工業(yè)互聯(lián)網(wǎng)安全白皮書(shū)

1、工業(yè)互聯(lián)網(wǎng)安全白皮書(shū)目錄 HYPERLINK l _bookmark0 一、 工業(yè)互聯(lián)網(wǎng)安全概述1 HYPERLINK l _bookmark1 （一） 工業(yè)互聯(lián)網(wǎng)概念內(nèi)涵1 HYPERLINK l _bookmark2 （二） 工業(yè)互聯(lián)網(wǎng)安全框架內(nèi)容與范圍2 HYPERLINK l _bookmark3 二、 相關(guān)網(wǎng)絡(luò)安全框架分析3 HYPERLINK l _bookmark4 （一） 傳統(tǒng)網(wǎng)絡(luò)安全框架3 HYPERLINK l _bookmark5 （二） 工業(yè)互聯(lián)網(wǎng)安全框架8 HYPERLINK l _bookmark6 （三） 相關(guān)框架共性分析及經(jīng)驗(yàn)借鑒10 HYPERLINK l _

2、bookmark7 三、 工業(yè)互聯(lián)網(wǎng)安全框架設(shè)計(jì)12 HYPERLINK l _bookmark8 （一） 設(shè)計(jì)思路12 HYPERLINK l _bookmark9 （二） 安全框架13 HYPERLINK l _bookmark10 （三） 防護(hù)對(duì)象視角16 HYPERLINK l _bookmark11 （四） 防護(hù)措施視角17 HYPERLINK l _bookmark12 （五） 防護(hù)管理視角18 HYPERLINK l _bookmark13 四、 工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施20 HYPERLINK l _bookmark14 （一） 設(shè)備安全21 HYPERLINK l _boo

3、kmark15 （二） 控制安全23 HYPERLINK l _bookmark16 （三） 網(wǎng)絡(luò)安全27 HYPERLINK l _bookmark17 （四） 應(yīng)用安全31 HYPERLINK l _bookmark18 （五） 數(shù)據(jù)安全35 HYPERLINK l _bookmark19 （六） 監(jiān)測(cè)感知39 HYPERLINK l _bookmark20 （七） 處置恢復(fù)41 HYPERLINK l _bookmark21 五、 工業(yè)互聯(lián)網(wǎng)安全發(fā)展趨勢(shì)與展望46 PAGE 50 PAGE 49 一、 工業(yè)互聯(lián)網(wǎng)安全概述（一）工業(yè)互聯(lián)網(wǎng)概念內(nèi)涵工業(yè)互聯(lián)網(wǎng)是滿足工業(yè)智能化發(fā)展需求，具有低時(shí)

4、延、 高可靠、廣覆蓋特點(diǎn)的關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施，是新一代信息通信技術(shù)與先進(jìn)制造業(yè)深度融合所形成的新興業(yè)態(tài)與應(yīng)用模式。工業(yè)互聯(lián)網(wǎng)深刻變革傳統(tǒng)工業(yè)的創(chuàng)新、生產(chǎn)、管理、服務(wù)方式，催生新技術(shù)、新模式、新業(yè)態(tài)、新產(chǎn)業(yè)，正成為繁榮數(shù)字經(jīng)濟(jì)的新基石、創(chuàng)新網(wǎng)絡(luò)國(guó)際治理的新途徑和統(tǒng)籌兩個(gè)強(qiáng)國(guó)建設(shè)的新引擎。工業(yè)互聯(lián)網(wǎng)包括網(wǎng)絡(luò)、平臺(tái)、安全三大體系。其中，網(wǎng)絡(luò)體系是基礎(chǔ)。工業(yè)互聯(lián)網(wǎng)將連接對(duì)象延伸到工業(yè)全系統(tǒng)、全產(chǎn)業(yè)鏈、全價(jià)值鏈，可實(shí)現(xiàn)人、物品、機(jī)器、車間、企業(yè) 等全要素，以及設(shè)計(jì)、研發(fā)、生產(chǎn)、管理、服務(wù)等各環(huán)節(jié)的 泛在深度互聯(lián)。平臺(tái)體系是核心。工業(yè)互聯(lián)網(wǎng)平臺(tái)作為工業(yè) 智能化發(fā)展的核心載體，實(shí)現(xiàn)海量異構(gòu)數(shù)據(jù)匯聚與建模分析、

5、工業(yè)制造能力標(biāo)準(zhǔn)化與服務(wù)化、工業(yè)經(jīng)驗(yàn)知識(shí)軟件化與模塊 化、以及各類創(chuàng)新應(yīng)用開(kāi)發(fā)與運(yùn)行，支撐生產(chǎn)智能決策、業(yè) 務(wù)模式創(chuàng)新、資源優(yōu)化配置和產(chǎn)業(yè)生態(tài)培育。安全體系是保 障。建設(shè)滿足工業(yè)需求的安全技術(shù)體系和管理體系，增強(qiáng)設(shè)備、網(wǎng)絡(luò)、控制、應(yīng)用和數(shù)據(jù)的安全保障能力，識(shí)別和抵御安全威脅，化解各種安全風(fēng)險(xiǎn)，構(gòu)建工業(yè)智能化發(fā)展的安全可信環(huán)境。（二）工業(yè)互聯(lián)網(wǎng)安全框架內(nèi)容與范圍工業(yè)領(lǐng)域的安全一般分為三類，信息安全（Security）、功能安全（Functional Safety）和物理安全（Physical Safety）。傳統(tǒng)工業(yè)控制系統(tǒng)安全最初多關(guān)注功能安全與物理安全，即防止工業(yè)安全相關(guān)系統(tǒng)或設(shè)備的功能失效

6、，當(dāng)失效或故障發(fā)生時(shí)，保證工業(yè)設(shè)備或系統(tǒng)仍能保持安全條件或進(jìn)入到安全狀態(tài)。近年來(lái)，隨著工業(yè)控制系統(tǒng)信息化程度的不斷加深， 針對(duì)工業(yè)控制系統(tǒng)的信息安全問(wèn)題不斷凸顯，業(yè)界對(duì)信息安全的重視程度逐步提高。與傳統(tǒng)的工控系統(tǒng)安全和互聯(lián)網(wǎng)安全相比，工業(yè)互聯(lián)網(wǎng)的安全挑戰(zhàn)更為艱巨：一方面，工業(yè)互聯(lián)網(wǎng)安全打破了以往相對(duì)明晰的責(zé)任邊界，其范圍、復(fù)雜度、風(fēng)險(xiǎn)度產(chǎn)生的影響要大得多，其中工業(yè)互聯(lián)網(wǎng)平臺(tái)安全、數(shù)據(jù)安全、聯(lián)網(wǎng)智能設(shè)備安全等問(wèn)題越發(fā)突出；另一方面，工業(yè)互聯(lián)網(wǎng)安全工作需要從制度建設(shè)、國(guó)家能力、產(chǎn)業(yè)支持等更全局的視野來(lái)統(tǒng)籌安排，目前很多企業(yè)還沒(méi)有意識(shí)到安全部署的必要性與緊迫性，安全管理與風(fēng)險(xiǎn)防范控制工作亟需加強(qiáng)。因

7、此，工業(yè)互聯(lián)網(wǎng)安全框架需要統(tǒng)籌考慮信息安全、功能安全與物理安全，聚焦信息安全，主要解決工業(yè)互聯(lián)網(wǎng)面臨的網(wǎng)絡(luò)攻擊等新型風(fēng)險(xiǎn)，并考慮其信息安全防護(hù)措施的部署可能對(duì)功能安全和物理安全帶來(lái)的影響。由于物理安全相關(guān)防護(hù)措施較為通用，故在本框架中不作重要考慮，主要對(duì)工業(yè)互聯(lián)網(wǎng)的信息安全與功能安全進(jìn)行討論。二、 相關(guān)網(wǎng)絡(luò)安全框架分析（一）傳統(tǒng)網(wǎng)絡(luò)安全框架1、OSI 安全體系結(jié)構(gòu)OSI 安全體系結(jié)構(gòu)是國(guó)際標(biāo)準(zhǔn)化組織（ISO）在對(duì) OSI 開(kāi)放系統(tǒng)互聯(lián)環(huán)境的安全性深入研究的基礎(chǔ)上提出的。它定義了為保證 OSI 參考模型的安全應(yīng)具備 5 類安全服務(wù)，包括鑒別服務(wù)、訪問(wèn)控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可抵賴性， 以

8、及為實(shí)現(xiàn)這 5 類安全服務(wù)所應(yīng)具備的 8 種安全機(jī)制，包括加密、數(shù)字簽名、訪問(wèn)控制、數(shù)據(jù)完整性、鑒別交換、業(yè)務(wù)流填充、路由控制以及公證。OSI 安全體系結(jié)構(gòu)如圖 1 所示， 安全體系結(jié)構(gòu)中的 5 類安全服務(wù)及 8 種安全機(jī)制可根據(jù)所防護(hù)網(wǎng)絡(luò)的具體要求適當(dāng)?shù)嘏渲糜?OSI 參考模型的 7 個(gè)層次中。圖 1 OSI 安全體系結(jié)構(gòu)OSI 安全體系結(jié)構(gòu)針對(duì) OSI 參考模型中層次的不同，部署不同的安全服務(wù)與安全機(jī)制，體現(xiàn)出分層防護(hù)的思想，具有很好的靈活性。然而，OSI 安全體系結(jié)構(gòu)專注于網(wǎng)絡(luò)通信系統(tǒng)，其應(yīng)用范圍具有一定的局限性。同時(shí)，OSI 安全體系結(jié)構(gòu)實(shí)現(xiàn)的是對(duì)網(wǎng)絡(luò)的靜態(tài)安全防護(hù)，而網(wǎng)絡(luò)的安全防護(hù)具

9、有動(dòng)態(tài)性，該體系結(jié)構(gòu)對(duì)于持續(xù)變化的內(nèi)外部安全威脅缺乏足夠的監(jiān)測(cè)與應(yīng)對(duì)能力。此外，OSI 安全體系結(jié)構(gòu)主要從技術(shù)層面出發(fā)對(duì)網(wǎng)絡(luò)的安全防護(hù)問(wèn)題進(jìn)行討論，未考慮管理在安全防護(hù)中的地位和作用。面對(duì)更復(fù)雜更全面的安全保障要求，僅依靠 OSI 安全體系結(jié)構(gòu)是遠(yuǎn)遠(yuǎn)不夠的。2、P2DR 模型P2DR（Policy Protection Detection Response）模型是美國(guó)ISS 公司提出的動(dòng)態(tài)網(wǎng)絡(luò)安全體系模型。P2DR 模型建立在基于時(shí)間的安全理論基礎(chǔ)之上，將網(wǎng)絡(luò)安全的實(shí)施分為防護(hù)、檢測(cè)和響應(yīng)三個(gè)階段。在整體安全策略的指導(dǎo)下部署安全防護(hù)措施，實(shí)時(shí)檢測(cè)網(wǎng)絡(luò)中出現(xiàn)的風(fēng)險(xiǎn)，對(duì)風(fēng)險(xiǎn)及時(shí)進(jìn)行處置， 并對(duì)處置

