工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析安全風(fēng)險(xiǎn)分析模型研究

1

引言隨著工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的普及應(yīng)用，工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析安全關(guān)乎生產(chǎn)安全、社會(huì)安全甚至國(guó)家安全，其安全性將成為工業(yè)互聯(lián)網(wǎng)安全保障的關(guān)鍵。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)的重要組成部分，是設(shè)備、系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)互聯(lián)互通的關(guān)鍵。借助標(biāo)識(shí)解析體系，信息得以實(shí)現(xiàn)跨企業(yè)、跨行業(yè)、跨地域的共享和使用，企業(yè)得以實(shí)現(xiàn)全球供應(yīng)鏈系統(tǒng)和生產(chǎn)系統(tǒng)的精準(zhǔn)對(duì)接，實(shí)現(xiàn)智能化生產(chǎn)、個(gè)性化定制、重要產(chǎn)品追溯和產(chǎn)品全生命周期管理[1]。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析作為工業(yè)互聯(lián)網(wǎng)關(guān)鍵要素實(shí)現(xiàn)協(xié)同的“神經(jīng)樞紐”，一旦遭到入侵或攻擊，可能會(huì)對(duì)整個(gè)工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)造成重創(chuàng)，甚至對(duì)國(guó)家安全構(gòu)成威脅，加快推進(jìn)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析安全保障能力建設(shè)迫在眉睫?；诖?，本文創(chuàng)新型地提出了標(biāo)識(shí)解析安全風(fēng)險(xiǎn)分析模型，旨在標(biāo)識(shí)解析體系設(shè)計(jì)階段為相關(guān)企業(yè)提供參考和指導(dǎo)。2

風(fēng)險(xiǎn)分析模型設(shè)計(jì)2.1

設(shè)計(jì)思路本文中的工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)安全風(fēng)險(xiǎn)分析模型是在充分借鑒傳統(tǒng)互聯(lián)網(wǎng)和國(guó)內(nèi)外工業(yè)互聯(lián)網(wǎng)安全框架基礎(chǔ)上[2]，結(jié)合我國(guó)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解體系的特點(diǎn)提出，旨在為相關(guān)單位在工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系建設(shè)初期開(kāi)展安全風(fēng)險(xiǎn)防范工作提供參考和指導(dǎo)，從根源上把控風(fēng)險(xiǎn)，防范于未然，從而提升工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系安全防護(hù)能力。2.2

風(fēng)險(xiǎn)模型總體架構(gòu)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析風(fēng)險(xiǎn)模型從風(fēng)險(xiǎn)分析視角、風(fēng)險(xiǎn)管理視角和風(fēng)險(xiǎn)措施視角3個(gè)視角進(jìn)行構(gòu)建（見(jiàn)圖1）。圖1

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析安全風(fēng)險(xiǎn)模型總體架構(gòu)風(fēng)險(xiǎn)分析視角包括架構(gòu)安全風(fēng)險(xiǎn)分析、身份安全風(fēng)險(xiǎn)分析、數(shù)據(jù)安全風(fēng)險(xiǎn)分析和運(yùn)營(yíng)安全風(fēng)險(xiǎn)分析四大風(fēng)險(xiǎn)分析重點(diǎn)；風(fēng)險(xiǎn)管理視角包括風(fēng)險(xiǎn)目標(biāo)、風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)策略三大環(huán)節(jié)；風(fēng)險(xiǎn)防護(hù)視角包括行業(yè)監(jiān)管、安全監(jiān)測(cè)、態(tài)勢(shì)感知、威脅預(yù)警和響應(yīng)處置五大環(huán)節(jié)[3]。工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析風(fēng)險(xiǎn)模型的3個(gè)風(fēng)險(xiǎn)視角相對(duì)獨(dú)立，但彼此之間相互關(guān)聯(lián)、相輔相成，構(gòu)成一個(gè)有機(jī)整體。2.2.1

風(fēng)險(xiǎn)分析視角風(fēng)險(xiǎn)分析視角主要包括架構(gòu)安全風(fēng)險(xiǎn)分析、身份安全風(fēng)險(xiǎn)分析、數(shù)據(jù)安全風(fēng)險(xiǎn)分析、運(yùn)營(yíng)安全風(fēng)險(xiǎn)分析四大風(fēng)險(xiǎn)分析對(duì)象（見(jiàn)圖2）。圖2

