工业互联网安全进展与趋势

张 尼， 刘廉如2， 田志宏3， 吴云峰

(1.中国电子信息产业集团有限公司 第六研究所， 北京 100083; 2．宜通世纪物联网研究院(广州)有限公司， 广东 广州 510665; 3.广州大学 网络空间先进技术研究院， 广东 广州 510006)

自21世纪以来，全球科技创新空前活跃，新一轮的科技革命和产业变革深刻影响技术版图和经济格局.伴随着新一代信息技术创新发展与制造业融合渗透，为制造业发展注入新活力，加速制造业进入万物互联、数据驱动、软件定义、平台支撑、服务增值、智能主导、组织重构的新时代.工业互联网是新型工业化的超级引擎，新工业革命的强大支柱，和供给侧结构性改革的有力武器，成为各国抢占产业制高点的战略选择.《关于深化“互联网+先进制造业”发展工业互联网的指导意见》的发布，确立了我国深入实施工业互联网创新发展战略的决心[1-3].

宏观层面，发展工业互联网有助于推进新一代信息技术与实体经济深入融合，形成聚合效应、叠加效应和倍增效应，实现资源配置优化从低级到高级，从局部到全局.中观层面，以信息化和智能化为契机，依靠日益丰富的应用场景，促进行业发展新旧动能转换，抢占产业生态的主导权.微观层面，企业利用数据驱动的新型能力，重构研发创新体系，引领智能制造变革和提升智能服务能力，实现提质增效，构建核心市场竞争力[4].

工业互联网打破了传统工业相对封闭可信的环境，云计算、大数据、物联网、5G、人工智能等新兴技术推动工业发展变革的同时，也将信息技术体系中的安全风险逐步引入工业体系，信息系统与工业系统安全边界的日渐模糊导致攻击面不断加大.近年来，工业互联网安全事件频发，严重威胁工业企业，漏洞高速增长导致行业风险加剧，多元化攻击方式加速传统威胁向工业系统渗透，网络边界模糊化使得平台和设备成为主要攻击目标[5-7].

安全是工业互联网发展的基础和前提，工业互联网安全是工业互联网创新发展的重要组成.为了加快构建工业互联网安全保障体系，提升工业互联网安全防护能力，促进工业互联网高质量发展，工业和信息化部会同有关部门起草了《关于加强工业互联网安全工作的指导意见(征求意见稿)》，提出“2020年底初步形成工业互联网安全保障体系.2025年基本实现工业互联网安全保障体系的完备可靠.”的总目标[8].

本文组织如下：第1节介绍了工业互联网安全产业；第2节给出了安全态势分析；第3节讨论了工业互联网安全标准进展；第4节介绍了工业互联网安全要素；第5节对工业互联网安全技术体系进行了分类；第6节进行了总结与展望.

1 产业与市场现状

1.1 产业分析

工业互联网产业是指工业企业在贯穿设计、生产、管理、销售、服务等全流程环节，以构建互联互通的全系统网络化结构、提升全价值链和全产业链智能化水平为目的，所采用的生产设备、通信技术、基础平台、软件应用以及安全方案[9].如图1，工业互联网产业范畴涵盖设备层、网络层、平台层、软件层与应用层五个层次以及工业安全体系.其中，设备层包括智能生产设备、生产现场智能终端、工业数据中心等；网络层包括工厂内部和外部的通信；平台层包括协同设计、协同研发、协同制造、知识积累、资源管理和数据集成等工业互联网平台；软件层包括研发设计、企业管理、采购及供应链管理、生产管理、质量管理、生产控制管理和售后管理软件等，是面向特定工业场景实现经验、知识和最佳实践模型化、软件化的核心环节；应用层包括垂直行业应用、流程应用以及基于数据分析的相关应用等；工业安全层包括安全模型与政策，数据防护，安全配置与管理、安全监测与分析、通信与连接防护和终端防护等.