10、過(guò)程中的經(jīng)驗(yàn)進(jìn)行總結(jié)以便對(duì)防護(hù)措施進(jìn)行調(diào)整和完善。這使得防護(hù)、檢測(cè)和響應(yīng)組成了如圖 2 所示的動(dòng)態(tài)安全循環(huán)，從而保證網(wǎng)絡(luò)的安全。圖 2 P2DR 模型P2DR 模型是一種基于閉環(huán)控制的動(dòng)態(tài)安全模型，適用于需要長(zhǎng)期持續(xù)安全防護(hù)的網(wǎng)絡(luò)系統(tǒng)。從總體上來(lái)講，該模型與 OSI 安全體系結(jié)構(gòu)一樣，都局限于從技術(shù)上考慮網(wǎng)絡(luò)的安全問(wèn)題，忽視了管理對(duì)于安全防護(hù)的重要性，在模型的具體實(shí)施過(guò)程中極有可能因安全策略執(zhí)行的不當(dāng)影響安全防 護(hù)效果。3、信息保障技術(shù)框架IATF（Information Assurance Technical Framework，信息保障技術(shù)框架）是美國(guó)國(guó)家安全局于 1998 年提出的，該框

11、架縱深防御策略KMI/PKI監(jiān)測(cè)&響應(yīng)計(jì)算環(huán)境網(wǎng)絡(luò)邊界支撐性基礎(chǔ)設(shè)施網(wǎng)絡(luò)&基礎(chǔ)設(shè)施縱深防御區(qū)域劃分操作技術(shù)人安全三要素安全保障提出保障信息系統(tǒng)安全應(yīng)具備的三個(gè)核心要素，即人、技術(shù)和操作。其中，人這一要素包括保障人身安全、對(duì)人員進(jìn)行培訓(xùn)、制定安全管理制度等，強(qiáng)調(diào)了人作為防護(hù)措施的具體實(shí)施者在安全防護(hù)中的重要地位。技術(shù)這一要素強(qiáng)調(diào)要在正確的安全策略指導(dǎo)下采取措施來(lái)為信息系統(tǒng)提供安全保障 服務(wù)并對(duì)入侵行為進(jìn)行檢測(cè)。操作這一要素則明確了要保證信息系統(tǒng)的日常安全應(yīng)采取的具體防護(hù)手段。此外，該框架將網(wǎng)絡(luò)系統(tǒng)的安全防護(hù)分為網(wǎng)絡(luò)和基礎(chǔ)設(shè)施防御、網(wǎng)絡(luò)邊界防御、局域計(jì)算環(huán)境防御和支撐性基礎(chǔ)設(shè)施防御四部分。在每個(gè)部

12、分中 IATF 都描述了其特有的安全需求和相應(yīng)的可供選擇的技術(shù)措施，為更好地理解網(wǎng)絡(luò)安全的不同方面、分析網(wǎng)絡(luò)系統(tǒng)的安全需求以及選取恰當(dāng)?shù)陌踩烙鶛C(jī)制提供了 依據(jù)。IATF 的具體內(nèi)容如圖 3 所示。圖 3 信息保障技術(shù)框架IATF 通過(guò)對(duì)上述四個(gè)部分分別部署安全保障機(jī)制，形成對(duì)網(wǎng)絡(luò)系統(tǒng)的縱深防御，從而降低安全風(fēng)險(xiǎn)，保障網(wǎng)絡(luò)系統(tǒng)的安全性。但 IATF 與 OSI 安全體系結(jié)構(gòu)一樣，實(shí)現(xiàn)的都是對(duì)網(wǎng)絡(luò)系統(tǒng)的靜態(tài)安全防護(hù)，并未對(duì)網(wǎng)絡(luò)系統(tǒng)部署動(dòng)態(tài)持續(xù)的安全防護(hù)措施。4、IEC62443管理信息層現(xiàn)場(chǎng)設(shè)備層Internet防火墻離心泵路由器數(shù)據(jù)單向傳輸裝置交換機(jī)路由器交換機(jī)PLC2斷路器身份認(rèn)證系統(tǒng)交換機(jī)

13、PLC3閘閥辦公終端遠(yuǎn)程訪問(wèn)公共歷史服務(wù)器服務(wù)器內(nèi)部歷史服務(wù)器服務(wù)器1入侵檢測(cè)PLC1工程師站操作員站現(xiàn)場(chǎng)控制層IEC62443 是國(guó)際電工委員會(huì)工業(yè)過(guò)程測(cè)量、控制與自動(dòng)化/網(wǎng)絡(luò)與系統(tǒng)信息安全工作組（IEC/TC65/WG10）與國(guó)際自動(dòng)化協(xié)會(huì)（ISA99）共同制定的工業(yè)控制系統(tǒng)安全防護(hù)系列標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)將工業(yè)控制系統(tǒng)按照控制和管理的等級(jí)劃分成相對(duì)封閉的區(qū)域，區(qū)域之間的數(shù)據(jù)通訊通過(guò)管道進(jìn)行，通過(guò)在管道上安裝信息安全管理設(shè)備來(lái)實(shí)現(xiàn)分級(jí)保護(hù)，進(jìn)而實(shí)現(xiàn)如圖 4 所示的控制系統(tǒng)的網(wǎng)絡(luò)安全縱深防御。圖 4 IEC62443 實(shí)施案例IEC62443 系列標(biāo)準(zhǔn)中對(duì)于安全技術(shù)與安全管理的實(shí)施均提出了要求，但從

14、總體上來(lái)看，與 OSI 安全體系結(jié)構(gòu)和IATF 一樣，實(shí)現(xiàn)的都是靜態(tài)安全防護(hù)。而工業(yè)互聯(lián)網(wǎng)的安全防護(hù)是一個(gè)動(dòng)態(tài)過(guò)程，需要根據(jù)外部環(huán)境的變化不斷進(jìn)行調(diào)整。在工業(yè)互聯(lián)網(wǎng)安全框架的設(shè)計(jì)中，需要將動(dòng)態(tài)防護(hù)的理念納入其中。（二）工業(yè)互聯(lián)網(wǎng)安全框架1、美國(guó)工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）的 IISF2016 年 9 月 19 日，美國(guó)工業(yè)互聯(lián)網(wǎng)聯(lián)盟（IIC）正式發(fā)布工業(yè)互聯(lián)網(wǎng)安全框架（IISF）1.0 版本，擬通過(guò)該框架的發(fā)布為工業(yè)互聯(lián)網(wǎng)安全研究與實(shí)施提供理論指導(dǎo)。IISF 的實(shí)現(xiàn)主要從功能視角出發(fā)，定義了如圖 5 所示的六個(gè)功能，即端點(diǎn)保護(hù)、通信&連接保護(hù)、安全監(jiān)測(cè)&分析、安全配置管理、數(shù)據(jù)保護(hù)以及安全模型&策

15、略，并將這六個(gè)功能分為三個(gè)層次。其中頂層包括端點(diǎn)保護(hù)、通信&連接保護(hù)、安全監(jiān)測(cè)&分析以及安全配置管理四個(gè)功能，為工業(yè)互聯(lián)網(wǎng)中的終端設(shè)備及設(shè)備之間的通信提供保護(hù)，對(duì)用于這些設(shè)備與通信的安全防護(hù)機(jī)制進(jìn)行配置，并監(jiān)測(cè)工業(yè)互聯(lián)網(wǎng)運(yùn)行過(guò)程中出現(xiàn)的安全風(fēng)險(xiǎn)。在四個(gè)功能之下是一個(gè)通用的數(shù)據(jù)保護(hù)層，對(duì)這四個(gè)功能中產(chǎn)生的數(shù)據(jù)提供保護(hù)。在最下層是覆蓋整個(gè)工業(yè)互聯(lián)網(wǎng)的安全模型與策略，它將上述五個(gè)功能緊密結(jié)合起來(lái)，實(shí)現(xiàn)端到端的安全防護(hù)。圖 5 美國(guó)工業(yè)互聯(lián)網(wǎng)安全實(shí)施框架總的來(lái)看，美國(guó) IISF 聚焦于 IT 安全，側(cè)重于安全實(shí)施， 明確了具體的安全措施，對(duì)于工業(yè)互聯(lián)網(wǎng)安全框架的設(shè)計(jì)具有很好的借鑒意義。2、德國(guó)工業(yè) 4

16、.0 安全框架德國(guó)工業(yè) 4.0 注重安全實(shí)施，由網(wǎng)絡(luò)安全組牽頭出版了工業(yè) 4.0 安全指南、跨企業(yè)安全通信、安全身份標(biāo)識(shí)等一系列指導(dǎo)性文件，指導(dǎo)企業(yè)加強(qiáng)安全防護(hù)。德國(guó)雖然從多個(gè)角度對(duì)安全提出了要求，但是并未形成成熟的安全體系框架。但安全作為新的商業(yè)模式的推動(dòng)者，在工業(yè) 4.0 參考架構(gòu)（RAMI 4.0）中起到了承載和連接所有結(jié)構(gòu)元素的骨架作用。德國(guó) RAMI 4.0 從 CPS 功能視角、全生命周期價(jià)值鏈視角和全層級(jí)工業(yè)系統(tǒng)視角三個(gè)視角構(gòu)建了如圖 6 所示的工業(yè)參考架構(gòu)。從 CPS 功能視角看，安全應(yīng)用于所有不同層次，因此安全風(fēng)險(xiǎn)必須做整體考慮；從全生命周期價(jià)值鏈視角看，對(duì)象的所有者必須考慮

17、全生命周期的安全性；從全層級(jí)工業(yè)系統(tǒng)視角看，需要對(duì)所有資產(chǎn)進(jìn)行安全風(fēng)險(xiǎn)分析，并對(duì)資產(chǎn)所有者提供實(shí)時(shí)保護(hù)措施。圖 6 工業(yè) 4.0 參考架構(gòu)（RAMI 4.0）德國(guó) RAMI 4.0 采用了分層的基本安全管理思路，側(cè)重于防護(hù)對(duì)象的管理。在工業(yè)互聯(lián)網(wǎng)安全框架的設(shè)計(jì)過(guò)程中可借鑒這一思路，并且從實(shí)施的角度將管理與技術(shù)相結(jié)合，更好地指導(dǎo)工業(yè)互聯(lián)網(wǎng)企業(yè)部署安全實(shí)施。（三）相關(guān)框架共性分析及經(jīng)驗(yàn)借鑒通過(guò)對(duì)以上相關(guān)網(wǎng)絡(luò)安全框架的分析，總結(jié)出以下三方面的共性特征，在工業(yè)互聯(lián)網(wǎng)安全框架的設(shè)計(jì)中值得思考并充分借鑒。1、分類別部署安全防護(hù)措施上述相關(guān)網(wǎng)絡(luò)安全框架中大多都體現(xiàn)出分類別部署安全防護(hù)措施的思想。例如在 OS

