面向大型制造企業的工業互聯網安全架構研究

李斌 張俊杰

摘? ?要：當前，國內許多企業都在開展工業互聯網建設。與傳統IT網絡不同，工業互聯網因與企業生產系統相連，無法直接照搬IT網絡的安全管控措施，否則企業正常生產將面臨嚴重威脅。文章從保證企業正常生產的角度出發，在安全管控建設措施上探討平衡點，同時易于企業部署、運維，總結出了適合大型制造業的工業互聯網安全最佳實踐。

關鍵詞：工業互聯網;IT;安全;OT;SCADA

中圖分類號： TP393.1? ? ? ? ? 文獻標識碼：B

Abstract： At present， many domestic enterprises are carrying out industrial Internet construction. Unlike the traditional IT network， the Industrial Internet cannot directly copy the security management and control measures of the IT network because it is connected to the production system of the enterprise. Otherwise， the normal production of the enterprise will face serious threats. From the perspective of ensuring the normal production of enterprises， this article discusses the balance point in the safety management and control measures， at the same time it is easy for enterprises to deploy， operate and maintain， and summarizes the best practices of industrial Internet security suitable for large manufacturing industries

Key words： industrial internet; it; security; ot; scada

1 引言

工業互聯網是全球工業系統與高級計算、分析、感應技術以及互聯網連接融合的結果，中國是傳統的制造業大國，也是世界第二大經濟體，其產業鏈的融合、創新等發展對國家綜合實力提高尤為重要。在全球倡導智能制造的大前提下，各國為了推動制造業的改革，都提出了“發展工業制造”戰略，其本質都是利用互聯網、物聯網、大數據、云計算或AI等先進的信息技術，推動制造業的數字化轉型。對制造業而言，轉型的方向毋庸置疑，但是在轉型過程中需要面對諸多挑戰，而其中安全問題尤為突出。

轉型前生產網絡是一個孤島網絡，外界無法訪問，威脅也就無法入侵。但是，轉型后生產網與互聯網融合，這就導致了生產網將面臨著來自互聯網上的所有威脅，像病毒、漏洞、黑客攻擊等，任何一個威脅如果控制不好，都將給生產網帶來毀滅性的打擊。歷史上也不乏這種典型的案例，如2016年烏克蘭電網遭受攻擊事件，伊朗核電站遭受震網病毒攻擊事件，這些在IT網絡中看似平常不過的威脅，在生產網中卻帶來了毀滅性的打擊。因此，在數字化轉型的背景下，制造業迫在眉睫地需要解決的就是工業網絡的安全問題。

2 數字化轉型下工業互聯網的業務與技術的變革

2.1 工作負載和應用逐漸向云端遷移

在數字轉型過程中，企業往往會把應用、數據等遷移到云端，使用云端的SaaS服務或者IaaS、PaaS架構，來擴展企業物理數據中心的方式，實現業務快速交付、彈性增長等目標，從而實現業務的快速轉型。此外，許多企業還會使用私有云和公有云的混合云架構，導致出現更大的攻擊面和維護的復雜性。

2.2 涵蓋多個環境的IoT設備的爆炸性增長

物聯網（IoT）設備的范圍很廣，從開關、打印機到機械臂、數控機床等，無所不包。然而，由于缺乏內置的安全特性，這些設備將面臨著巨大的安全挑戰。由于IoT類設備的資源限制、數量巨大等原因，端點安全解決方案對這類設備基本無能為力，以至形成安全隱患。

2.3 業務將覆蓋多個地理分布式的區域

目前，許多企業的業務將呈現多地理位置的分布式增長，企業分支機構的流量因SaaS應用、視頻、VoIP語音而呈指數級增長。然而，地理分布式的企業網絡環境，常常缺乏對用戶、設備、應用等維度的可視化。而企業分支機構必須回連總部，進行數據獲取、傳輸等動作，企業分支機構的安全隱患就有可能向整個企業擴散。

3 工業互聯網面臨的安全威脅分析

3.1 攻擊面的放大

敏感數據現在駐留在多云甚至IoT設備上，數據在Internet而不是私有網絡中移動，而且擴展到網絡邊界（無線接入、移動終端、工業OT網絡），這種動態、不斷變化的攻擊。會使得企業傳統的基于物理邊界的安全防護模型，不再有效。為了應對動態攻擊面帶來的安全隱患，很多企業部署了大量分散的點防護安全產品，這些安全產品無法做到互聯，因為相互間無法集成，這種分散式的安全架構，會帶來一些低效和安全漏洞。

