工业互联网的安全研究与实践

1、引言

工业互联网是互联网和新一代信息技术与工业系统全方位深度融合所形成的产业和应用形态，是提升工业系统智能化能力的关键信息基础设施。随着德国提出工业4.0、美国提出工业互联网、中国提出“互联网+”及“中国制造2025”战略计划，全球工业领域的信息化正日益受到重视，工业生产正从以往基于计算机的设备自动化模式逐步转向以互联网为基础的网络化、智能化生产的方式。工业互联网已成为工业化与信息化融合的基础，互联网、物联网、云、大数据等当前最新技术的应用构建出新型的工业生产环境—虚拟物理系统（CPS），形成工业生产消费过程中的人与人、人与物、物与物广泛互联的万物互联的新时代。

在此背景下，电力、石化、交通、市政及关键制造业等国家关键基础行业对信息网络的依赖越来越强，相关行业的工业控制系统间也日益通过信息网络来实现信息互联互通及远程控制。因此，工控系统将不能仅从系统可靠性的角度关注功能安全问题，更要注意防范来自网络空间的黑客攻击以及病毒、木马、蠕虫等恶意代码的蓄意破坏，而这将成为当前保障工业系统安全的重要工作。工业互联网产业联盟（ All）在其论述工业互联网体系架构的技术报告中，就明确地提出“网络是基础、数据是核心、安全是保障”，已经把安全作为工业互联网的三大共性要素之一，其对安全问题的重视程度不言而喻。

本文将重点探讨工业互联网所面临的信息安全风险、防护策略及安全实践。

2、工业互联网所面临的信息安全风险

智慧城市、智能电网、智能家居、车联网、移动互联网、智能工厂以及与个人相关的联网可穿戴设备的广泛使用，已经表明在当前网络连接无处不在。工业互联网的发展将使得连人互联网的工业系统/设备越来越多，导致以前相对封闭独立的工业网络及设备大量暴露在互联网上。对此，国内外多个从事互联网上设备的搜索引擎（如国外的Shodan、国内的ZoomEye、谛听等）都能够搜索发现大量暴露在互联网上的工控设备的情况，显然工业互联网在通过工业系统间互联提升工业系统间智能化协同、提升生产效率的同时，也可能会导致工业系统暴露在互联网上，这可能导致别有用心的人能够从互联网上发现、访问这些系统。

加上以往工业设备因只关注系统功能实现，普遍缺乏对系统安全问题的重视，使得这些联网的工业设备自身的脆弱性也很严重。根据笔者前几年的研究报告可知：自从2010年震网事件之后，CVE统计的公开ICS系统漏洞数（每年新增）已呈急速增长的趋势，据CNCERT的漏洞库CNVD的统计数据，近年来工控系统相关的漏洞累计已有近千条，并且多为高风险级别的漏洞。而且这些工控设备因种种原因不能及时实现系统更新/或打补丁，多数情况下只能“带病”运行，其面临安全风险可想而知。

显然，暴露在互联网上的工业系统或设备，必然会因其自身脆弱性被利用而大大增加遭受网络攻击的风险。

2.1互联导致的潜在攻击威胁

从工业互联网产业联盟提出的工业互联网整体网络架构可知，智能工厂内及工厂间的IT与OT系统存在广泛的互联，打破了以往OT系统相对封闭的安全生态，再加上关键的工业系统对国计民生的重要性，近年来已成为网络黑客们研究攻击的重点对象，针对工业控制系统的潜在攻击威胁来源，孟雅辉等人在其文章中进行了较为详细的分析。工业互联网系统间的互联特性，将使其核心工业生产控制系统面临更多的安全威胁。不仅工业控制系统脆弱性（漏洞）被分析暴露的越来越多，而且相关安全事件也呈快速增长的趋势，一些用于控制工控系统的恶意软件及相关安全事件也被陆续曝光，如Stuxnet，Duqu ，Havex等。其中，2010年震网病毒攻击伊朗核电站，使8000台离心机损坏;2014年Havex则利用供应商软件网站的“水坑攻击”，影响了欧美1000多家能源企业（供应链安全）;2015年12月，Blackengergy则造成了乌克兰境内近1/3的地区持续断电。

2.2互联导致黑客组织的针对性攻击（APT）成为最重要威胁

工业互联网及其相关工业控制系统的重要性，使得它们所面临的网络攻击者往往是具有明确政治、经济或军事目的的黑客组织，且通常会采用难以防范的APT高级持续性威胁）的攻击方式来达到其目的。