18、I 安全體系結(jié)構(gòu)中根據(jù)網(wǎng)絡(luò)層次的不同部署相應(yīng)的安全防護(hù)措施，IATF、IEC62443 通過(guò)劃分不同的功能域來(lái)部署相應(yīng)的安全防護(hù)措施，美國(guó) IISF 與德國(guó)工業(yè) 4.0 框架中則根據(jù)資產(chǎn)類型的不同分別闡述其安全防護(hù)措施。工業(yè)互聯(lián)網(wǎng)安全框架在設(shè)計(jì)時(shí)可根據(jù)防護(hù)對(duì)象的不同部署針對(duì)性的安全防護(hù)措施，更好地發(fā)揮安全防護(hù)措施的防護(hù)效果。構(gòu)建動(dòng)態(tài)安全模型成為主流P2DR 模型、美國(guó) IISF 及德國(guó)工業(yè) 4.0 框架中均強(qiáng)調(diào)對(duì)安全風(fēng)險(xiǎn)進(jìn)行持續(xù)的監(jiān)測(cè)與響應(yīng)，充分說(shuō)明相對(duì)安全觀已成為目前安全界的共識(shí)。為應(yīng)對(duì)不斷變化的安全風(fēng)險(xiǎn)，工業(yè)互聯(lián)網(wǎng)安全框架的設(shè)計(jì)需將動(dòng)態(tài)與持續(xù)性安全防護(hù)納入其中。技術(shù)手段與管理手段相結(jié)合IA

19、TF、IEC62443、美國(guó) IISF 及德國(guó)工業(yè) 4.0 框架等在設(shè)計(jì)過(guò)程中均強(qiáng)調(diào)了技術(shù)手段與管理手段相結(jié)合的重要性。設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)安全框架時(shí)，需充分借鑒技管相結(jié)合的思路， 雙重保障，從而更好地幫助工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)提升安全防護(hù)能力。三、 工業(yè)互聯(lián)網(wǎng)安全框架設(shè)計(jì)（一）設(shè)計(jì)思路本工業(yè)互聯(lián)網(wǎng)安全框架是在充分借鑒傳統(tǒng)網(wǎng)絡(luò)安全框 架和國(guó)外相關(guān)工業(yè)互聯(lián)網(wǎng)安全框架的基礎(chǔ)上，并結(jié)合我國(guó)工業(yè)互聯(lián)網(wǎng)的特點(diǎn)提出的，旨在指導(dǎo)工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)開(kāi)展安全防護(hù)體系建設(shè)，提升安全防護(hù)能力。對(duì)于工業(yè)互聯(lián)網(wǎng)安全框架的構(gòu)建，可以從以下三方面進(jìn)行闡述：第一，明確安全防護(hù)對(duì)象是前提。安全防護(hù)對(duì)象的確定是一個(gè)根本問(wèn)題，是明確工業(yè)互聯(lián)

20、網(wǎng)安全防護(hù)工作范疇的基礎(chǔ)，并為防護(hù)工作的實(shí)施指明方向。在傳統(tǒng)網(wǎng)絡(luò)安全框架與國(guó)外相關(guān)工業(yè)互聯(lián)網(wǎng)安全框架中，都明確界定了防護(hù)對(duì)象。2016 年 8 月工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）發(fā)布的工業(yè)互聯(lián)網(wǎng)體系架構(gòu)（版本 1.0）中的安全體系部分也從防護(hù)對(duì)象角度提出了工業(yè)互聯(lián)網(wǎng)安全的五大重點(diǎn)方向，即設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全和數(shù)據(jù)安全。因此本框架充分借鑒這一思路，將設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)作為工業(yè)互聯(lián)網(wǎng)安全防護(hù)的研究對(duì)象。第二，部署安全防護(hù)措施是關(guān)鍵。工業(yè)互聯(lián)網(wǎng)安全框架的實(shí)施離不開(kāi)安全防護(hù)措施的部署。在諸多傳統(tǒng)網(wǎng)絡(luò)安全框架中都將安全防護(hù)措施作為框架的重要組成部分。OSI 安全框架中闡述的安全服

21、務(wù)與安全機(jī)制即是針對(duì)不同防護(hù)對(duì)象部署了相應(yīng)的防護(hù)措施。在 P2DR 等安全模型中引入了動(dòng)態(tài)安全的理念，除了部署靜態(tài)的安全防護(hù)措施外，還增加了監(jiān)測(cè)響應(yīng)、處置恢復(fù)等環(huán)節(jié)，形成了動(dòng)態(tài)、閉環(huán)的安全防護(hù)部署機(jī)制。設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)安全框架的過(guò)程中，需要結(jié)合工業(yè)互聯(lián)網(wǎng)安全防護(hù)的特殊要求，采取靜態(tài)防護(hù)與動(dòng)態(tài)防護(hù)措施相結(jié)合的方式，及時(shí)發(fā)現(xiàn)并加以有效處置安全事件。第三，落實(shí)安全防護(hù)管理是重要保障。在網(wǎng)絡(luò)安全防護(hù)領(lǐng)域有“三分技術(shù)、七分管理”的傳統(tǒng)。傳統(tǒng)網(wǎng)絡(luò)安全框架IATF、IEC62443 等均強(qiáng)調(diào)了管理對(duì)于網(wǎng)絡(luò)安全防護(hù)的重要性。國(guó)外工業(yè)互聯(lián)網(wǎng)安全相關(guān)框架也將管理與技術(shù)相結(jié)合， 強(qiáng)調(diào)技術(shù)與管理并重。設(shè)計(jì)工業(yè)互聯(lián)網(wǎng)安全

22、框架的過(guò)程中， 需要將技術(shù)與管理有效結(jié)合，構(gòu)建科學(xué)完備的安全防護(hù)管理體系，指導(dǎo)工業(yè)互聯(lián)網(wǎng)相關(guān)企業(yè)提升安全防護(hù)管理水平。綜上所述，工業(yè)互聯(lián)網(wǎng)安全框架的構(gòu)建需要包含防護(hù)對(duì)象、防護(hù)措施以及防護(hù)管理三個(gè)方面，從三個(gè)不同的視角指導(dǎo)企業(yè)開(kāi)展工業(yè)互聯(lián)網(wǎng)安全防護(hù)工作。（二）安全框架工業(yè)互聯(lián)網(wǎng)安全框架從防護(hù)對(duì)象、防護(hù)措施及防護(hù)管理三個(gè)視角構(gòu)建。針對(duì)不同的防護(hù)對(duì)象部署相應(yīng)的安全防護(hù)措施，根據(jù)實(shí)時(shí)監(jiān)測(cè)結(jié)果發(fā)現(xiàn)網(wǎng)絡(luò)中存在的或即將發(fā)生的安全問(wèn)題并及時(shí)做出響應(yīng)。同時(shí)加強(qiáng)防護(hù)管理，明確基于安全目標(biāo)的可持續(xù)改進(jìn)的管理方針，從而保障工業(yè)互聯(lián)網(wǎng)的安全。 工業(yè)互聯(lián)網(wǎng)安全框架如圖 7 所示。圖 7 工業(yè)互聯(lián)網(wǎng)安全框架其中，防護(hù)對(duì)象視

23、角涵蓋設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用和數(shù) 據(jù)五大安全重點(diǎn)；防護(hù)措施視角包括威脅防護(hù)、監(jiān)測(cè)感知和 處置恢復(fù)三大環(huán)節(jié)，威脅防護(hù)環(huán)節(jié)針對(duì)五大防護(hù)對(duì)象部署主 被動(dòng)安全防護(hù)措施，監(jiān)測(cè)感知和處置恢復(fù)環(huán)節(jié)通過(guò)信息共享、監(jiān)測(cè)預(yù)警、應(yīng)急響應(yīng)等一系列安全措施、機(jī)制的部署增強(qiáng)動(dòng) 態(tài)安全防護(hù)能力；防護(hù)管理視角根據(jù)工業(yè)互聯(lián)網(wǎng)安全目標(biāo)對(duì) 其面臨的安全風(fēng)險(xiǎn)進(jìn)行安全評(píng)估，并選擇適當(dāng)?shù)陌踩呗宰?為指導(dǎo)，實(shí)現(xiàn)防護(hù)措施的有效部署。工業(yè)互聯(lián)網(wǎng)安全框架的三個(gè)防護(hù)視角之間相對(duì)獨(dú)立，但 彼此之間又相互關(guān)聯(lián)。從防護(hù)對(duì)象視角來(lái)看，安全框架中的 每個(gè)防護(hù)對(duì)象，都需要采用一系列合理的防護(hù)措施并依據(jù)完 備的防護(hù)管理流程對(duì)其進(jìn)行安全防護(hù)；從防護(hù)措施視角來(lái)看

24、，每一類防護(hù)措施都有其適用的防護(hù)對(duì)象，并在具體防護(hù)管理流程指導(dǎo)下發(fā)揮作用；從防護(hù)管理視角來(lái)看，防護(hù)管理流程的實(shí)現(xiàn)離不開(kāi)對(duì)防護(hù)對(duì)象的界定，并需要各類防護(hù)措施的有機(jī)結(jié)合使其能夠順利運(yùn)轉(zhuǎn)。工業(yè)互聯(lián)網(wǎng)安全框架的三個(gè)防護(hù)視角相輔相成、互為補(bǔ)充，形成一個(gè)完整、動(dòng)態(tài)、持續(xù)的防護(hù)體系。本工業(yè)互聯(lián)網(wǎng)安全框架與美國(guó) IIC 的IISF 雖呈現(xiàn)視角有 不同，但設(shè)計(jì)思路有共通之處，在防護(hù)內(nèi)容上也具有一定的 對(duì)應(yīng)關(guān)系。圖8 展示了工業(yè)互聯(lián)網(wǎng)安全框架與美國(guó)IIC 的IISF 之間的映射關(guān)系。其中，防護(hù)對(duì)象視角中的五大防護(hù)對(duì)象對(duì) 應(yīng)了美國(guó) IIC 的 IISF 中的端點(diǎn)保護(hù)、通信&連接保護(hù)以及數(shù)據(jù)保護(hù)中所界定的防護(hù)對(duì)象；防