風(fēng)險(xiǎn)分析視角安全風(fēng)險(xiǎn)模型（1）架構(gòu)安全風(fēng)險(xiǎn)分析主要包括節(jié)點(diǎn)可用性風(fēng)險(xiǎn)、節(jié)點(diǎn)間協(xié)同風(fēng)險(xiǎn)、關(guān)鍵節(jié)點(diǎn)關(guān)聯(lián)性風(fēng)險(xiǎn)等架構(gòu)安全風(fēng)險(xiǎn)分析。（2）身份安全風(fēng)險(xiǎn)分析主要包括涉及人、機(jī)、物3種角色的身份欺騙、越權(quán)訪問(wèn)、權(quán)限紊亂、設(shè)備漏洞4種身份風(fēng)險(xiǎn)分析[4]。（3）數(shù)據(jù)安全風(fēng)險(xiǎn)分析主要包括涉及標(biāo)識(shí)解析注冊(cè)數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)的數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露、數(shù)據(jù)丟失等數(shù)據(jù)安全風(fēng)險(xiǎn)分析。（4）運(yùn)營(yíng)安全風(fēng)險(xiǎn)分析主要為人員管理、機(jī)構(gòu)管理、流程管理等方面的運(yùn)營(yíng)安全風(fēng)險(xiǎn)分析。2.2.2

風(fēng)險(xiǎn)管理視角風(fēng)險(xiǎn)管理視角旨在指導(dǎo)構(gòu)建持續(xù)改進(jìn)的風(fēng)險(xiǎn)管控管理機(jī)制，提升風(fēng)險(xiǎn)管控水平（見(jiàn)圖3）。圖3

風(fēng)險(xiǎn)管理視角安全風(fēng)險(xiǎn)模型（1）風(fēng)險(xiǎn)目標(biāo)指需要確立工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析風(fēng)險(xiǎn)評(píng)估和業(yè)務(wù)保障的對(duì)象。（2）指標(biāo)體系是根據(jù)風(fēng)險(xiǎn)目標(biāo)確定風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。（3）風(fēng)險(xiǎn)識(shí)別是針對(duì)風(fēng)險(xiǎn)目標(biāo)識(shí)別可能的風(fēng)險(xiǎn)。（4）風(fēng)險(xiǎn)策略指針對(duì)風(fēng)險(xiǎn)目標(biāo)可能的風(fēng)險(xiǎn)指定相應(yīng)的安全防護(hù)策略。2.2.3

風(fēng)險(xiǎn)防護(hù)視角針對(duì)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系面臨的各種風(fēng)險(xiǎn)，風(fēng)險(xiǎn)防護(hù)視角從全生命周期角度明確方法指引，實(shí)現(xiàn)閉環(huán)管理和風(fēng)險(xiǎn)管控。風(fēng)險(xiǎn)措施視角主要包括行業(yè)監(jiān)管、安全監(jiān)測(cè)、態(tài)勢(shì)感知、威脅預(yù)警和響應(yīng)處置五大環(huán)節(jié)（見(jiàn)圖4）。圖4

風(fēng)險(xiǎn)防護(hù)視角安全風(fēng)險(xiǎn)模型（1）行業(yè)監(jiān)管指統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一指揮、建立聯(lián)動(dòng)監(jiān)管機(jī)制。（2）安全監(jiān)測(cè)是針對(duì)四大風(fēng)險(xiǎn)分析對(duì)象進(jìn)行風(fēng)險(xiǎn)監(jiān)測(cè)。（3）態(tài)勢(shì)感知指部署響應(yīng)的監(jiān)測(cè)措施實(shí)時(shí)感知安全風(fēng)險(xiǎn)。（4）威脅預(yù)警主要針對(duì)態(tài)勢(shì)感知發(fā)現(xiàn)的風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)預(yù)警。（5）響應(yīng)處置是通過(guò)建立響應(yīng)處置機(jī)制及時(shí)應(yīng)對(duì)安全風(fēng)險(xiǎn)。3

