工業互聯網的安全研究與實踐

李鴻培　北京奇虎科技有限公司李　強　360企業安全集團

?

工業互聯網的安全研究與實踐

李鴻培北京奇虎科技有限公司
李強360企業安全集團

在分析工業互聯網所面臨的信息安全風險的基礎上，針對工業互聯網信息安全保障體系的建設思路進行了探討；其次介紹了360公司在工業互聯網安全方面的安全理念及實踐；最后為工業互聯網的安全研究及安全能力建設工作提出了一些建議。

工業互聯網；信息安全體系；安全建議

1　引言

工業互聯網是互聯網和新一代信息技術與工業系統全方位深度融合所形成的產業和應用形態，是提升工業系統智能化能力的關鍵信息基礎設施。隨著德國提出工業4.0、美國提出工業互聯網、中國提出“互聯網+”及“中國制造2025”戰略計劃，全球工業領域的信息化正日益受到重視，工業生產正從以往基于計算機的設備自動化模式逐步轉向以互聯網為基礎的網絡化、智能化生產的方式。工業互聯網已成為工業化與信息化融合的基礎，互聯網、物聯網、云、大數據等當前最新技術的應用構建出新型的工業生產環境——虛擬物理系統（CPS），形成工業生產消費過程中的人與人、人與物、物與物廣泛互聯的萬物互聯的新時代。

在此背景下，電力、石化、交通、市政及關鍵制造業等國家關鍵基礎行業對信息網絡的依賴越來越強，相關行業的工業控制系統間也日益通過信息網絡來實現信息互聯互通及遠程控制。因此，工控系統將不能僅從系統可靠性的角度關注功能安全問題，更要注意防范來自網絡空間的黑客攻擊以及病毒、木馬、蠕蟲等惡意代碼的蓄意破壞，而這將成為當前保障工業系統安全的重要工作。工業互聯網產業聯盟（AII）在其論述工業互聯網體系架構的技術報告中，就明確地提出“網絡是基礎、數據是核心、安全是保障”，已經把安全作為工業互聯網的三大共性要素之一，其對安全問題的重視程度不言而喻。

本文將重點探討工業互聯網所面臨的信息安全風險、防護策略及安全實踐。

2　工業互聯網所面臨的信息安全風險

智慧城市、智能電網、智能家居、車聯網、移動互聯網、智能工廠以及與個人相關的聯網可穿戴設備的廣泛使用，已經表明在當前網絡連接無處不在。工業互聯網的發展將使得連入互聯網的工業系統/設備越來越多，導致以前相對封閉獨立的工業網絡及設備大量暴露在互聯網上。對此，國內外多個從事互聯網上設備的搜索引擎（如國外的Shodan、國內的ZoomEye、諦聽等）都能夠搜索發現大量暴露在互聯網上的工控設備的情況，圖1是諦聽團隊對暴露在互聯網上的工業設備分布的統計分析結果。顯然工業互聯網在通過工業系統間互聯提升工業系統間智能化協同、提升生產效率的同時，也可能會導致工業系統暴露在互聯網上，這可能導致別有用心的人能夠從互聯網上發現、訪問這些系統。

加上以往工業設備因只關注系統功能實現，普遍缺乏對系統安全問題的重視，使得這些聯網的工業設備自身的脆弱性也很嚴重。根據筆者前幾年的研究報告可知：自從2010年震網事件之后，CVE統計的公開ICS系統漏洞數（每年新增）已呈急速增長的趨勢（見圖2），據CNCERT的漏洞庫CNVD的統計數據，近年來工控系統相關的漏洞累計已有近千條，并且多為高風險級別的漏洞。而且這些工控設備因種種原因不能及時實現系統更新/或打補丁，多數情況下只能“帶病”運行，其面臨安全風險可想而知。