3.2 更加復雜的安全威脅

安全威脅的數量和速度都在快速增長，黑產市場上Malware-as-Service（MaaS，惡意軟件即服務）的出現是重要原因之一。同時，高級威脅變得愈加復雜和精巧。許多安全威脅是同時多維度、多個點的并發攻擊，一次針對企業的攻擊，可以是在企業的網絡中心、邊界、云端全方位進行。這些復雜的攻擊同時也變得更加難以檢測，更加難以實施滲透防御。除了檢測之外，快速移除安全威脅變得至關重要。

3.3 安全管理和運維的難度增加

單點安全產品的增加和離散式的安全架構，增加了企業的網絡安全管理的復雜度。大型企業會使用多個安全解決方案來解決一個安全防護問題，在離散式安全架構中，這些解決方案通常無法進行互通互聯。復雜性的增加也加重了安全團隊的壓力，企業無法僅僅通過增加人手通過手工的方式來管理、應對日益復雜的安全威脅，這樣的話，建立統一安全監測平臺，建立企業安全運營中心迫在眉睫。

3.4 與OT的融合給智能制造的安全帶來嚴峻的挑戰

網絡融合、企業OT與IT網互聯，采用通用Internet協議，運行在通用硬件上，使用主流IT操作系統，通過標準的WiFi協議連接，這樣會誘發很多安全問題。

（1）構網兩極化。OT/IT網絡共用同一網絡設備互聯，或OT/IT網絡物理隔離。

（2）管控系統設備數量巨大，位置分散，缺少專業的安全設備有效地針對OT/IT網進行安全區域劃分和進行安全運行狀態的統一監控。

（3）OT網接入設備以有線/無線方式接入，網絡安全設備部署沒涉及“最后一公里”的安全體系聯動防御。

（4）缺乏主動阻止外部惡意攻擊和缺乏發現與阻擋高級可持續性攻擊的能力，安全攻擊易造成OT網的迅速癱瘓，給生產造成嚴重的影響。

（5）OT網設備接入缺乏必要身份或資產識別，定位安全威脅與取證過程低效。

（6）因為歷史原因，OT網服務器存在很多安全和管理風險點，如老舊的操作系統、漏洞多、無法打補丁、不支持數據加密等安全問題。

（7）昂貴的升級費用，設備系統存在非標準化，造成管理雜亂、漏洞多等安全問題。

（8）管理人員缺乏網絡安全知識，終端電腦/工控機缺乏定期病毒查殺習慣與機制，感染主機處理不及時，存在安全隱患。

（9）移動設備接入缺乏管理和制度，容易造成終端病毒感染與傳播。

4 工業互聯網的通用安全體系結構

4.1 體系結構綜述

制造型企業無論規模大小，在建設工業互聯網時，都應遵循“零信任”的基本安全原則，把網絡隔離從邊緣的接入層開始，融入到匯聚、核心乃至應用層的進程隔離，構筑一個從監測、檢查、防御、移除的智能聯動，以實現安全閉環的工業互聯網的安全架構。基于云計算、工業互聯網、大數據、知識圖譜、安全聯動，以及最新的自有核心安全技術，構建一個實時、預測性、智能化、安全協同一體化的工業互聯網企業級安全監測與態勢感知平臺。

通過深度工控資產自動探測技術、分布式漏洞探測技術、多類型工業控制協議識別技術、異常流量監測技術，實現工業設備安全態勢信息自動采集、識別工控設備的漏洞與潛在威脅的能力。采用高性能的海量日志采集技術，對工控設備數據、工控安全設備數據、物聯網傳感器每日產生的海量日志數據進行采集，為大數據分析提供基礎數據。

通過大數據建模分析技術與基于多源數據的工業安全態勢知識圖譜構建技術，并結合中國國家信息安全漏洞庫及工控漏洞庫、專業安全廠商漏洞庫，進行安全威脅評估、態勢感知，預測預防設備潛在風險的發生，提高安全態勢感知的智能化水平和準確性。通過安全聯動協議，實現企業安全態勢感知與企業網絡安全隔離設備之間的聯動，及時阻斷工業互聯網絡中惡意程序的攻擊路徑，抑制安全威脅在網路中的影響范圍。