25、護(hù)措施視角中的三類安全技 術(shù)手段與美國(guó) IIC 的 IISF 中的端點(diǎn)保護(hù)、通信&連接保護(hù)、數(shù)據(jù)保護(hù)、安全監(jiān)測(cè)&分析以及安全配置管理中提出的防護(hù) 技術(shù)手段相對(duì)應(yīng)；防護(hù)管理視角中的內(nèi)容與美國(guó) IIC 的 IISF 中的安全模型&策略具有對(duì)應(yīng)關(guān)系。由此可以看出，二者均 從指導(dǎo)企業(yè)開(kāi)展工業(yè)互聯(lián)網(wǎng)安全工作出發(fā)，強(qiáng)調(diào)技管結(jié)合、動(dòng)靜互補(bǔ)，持續(xù)提升企業(yè)的工業(yè)互聯(lián)網(wǎng)安全防護(hù)能力。工業(yè) 互聯(lián)網(wǎng)安全框架的提出，有助于深化我國(guó)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián) 盟與其他國(guó)際組織的合作與交流，對(duì)于我國(guó)企業(yè)與國(guó)際接軌、開(kāi)拓海外市場(chǎng)也具有積極意義。設(shè)備控制網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)131.防護(hù)對(duì)象視角：應(yīng) 用網(wǎng)數(shù)控 制絡(luò)據(jù)設(shè) 備處監(jiān) 置威 測(cè) 恢脅 感

26、 復(fù)防 知護(hù)22.防護(hù)措施視角：威脅防護(hù)監(jiān)測(cè)感知處置恢復(fù)3.防護(hù)管理視角：安全目標(biāo)、風(fēng)險(xiǎn)評(píng)估、安全策略防護(hù)對(duì)象映射防護(hù)措施映射防護(hù)管理映射圖 8 工業(yè)互聯(lián)網(wǎng)安全框架與美國(guó) IIC 的 IISF 的映射關(guān)系（三）防護(hù)對(duì)象視角防護(hù)對(duì)象視角主要包括設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)五大防護(hù)對(duì)象，如圖 9 所示。具體內(nèi)容包括：1、設(shè)備安全：包括工廠內(nèi)單點(diǎn)智能器件、成套智能終端等智能設(shè)備的安全，以及智能產(chǎn)品的安全，具體涉及操作系統(tǒng)/應(yīng)用軟件安全與硬件安全兩方面。2、控制安全：包括控制協(xié)議安全、控制軟件安全以及控制功能安全。3、網(wǎng)絡(luò)安全：包括承載工業(yè)智能生產(chǎn)和應(yīng)用的工廠內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)及標(biāo)識(shí)解析系統(tǒng)等的安全。

27、4、應(yīng)用安全：包括工業(yè)互聯(lián)網(wǎng)平臺(tái)安全與工業(yè)應(yīng)用程序安全。5、數(shù)據(jù)安全：包括涉及采集、傳輸、存儲(chǔ)、處理等各個(gè)環(huán)節(jié)的數(shù)據(jù)以及用戶信息的安全。圖 9 防護(hù)對(duì)象視角（四）防護(hù)措施視角為幫助相關(guān)企業(yè)應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)所面臨的各種挑戰(zhàn)，防護(hù)措施視角從生命周期、防御遞進(jìn)角度明確安全措施，實(shí)現(xiàn)動(dòng)態(tài)、高效的防御和響應(yīng)。防護(hù)措施視角主要包括威脅防護(hù)、監(jiān)測(cè)感知和處置恢復(fù)三大環(huán)節(jié)，如圖 10 所示。圖 10 防護(hù)措施視角1、威脅防護(hù)：針對(duì)五大防護(hù)對(duì)象，部署主被動(dòng)防護(hù)措施， 阻止外部入侵，構(gòu)建安全運(yùn)行環(huán)境，消減潛在安全風(fēng)險(xiǎn)。2、監(jiān)測(cè)感知：部署相應(yīng)的監(jiān)測(cè)措施，實(shí)時(shí)感知內(nèi)部、外部的安全風(fēng)險(xiǎn)。3、處置恢復(fù)：建立響應(yīng)恢復(fù)機(jī)制，及時(shí)

28、應(yīng)對(duì)安全威脅， 并及時(shí)優(yōu)化防護(hù)措施，形成閉環(huán)防御。（五）防護(hù)管理視角防護(hù)管理視角的設(shè)立，旨在指導(dǎo)企業(yè)構(gòu)建持續(xù)改進(jìn)的安全防護(hù)管理方針，在明確防護(hù)對(duì)象及其所需要達(dá)到的安全目標(biāo)后，對(duì)于其可能面臨的安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，找出當(dāng)前與安全目標(biāo)之間存在的差距，制定相應(yīng)的安全防護(hù)策略，提升安全防護(hù)能力，并在此過(guò)程中不斷對(duì)管理流程進(jìn)行改進(jìn)。防護(hù)措施視角的內(nèi)容如圖 11 所示。1、安全目標(biāo)圖 11 防護(hù)措施視角為確保工業(yè)互聯(lián)網(wǎng)的正常運(yùn)轉(zhuǎn)和安全可信，應(yīng)對(duì)工業(yè)互聯(lián)網(wǎng)設(shè)定合理的安全目標(biāo)，并根據(jù)相應(yīng)的安全目標(biāo)進(jìn)行風(fēng)險(xiǎn)評(píng)估和安全策略的選擇實(shí)施。工業(yè)互聯(lián)網(wǎng)安全目標(biāo)并非是單一的，需要結(jié)合工業(yè)互聯(lián)網(wǎng)不同的安全需求進(jìn)行明確。工業(yè)互聯(lián)網(wǎng)

29、安全包括保密性、完整性、可用性、可靠性、彈性和隱私安全六大目標(biāo)，這些目標(biāo)相互補(bǔ)充，共同構(gòu)成了保障工業(yè)互聯(lián)網(wǎng)安全的關(guān)鍵特性。保密性：確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)泄露給非授權(quán)用戶或?qū)嶓w。完整性：確保信息在存儲(chǔ)、使用、傳輸過(guò)程中不會(huì)被非授權(quán)用戶篡改，同時(shí)還要防止授權(quán)用戶對(duì)系統(tǒng)及信息進(jìn)行不恰當(dāng)?shù)拇鄹?，保持信息?nèi)、外部表示的一致性。可用性：確保授權(quán)用戶或?qū)嶓w對(duì)信息及資源的正常使用不會(huì)被異常拒絕，允許其可靠而及時(shí)地訪問(wèn)信息及資源。可靠性：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)在其壽命區(qū)間內(nèi)以及在正常運(yùn)行條件下能夠正確執(zhí)行指定功能。彈性：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)在受到攻擊或破壞后恢復(fù)正常功能。隱私安全：確保工業(yè)互聯(lián)網(wǎng)系統(tǒng)內(nèi)用

30、戶的隱私安全。2、風(fēng)險(xiǎn)評(píng)估為管控風(fēng)險(xiǎn)，必須定期對(duì)工業(yè)互聯(lián)網(wǎng)系統(tǒng)的各安全要素進(jìn)行風(fēng)險(xiǎn)評(píng)估。對(duì)應(yīng)工業(yè)互聯(lián)網(wǎng)整體安全目標(biāo)，分析整個(gè)工業(yè)互聯(lián)網(wǎng)系統(tǒng)的資產(chǎn)、脆弱性和威脅，評(píng)估安全隱患導(dǎo)致安全事件的可能性及影響，結(jié)合資產(chǎn)價(jià)值，明確風(fēng)險(xiǎn)的處置措施，包括預(yù)防、轉(zhuǎn)移、接受、補(bǔ)償、分散等，確保在工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)私密性、數(shù)據(jù)傳輸安全性、設(shè)備接入安全性、平臺(tái) 訪問(wèn)控制安全性、平臺(tái)攻擊防范安全性等方面提供可信服務(wù)， 并最終形成風(fēng)險(xiǎn)評(píng)估報(bào)告。3、安全策略工業(yè)互聯(lián)網(wǎng)安全防護(hù)的總體策略，是要構(gòu)建一個(gè)能覆蓋安全業(yè)務(wù)全生命周期的，以安全事件為核心，實(shí)現(xiàn)對(duì)安全事件的“預(yù)警、檢測(cè)、響應(yīng)”動(dòng)態(tài)防御體系。能夠在攻擊發(fā)生前進(jìn)行有效的預(yù)警和防

31、護(hù)，在攻擊中進(jìn)行有效的攻擊檢測(cè)， 在攻擊后能快速定位故障，進(jìn)行有效響應(yīng)，避免實(shí)質(zhì)損失的發(fā)生。安全策略中描述了工業(yè)互聯(lián)網(wǎng)總體的安全考慮，并定義了保證工業(yè)互聯(lián)網(wǎng)日常正常運(yùn)行的指導(dǎo)方針及安全模型。通過(guò)結(jié)合安全目標(biāo)以及風(fēng)險(xiǎn)評(píng)估結(jié)果，明確當(dāng)前工業(yè)互聯(lián)網(wǎng)各方面的安全策略，包括對(duì)設(shè)備、控制、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等防護(hù)對(duì)象應(yīng)采取的防護(hù)措施，以及監(jiān)測(cè)響應(yīng)及處置恢復(fù)措施等。同時(shí)，為打造持續(xù)安全的工業(yè)互聯(lián)網(wǎng)，面對(duì)不斷出現(xiàn)的新的威脅，需不斷完善安全策略。四、 工業(yè)互聯(lián)網(wǎng)安全防護(hù)措施實(shí)施工業(yè)互聯(lián)網(wǎng)安全框架在實(shí)施過(guò)程中的重點(diǎn)是針對(duì)防護(hù) 對(duì)象采取行之有效的防護(hù)措施。為此，本章針對(duì)工業(yè)互聯(lián)網(wǎng)安全的五大防護(hù)對(duì)象面臨的安全威脅，分別

32、介紹其可采取的安全防護(hù)措施，并對(duì)監(jiān)測(cè)感知與處置恢復(fù)兩類貫穿工業(yè)互聯(lián)網(wǎng)全系統(tǒng)的防護(hù)措施進(jìn)行介紹，為企業(yè)部署工業(yè)互聯(lián)網(wǎng)安全防護(hù)工作提供參考。（一）設(shè)備安全工業(yè)互聯(lián)網(wǎng)的發(fā)展使得現(xiàn)場(chǎng)設(shè)備由機(jī)械化向高度智能 化發(fā)生轉(zhuǎn)變，并產(chǎn)生了嵌入式操作系統(tǒng)+微處理器+應(yīng)用軟件的新模式，這就使得未來(lái)海量智能設(shè)備可能會(huì)直接暴露在網(wǎng)絡(luò)攻擊之下，面臨攻擊范圍擴(kuò)大、擴(kuò)散速度增加、漏洞影響擴(kuò)大等威脅。工業(yè)互聯(lián)網(wǎng)設(shè)備安全指工廠內(nèi)單點(diǎn)智能器件以及成套 智能終端等智能設(shè)備的安全，具體應(yīng)分別從操作系統(tǒng)/應(yīng)用軟件安全與硬件安全兩方面出發(fā)部署安全防護(hù)措施，可采用的安全機(jī)制包括固件安全增強(qiáng)、惡意軟件防護(hù)、設(shè)備身份鑒別與訪問(wèn)控制、漏洞修復(fù)等。1