自从2010年针对伊朗核电站的“震网病毒”事件之后，众多工业系统的相关安全事件表明，国家关键基础设施已成为未来网络战的重要攻击目标。根据ICS-CERT（美国工业控制系统网络应急小组）的报告，仅2015年处置的工业系统相关的安全事件高达295件;其中，关键制造（33% ）与能源（16%）行业的安全事件约占一半，且鱼叉式攻击是主要的攻击方式。2014年，黑客组织“蜻蜓组织”利用Havex恶意代码攻击欧美上千家能源企业工控系统;2014年底，德国联邦信息安全办公室（BSI）披露的一起针对德国钢铁厂的APT攻击等系列安全事件，也进一步证实了这种推断。

奇虎360在对黑客组织发动的大量高级持续性威胁的监测及跟踪研究中，发现国内的政府、能源、军事及工业系统已成为黑客组织发动APT攻击的重要攻击目标，鱼叉攻击与水坑攻击是主要攻击方式;而且发起APT攻击的目的多是为了长期窃取敏感数据。

这些实践和数据分析都表明了来自黑客组织的网络攻击威胁正在日益向工业互联网渗透。我国在实施“中国制造2025”的国家战略过程中，随着互联网与工业融合创新的不断推进，各种联网、智能化及自动化传感装置的广泛应用，以及黑客攻击技能的泛化、攻击工具的商品化以及对工控系统脆弱性研究的逐步深人，来自信息网络的APT等有组织、有目的的新型攻击威胁将成为工业互联网所面临的最大安全威胁。

2.3工业互联网所面临的主要安全问题

向工业互联网演进的过程中，主要存在以下几方面的安全问题：

（1）设备/系统间的互联使大量生产装备和产品直接暴露在网络攻击之下，木马病毒在设备之间的传播扩散速度将呈指数级增长。

（2）工厂网络的灵活组网需求使网络拓扑的变化更加复杂，传统静态防护策略和安全域划分方法面临动态化、灵活化的挑战。

（3）T和oz的融合打破了传统安全可信的控制环境，网络攻击从IT层渗透到oz层，从工厂外渗透到工厂内，有效的APT攻击检测和防护手段缺乏。

（4）网络化协同、服务化延伸、个性化定制等新模式新业态的出现对传统公共互联网的安全能力提出了更高要求。

（5）工业领域业务复杂，数据种类和保护需求多样，数据流动方向和路径复杂，数据保护难度增大。

3、工业互联网信息安全保障体系的建设思路

工业互联网通过网络互联及信息化技术提升工业系统综合效益的同时，也将造成工业系统面临来自互联网的信息安全威胁的强大压力。面对新的信息安全威胁，工业互联网的发展将促使传统工业控制系统安全理念的巨大转变。

3.1从注重功能安全到功能安全与信息安全并重

传统的工业系统因其相对封闭性，多关注如何避免工业系统因系统故障或误操作而造成的业务中断问题，很少关注因黑客攻击所造成的信息安全问题，本文分析表明，随着工业化与信息化的深度融合，信息安全已成工业互联网所面临的重要安全问题。因此，关于工业互联网的安全防护理念将不仅要解决工业系统自身的功能安全，更要及时处置来自互联网络的信息安全威胁;实现从传统的仅注重功能安全到当前功能安全与信息安全并重的安全理念转变。

3.2从关注安全合规性转变到更关注安全效益、及时减损的安全运营

传统IT系统安全防护建设的重点是构建基于安全产品及安全基线的合规性安全防护体系，这种基于历史知识和最佳实践的方式，并不能抵御未知的人侵攻击，建设的最大目的是为了抵御已知攻击的泛滥。

为了应对未知的新型人侵攻击，可期望通过安全运维模式，以快速的检测与应急响应能力，尽可能降低因遭受攻击而造成的损失。从这个角度来说，安全建设的目标将不再仅是强调合规性，而更加关注安全建设的防护效果和安全效益。

而作为国家关键基础设施重要组成部分的工业互联网及其核心系统，因其主要面对来自黑客组织的APT等新型未知攻击，传统的合规性安全防护策略只能增大攻击者的攻击代价，并不能真正地阻挡住攻击者。因此，对于工控系统的安全防护理念，也将需要实现从重点关注功能安全到符合政策、标准的信息安全合规性建设，再到关注安全效益、及时减损的安全运营的转变。

3.3基于动态安全运营，构建多机制安全协同的纵深防护体系

面对工业互联网发展过程中如此复杂的安全防护需求及所面对的针对性攻击威胁，工业互联网产业联盟提出了相对完善的工业互联网安全体系架构。

当前工业领域安全防护常用的分层分域的隔离与边界防护思路及传统的IT安全手段已不能有效识别和抵御所有可能的攻击。在假定系统总是能够被攻破的前提下，系统安全能力建设重点将更强调动态安全运营的能力：