風(fēng)險(xiǎn)分析模型主要研究工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析安全風(fēng)險(xiǎn)，本文僅針對(duì)風(fēng)險(xiǎn)模型中的風(fēng)險(xiǎn)分析視角進(jìn)行介紹。3.1

架構(gòu)風(fēng)險(xiǎn)分析標(biāo)識(shí)解析體系從架構(gòu)上而言，是一個(gè)樹(shù)形分層型架構(gòu)，從邏輯上而言是一個(gè)分布式信息系統(tǒng)。如圖5所示，工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系架構(gòu)主要包括客戶端、解析服務(wù)器、鏡像服務(wù)器、代理服務(wù)器、緩存服務(wù)器，該架構(gòu)的安全性在事務(wù)的每一步都依賴于這些部件的安全性，當(dāng)體系架構(gòu)的某一層節(jié)點(diǎn)出現(xiàn)問(wèn)題時(shí)，就會(huì)對(duì)整個(gè)架構(gòu)的安全性產(chǎn)生一定程度的威脅。圖5

工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系架構(gòu)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系架構(gòu)面臨的風(fēng)險(xiǎn)很多，如節(jié)點(diǎn)可用性風(fēng)險(xiǎn)、節(jié)點(diǎn)間協(xié)同性風(fēng)險(xiǎn)、關(guān)鍵節(jié)點(diǎn)關(guān)聯(lián)性風(fēng)險(xiǎn)等。（1）節(jié)點(diǎn)可用性風(fēng)險(xiǎn)：是指解析體系架構(gòu)的每一層中每種節(jié)點(diǎn)在可用性方面面臨的風(fēng)險(xiǎn)，如果節(jié)點(diǎn)受到攻擊，那么該節(jié)點(diǎn)的可用性會(huì)受到威脅，造成節(jié)點(diǎn)功能失效或者不可達(dá)。具體而言，節(jié)點(diǎn)的可用性風(fēng)險(xiǎn)主要為DDoS攻擊。（2）節(jié)點(diǎn)間協(xié)同性風(fēng)險(xiǎn)：是指對(duì)于解析體系的分布式特點(diǎn)，如果在解析過(guò)程中，節(jié)點(diǎn)協(xié)同性出現(xiàn)問(wèn)題，就會(huì)造成數(shù)據(jù)同步或者復(fù)制內(nèi)容過(guò)程出現(xiàn)延遲現(xiàn)象，導(dǎo)致數(shù)據(jù)不一致或者數(shù)據(jù)完整性出現(xiàn)問(wèn)題；節(jié)點(diǎn)間協(xié)同風(fēng)險(xiǎn)主要包括代理服務(wù)延遲、鏡像服務(wù)器延遲等。（3）關(guān)鍵節(jié)點(diǎn)關(guān)聯(lián)性風(fēng)險(xiǎn)：是指標(biāo)識(shí)解析體系架構(gòu)中某些關(guān)鍵節(jié)點(diǎn)出現(xiàn)問(wèn)題，將會(huì)導(dǎo)致影響其他節(jié)點(diǎn)的功能，最終削弱了穩(wěn)定性或者健壯性。關(guān)鍵節(jié)點(diǎn)關(guān)聯(lián)性風(fēng)險(xiǎn)主要表現(xiàn)為緩存擊穿、緩存穿透、反射/放大攻擊3種形式。3.2

身份安全風(fēng)險(xiǎn)分析身份安全是工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析的門(mén)戶，用戶使用系統(tǒng)首先要進(jìn)行身份認(rèn)證，身份的重要性不言而喻。本文從人、機(jī)、物的角度討論標(biāo)識(shí)解析系統(tǒng)中各種角色的身份以及其對(duì)應(yīng)的風(fēng)險(xiǎn)點(diǎn)。不同的角色擁有不同的級(jí)別和不同種類(lèi)的權(quán)限，標(biāo)識(shí)解析系統(tǒng)中各種風(fēng)險(xiǎn)點(diǎn)都可造成權(quán)限或信任受到侵害。針對(duì)人、機(jī)、物3種身份，每種身份對(duì)應(yīng)的主要風(fēng)險(xiǎn)點(diǎn)如表1所示。表1