33、、操作系統(tǒng)/應(yīng)用軟件安全固件安全增強(qiáng)工業(yè)互聯(lián)網(wǎng)設(shè)備供應(yīng)商需要采取措施對(duì)設(shè)備固件進(jìn)行 安全增強(qiáng)，阻止惡意代碼傳播與運(yùn)行。工業(yè)互聯(lián)網(wǎng)設(shè)備供應(yīng)商可從操作系統(tǒng)內(nèi)核、協(xié)議棧等方面進(jìn)行安全增強(qiáng)，并力爭(zhēng)實(shí)現(xiàn)對(duì)于設(shè)備固件的自主可控。漏洞修復(fù)加固設(shè)備操作系統(tǒng)與應(yīng)用軟件中出現(xiàn)的漏洞對(duì)于設(shè)備來(lái)說(shuō) 是最直接也是最致命的威脅。設(shè)備供應(yīng)商應(yīng)對(duì)工業(yè)現(xiàn)場(chǎng)中常見(jiàn)的設(shè)備與裝置進(jìn)行漏洞掃描與挖掘，發(fā)現(xiàn)操作系統(tǒng)與應(yīng)用軟件中存在的安全漏洞，并及時(shí)對(duì)其進(jìn)行修復(fù)。補(bǔ)丁升級(jí)管理工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)密切關(guān)注重大工業(yè)互聯(lián)網(wǎng)現(xiàn)場(chǎng)設(shè)備 的安全漏洞及補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級(jí)措施，并在補(bǔ)丁安裝前對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。2、硬件安全硬件安全增強(qiáng)

34、對(duì)于接入工業(yè)互聯(lián)網(wǎng)的現(xiàn)場(chǎng)設(shè)備，應(yīng)支持基于硬件特征的唯一標(biāo)識(shí)符，為包括工業(yè)互聯(lián)網(wǎng)平臺(tái)在內(nèi)的上層應(yīng)用提供基于硬件標(biāo)識(shí)的身份鑒別與訪問(wèn)控制能力，確保只有合法的設(shè)備能夠接入工業(yè)互聯(lián)網(wǎng)并根據(jù)既定的訪問(wèn)控制規(guī)則向其 他設(shè)備或上層應(yīng)用發(fā)送或讀取數(shù)據(jù)。此外，應(yīng)支持將硬件級(jí)部件（安全芯片或安全固件）作為系統(tǒng)信任根，為現(xiàn)場(chǎng)設(shè)備的安全啟動(dòng)以及數(shù)據(jù)傳輸機(jī)密性和完整性保護(hù)提供支持。運(yùn)維管控工業(yè)互聯(lián)網(wǎng)企業(yè)應(yīng)在工業(yè)現(xiàn)場(chǎng)網(wǎng)絡(luò)重要控制系統(tǒng)（如機(jī)組主控 DCS 系統(tǒng)）的工程師站、操作員站和歷史站部署運(yùn)維管控系統(tǒng)，實(shí)現(xiàn)對(duì)外部存儲(chǔ)器（如 U 盤(pán)）、鍵盤(pán)和鼠標(biāo)等使用 USB 接口的硬件設(shè)備的識(shí)別，對(duì)外部存儲(chǔ)器的使用進(jìn)行嚴(yán)格控制。同時(shí)，

35、注意部署的運(yùn)維管控系統(tǒng)不能影響生產(chǎn)控制區(qū)各系統(tǒng)的正常運(yùn)行。（二）控制安全工業(yè)互聯(lián)網(wǎng)使得生產(chǎn)控制由分層、封閉、局部逐步向扁平、開(kāi)放、全局方向發(fā)展。其中在控制環(huán)境方面表現(xiàn)為信息技術(shù)（IT）與操作技術(shù)（OT）融合，控制網(wǎng)絡(luò)由封閉走向開(kāi)放；在控制布局方面表現(xiàn)為控制范圍從局部擴(kuò)展至全局，并伴隨著控制監(jiān)測(cè)上移與實(shí)時(shí)控制下移。上述變化改變了傳統(tǒng)生產(chǎn)控制過(guò)程封閉、可信的特點(diǎn)，造成安全事件危害范圍擴(kuò)大、危害程度加深、信息安全與功能安全問(wèn)題交織等后果。對(duì)于工業(yè)互聯(lián)網(wǎng)控制安全防護(hù)，主要從控制協(xié)議安全、 控制軟件安全及控制功能安全三個(gè)方面考慮，可采用的安全機(jī)制包括協(xié)議安全加固、軟件安全加固、惡意軟件防護(hù)、補(bǔ)丁升級(jí)、漏

36、洞修復(fù)、安全監(jiān)測(cè)審計(jì)等。1、控制協(xié)議安全身份認(rèn)證為了確?？刂葡到y(tǒng)執(zhí)行的控制命令來(lái)自合法用戶，必須對(duì)使用系統(tǒng)的用戶進(jìn)行身份認(rèn)證，未經(jīng)認(rèn)證的用戶所發(fā)出的控制命令不被執(zhí)行。在控制協(xié)議通信過(guò)程中，一定要加入認(rèn)證方面的約束，避免攻擊者通過(guò)截獲報(bào)文獲取合法地址建立會(huì)話，影響控制過(guò)程安全。訪問(wèn)控制不同的操作類型需要不同權(quán)限的認(rèn)證用戶來(lái)操作，如果沒(méi)有基于角色的訪問(wèn)機(jī)制，沒(méi)有對(duì)用戶權(quán)限進(jìn)行劃分，會(huì)導(dǎo)致任意用戶可以執(zhí)行任意功能。傳輸加密在控制協(xié)議設(shè)計(jì)時(shí)，應(yīng)根據(jù)具體情況，采用適當(dāng)?shù)募用艽胧?，保證通信雙方的信息不被第三方非法獲取。健壯性測(cè)試控制協(xié)議在應(yīng)用到工業(yè)現(xiàn)場(chǎng)之前應(yīng)通過(guò)健壯性測(cè)試工 具的測(cè)試，測(cè)試內(nèi)容可包括風(fēng)暴測(cè)

37、試、飽和測(cè)試、語(yǔ)法測(cè)試、模糊測(cè)試等。2、控制軟件安全軟件防篡改工業(yè)互聯(lián)網(wǎng)中的控制軟件可歸納為數(shù)據(jù)采集軟件、組態(tài) 軟件、過(guò)程監(jiān)督與控制軟件、單元監(jiān)控軟件、過(guò)程仿真軟件、 過(guò)程優(yōu)化軟件、專家系統(tǒng)、人工智能軟件等類型。軟件防篡 改是保障控制軟件安全的重要環(huán)節(jié)，具體措施包括以下幾種：控制軟件在投入使用前應(yīng)進(jìn)行代碼測(cè)試，以檢查軟件中的公共缺陷。采用完整性校驗(yàn)措施對(duì)控制軟件進(jìn)行校驗(yàn)，及時(shí)發(fā)現(xiàn)軟件中存在的篡改情況。對(duì)控制軟件中的部分代碼進(jìn)行加密。做好控制軟件和組態(tài)程序的備份工作。認(rèn)證授權(quán)控制軟件的應(yīng)用要根據(jù)使用對(duì)象的不同設(shè)置不同的權(quán) 限，以最小的權(quán)限完成各自的任務(wù)。惡意軟件防護(hù)對(duì)于控制軟件應(yīng)采取惡意代碼檢測(cè)

38、、預(yù)防和恢復(fù)的控制措施。控制軟件惡意代碼防護(hù)具體措施包括：在控制軟件上安裝惡意代碼防護(hù)軟件或獨(dú)立部署惡 意代碼防護(hù)設(shè)備，并及時(shí)更新惡意代碼軟件和修復(fù)軟件版本和惡意代碼庫(kù)，更新前應(yīng)進(jìn)行安全性和兼容性測(cè)試。防護(hù)軟件包括病毒防護(hù)、入侵檢測(cè)、入侵防御等具有病毒查殺和阻止入侵行為的軟件；防護(hù)設(shè)備包括防火墻、網(wǎng)閘、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)等具有防護(hù)功能的設(shè)備。應(yīng)注意防止在實(shí)施維護(hù)和緊急規(guī)程期間引入惡意代碼。建議控制軟件的主要生產(chǎn)廠商采用特定的防病毒工具。在某些情況下，控制軟件的供應(yīng)商需要對(duì)其產(chǎn)品線的防 病毒工具版本進(jìn)行回歸測(cè)試，并提供相關(guān)的安裝和配置文檔。采用具有白名單機(jī)制的產(chǎn)品，構(gòu)建可信環(huán)境，抵御零日

39、漏洞和有針對(duì)性地攻擊。補(bǔ)丁升級(jí)更新控制軟件的變更和升級(jí)需要在測(cè)試系統(tǒng)中經(jīng)過(guò)仔細(xì)的 測(cè)試，并制定詳細(xì)的回退計(jì)劃。對(duì)重要的補(bǔ)丁需盡快測(cè)試和部署。對(duì)于服務(wù)包和一般補(bǔ)丁，僅對(duì)必要的補(bǔ)丁進(jìn)行測(cè)試和部署。漏洞修復(fù)加固控制軟件的供應(yīng)商應(yīng)及時(shí)對(duì)控制軟件中出現(xiàn)的漏洞進(jìn) 行修復(fù)或提供其他替代解決方案，如關(guān)閉可能被利用的端口等。協(xié)議過(guò)濾采用工業(yè)防火墻對(duì)協(xié)議進(jìn)行深度過(guò)濾，對(duì)控制軟件與設(shè)備間的通信內(nèi)容進(jìn)行實(shí)時(shí)跟蹤，同時(shí)確保協(xié)議過(guò)濾不得影響通信性能。安全監(jiān)測(cè)審計(jì)通過(guò)對(duì)工業(yè)互聯(lián)網(wǎng)中的控制軟件進(jìn)行安全監(jiān)測(cè)審計(jì)可 及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件，避免發(fā)生安全事故，并可以為安全事故的調(diào)查提供詳實(shí)的數(shù)據(jù)支持。目前許多安全產(chǎn)品廠商已推出了各自