（1）如何能及时洞察系统中的安全缺陷（漏洞），并尽早主动弥补。

（2）如何能快速、准确地发现攻击人侵，并进行及时处置。具体将通过建立面向工业互联网的安全监测预警体系，充分结合安全大数据分析能力和威胁情报，帮助用户及时洞察工业互联网中的安全风险、隐患和安全威胁，进而基于威胁情报分享及应急处置决策机制，实现安全机制/产品间的有效协同，形成威胁感知、监测预警与应急处置的动态安全运营闭环，最终实现基于多种安全机制密切协同的纵深安全防护体系，大大提升对所监测工业网络系统的综合安全保障能力。

4、奇虎360的工业互联网安全理念与实践

奇虎360公司基于在互联网安全及工业控制系统安全领域多年的深人研究，明确提出了针对工业互联网安全防护思路：

（1）纵深防御，提高攻击成本。

（2）主动挖掘漏洞，加强自我保护。

（3）加强数据安全保护，确保生产、管理与控制相关的各种敏感数据的安全。

（4）假设被攻击，强调如何发现已被突破，并将攻击者清除出去的能力建设。

在上述针对工业互联网安全防御理念的基础上，奇虎360已在工业互联网安全领域做了大量研究与实践工作：

作为国内率先运用大数据技术发现未知威胁（APT）的厂商，具有看见威胁的能力，不仅发现了数十个APT攻击，而且发布了多个APT攻击研究报告。已经启动了工业控制系统安全监测预警平台的研究与建设工作，目的是及时发现针对工业系统的有目的攻击并进行有效阻断。

通过自身或是结合第三方的力量来共同挖掘漏洞;尽可能早地发现、修补工业系统及相关IT系统的漏洞，避免或降低企业因系统被攻击而造成的损失。

云平台在工业制造领域的作用越来越重要，所以云平台自身的安全以及利用云服务及安全大数据技术提供安全服务，也将成为工业互联网安全的重要需求。而奇虎360作为全球最大的云安全系统运营公司，不仅拥有多年的云安全运维及保障服务能力，而且具有很强大的云安全服务能力。

工业设备的自身安全，工业设备在出厂时就应该是安全的，现在越来越多的工业厂商开始注重这方面。360不仅在这方面和多家工控安全厂商有合作，而且在智能硬件的安全方面也已有相当的技术与人才积累。

针对工控系统的业务环境提出构建白名单监测机制。这是因为工业系统在业务层面的操作行为相对规范，更加适合用白名单机制来检测、发现违规的异常操作。

5、结束语

为保障工业互联网及其关键系统的安全，除提供工业系统传统必备的功能安全能力之外，还必需加强工业互联网的信息安全保障能力。针对工业互联网及关键系统的业务特点、自身脆弱性以及可能面临的各种网络安全威胁，需要在工业互联网的安全体系架构设计、系统建设的供应链安全保障、工业系统上线前安全检查以及工业系统安全的运维与管理等方面进行综合、全面地考虑。

为更好地促进工业互联网的安全能力建设，促进整个工业互联网安全产业的发展，结合实践经验，提出了一些关于产业发展的参考建议，具体如下：

（1）开展对重要工业系统所使用软、硬件的静态和动态代码脆弱性分析以及系统漏洞分析研究;构建由国家主管机构主导的权威应急响应小组、专业漏洞库或漏洞信息分享平台以及完善的漏洞补丁发布机制。

（2）开展对工业系统通信协议的安全性分析，制定国家或行业级的安全协议标准。

（3）建立适用于行业的风险评估与安全检查机制，配合专业的检查工具，定期对工业系统进行合规性安全检查并督促不合格单位进行安全整改。

（4）促进工控系统安全防护从以符合政策、标准的安全合规性建设为重点，向关注安全效益、及时减损的安全运营的转变，制定相应的制度、标准。

（5）开展针对工业互联网的APT安全防护技术研究，建立威胁情报分享机制。

（6）要求供应商产品进行安全测评，而且在新产品上线前或进行系统软件更新前，对系统代码进行测试，尽可能地发现潜伏的间谍软件功能。

（7）在自主可控产品成熟的条件下，尽可能采用自主可控的系统或产品替代国外的同类产品，来尽可能避免国外产品存在后门或其他有意植人的未声明功能的安全威胁。

（8）建立供应商黑白名单、审计供应商自身IT安全体系、建立供应商可信访问网关等，实现供应链安全管控。

（9）在电力、石化或关键制造业等重点行业，可由国家主管部门或企业用户策划启动一些行业级工业互联网安全建设的试点工程。

（10）通过构建产业联盟等利益共同体，整合各方的优势技术与产品，提出具有行业特色的工业互联网安全解决方案，并通过示范工程项目进行试点推广。