如圖1所示，建設微服務架構安全態勢監測與感知PaaS云平臺，實現國家級監測平臺與企業級工業互聯網集中化安全監測與態勢感知平臺數據對接。

4.2 安全架構之安全分段

企業將物聯網設備和通信分為策略驅動的群組，并授予特定的適合工業互聯網的基準權限。采用內網分段防火墻等設施對網絡和設備進行微分段，使IT/OT系統能夠根據特定設備類型和網絡訪問需求，采用分層安全策略。

企業工業互聯網的安全分段涵蓋了三個層次。

（1）接入層

采用“安全交換機+防火墻聯動”的解決方案，進行終端進入的隔離和控制。通過內網分區防火墻下連安全接入交換機，再擴展無線接入點的方式，構建一個端口級隔離的接入架構，與傳統IT交換網絡最大的不同，就是接入交換機和無線接入點上的任意終端之間的流量通訊，都需要經過內網分區防火墻集中轉發，即使是同一臺安全接入交換機、同一個無線接入點、同一個虛擬局域網Vlan內，通訊都會受到內網分區防火墻的集中控制，而內網分區防火墻將對流量做工業應用、協議的識別和威脅統一管控。

（2）匯聚/核心層

采用內網分段防火墻進行區域隔離。區域之間通過匯聚層的分段防火墻隔離接入，區域與區域之間的通訊將受到嚴格的審查。區域的劃分原則，可以基于部門、產線、業務歸口或者網絡屬性等統一劃分。

（3）應用層

采用NGFW/主機安全套件/虛擬化防火墻等，實現直至進程級的安全隔離。在工業互聯邊界層面，通過獨立的下一代防火墻做隔離防護，實現進出工業互聯網流量的分析、管控。

4.3 企業網絡分段安全架構實現的目標

企業網絡分段安全架構實現的五個目標：

（1）打破傳統網絡在安全意義下的扁平架構;

（2）采用安全策略驅動（基于用戶身份）的分段控制對關鍵設施/資源的訪問;

（3）按照業務、安全意圖靈活地構筑安全邊界;

（4）阻斷攻擊者/入侵者在內網的橫向移動;

（5）實現全網的可視化。

4.4 安全架構之APT防御

如今，大多數復雜的網絡攻擊，已經能夠從容突破傳統的反惡意軟件解決方案，并且在被入侵的網絡中實施APT攻擊。這些高度針對性的攻擊，可以逃避基于簽名的檢測方式，比如通過很多方式來掩蓋惡意屬性，壓縮、加密、多態等技術不勝枚舉;一些甚至已經開始突破虛擬沙盒環境、時間炸彈等。對抗如今的攻擊，需要綜合和整合的手段，不只是反惡意軟件，也不只是沙盒，更不只是分散的監控系統。

企業工業互聯網安全架構的APT防御方案，采用了“沙盒+NGFW+蜜罐+態勢感知”的模式，針對0day、復雜攻擊等采用多種機制來檢測。

（1）部署沙盒

基于行為檢測0day/APT攻擊，聯動防火墻進行阻斷。在企業數據中心部署一套沙盒系統，利用下一代防火墻的檢查能力，將可疑流量和數據自動送入沙箱分析。沙箱基于行為分析手段，綜合分析給出結論，自動定制生成病毒碼寫入前端的下一代防火墻，實現聯動阻斷。

（2）部署蜜罐

檢測內網可疑的入侵行為，聯動防火墻進行實時阻斷。在企業數據中心部署一套蜜罐系統，利用蜜罐在全網的重要節點部署誘餌虛擬系統，主動引誘內網、外網的攻擊，并記錄下這些威脅的IP地址，然后聯動同步至下一代防火墻的黑名單中，實現阻斷。

（3）全網安全態勢感知

企業級集中化安全態勢監測與感知平臺，具備三位一體的多維安全態勢監測能力，包括工控網絡入侵態勢監測、工控漏洞態勢監測和工控異常流量監測。

部署態勢感知系統將核心資產、安全威脅事件和脆弱性漏洞管理相結合，利用大數據安全智能分析，迅速甄別關鍵威脅并做出智能響應，并進行持續的合規性掃描檢測，實現企業級實時安全風險感知、評估審計與合規要求的統一風險管理平臺。

所部署的SIEM系統能收集、監視和報告防火墻、入侵防御系統、防病毒產品、數據防泄漏產品、VPN、訪問控制審計產品等發生的行為，用于整合和收集各種安全信息，并匯總到一起進行統一分析和檢測。還可以對第三方漏洞掃描工具，進行統一調度和集中管理，能屏蔽不同漏掃產品之間的差異，實現企業級安全漏洞的集中標識和管理。同時，安全漏洞會與安全事件分析相結合，實現全面的安全風險評估。將企業資產價值、安全事件和漏洞等信息，進行基于大數據的安全智能分析，迅速識別高危風險事件。