顯然，暴露在互聯網上的工業系統或設備，必然會因其自身脆弱性被利用而大大增加遭受網絡攻擊的風險。

圖1　暴露在互聯網上的工業設備統計分析（源自：諦聽）

圖2　CVE公開的ICS系統漏洞數的年度新增趨勢

2.1互聯導致的潛在攻擊威脅

從工業互聯網產業聯盟提出的工業互聯網整體網絡架構可知，智能工廠內及工廠間的IT與OT系統存在廣泛的互聯，打破了以往OT系統相對封閉的安全生態，再加上關鍵的工業系統對國計民生的重要性，近年來已成為網絡黑客們研究攻擊的重點對象，針對工業控制系統的潛在攻擊威脅來源，孟雅輝等人在其文章中進行了較為詳細的分析（見圖3）。工業互聯網系統間的互聯特性，將使其核心工業生產控制系統面臨更多的安全威脅。不僅工業控制系統脆弱性（漏洞）被分析暴露的越來越多，而且相關安全事件也呈快速增長的趨勢，一些用于控制工控系統的惡意軟件及相關安全事件也被陸續曝光，如Stuxnet、Duqu、Havex等（見圖4）。其中，2010年震網病毒攻擊伊朗核電站，使8000臺離心機損壞；2014年Havex則利用供應商軟件網站的“水坑攻擊”，影響了歐美1000多家能源企業（供應鏈安全）；2015年12月，Blackengergy則造成了烏克蘭境內近1/3的地區持續斷電。

2.2互聯導致黑客組織的針對性攻擊（APT）成為最重

要威脅

工業互聯網及其相關工業控制系統的重要性，使得它們所面臨的網絡攻擊者往往是具有明確政治、經濟或軍事目的的黑客組織，且通常會采用難以防范的APT（高級持續性威脅）的攻擊方式來達到其目的。

自從2010年針對伊朗核電站的“震網病毒”事件之后，眾多工業系統的相關安全事件表明，國家關鍵基礎設施已成為未來網絡戰的重要攻擊目標。根據ICS-CERT（美國工業控制系統網絡應急小組）的報告，僅2015年處置的工業系統相關的安全事件高達295件；其中，關鍵制造（33%）與能源（16%）行業的安全事件約占一半，且魚叉式攻擊是主要的攻擊方式（見圖5）。2014年，黑客組織“蜻蜓組織”利用Havex惡意代碼攻擊歐美上千家能源企業工控系統；2014年底，德國聯邦信息安全辦公室（BSI）披露的一起針對德國鋼鐵廠的APT攻擊等系列安全事件，也進一步證實了這種推斷。

奇虎360在對黑客組織發動的大量高級持續性威脅的監測及跟蹤研究中，發現國內的政府、能源、軍事及工業系統已成為黑客組織發動APT攻擊的重要攻擊目標（見圖6），魚叉攻擊與水坑攻擊是主要攻擊方式（見圖7）；而且發起APT攻擊的目的多是為了長期竊取敏感數據。

這些實踐和數據分析都表明了來自黑客組織的網絡攻擊威脅正在日益向工業互聯網滲透。我國在實施“中國制造2025”的國家戰略過程中，隨著互聯網與工業融合創新的不斷推進，各種聯網、智能化及自動化傳感裝置的廣泛應用，以及黑客攻擊技能的泛化、攻擊工具的商品化以及對工控系統脆弱性研究的逐步深入，來自信息網絡的APT等有組織、有目的的新型攻擊威脅將成為工業互聯網所面臨的最大安全威脅。

圖3　工業互聯網整體網絡架構（左）及工業控制系統所面臨的潛在攻擊威脅（右）

圖4　工業系統相關安全事件的快速增長趨勢

2.3工業互聯網所面臨的主要安全問題

向工業互聯網演進的過程中，主要存在以下幾方面的安全問題：

（1）設備/系統間的互聯使大量生產裝備和產品直接暴露在網絡攻擊之下，木馬病毒在設備之間的傳播擴散速度將呈指數級增長。

（2）工廠網絡的靈活組網需求使網絡拓撲的變化更加復雜，傳統靜態防護策略和安全域劃分方法面臨動態化、靈活化的挑戰。

（3）IT和OT的融合打破了傳統安全可信的控制環境，網絡攻擊從IT層滲透到OT層，從工廠外滲透到工廠內，有效的APT攻擊檢測和防護手段缺乏。

（4）網絡化協同、服務化延伸、個性化定制等新模式新業態的出現對傳統公共互聯網的安全能力提出了更高要求。

（5）工業領域業務復雜，數據種類和保護需求多樣，數據流動方向和路徑復雜，數據保護難度增大。

3　工業互聯網信息安全保障體系的建設思路

工業互聯網通過網絡互聯及信息化技術提升工業系統綜合效益的同時，也將造成工業系統面臨來自互聯網的信息安全威脅的強大壓力。面對新的信息安全威脅，工業互聯網的發展將促使傳統工業控制系統安全理念的巨大轉變。