图1 工业互联网产业链全景图[9]Fig.1 Panorama of industrial internet industry chain

工业互联网的安全体系分为三个维度：防护对象、防护措施和防护管理[10].

防护对象维度，涵盖现场设备、工业控制系统、工控网络、工业应用和工业数据五大安全要素.

防护措施维度，包括事前安全防护、事中态势感知和事后处置恢复三个环节.

防护管理维度，包括安全目标、安全评估和安全策略三大流程.

整个安全体系的运行机制是面向界定的防护对象，通过采取一系列合理适当的安全措施，并借助完备健全的防护管理流程实现最终的安全防护.

1.2 市场规模

工业互联网的出现打破了IT(信息技术)系统和OT(运行技术)系统的边界，需兼顾工业生产控制安全和网络安全，涵盖信息安全、物理安全和功能安全.

工业互联网应用范围和深度不断扩展，逐渐覆盖能源、交通、电力、水利、石油、石化、金融、物流等领域.与此同时，面向以上行业的安全威胁事件频繁发生，工业互联网安全的市场关注度随之提升.据统计(图2)，2018年中国工业互联网安全市场规模达到94.6亿元[11].

图2 2016-2021中国工业互联网安全市场规模(赛迪顾问)Fig.2 Industrial internet security market 2016-2021 in China

2 安全形势分析

随着IT和OT一体化的逐步推进，工厂内部和外部实现互联互通，形成了一个开放共享的网络空间.工业互联网技术的发展必然导致不确定性与入侵风险不断增加，工业互联网面临的安全问题也更加突出.

2.1 工业互联网安全威胁

工业互联网安全威胁不仅会为工业企业带来经济损失，还有可能直接或间接对国民经济发展、社会稳定和国家安全造成影响.典型攻击手段包括植入木马、传播病毒、摆渡攻击、拒绝服务攻击、数据窃取篡改、无线网络入侵和人为破坏等.

从系统工程的视角，安全威胁可分为针对信息系统的安全威胁和针对控制系统的安全威胁.针对信息系统的安全威胁包括节点捕获、被动攻击、时钟同步攻击、节点控制、路由攻击、跨网攻击、认证攻击、恶意代码、拒绝服务攻击、用户隐私泄露和非授权访问等.针对控制系统的安全威胁包括控制命令伪造攻击、感知数据篡改攻击、控制网络DOS攻击和谐振攻击等.

从体系架构的视角，安全威胁可分为设备层、网络层、应用层、数据层和控制层等[6-7,10].

IT与OT网络的互通和融合在拓展工业控制系统发展空间的同时，也带来了工业控制系统网络安全问题.

工业互联网安全面临的主要威胁包括OT安全管理不到位、IT和OT安全边界和责任模糊、IT安全控制在OT领域失效、缺乏OT资产和漏洞的可见性手段和IT以及OT网络管理缺乏统一防护能力等.

工控系统在互联网上的暴露问题和工业互联网安全漏洞是工业互联网安全的两个典型问题[12-14].

2.2 工控系统暴露与漏洞分析

文献[12]研究数据显示，全球工控系统联网暴露组件总数量约为17.6万个.从国家和地域分布来看，联网的工控组件主要集中在美洲和欧洲国家，其中美洲占比达到40%以上.

从具体国家来看(图3)，美国的工控系统组件联网暴露情况最为严重，达到64 287个；其次是德国，达13 242个；法国排名第三，达7 759个；中国排名全球第五，为6 223个.

图3 世界各国工控系统组件联网暴露数量及比例分布(Positive Technologies)[14]

Fig.3 Number and proportional distribution of connected industrial control system worldwide[14]

安全漏洞问题是工业互联网面临的一个重要难题.根据2018年的相关数据统计，安全漏洞呈现出数量快速增长、类型多样化特征明显、高危漏洞占比较高、涉及厂商以国际厂商为主和涉及行业广泛，以制造业、能源行业为主等特点.

如图4，在2018年工控系统漏洞中，漏洞成因多样化特征明显，技术类型多达30种以上.其中，拒绝服务漏洞、缓冲区溢出漏洞和访问控制漏洞数量最多、最为常见.

