作进程。４工业互联网平台安全参考框架工业互联网平台安全架构是组织信息安全保障的基石，针对平台攻击面广泛、平台网络风险严峻、平台融合威胁加剧等安全特点，工业互联网平台安全框架从防护对象、安全威胁、安全措施、安全角色4个层面构建，具体层面内容如图2所示。图2工业互联网平台安全参考框架针对云边网端结构的攻击面问题和信息物流融合威胁，通过科学的参考框架对平台所承载业务的稳定性、可用性、机密性提供保障；通过分类分层分级从访问控制、安全服务组件、接口安全、微服务组件安全、工业应用开发环境安全等薄弱方面搭建系统综合的安全框架体系，通过框架指导具体实践项目建立可靠、弹性和安全的防护体系。针对工业互联网平台网络安全威胁，提供整体的纵深防御、主动感知、双流分离、智能联动等一系列平台安全能力，这就需要一个完备的平台安全架构，从而避免出现产品碎片化、孤岛化，以及解决方案局部化的窘迫局面。顺应工业互联网平台安全全面联动的趋势，提升整体安全水平，助力企业全场景安全护航以及更安心地部署云上业务。另外，通过分布式拒绝服务（DistributedDenialofService，DDoS）全面、高效、专业的防护能力，架构基于海量防护资源结合持续进化的“自研+AI智能识别”清洗算法，为工业互联网平台网络安全提供稳定、可靠的保障。针对工业互联网平台网络安全威胁，采用平台防火墙、应用防火墙等多级防护保障网络安全。平台防火墙作为企业上云第一道安全防线、重保利器、等保必备，为用户提供网络边界、虚拟私有云（VirtualPrivateCloud，VPC）边界等精细化的访问控制管理，集成全网威胁情报及攻击者视角的安全能力，实现访问管控与安全防御自动化。应用防火墙帮助平台内及合作方用户应对Web漏洞利用、入侵、挂马、篡改、后门、爬虫、CC攻击等诸多应用层安全防护问题，为企业Web类业务平稳运营保驾护航。针对工业互联网平台供应链攻击风险，安全参考框架除了配置全生命周期的立体防护，还重点针对安全角色进行了划分，从监控方、建设方、运营方、安全服务提供方、使用方等多个安全角色进行了分层保护，规划部署物理拦截攻击、插入后门程序等防护技术。此外，针对工业互联网平台的安全特性，还考虑了主机安全和运营安全处置。主机安全通过利用大量的威胁信息，同时与机器学习技术相结合，为客户提供资产管理、木马检测、入侵检测、漏洞预警和基线等安全保护，从而有效地解决了服务器所面临的安全风险。安全运营通过平台提供资产盘点、网络攻击面测绘、安全编排和自动化反应等功能，为用户实现事前安全预防，事中事件监测，事后响应处置的一站式、可视化、自动化的安全运营管理。５工业互联网平台安全部署实践5.1工业互联网平台安全设计目标安全设计不仅需要具有前瞻性，还应满足行业监管的要求，设计出符合未来以单位数据信息系统为核心，多种业务应用系统集成的业务模型，以“纵深防御”为指导思想，提升平台整体安全防御能力，围绕安全角色、生命周期、防护对象、安全威胁、安全措施等架构因素，构建可信、可控、可管的安全防护体系。5.2设计原则适度超配和动态同步。在梳理了现有信息系统安全保护的基础上，分析对信息系统冗余信息安全的需求，在方案设计阶段考虑网络安全体系结构并同步开展详细的安全设计，在系统建设或改建的过程中，按照工程实施要求同步建设符合安全等级要求的安全设施。分层防护和重点保护。为预防多种网络攻击行为而无法破坏整个系统，需要合理规划和综合采用多种防护措施，进行多层和多重保护，同时根据信息系统的重要程度、业务特点，在方案的设计过程中通过划分不同的安全保护等级，实现不同强度的安全保护，集中资源优先保护关键信息基础设施。