40、的監(jiān)測(cè)審計(jì)平臺(tái)，可實(shí)現(xiàn)協(xié)議深度解析、攻擊異常檢測(cè)、無(wú)流量異常檢測(cè)、重要操作行為審計(jì)、告警日志審計(jì)等功能。3、控制功能安全要考慮功能安全和信息安全的協(xié)調(diào)能力，使得信息安全不影響功能安全，功能安全在信息安全的防護(hù)下更好地執(zhí)行安全功能?，F(xiàn)階段功能安全具體措施主要包括：確定可能的危險(xiǎn)源、危險(xiǎn)狀況和傷害事件，獲取已確定危險(xiǎn)的信息（如持續(xù)時(shí)間、強(qiáng)度、毒性、暴露限度、機(jī)械力、爆炸條件、反應(yīng)性、易燃性、脆弱性、信息丟失等）。確定控制軟件與其他設(shè)備或軟件（已安裝的或?qū)⒈话惭b的）以及與其他智能化系統(tǒng)（已安裝的或?qū)⒈话惭b的） 之間相互作用所產(chǎn)生的危險(xiǎn)狀況和傷害事件，確定引發(fā)事故的事件類型（如元器件失效、程序故障、人

41、為錯(cuò)誤，以及能導(dǎo)致危險(xiǎn)事件發(fā)生的相關(guān)失效機(jī)制）。結(jié)合典型生產(chǎn)工藝、加工制造過(guò)程、質(zhì)量管控等方面的特征，分析安全影響?？紤]自動(dòng)化、一體化、信息化可能導(dǎo)致的安全失控狀態(tài)，確定需要采用的監(jiān)測(cè)、預(yù)警或報(bào)警機(jī)制、故障診斷與恢復(fù)機(jī)制、數(shù)據(jù)收集與記錄機(jī)制等。明確操作人員在對(duì)智能化系統(tǒng)執(zhí)行操作過(guò)程中可 能產(chǎn)生的合理可預(yù)見(jiàn)的誤用以及智能化系統(tǒng)對(duì)于人員惡意 攻擊操作的防護(hù)能力。智能化裝備和智能化系統(tǒng)對(duì)于外界實(shí)物、電、磁場(chǎng)、輻射、火災(zāi)、地震等情況的抵抗或切斷能力，以及在發(fā)生異常擾動(dòng)或中斷時(shí)的檢測(cè)和處理能力。（三）網(wǎng)絡(luò)安全工業(yè)互聯(lián)網(wǎng)的發(fā)展使得工廠內(nèi)部網(wǎng)絡(luò)呈現(xiàn)出 IP 化、無(wú)線化、組網(wǎng)方式靈活化與全局化的特點(diǎn)，工廠外網(wǎng)

42、呈現(xiàn)出信息網(wǎng)絡(luò)與控制網(wǎng)絡(luò)逐漸融合、企業(yè)專網(wǎng)與互聯(lián)網(wǎng)逐漸融合以及產(chǎn)品服務(wù)日益互聯(lián)網(wǎng)化的特點(diǎn)。這就造成傳統(tǒng)互聯(lián)網(wǎng)中的網(wǎng)絡(luò)安全問(wèn)題開(kāi)始向工業(yè)互聯(lián)網(wǎng)蔓延，具體表現(xiàn)為以下幾個(gè)方面：工業(yè)互聯(lián)協(xié)議由專有協(xié)議向以太網(wǎng)/IP 協(xié)議轉(zhuǎn)變，導(dǎo)致攻擊門(mén)檻極大降低；現(xiàn)有一些 10M / 100M 工業(yè)以太網(wǎng)交換機(jī)（通常是非管理型交換機(jī)）缺乏抵御日益嚴(yán)重的 DDoS 攻擊的能力；工廠網(wǎng)絡(luò)互聯(lián)、生產(chǎn)、運(yùn)營(yíng)逐漸由靜態(tài)轉(zhuǎn)變?yōu)閯?dòng)態(tài)， 安全策略面臨嚴(yán)峻挑戰(zhàn)等。此外，隨著工廠業(yè)務(wù)的拓展和新技術(shù)的不斷應(yīng)用，今后還會(huì)面臨 5G/SDN 等新技術(shù)引入、工廠內(nèi)外網(wǎng)互聯(lián)互通進(jìn)一步深化等帶來(lái)的安全風(fēng)險(xiǎn)。工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全防護(hù)應(yīng)面向工廠內(nèi)部網(wǎng)絡(luò)、

43、外部網(wǎng) 絡(luò)及標(biāo)識(shí)解析系統(tǒng)等方面，具體包括網(wǎng)絡(luò)結(jié)構(gòu)優(yōu)化、邊界安 全防護(hù)、接入認(rèn)證、通信內(nèi)容防護(hù)、通信設(shè)備防護(hù)、安全監(jiān)測(cè)審計(jì)等多種防護(hù)措施，構(gòu)筑全面高效的網(wǎng)絡(luò)安全防護(hù)體系。優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)在網(wǎng)絡(luò)規(guī)劃階段，需設(shè)計(jì)合理的網(wǎng)絡(luò)結(jié)構(gòu)。一方面通過(guò)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)和標(biāo)識(shí)解析節(jié)點(diǎn)采用雙機(jī)熱備和負(fù)載均衡 等技術(shù)，應(yīng)對(duì)業(yè)務(wù)高峰時(shí)期突發(fā)的大數(shù)據(jù)流量和意外故障引發(fā)的業(yè)務(wù)連續(xù)性問(wèn)題，確保網(wǎng)絡(luò)長(zhǎng)期穩(wěn)定可靠運(yùn)行。另一方面通過(guò)合理的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)置提高網(wǎng)絡(luò)的靈活性和可擴(kuò)展 性，為后續(xù)網(wǎng)絡(luò)擴(kuò)容做好準(zhǔn)備。網(wǎng)絡(luò)邊界安全根據(jù)工業(yè)互聯(lián)網(wǎng)中網(wǎng)絡(luò)設(shè)備和業(yè)務(wù)系統(tǒng)的重要程度將整個(gè)網(wǎng)絡(luò)劃分成不同的安全域，形成縱深防御體系。安全域是一個(gè)邏輯區(qū)域，同一安

44、全域中的設(shè)備資產(chǎn)具有相同或相近的安全屬性，如安全級(jí)別、安全威脅、安全脆弱性等，同一安全域內(nèi)的系統(tǒng)相互信任。在安全域之間采用網(wǎng)絡(luò)邊界控制設(shè)備，以邏輯串接的方式進(jìn)行部署，對(duì)安全域邊界進(jìn)行監(jiān)視， 識(shí)別邊界上的入侵行為并進(jìn)行有效阻斷。網(wǎng)絡(luò)接入認(rèn)證接入網(wǎng)絡(luò)的設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)應(yīng)該具有唯一性標(biāo)識(shí)， 網(wǎng)絡(luò)應(yīng)對(duì)接入的設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)進(jìn)行身份認(rèn)證，保證合法接入和合法連接，對(duì)非法設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)的接入行為進(jìn)行阻斷與告警，形成網(wǎng)絡(luò)可信接入機(jī)制。網(wǎng)絡(luò)接入認(rèn)證可采用基于數(shù)字證書(shū)的身份認(rèn)證等機(jī)制來(lái)實(shí)現(xiàn)。通信和傳輸保護(hù)通信和傳輸保護(hù)是指采用相關(guān)技術(shù)手段來(lái)保證通信過(guò)程中的機(jī)密性、完整性和有效性，防止數(shù)據(jù)在網(wǎng)絡(luò)傳輸過(guò)程 中

45、被竊取或篡改，并保證合法用戶對(duì)信息和資源的有效使用。同時(shí)，在標(biāo)識(shí)解析體系的建設(shè)過(guò)程中，需要對(duì)解析節(jié)點(diǎn)中存 儲(chǔ)以及在解析過(guò)程中傳輸?shù)臄?shù)據(jù)進(jìn)行安全保護(hù)。具體包括：通過(guò)加密等方式保證非法竊取的網(wǎng)絡(luò)傳輸數(shù)據(jù)無(wú)法 被非法用戶識(shí)別和提取有效信息，確保數(shù)據(jù)加密不會(huì)對(duì)任何其他工業(yè)互聯(lián)網(wǎng)系統(tǒng)的性能產(chǎn)生負(fù)面影響。在標(biāo)識(shí)解析體系的各類解析節(jié)點(diǎn)與標(biāo)識(shí)查詢節(jié)點(diǎn)之間建立解析數(shù)據(jù)安全傳 輸通道，采用國(guó)密局批準(zhǔn)使用的加密算法及加密設(shè)備，為標(biāo)識(shí)解析請(qǐng)求及解析結(jié)果的傳輸提供機(jī)密性與完整性保障。網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)采取校驗(yàn)機(jī)制，確保被篡改的信息能夠被接收方有效鑒別。應(yīng)確保接收方能夠接收到網(wǎng)絡(luò)數(shù)據(jù)，并且能夠被合法用戶正常使用。網(wǎng)絡(luò)設(shè)備安全

46、防護(hù)為了提高網(wǎng)絡(luò)設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)自身的安全性，保障其正常運(yùn)行，網(wǎng)絡(luò)設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)需要采取一系列安全防護(hù)措施，主要包括：對(duì)登錄網(wǎng)絡(luò)設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)進(jìn)行運(yùn)維的用戶進(jìn) 行身份鑒別，并確保身份鑒別信息不易被破解與冒用；對(duì)遠(yuǎn)程登錄網(wǎng)絡(luò)設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)的源地址進(jìn)行 限制；對(duì)網(wǎng)絡(luò)設(shè)備與標(biāo)識(shí)解析節(jié)點(diǎn)的登錄過(guò)程采取完備的 登錄失敗處理措施；啟用安全的登錄方式（如 SSH 或 HTTPS 等）。安全監(jiān)測(cè)審計(jì)網(wǎng)絡(luò)安全監(jiān)測(cè)指通過(guò)漏洞掃描工具等方式探測(cè)網(wǎng)絡(luò)設(shè) 備與標(biāo)識(shí)解析節(jié)點(diǎn)的漏洞情況，并及時(shí)提供預(yù)警信息。網(wǎng)絡(luò)安全審計(jì)指通過(guò)鏡像或代理等方式分析網(wǎng)絡(luò)與標(biāo)識(shí)解析系統(tǒng)中的流量，并記錄網(wǎng)絡(luò)與標(biāo)識(shí)解析系統(tǒng)中的系統(tǒng)活動(dòng)和