图4 工控系统新增漏洞类型分布[14]

Fig.4 Distribution of new vulnerabilities in Industrial control system[14]

在2018年工业控制系统安全漏洞中(图5)，多数分布在制造业、能源、水务、医疗、食品、石化、轨道交通、冶金、市政、信息技术等关键基础设施行业.制造业占比最高，涉及的相关漏洞数量占比达到30.6%，打破了能源行业稳居第一的局面，能源行业涉及的相关漏洞数量为23.9%.

图5 工控新增漏洞行业分布[14]

Fig.5 Industry distribution of new vulnerabilities in industrial control system[14]

3 标准进展

工业互联网健康发展必须以规范的综合标准体系为基础和保障.标准先行已经成为各国发展工业互联网的共识和发展趋势.与发达国家相比，我国工业互联网标准体系还不够完善，标准化水平还不高，在工业互联网全球化的竞争中处于劣势地位，因此，从技术、产品、安全和服务等方面构建科学成熟完备的综合标准体系已迫在眉睫.

目前，以国际电工委员会(IEC)、美国工业互联网联盟(IIC)、美国国家标准与技术研究院(NIST)、欧盟工业控制系统网络应急响应小组(ICS-CERT)、德国电工电子与信息技术标准化委员会(DKE)、中国工业互联网产业联盟(AII)和全国信息安全标准化技术委员会为代表的相关组织，均在积极布局和推进工业互联网安全标准化工作.

从全球工业互联网标准化组织近年发展情况来看，工业互联网安全标准化还处于起步阶段，从业务、用户和功能视角全面理解标准化需求，整体把握标准过程中的关注点，推进构建安全标准体系建设是标准化工作重点.

3.1 国外标准进展

美国国家标准与技术研究院(NIST)于2015年发布了《工业控制系统安全指南》，主要从工控系统架构、典型威胁和脆弱性分析、信息安全参考模型和安全措施等方面论述了工业控制系统安全的重要性及安全威胁的应对策略.2016年11月，该院发布《制造业与工业控制系统安全保障能力评估》草案，包括行为异常检测(如异常流量)、工控应用系统白名单、恶意软件检测与应对和工控数据完整性等四个方面.2018年4月，该院发布《提升关键基础设施网络安全框架V1.1》，此框架包括框架核心(Core)、实施层(Implementation Ties)和概况(Profile)三大基本要素[15-16].

欧盟成立工控安全应急响应组，负责信息收集与共享、各类工控安全事件响应分析、行业安全态势分析和协调实施关键基础设施保护计划等工作.其发布的安全标准及相关文件包括：《保护信息时代社会安全战略》《国家网络安全策略——为加强网络空间安全的国家努力设定线路》《欧盟网络安全战略》《关键基础设施保护计划》《网络和信息系统安全指令》和《通用数据保护条例》等.

德国电气电子和信息技术协会(DKE)于2013年12月发布了首个《德国工业4.0标准化路线图》，完成了德国的工业4.0标准化工作的顶层设计.德国工业4.0平台也针对设备、系统安全的加固增强制定发布了《工业4.0中的IT安全》.

2016年9月，美国工业互联网联盟(IIC)发布了《工业互联网安全框架》，定义了工业互联网的五大安全特性，为工业互联网安全体系建设和部署实施提供最佳实践指南[15].

3.2 国内标准进展

为推动工业信息安全标准体系的健全，全国信息安全标准化技术委员会相继制定了《工业控制系统安全管理基本要求》《工业控制系统信息安全分级规范》《工业控制系统测控终端安全要求》和《工业控制系统信息安全检查指南》等指导文件，界定了工控系统安全管理的基本原则、安全等级划分、安全框架模型和关键行动，及安全评估方法和过程，为工控安全提供遵循依据.