动态调整和可扩展。随着网络攻防技术的不断发展，安全需求日益迫切，组织需要跟踪信息系统的变化情况，及时调整安全保护措施。在方案设计阶段，首先考虑在现有技术条件下满足当前的安全需求，并在此基础上拥有良好的可扩展性，以满足今后日益发展的信息技术的安全需求。S设计拓扑图如图3所示，通过Web防火墙、入侵防御系统、日志审计、终端安全软件等安全产品，从通信网络、安全边界、计算环境3个方面构建纵深防御体系，同时通过“安全管理中心”日志审计集中分析管控，做到监测、预警、处置的体系化建设。图3设计拓扑图5.3基于对象和威胁的平台安全区域边界设计面对工业互联网复杂的对象和变化的威胁，针对不同的对象和威胁规划安全边界，确定业务系统访问终端与业务主机的访问关系以及业务主机间的访问关系。特别是检测或拦截嵌入到普通流量中的恶意攻击代码，需要借助专业的入侵防御设备，实现对应用层攻击的检测与阻断。通过在防火墙下游串联部署多级入侵防护系统的方式，同时入侵防护系统采用直通部署和BYPASS对接口，保证各区域边界的业务连续性和可用性。针对设备通过串联的方式接收进出的流量数据，从智能识别、环境感知、行为分析3个方面对应用协议、异常行为、恶意文件进行检测和防护，精确识别应用等各边界攻击，在不影响正常业务的前提下对攻击进行有效的实时处理。5.4基于对象和威胁的安全计算环境设计工业互联网平台安全离不开安全的计算基础环境，针对各类安全保护等级的对象和威胁需要提供系统级的计算环境，对平台内部主机和服务器进行终端侧本地的防护，通过协助用户实现对终端从接入发现、使用管理到退网结束的安全风险全生命周期管理。打造包括威胁发现、分析、响应及回溯等全链路端到端跟踪的解决方案，关联攻击链路、定位攻击源头、挖掘蛛丝马迹。在病毒高效防御基础上统一管理全网终端安全，达到计算环境可管可控可审可视的效果。具体部署方式，选择一台主机服务器部署终端安全管理中心软件，在其他主机和服务器上面部署安全终端客户端软件。终端安全软件整体控制通信方式是采用以系统中心为消息处理、转发中心及具体功能节点，客户端和文件服务器为具体防毒节点的整体防病毒解决方案。管理员通过控制台向系统中心发出具体的操作命令，系统中心解析具体的命令目的地，按需转发或者处理。客户端或者文件服务器每次启动都会登录到指定的系统中心，定时汇报自己的状态，并且将发现的病毒信息反馈到系统中心。主机服务器端安全软件能够对平台内部主机进行全方位主动防御，包括本地、边界及云端防护，全链路关联分析追踪，能够精准识别、分析及响应病毒传播、0day攻击及高级持续性威胁（AdvancedPersistentThreat，APT）攻击等异常行为。实现对服务器端安全主动防御的保障，达到漏洞加固、勒索病毒防护、安全资产审计管理、软件管理、系统优化、动态行为分析、终端维护等稳定可靠的效果。5.5全生命周期下的平台安全运维传统安全运维系统已无法满足运维审计和管理的要求。对于企业而言，需要围绕平台全生命周期对所涉及的运维操作、流程进行审计等处理，同时需要依据安全角色控制不同运维人员的访问权限，从而实现平台的设备安全和运维安全。通过对规划、开发、使用、维护、下线销毁的全生命周期安全运维，构建一个强健的IT运维安全管理体系。具体到部署方式，需要围绕全生命周期的安全管理中心区域，在旁路部署1台运维审计系统，并在内网核心交换机部署防火墙，运维审计系统采用“物理旁路，逻辑串联”的部署方式，通过配置路由器或目标设备的访问控制策略，只允许集中运维审计的IP访问目标设备的运维、管理服务，建立基于唯一身份标识的实名制管理和统一账号管