3.1從注重功能安全到功能安全與信息安全并重

傳統的工業系統因其相對封閉性，多關注如何避免工業系統因系統故障或誤操作而造成的業務中斷問題，很少關注因黑客攻擊所造成的信息安全問題，本文分析表明，隨著工業化與信息化的深度融合，信息安全已成工業互聯網所面臨的重要安全問題。因此，關于工業互聯網的安全防護理念將不僅要解決工業系統自身的功能安全，更要及時處置來自互聯網絡的信息安全威脅；實現從傳統的僅注重功能安全到當前功能安全與信息安全并重的安全理念轉變（見圖8）。

圖5　ICS-CERT 2015年處置的安全事件（295件）的統計分析

圖6　2015APT組織主要攻擊行業分布（來源：奇虎360）

3.2從關注安全合規性轉變到更關注安全效益、及時減損的安全運營

傳統IT系統安全防護建設的重點是構建基于安全產品及安全基線的合規性安全防護體系，這種基于歷史知識和最佳實踐的方式，并不能抵御未知的入侵攻擊，建設的最大目的是為了抵御已知攻擊的泛濫。

為了應對未知的新型入侵攻擊，可期望通過安全運維模式，以快速的檢測與應急響應能力，盡可能降低因遭受攻擊而造成的損失。從這個角度來說，安全建設的目標將不再僅是強調合規性，而更加關注安全建設的防護效果和安全效益。

而作為國家關鍵基礎設施重要組成部分的工業互聯網及其核心系統，因其主要面對來自黑客組織的APT等新型未知攻擊，傳統的合規性安全防護策略只能增大攻擊者的攻擊代價，并不能真正地阻擋住攻擊者。因此，對于工控系統的安全防護理念，也將需要實現從重點關注功能安全到符合政策、標準的信息安全合規性建設，再到關注安全效益、及時減損的安全運營的轉變。

3.3基于動態安全運營，構建多機制安全協同的縱深防護體系

面對工業互聯網發展過程中如此復雜的安全防護需求及所面對的針對性攻擊威脅，工業互聯網產業聯盟提出了相對完善的工業互聯網安全體系架構（見圖9）。

當前工業領域安全防護常用的分層分域的隔離與邊界防護思路及傳統的IT安全手段已不能有效識別和抵御所有可能的攻擊。在假定系統總是能夠被攻破的前提下，系統安全能力建設重點將更強調動態安全運營的能力：

（1）如何能及時洞察系統中的安全缺陷（漏洞），并盡早主動彌補。

（2）如何能快速、準確地發現攻擊入侵，并進行及時處置。

圖7　APT組織的攻擊方式統計分析（來源：奇虎360）

圖8　安全理念：從注重功能安全到功能安全與信息安全并重

具體將通過建立面向工業互聯網的安全監測預警體系，充分結合安全大數據分析能力和威脅情報，幫助用戶及時洞察工業互聯網中的安全風險、隱患和安全威脅，進而基于威脅情報分享及應急處置決策機制，實現安全機制/產品間的有效協同，形成威脅感知、監測預警與應急處置的動態安全運營閉環，最終實現基于多種安全機制密切協同的縱深安全防護體系，大大提升對所監測工業網絡系統的綜合安全保障能力。

4　奇虎360的工業互聯網安全理念與實踐

圖9　工業互聯網的安全體系架構（工業互聯網產業聯盟）

奇虎360公司基于在互聯網安全及工業控制系統安全領域多年的深入研究，明確提出了針對工業互聯網安全防護思路：

（1）縱深防御，提高攻擊成本。

（2）主動挖掘漏洞，加強自我保護。

（3）加強數據安全保護，確保生產、管理與控制相關的各種敏感數據的安全。

（4）假設被攻擊，強調如何發現已被突破，并將攻擊者清除出去的能力建設。

在上述針對工業互聯網安全防御理念的基礎上，奇虎360已在工業互聯網安全領域做了大量研究與實踐工作：

●作為國內率先運用大數據技術發現未知威脅（APT）的廠商，具有看見威脅的能力，不僅發現了數十個APT攻擊，而且發布了多個APT攻擊研究報告。已經啟動了工業控制系統安全監測預警平臺的研究與建設工作，目的是及時發現針對工業系統的有目的攻擊并進行有效阻斷。

●通過自身或是結合第三方的力量來共同挖掘漏洞；盡可能早地發現、修補工業系統及相關IT系統的漏洞，避免或降低企業因系統被攻擊而造成的損失。

●云平臺在工業制造領域的作用越來越重要，所以云平臺自身的安全以及利用云服務及安全大數據技術提供安全服務，也將成為工業互聯網安全的重要需求。而奇虎360作為全球最大的云安全系統運營公司，不僅擁有多年的云安全運維及保障服務能力，而且具有很強大的云安全服務能力。