2016年10月，国家标准化管理委员会发布《工业自动化和控制系统网络安全》等6项推荐性国家标准，包括建立工控系统安全程序、可编程控制器防护要求、集散控制系统的防护要求、管理要求、评估指南和风险与脆弱性检测要求等.

2016年2月，在工信部指导下，由中国信息通信研究院牵头，联合制造业、通信业和互联网等相关企业成立了工业互联网产业联盟(AII)，下设总体组、需求组、技术与标准组、网络连接组、平台组、安全组、测试床组、产业发展组、国际合作与对外交流组、频谱组、垂直行业组、政策法规与投融资组等12个工作组和9个特设组.安全组编写并发布了《工业互联网安全总体要求》《工业互联网安全框架白皮书》《工业云安全防护参考方案》《工业互联网平台安全防护要求》《工业互联网典型安全解决方案案例汇编》和《中国工业互联网安全态势报告(2016)》等文件[17-19].

上述文件为中国工业互联网相关企业构建安全防护和保障体系提供了顶层框架指导和模型指南，为分析和识别安全威胁、制定安全防护对策、应对安全风险和提升全方位安全防护能力提供基础依据[19].

2017年7月，为推动工业互联网领域标准化活动，中国通信标准化协会(CCSA)设立了“工业互联网特设任务组(ST8)”，下设总体与应用、网络互联、标识解析、数据与平台和安全等五个工作组.工业互联网安全标准体系包括总体类标准、基础共性类标准、安全防护类标准、安全管理与服务标准和垂直应用领域类标准五大类.

安全工作组已经立项了九个“工业互联网安全防护体系”系列标准，包括《工业互联网安全防护总体要求》《工业互联网安全接入技术要求》《工业互联网安全能力成熟度评估规范》《工业互联网平台安全防护要求》《工业互联网平台安全防护检测要求》《工业互联网数据安全保护要求》《工业互联网平台安全风险评估规范》《工业互联网安全服务能力认定准则》和《工业互联网安全监测与管理系统建设要求》等.

《工业互联网安全防护总体要求》描述了安全防护场景、范围及内容、确定定级对象和安全等级，从设备、网络、控制、应用和数据等方面分别定义了四个等级的安全防护要求.

《工业互联网安全接入技术要求》根据接入场景和安全接入需求，从网络安全、设备安全、应用安全和数据安全四个维度定义了基本级和增强级安全技术要求.

《工业互联网平台安全防护要求》针对工业互联网平台的安全防护需求，从基本级和增强级两个角度，定义了涵盖边缘层、平台IaaS层、平台PaaS层和平台SaaS层等的防护要求.

《工业互联网平台安全防护检测要求》定义了安全防护检测对象、检测范围和检测环境等.

《工业互联网数据安全保护要求》将工业互联网数据分为设备数据、业务系统数据、知识库数据和用户个人数据等，针对不同数据敏感性等级(一般数据、重要数据和敏感数据)，分别定义了安全保护要求.

《工业互联网平台安全风险评估规范》分析了平台安全需求，危险引入点和传播途径，定义了风险评估的原则、流程、方式、准备、实施活动、文档记录和评估结论等.

在《工业互联网安全能力成熟度评估规范》中，标准从风险管理、身份与访问管理、事件响应与业务连续性和安全程序管理等九个维度，定义了工业互联网安全能力成熟度模型，包括无控制级、控制级、定量级和持续改进级四个级别.

《工业互联网安全服务能力认定准则》定义风险评估和安全设计与集成两类安全服务的能力要求.

《工业互联网安全监测与管理系统建设要求》规定了工业互联网安全监测与管理系统建设过程中，流量实时采集、监测、处置和集中管理等具体能力的指标参数.

《工业互联网安全态势感知系统技术要求》定义了安全态势评估体系，从资产、流量、运行、风险、攻击、脆弱性和安全事件等态势量化评估综合态势信息.

4 安全要素

工控系统安全、平台安全和数据安全是工业互联网安全发展的核心要素(图6).