47、用戶活動(dòng)等各類操作行為以及設(shè)備運(yùn)行信息，發(fā)現(xiàn)系統(tǒng)中現(xiàn)有的和潛在的安全威脅，實(shí)時(shí)分析網(wǎng)絡(luò)與標(biāo)識(shí)解析系統(tǒng)中發(fā)生的安全事件并告警。同時(shí)記錄內(nèi)部人員的錯(cuò)誤操作和越權(quán)操作，并進(jìn)行及時(shí)告警，減少內(nèi)部非惡意操作導(dǎo)致的安全隱患。（四）應(yīng)用安全工業(yè)互聯(lián)網(wǎng)應(yīng)用主要包括工業(yè)互聯(lián)網(wǎng)平臺(tái)與工業(yè)應(yīng)用 程序兩大類，其范圍覆蓋智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、個(gè)性化定制、服務(wù)化延伸等方面。目前工業(yè)互聯(lián)網(wǎng)平臺(tái)面臨的安全風(fēng)險(xiǎn)主要包括數(shù)據(jù)泄露、篡改、丟失、權(quán)限控制異常、系統(tǒng)漏洞利用、賬戶劫持、設(shè)備接入安全等。對(duì)工業(yè)應(yīng)用程序而言，最大的風(fēng)險(xiǎn)來(lái)自安全漏洞，包括開(kāi)發(fā)過(guò)程中編碼不符合安全規(guī)范而導(dǎo)致的軟件本身的漏洞以及由于使用不安全的 第三方庫(kù)而出現(xiàn)

48、的漏洞等。相應(yīng)地，工業(yè)互聯(lián)網(wǎng)應(yīng)用安全也應(yīng)從工業(yè)互聯(lián)網(wǎng)平臺(tái)安全與工業(yè)應(yīng)用程序安全兩方面進(jìn)行防護(hù)。對(duì)于工業(yè)互聯(lián)網(wǎng)平臺(tái)，可采取的安全措施包括安全審計(jì)、認(rèn)證授權(quán)、DDOS 攻擊防護(hù)等。對(duì)于工業(yè)應(yīng)用程序，建議采用全生命周期的安全防護(hù)，在應(yīng)用程序的開(kāi)發(fā)過(guò)程中進(jìn)行代碼審計(jì)并對(duì)開(kāi)發(fā)人員進(jìn)行培訓(xùn)，以減少漏洞的引入；對(duì)運(yùn)行中的應(yīng)用程序定期進(jìn)行漏洞排查，對(duì)應(yīng)用程序的內(nèi)部流程進(jìn)行審核和測(cè)試，并對(duì)公開(kāi)漏洞和后門(mén)并加以修補(bǔ)；對(duì)應(yīng)用程序的行為進(jìn)行實(shí)時(shí)監(jiān)測(cè)， 以發(fā)現(xiàn)可疑行為并進(jìn)行阻止，從而降低未公開(kāi)漏洞帶來(lái)的危 害。1、平臺(tái)安全安全審計(jì)安全審計(jì)主要是指對(duì)平臺(tái)中與安全有關(guān)的活動(dòng)的相關(guān) 信息進(jìn)行識(shí)別、記錄、存儲(chǔ)和分析。平臺(tái)建設(shè)過(guò)

49、程中應(yīng)考慮具備一定的安全審計(jì)功能，將平臺(tái)與安全有關(guān)的信息進(jìn)行有效識(shí)別、充分記錄、長(zhǎng)時(shí)間的存儲(chǔ)和自動(dòng)分析。能對(duì)平臺(tái)的安全狀況做到持續(xù)、動(dòng)態(tài)、實(shí)時(shí)的有依據(jù)的安全審計(jì)，并向用戶提供安全審計(jì)的標(biāo)準(zhǔn)和結(jié)果。認(rèn)證授權(quán)工業(yè)互聯(lián)網(wǎng)平臺(tái)用戶分屬不同企業(yè)，需要采取嚴(yán)格的認(rèn)證授權(quán)機(jī)制保證不同用戶能夠訪問(wèn)不同的數(shù)據(jù)資產(chǎn)。同時(shí)， 認(rèn)證授權(quán)需要采用更加靈活的方式，確保用戶間可以通過(guò)多種方式將數(shù)據(jù)資產(chǎn)分模塊分享給不同的合作伙伴。DDoS 防御部署 DDoS 防御系統(tǒng)，在遭受 DDoS 攻擊時(shí)，保證平臺(tái)用戶的正常使用。平臺(tái)抗 DDoS 的能力應(yīng)在用戶協(xié)議中作為產(chǎn)品技術(shù)參數(shù)的一部分明確指出。安全隔離平臺(tái)不同用戶之間應(yīng)當(dāng)采取必要

50、的措施實(shí)現(xiàn)充分隔離，防止蠕蟲(chóng)病毒等安全威脅通過(guò)平臺(tái)向不同用戶擴(kuò)散。平臺(tái)不同應(yīng)用之間也要采用嚴(yán)格的隔離措施，防止單個(gè)應(yīng)用的漏洞影響其他應(yīng)用甚至整個(gè)平臺(tái)的安全。安全監(jiān)測(cè)應(yīng)對(duì)平臺(tái)實(shí)施集中、實(shí)時(shí)的安全監(jiān)測(cè)，監(jiān)測(cè)內(nèi)容包括各種物理和虛擬資源的運(yùn)行狀態(tài)等。通過(guò)對(duì)系統(tǒng)運(yùn)行參數(shù)（如網(wǎng)絡(luò)流量、主機(jī)資源和存儲(chǔ)等）以及各類日志進(jìn)行分析，確保工業(yè)互聯(lián)網(wǎng)平臺(tái)提供商可執(zhí)行故障管理、性能管理和自動(dòng)檢修管理，從而實(shí)現(xiàn)平臺(tái)運(yùn)行狀態(tài)的實(shí)時(shí)監(jiān)測(cè)。補(bǔ)丁升級(jí)工業(yè)互聯(lián)網(wǎng)平臺(tái)搭建在眾多底層軟件和組件基礎(chǔ)之上。 由于工業(yè)生產(chǎn)對(duì)于運(yùn)行連續(xù)性的要求較高，中斷平臺(tái)運(yùn)行進(jìn)行補(bǔ)丁升級(jí)的代價(jià)較大。因此平臺(tái)在設(shè)計(jì)之初就應(yīng)當(dāng)充分考慮如何對(duì)平臺(tái)進(jìn)行補(bǔ)丁升級(jí)的問(wèn)

51、題。虛擬化安全虛擬化是邊緣計(jì)算和云計(jì)算的基礎(chǔ)，為避免虛擬化出現(xiàn)安全問(wèn)題影響上層平臺(tái)的安全，在平臺(tái)的安全防護(hù)中要充分考慮虛擬化安全。虛擬化安全的核心是實(shí)現(xiàn)不同層次及不同用戶的有效隔離，其安全增強(qiáng)可以通過(guò)采用虛擬化加固等防護(hù)措施來(lái)實(shí)現(xiàn)。2、工業(yè)應(yīng)用程序安全代碼審計(jì)代碼審計(jì)指檢查源代碼中的缺點(diǎn)和錯(cuò)誤信息，分析并找到這些問(wèn)題引發(fā)的安全漏洞，并提供代碼修訂措施和建議。 工業(yè)應(yīng)用程序在開(kāi)發(fā)過(guò)程中應(yīng)該進(jìn)行必要的代碼審計(jì)，發(fā)現(xiàn)代碼中存在的安全缺陷并給出相應(yīng)的修補(bǔ)建議。人員培訓(xùn)企業(yè)應(yīng)對(duì)工業(yè)應(yīng)用程序開(kāi)發(fā)者進(jìn)行軟件源代碼安全培訓(xùn)，包括：了解應(yīng)用程序安全開(kāi)發(fā)生命周期（SDL）的每個(gè) 環(huán)節(jié)，如何對(duì)應(yīng)用程序進(jìn)行安全架構(gòu)設(shè)

52、計(jì)，具備所使用編程 語(yǔ)言的安全編碼常識(shí)，了解常見(jiàn)源代碼安全漏洞的產(chǎn)生機(jī)理、導(dǎo)致后果及防范措施，熟悉安全開(kāi)發(fā)標(biāo)準(zhǔn)，指導(dǎo)開(kāi)發(fā)人員進(jìn) 行安全開(kāi)發(fā)，減少開(kāi)發(fā)者引入的漏洞和缺陷等，從而提高工 業(yè)應(yīng)用程序安全水平。漏洞發(fā)現(xiàn)漏洞發(fā)現(xiàn)是指基于漏洞數(shù)據(jù)庫(kù)，通過(guò)掃描等手段對(duì)指定工業(yè)應(yīng)用程序的安全脆弱性進(jìn)行檢測(cè)，發(fā)現(xiàn)可利用漏洞的一種安全檢測(cè)行為。在應(yīng)用程序上線前和運(yùn)行過(guò)程中，要定期對(duì)其進(jìn)行漏洞發(fā)現(xiàn)，及時(shí)發(fā)現(xiàn)漏洞并采取補(bǔ)救措施。審核測(cè)試對(duì)工業(yè)應(yīng)用程序進(jìn)行審核測(cè)試是為了發(fā)現(xiàn)功能和邏輯上的問(wèn)題。在上線前對(duì)其進(jìn)行必要的審核測(cè)試，有效避免信息泄露、資源浪費(fèi)或其他影響應(yīng)用程序可用性的安全隱患。行為監(jiān)測(cè)和異常阻止對(duì)工業(yè)應(yīng)用程序進(jìn)

53、行實(shí)時(shí)的行為監(jiān)測(cè)，通過(guò)靜態(tài)行為規(guī)則匹配或者機(jī)器學(xué)習(xí)的方法，發(fā)現(xiàn)異常行為，發(fā)出警告或者阻止高危行為，從而降低影響。（五）數(shù)據(jù)安全工業(yè)互聯(lián)網(wǎng)相關(guān)的數(shù)據(jù)按照其屬性或特征，可以分為四大類：設(shè)備數(shù)據(jù)、業(yè)務(wù)系統(tǒng)數(shù)據(jù)、知識(shí)庫(kù)數(shù)據(jù)、用戶個(gè)人數(shù)據(jù)。根據(jù)數(shù)據(jù)敏感程度的不同，可將工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)三種。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)涉及數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理等各個(gè)環(huán)節(jié)。隨著工廠數(shù)據(jù)由少量、單一、單向向大量、多維、雙向轉(zhuǎn)變，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)體量不斷增大、種類不斷增多、結(jié)構(gòu)日趨復(fù)雜，并出現(xiàn)數(shù)據(jù)在工廠內(nèi)部與外部網(wǎng)絡(luò)之間的雙向流動(dòng)共享。由此帶來(lái)的安全風(fēng)險(xiǎn)主要包括數(shù)據(jù)泄露、非授權(quán)分析、用戶個(gè)人信息泄露等。對(duì)于工