●工業設備的自身安全，工業設備在出廠時就應該是安全的，現在越來越多的工業廠商開始注重這方面。360不僅在這方面和多家工控安全廠商有合作，而且在智能硬件的安全方面也已有相當的技術與人才積累。

●針對工控系統的業務環境提出構建白名單監測機制。這是因為工業系統在業務層面的操作行為相對規范，更加適合用白名單機制來檢測、發現違規的異常操作。

5　結束語

為保障工業互聯網及其關鍵系統的安全，除提供工業系統傳統必備的功能安全能力之外，還必需加強工業互聯網的信息安全保障能力。針對工業互聯網及關鍵系統的業務特點、自身脆弱性以及可能面臨的各種網絡安全威脅，需要在工業互聯網的安全體系架構設計、系統建設的供應鏈安全保障、工業系統上線前安全檢查以及工業系統安全的運維與管理等方面進行綜合、全面地考慮。

為更好地促進工業互聯網的安全能力建設，促進整個工業互聯網安全產業的發展，結合實踐經驗，提出了一些關于產業發展的參考建議，具體如下：

（1）開展對重要工業系統所使用軟、硬件的靜態和動態代碼脆弱性分析以及系統漏洞分析研究；構建由國家主管機構主導的權威應急響應小組、專業漏洞庫或漏洞信息分享平臺以及完善的漏洞補丁發布機制。

（2）開展對工業系統通信協議的安全性分析，制定國家或行業級的安全協議標準。

（3）建立適用于行業的風險評估與安全檢查機制，配合專業的檢查工具，定期對工業系統進行合規性安全檢查并督促不合格單位進行安全整改。

（4）促進工控系統安全防護從以符合政策、標準的安全合規性建設為重點，向關注安全效益、及時減損的安全運營的轉變，制定相應的制度、標準。

（5）開展針對工業互聯網的APT安全防護技術研究，建立威脅情報分享機制。

（6）要求供應商產品進行安全測評，而且在新產品上線前或進行系統軟件更新前，對系統代碼進行測試，盡可能地發現潛伏的間諜軟件功能。

（7）在自主可控產品成熟的條件下，盡可能采用自主可控的系統或產品替代國外的同類產品，來盡可能避免國外產品存在后門或其他有意植入的未聲明功能的安全威脅。

（8）建立供應商黑白名單、審計供應商自身IT安全體系、建立供應商可信訪問網關等，實現供應鏈安全管控。

（9）在電力、石化或關鍵制造業等重點行業，可由國家主管部門或企業用戶策劃啟動一些行業級工業互聯網安全建設的試點工程。

（10）通過構建產業聯盟等利益共同體，整合各方的優勢技術與產品，提出具有行業特色的工業互聯網安全解決方案，并通過示范工程項目進行試點推廣。

［1］AII.工業互聯網體系架構［R］.北京:工業互聯網產業聯盟（AII），2016，6.

［2］李鴻培.工控系統的安全風險及對策［R］.CCF Yocsef論壇，2014，11.

［3］李鴻培，王曉鵬.工控系統安全態勢報告［R］.綠盟科技，2014，9.

［4］李鴻培，忽朝儉，王曉鵬.工業控制系統的安全研究與實踐［J］.保密科學技術，2014（04）:17-23

［5］CVE.http://www.cve.m itre.org/.

［6］CNVD.http://www.cnvd.org.cn/.

［7］孟雅輝，畢學堯.工業4.0進程中的工控系統信息安全［EB/ OL］.http://sec.chinabyte.com/346/13007346.shtm l.

［8］ICS-CERT_Monitor_Nov-Dec2015_S508C.http://ics-cert. us-cert.gov/.

［9］Dragonfly:Western Energy Companies Under Sabotage Threat.

［10］360天眼實驗室.2015年中國高級持續性威脅研究報告—解讀版［R/OL］.http://zt.360.cn/2015/reportlist.htm l？list=4.

［11］北京威努特技術有限公司.工業控制系統網絡安全評估及整體防御體系建設方案［EB/OL］.

Study and practice of Industrial Internet security

LI Hongpei， LI Qiang

First， this paper analyzes the information security risks that the Industrial Internet is facing， and based on that，discusses the idea of building an information security architecture for the Industrial Internet. Second， it is followed by a brief introduction on the security concepts and practices that Qihoo 360 has made in terms of Industrial Internet security. Finally，some advices are proposed on security research and capability building for the Industrial Internet.

Industrial Internet； information security architecture； security advices

2016-08-07）