工业互联网防护对象范围大、安全场景丰富、威胁范围广、安全事件危害严重，围绕安全威胁、防护措施与手段、发展趋势等，对核心要素进行分析尤为重要[19-27].

图6 工业互联网安全要素[20]Fig.6 Security elements of industrial internet[20]

4.1 工控系统安全

工控系统是指在工业生产过程中，涉及到与控制功能相关的软硬件的集合.其中，硬件包括生产设备、通信设备、主机设备和智能电子设备等.软件包括分布式控制系统(DCS)、监视控制与数据采集系统(SCADA)、运动控制系统(MC)、过程控制系统(PCS)和制造执行系统(MES)等.工业控制系统的逻辑架构通常可分为现场设备层、现场控制层、过程监控层、生产管理层和企业资源层等[28-35].

工控系统安全是指工业控制系统中涉及的终端设备安全、控制协议、装置和软件安全、生产控制网、现场控制网和企业信息网等网络安全等.

工控系统安全面临来自技术和管理两个方面的问题和挑战.从技术层面，安全隐患和问题来自于网络结构、安全漏洞、操作行为和内核安全(芯片、模块、操作系统和应用)等元素.从管理层面，安全隐患和问题由管理体制机制、维护行为和标准体系等因素导致[36-42].

随着IT和OT快速融合，工控系统面临的安全威胁也随之发生演变进化，如工控系统从传统的内网隔离到外网互联互通、网络攻击的落脚点转向破坏物理实体资产、拒绝服务型漏洞的危害将不断增加，传统病毒与工控病毒交织缠绕、工控设备0day漏洞问题日益凸显.

工控系统安全产品大致可分为防护类(网络防护、主机防护)、隔离类(网闸类、正反向隔离装置，工业隔离网关)、监测类(工控审计、工控入侵检测、工业监测预警)、检测类(漏洞扫描、漏洞挖掘)和运维管控类(工业堡垒机、移动工业运维审计)等.

工控系统安全防护应充分考虑技术与管理并举，采用分层分域分级隔离，从控制协议安全、控制软件安全及控制功能安全角度，构建管、控、防一体化的综合防护防御体系，提升工业控制系统内生安全水平.

4.2 平台安全

平台作为工业互联网体系的核心，上承应用下接设备，是各类工业数据与资源的载体，日渐成为安全攻击的重要目标.平台安全在工业互联网安全防护中关注度日益提升，备受重视[22，36，39].

相比传统云平台，工业互联网平台具有跨行业跨企业的特点：安全边界难界定、连接协议差异性和复杂度大、覆盖设备范围广数量大和安全隐患和风险威胁大.我国工业互联网平台存在的安全问题，包括管理体系不完善且不健全、数据安全风险隐患日益显现、平台安全产业仍不成熟和安全保障制度亟待建立等[21].

工业互联网平台安全需求可分为边缘层、工业IaaS层、工业PaaS层和工业SaaS层等四个维度.边缘层设备安全防护能力薄弱、安全水平不高；IaaS层面临新型攻击方式威胁，如镜像篡改、跨虚拟机信道攻击等；PaaS层的工业微服务和应用开发工具存在漏洞，以及网络入侵导致敏感信息泄露；SaaS层存在工业控制指令非法伪装、APP恶意代码注入、工业APP漏洞、API通信安全等.

国内平台企业风险意识和安全认知不断提高，安全建设不断加强.如海尔COSMOPlat平台从物理安全、基础架构安全、应用安全、数据安全、账号权限和访问、安全事件管理和安全运维搭建了精准安全防御体系.瀚云HanClouds平台考虑人为因素和管理因素，通过体系化的鉴权和授权设计，平衡易用性和安全性之间的关系.

平台安全应从标准、技术、管理、防护和生态等方面统筹规划，并行推进部署多层次立体化安全防护体系，全方位提升工业互联网平台的安全水平，强化工业互联网平台的安全能力[43-49].