標(biāo)識(shí)身份安全風(fēng)險(xiǎn)（1）身份欺騙在工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析系統(tǒng)中也可以叫標(biāo)識(shí)欺騙，因?yàn)闃?biāo)識(shí)解析系統(tǒng)所有的身份都是以標(biāo)識(shí)來(lái)表示。本文將從人、機(jī)、物的角度來(lái)對(duì)身份欺騙進(jìn)行分析。（2）越權(quán)訪問(wèn)：主要是指能訪問(wèn)超過(guò)用戶本身權(quán)限的資源。例如，標(biāo)識(shí)管理員應(yīng)該只有管理標(biāo)識(shí)的功能沒(méi)有普通用戶的功能，如果標(biāo)識(shí)管理員出現(xiàn)了普通用戶的功能，就是越權(quán)訪問(wèn)。（3）權(quán)限紊亂：使用標(biāo)識(shí)解析服務(wù)的設(shè)備和人員眾多，最小時(shí)間和資源范圍授權(quán)有效但授權(quán)繁雜，攻擊者可以通過(guò)注入、滲透等方式繞過(guò)權(quán)限管理，從而進(jìn)入系統(tǒng)。（4）設(shè)備漏洞：主要是指標(biāo)識(shí)解析系統(tǒng)中的服務(wù)器、客戶端或者終端可能存在安全漏洞或使用含已知漏洞的組件，導(dǎo)致攻擊者通過(guò)已知漏洞繞過(guò)設(shè)定的訪問(wèn)控制策略，遠(yuǎn)程控制、入侵或篡改設(shè)備以及設(shè)備標(biāo)識(shí)數(shù)據(jù)。3.3

數(shù)據(jù)風(fēng)險(xiǎn)分析工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析涉及標(biāo)識(shí)注冊(cè)數(shù)據(jù)、標(biāo)識(shí)解析數(shù)據(jù)和日志數(shù)據(jù)共3類(lèi)數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)分析。在網(wǎng)絡(luò)安全中，數(shù)據(jù)安全的能力包括數(shù)據(jù)的完整性、機(jī)密性和可用性3個(gè)維度。根據(jù)GB/T37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》，標(biāo)識(shí)解析數(shù)據(jù)安全涉及到數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)使用、數(shù)據(jù)交換和數(shù)據(jù)銷(xiāo)毀等環(huán)節(jié)。基于以上數(shù)據(jù)安全維度，標(biāo)識(shí)解析數(shù)據(jù)安全風(fēng)險(xiǎn)主要包括數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露和數(shù)據(jù)丟失4類(lèi)。（1）數(shù)據(jù)竊取：工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析數(shù)據(jù)竊取風(fēng)險(xiǎn)主要是破壞數(shù)據(jù)的機(jī)密性，數(shù)據(jù)被非授權(quán)用戶獲得，使得標(biāo)識(shí)注冊(cè)數(shù)據(jù)、標(biāo)識(shí)解析數(shù)據(jù)或日志數(shù)據(jù)外泄，數(shù)據(jù)竊取風(fēng)險(xiǎn)可能發(fā)生在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)交換和數(shù)據(jù)存儲(chǔ)環(huán)節(jié)。（2）數(shù)據(jù)篡改：工業(yè)互聯(lián)網(wǎng)設(shè)備在接入工業(yè)互聯(lián)網(wǎng)絡(luò)時(shí)，攻擊者有機(jī)會(huì)通過(guò)物理方式或者遠(yuǎn)程接入互聯(lián)的設(shè)備，對(duì)設(shè)備中存儲(chǔ)的標(biāo)識(shí)注冊(cè)數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)進(jìn)行讀取、篡改、偽造等操作。（3）隱私數(shù)據(jù)泄露：在標(biāo)識(shí)數(shù)據(jù)使用過(guò)程中，在沒(méi)有有效的安全防護(hù)措施的情況下，很容易導(dǎo)致工業(yè)企業(yè)關(guān)鍵設(shè)備數(shù)據(jù)、產(chǎn)品數(shù)據(jù)、管理數(shù)據(jù)、客戶數(shù)據(jù)等隱私數(shù)據(jù)的泄露，從而為企業(yè)、個(gè)人帶來(lái)重大損失，甚至可能會(huì)給國(guó)家?guī)?lái)不可估量的損失。（4）數(shù)據(jù)丟失：在標(biāo)識(shí)數(shù)據(jù)使用過(guò)程中，如果沒(méi)有安全的保護(hù)措施和合理的備份情況下，不法分子通過(guò)對(duì)緩存或代理服務(wù)器進(jìn)行攻擊獲取了權(quán)限后惡意刪除數(shù)據(jù)，服務(wù)器遇到自然災(zāi)害造成數(shù)據(jù)丟失，操作人員誤刪數(shù)據(jù)，導(dǎo)致工業(yè)企業(yè)關(guān)鍵設(shè)備數(shù)據(jù)、關(guān)鍵產(chǎn)品數(shù)據(jù)、用戶數(shù)據(jù)等重要數(shù)據(jù)丟失并無(wú)法恢復(fù)，對(duì)工業(yè)企業(yè)造成巨大的損失。3.4