54、業(yè)互聯(lián)網(wǎng)的數(shù)據(jù)安全防護(hù)，應(yīng)采取明示用途、數(shù)據(jù)加密、訪問(wèn)控制、業(yè)務(wù)隔離、接入認(rèn)證、數(shù)據(jù)脫敏等多種防護(hù)措施，覆蓋包括數(shù)據(jù)收集、傳輸、存儲(chǔ)、處理等在內(nèi)的全生命周期的各個(gè)環(huán)節(jié)。數(shù)據(jù)收集工業(yè)互聯(lián)網(wǎng)平臺(tái)應(yīng)遵循合法、正當(dāng)、必要的原則收集與使用數(shù)據(jù)及用戶信息，公開(kāi)數(shù)據(jù)收集和使用的規(guī)則，向用戶明示收集使用數(shù)據(jù)的目的、方式和范圍，經(jīng)過(guò)用戶的明確授權(quán)同意并簽署相關(guān)協(xié)議后才能收集相關(guān)數(shù)據(jù)。授權(quán)協(xié)議必須遵循用戶意愿，不得以拒絕提供服務(wù)等形式強(qiáng)迫用戶同意數(shù)據(jù)采集協(xié)議。另外，工業(yè)互聯(lián)網(wǎng)平臺(tái)不得收集與其提供的服務(wù)無(wú)關(guān)的數(shù)據(jù)及用戶信息，不得違反法律、行政法規(guī)的規(guī)定和雙方約定收集、使用數(shù)據(jù)及用戶信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)

55、定和與用戶的約定處理其保存的數(shù)據(jù)及個(gè)人信息。數(shù)據(jù)傳輸為防止數(shù)據(jù)在傳輸過(guò)程中被竊聽(tīng)而泄露，工業(yè)互聯(lián)網(wǎng)服務(wù)提供商應(yīng)根據(jù)不同的數(shù)據(jù)類型以及業(yè)務(wù)部署情況，采用有效手段確保數(shù)據(jù)傳輸安全。例如通過(guò) SSL 保證網(wǎng)絡(luò)傳輸數(shù)據(jù)信息的機(jī)密性、完整性與可用性，實(shí)現(xiàn)對(duì)工業(yè)現(xiàn)場(chǎng)設(shè)備與工業(yè)互聯(lián)網(wǎng)平臺(tái)之間、工業(yè)互聯(lián)網(wǎng)平臺(tái)中虛擬機(jī)之間、虛擬機(jī)與存儲(chǔ)資源之間以及主機(jī)與網(wǎng)絡(luò)設(shè)備之間的數(shù)據(jù)安全傳輸， 并為平臺(tái)的維護(hù)管理提供數(shù)據(jù)加密通道，保障維護(hù)管理過(guò)程的數(shù)據(jù)傳輸安全。數(shù)據(jù)存儲(chǔ)訪問(wèn)控制數(shù)據(jù)訪問(wèn)控制需要保證不同安全域之間的數(shù)據(jù)不可直 接訪問(wèn)，避免存儲(chǔ)節(jié)點(diǎn)的非授權(quán)接入，同時(shí)避免對(duì)虛擬化環(huán)境數(shù)據(jù)的非授權(quán)訪問(wèn)。存儲(chǔ)業(yè)務(wù)的隔離借助交換機(jī)，將

56、數(shù)據(jù)根據(jù)訪問(wèn)邏輯劃分到不同的區(qū)域內(nèi)， 使得不同區(qū)域中的設(shè)備相互間不能直接訪問(wèn)，從而實(shí)現(xiàn)網(wǎng)絡(luò) 中設(shè)備之間的相互隔離。存儲(chǔ)節(jié)點(diǎn)接入認(rèn)證對(duì)于存儲(chǔ)節(jié)點(diǎn)的接入認(rèn)證可通過(guò)成熟的標(biāo)準(zhǔn)技術(shù)，包括iSCSI 協(xié)議本身的資源隔離、CHAP（Challenge Handshake Authentication Protocol）等，也可通過(guò)在網(wǎng)絡(luò)層面劃分 VLAN 或設(shè)置訪問(wèn)控制列表等來(lái)實(shí)現(xiàn)。虛擬化環(huán)境數(shù)據(jù)訪問(wèn)控制在虛擬化系統(tǒng)上對(duì)每個(gè)卷定義不同的訪問(wèn)策略，以保障沒(méi)有訪問(wèn)該卷權(quán)限的用戶不能訪問(wèn)，各個(gè)卷之間互相隔離。存儲(chǔ)加密工業(yè)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商可根據(jù)數(shù)據(jù)敏感度采用分等級(jí) 的加密存儲(chǔ)措施（如不加密、部分加密、完全加密等）

57、。建議平臺(tái)運(yùn)營(yíng)商按照國(guó)家密碼管理有關(guān)規(guī)定使用和管理密碼 設(shè)施，并按規(guī)定生成、使用和管理密鑰。同時(shí)針對(duì)數(shù)據(jù)在工業(yè)互聯(lián)網(wǎng)平臺(tái)之外加密之后再傳輸?shù)焦I(yè)互聯(lián)網(wǎng)平臺(tái)中存 儲(chǔ)的場(chǎng)景，應(yīng)確保工業(yè)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商或任何第三方無(wú)法對(duì)客戶的數(shù)據(jù)進(jìn)行解密。備份和恢復(fù)用戶數(shù)據(jù)作為用戶托管在工業(yè)互聯(lián)網(wǎng)服務(wù)提供商的數(shù)據(jù)資產(chǎn)，服務(wù)提供商有妥善保管的義務(wù)。應(yīng)當(dāng)采取技術(shù)措施 和其他必要措施，防止信息泄露、毀損、丟失。在發(fā)生或者 可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采 取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門(mén)報(bào)告。工業(yè)互聯(lián)網(wǎng)服務(wù)提供商應(yīng)當(dāng)根據(jù)用戶業(yè)務(wù)需求、與用戶簽訂的服務(wù)協(xié)議制定必要的數(shù)據(jù)備份策略，定期對(duì)數(shù)

58、據(jù)進(jìn)行備份。當(dāng)發(fā)生數(shù)據(jù)丟失事故時(shí)能及時(shí)恢復(fù)一定時(shí)間前備份的數(shù)據(jù)，從而降低用戶的損失。數(shù)據(jù)處理使用授權(quán)數(shù)據(jù)處理過(guò)程中，工業(yè)互聯(lián)網(wǎng)服務(wù)提供商要嚴(yán)格按照法 律法規(guī)以及在與用戶約定的范圍內(nèi)處理相關(guān)數(shù)據(jù)，不得擅自 擴(kuò)大數(shù)據(jù)使用范圍，使用中要采取必要的措施防止用戶數(shù)據(jù) 泄露。如果處理過(guò)程中發(fā)生大規(guī)模用戶數(shù)據(jù)泄露的安全事件， 應(yīng)當(dāng)及時(shí)告知用戶和上級(jí)主管部門(mén)，對(duì)于造成用戶經(jīng)濟(jì)損失 的應(yīng)當(dāng)給予賠償。數(shù)據(jù)銷毀在資源重新分配給新的租戶之前，必須對(duì)存儲(chǔ)空間中的數(shù)據(jù)進(jìn)行徹底擦除，防止被非法惡意恢復(fù)。應(yīng)根據(jù)不同的數(shù)據(jù)類型以及業(yè)務(wù)部署情況，選擇采用如下操作方式：在邏輯卷回收時(shí)對(duì)邏輯卷的所有 bit 位進(jìn)行清零，并利用“0”

59、或隨機(jī)數(shù)進(jìn)行多次覆寫(xiě)；在非高安全場(chǎng)景，系統(tǒng)默認(rèn)將邏輯卷的關(guān)鍵信息（如元數(shù)據(jù)、索引項(xiàng)、卷前 10M 等）進(jìn)行清零；在涉及敏感數(shù)據(jù)的高安全場(chǎng)景，當(dāng)數(shù)據(jù)中心的物理硬盤(pán)需要更換時(shí)系統(tǒng)管理員可采用消磁或物理粉碎等措施保證數(shù)據(jù)徹底清除。數(shù)據(jù)脫敏當(dāng)工業(yè)互聯(lián)網(wǎng)平臺(tái)中存儲(chǔ)的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)與用戶個(gè)人信息需要從平臺(tái)中輸出或與第三方應(yīng)用進(jìn)行共享時(shí)，應(yīng)當(dāng) 在輸出或共享前對(duì)這些數(shù)據(jù)進(jìn)行脫敏處理。脫敏應(yīng)采取不可 恢復(fù)的手段，避免數(shù)據(jù)分析方通過(guò)其他手段對(duì)敏感數(shù)據(jù)復(fù)原。此外數(shù)據(jù)脫敏后不應(yīng)影響業(yè)務(wù)連續(xù)性，避免對(duì)系統(tǒng)性能造成 較大影響。（六）監(jiān)測(cè)感知監(jiān)測(cè)感知是指部署相應(yīng)的監(jiān)測(cè)措施，主動(dòng)發(fā)現(xiàn)來(lái)自系統(tǒng)內(nèi)外部的安全風(fēng)險(xiǎn)，具體措施包括數(shù)據(jù)

60、采集、收集匯聚、特征提取、關(guān)聯(lián)分析、狀態(tài)感知等。數(shù)據(jù)采集數(shù)據(jù)采集指對(duì)工業(yè)現(xiàn)場(chǎng)網(wǎng)絡(luò)及工業(yè)互聯(lián)網(wǎng)平臺(tái)中各類 數(shù)據(jù)進(jìn)行采集，為網(wǎng)絡(luò)異常分析、設(shè)備預(yù)測(cè)性維護(hù)等提供數(shù)據(jù)來(lái)源。收集匯聚對(duì)于數(shù)據(jù)的收集匯聚主要分為兩個(gè)方面。一是對(duì)SCADA、MES、ERP 等工業(yè)控制系統(tǒng)及應(yīng)用系統(tǒng)所產(chǎn)生的關(guān)鍵工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行匯聚，包括產(chǎn)品全生命周期的各類數(shù)據(jù)的同步采集、管理、存儲(chǔ)及查詢，為后續(xù)過(guò)程提供數(shù)據(jù)來(lái)源。二是對(duì)全網(wǎng)流量進(jìn)行監(jiān)聽(tīng)，并將監(jiān)聽(tīng)過(guò)程中采集到的數(shù)據(jù)進(jìn)行匯聚。特征提取特征提取是指對(duì)數(shù)據(jù)特征進(jìn)行提取、篩選、分類、優(yōu)先級(jí)排序、可讀等處理，從而實(shí)現(xiàn)從數(shù)據(jù)到信息的轉(zhuǎn)化過(guò)程， 該過(guò)程主要是針對(duì)單個(gè)設(shè)備或單個(gè)網(wǎng)絡(luò)的縱向數(shù)據(jù)分