4.3 数据安全

根据数据属性划分，工业互联网数据包括设备数据(运行状态数据、控制指令数据)、业务系统数据(生产控制系统数据、生产管理系统数据和供应链管理系统数据)、知识库数据(标准文件数据、计算模型数据和环境数据)和用户个人数据(身份数据、鉴权数据、日志数据和内容数据).

随着IT和OT的融合，工厂内外部网络的隔离被打破，传统的单向数据流动向双向转变，数据共享的需求引入了安全风险，如数据丢失或泄露风险增大.海量异构数据保护难度加大、价值保护因素引入数据保护体系以及非授权篡改使用或销毁等.

工业互联网数据安全需要贯穿数据的全生命周期，满足数据采集和产生、数据传输、数据使用、数据存储、数据迁移、数据销毁和数据备份恢复等环节的安全要求.具体防护措施包括：数据加密、访问控制、计入认证、数据脱敏、业务隔离和数据备份等[50-52].

数据安全的防护应分类分级，建立并加强数据流动管理机制，实现数据的可审计和可追溯，保障数据在全生命周期过程中的机密性、完整性、可靠性和可用性[53-56].

5 安全技术分类

工业互联网安全技术体系，从信息安全管理维度，可分为分层技术保护体系、分域技术保护体系、内生安全技术体系、等级技术保护体系和安全过程技术保护体系[40].

工业互联网安全技术体系也可以从解决方案的角度进行分类.

(1)以工控系统为出发点保障工业互联网安全的解决方案，代表者是西门子、罗克韦尔、施耐德、和利时、浙江中控、电子六所等传统工控企业.工控厂商基本都遵循IEC62443标准对控制系统，从控制器到编程组态软件进行信息安全功能设计，在控制系统中内置远程访问保护、高实时性通信加解密、完整性检查、安全逻辑组态控制、抗重放攻击与网络风暴、控制业务及网络行为审计、安全事件可追溯等信息安全功能，且应通过针对工业控制产品信息安全健壮性和漏洞测试的、国际权威的Achilles level2认证.同时，对于控制系统的边界防护，采用基于工业协议深度数据包检测 (DPI) 技术的工业防火墙，防止潜在恶意固件更新、程序下载和非法操作.

(2)以网络安全为出发点保障工业互联网安全的解决方案，代表者是启明星辰、奇安信和威努特等安全企业.安全厂商多采用多层纵深防御的思路.首先是采用工业防火墙、工业网闸等技术将工业生产控制网络和管理信息网络进行有效地隔离.其次，重点加强工业主机防护，利用诸如白名单技术应对工业病毒威胁.再次，通过部署工业安全监测系统，助力工业企业全面掌握工业资产、工业网络安全威胁、工业生产异常和故障，应对工业资产数量、类型、分布不清楚，设备断线、设备停机、异常操作难定位等安全管理问题.

(3)以测试评估为出发点保障工业互联网安全，代表者如国家工业信息安全发展研究中心、中国信息安全测评中心、工业控制系统信息安全技术国家工程实验室等.工业控制系统信息安全技术国家工程实验室提出了包含自主产品体系、工控安全试验验证平台、深度安全防护体系以及公共安全服务体系在内的工业互联网安全解决方案，构建贯穿工业生产过程设计、运行、服务等全生命周期，覆盖工业传感网、工业物联网、工业信息网等多层次安全保障体系.

6 总结与展望

工业领域的社会生产力迅猛发展，技术进步和创新稳步推进，工业生产环境从封闭走向开放，生产过程从自动化、电子化走向网络化、智能化，资源配置优化效率不断提升，工业互联网产业发展势头良好.

当前，我国工业互联网安全发展仍面临安全标准缺失、技术储备不足、人才教育短板、服务能力不足、安全意识薄弱等问题，结合当前工业互联网安全工作实际，建议从国家政策发布、标准体系健全、基础设施完善、关键技术攻关、产业支撑能力加强、专业人才培养、科技创新引领和公共服务能力提升等方面协调共进，推动我国工业互联网安全高质量发展，为工业智能化发展提供安全、可信、可管、可控的环境保障.