運(yùn)營(yíng)風(fēng)險(xiǎn)分析運(yùn)營(yíng)風(fēng)險(xiǎn)管理起到對(duì)二級(jí)節(jié)點(diǎn)運(yùn)營(yíng)風(fēng)險(xiǎn)進(jìn)行識(shí)別、衡量、監(jiān)督、控制和報(bào)告的作用。隨著標(biāo)識(shí)生態(tài)的形成，參與者角色不斷豐富，規(guī)模不斷擴(kuò)大。用戶體量和系統(tǒng)規(guī)模的持續(xù)壯大，給標(biāo)識(shí)解析體系的運(yùn)營(yíng)帶來(lái)新的挑戰(zhàn)。來(lái)自內(nèi)部與外部的風(fēng)險(xiǎn)，都將影響整個(gè)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析體系的安全可控運(yùn)營(yíng)，運(yùn)營(yíng)風(fēng)險(xiǎn)主要存在于對(duì)人員管理、分支機(jī)構(gòu)管理以及流程管理。（1）人員管理風(fēng)險(xiǎn)：標(biāo)識(shí)解析體系的運(yùn)營(yíng)具有高可靠性和高安全性的要求，所有有權(quán)使用或控制那些可能影響標(biāo)識(shí)分配、標(biāo)識(shí)解析、業(yè)務(wù)管理、數(shù)據(jù)管理等操作的員工、第三方服務(wù)人員等（統(tǒng)稱“人員”）都會(huì)影響系統(tǒng)的正常運(yùn)營(yíng)，統(tǒng)稱為可信角色。人員管理風(fēng)險(xiǎn)主要包括角色鑒別風(fēng)險(xiǎn)、關(guān)鍵崗位角色管理風(fēng)險(xiǎn)、人員操作風(fēng)險(xiǎn)、人員控制風(fēng)險(xiǎn)。（2）分支機(jī)構(gòu)管理風(fēng)險(xiǎn)分析：主要指在標(biāo)識(shí)解析體系眾多環(huán)節(jié)上提供相應(yīng)標(biāo)識(shí)服務(wù)的實(shí)體/機(jī)構(gòu)的生命周期管理風(fēng)險(xiǎn)。分支機(jī)構(gòu)管理風(fēng)險(xiǎn)主要包括分支機(jī)構(gòu)的授權(quán)風(fēng)險(xiǎn)、分支機(jī)構(gòu)的運(yùn)行風(fēng)險(xiǎn)、分支機(jī)構(gòu)的服務(wù)終止風(fēng)險(xiǎn)。（3）流程管理風(fēng)險(xiǎn)：系統(tǒng)的運(yùn)營(yíng)是由一系列業(yè)務(wù)流程所組成的集合，缺乏必要的業(yè)務(wù)流程管理，會(huì)導(dǎo)致運(yùn)營(yíng)人員在執(zhí)行工作時(shí)，只是依據(jù)經(jīng)驗(yàn)執(zhí)行，具有較大的隨意性，給系統(tǒng)運(yùn)營(yíng)帶來(lái)風(fēng)險(xiǎn)，主要為二級(jí)節(jié)點(diǎn)申請(qǐng)流程管理風(fēng)險(xiǎn)。4