5 工業互聯網的安全體系建設預期成果

企業級集中化安全監測與態勢感知平臺的各個組件平臺，均采取旁路部署的模式，組成一個獨立的網絡，不與企業智能制造網絡產生交集，不影響生產網絡的正常運行。大數據分析平臺采用在線或離線兩種模式，獲取威脅情報升級包和漏洞庫升級包，即便與互聯網隔離的環境下，也能實現工控安全威脅的智能分析，如圖2所示。

（1）企業網絡升級改造，實現企業工業網絡互連，形成部署、運行安全態勢監控的企業信息基礎設施。

（2）建設工控協議識別、漏洞自動采集與分析系統，實現對工業設備及安全設備的資產監控、漏洞發現、操作行為監控和異常流量監測。

（3）建設工控與工控安全設備大數據采集系統，支持對企業內多類型工業設備、多種工業協議、多類型安全設備的日志采集與大數據存儲。

（4）建設安全態勢監控與感知大數據分析系統，在大數據采集的基礎上，結合國家工控漏洞庫CNNVD、專業廠商漏洞庫，利用大數據分析與知識圖譜深度學習技術，實現未知攻擊預警、安全態勢分析與威脅等級研判。

（5）建設安全態勢感知與網絡隔離安全聯動一體化平臺，實現安全預警與網絡隔離的聯動，快速阻斷攻擊路徑，控制感染范圍。

（6）建設微服務架構安全態勢監測與感知PaaS云平臺，為安全態勢感知提供部署靈活、可移植、高彈性、高可擴展性的云計算平臺。

（7）建設企業級集中化安全態勢監測與感知平臺，實現全局總覽、威脅分析、攻擊事件還原，把握總體安全態勢。

（8）建設企業級監測平臺與國家監測平臺級聯上報與數據共享子系統，實現國家監測平臺和企業監測平臺之間的信息共享。

6 結束語

工業互聯網是一個長期的建設過程，中國的制造業發展都在“摸著石頭過河”，對于龐大的制造業來說，管理層能下定決心做數字化轉型，已經是非常不容易的事情。一次成功的轉型少不了各方面的投入，變革和轉型肯定會帶來陣痛，但是陣痛之后便是發展的新階段。本文針對大企業的實際情況，并結合Fortinet提出的工業安全思路，綜合了目前學術界對工業互聯網的研究成果，總結出了適合中國大型制造業的工業網絡建設方案，對工業網絡的架構模型、轉型過程中面臨的問題、建設誤區等都有重要分析，為制造業企業建設工業互聯網，提供一定參考和借鑒依據。

參考文獻

[1] 張翀昊，唐麗萍.工業互聯網的安全挑戰及應對策略[J].電子技術與軟件工程，2019 （14）.

[2] 張海港，歐陽佩佩.海爾工業互聯網安全實踐[J].中國信息安全，2019 （06）.

[3] 何洪流，尚朝鋒.工業互聯網安全研究與政策探討[J].數字通信世界，2019 （04）.

[4] 杜霖.全面推進工業互聯網等融合領域安全工作[J].現代電信科技，2017 （06）.

[5] 張淙哲，房育良.工業互聯網的現代概念與模型架構剖析[J].電信網技術，2017 （11）.

[6] 李強，田慧蓉，杜霖，劉曉曼.工業互聯網安全發展策略研究[J].世界電信，2016 （04）.

[7] 邢黎聞.何積豐院士：工業互聯網安全發展趨勢與關鍵技術[J].信息化建設，2016 （11）.

[8] 中國工業互聯網安全態勢報告（2018年）[J].中國信息安全， 2019 （06）.

[9] 工業互聯網創新發展20問[J].中國計量，2019 （08）.

[10] 李海花.工業互聯網的發展歷程及實現路徑[J].互聯網天地，2019 （08）.

[11] 黃子河.《加強工業互聯網安全工作的指導意見》系列解讀[J].網絡安全和信息化，2019 （10）.

[12] 工業互聯網發展行動計劃（2018-2020年）[J].中國計量， 2018 （10）.

[13] 童群.工業互聯網發展現狀及對策[J].設備管理與維修， 2018 （22）.

[14] 毛華陽.基于大數據的工業互聯網安全初探[J].電信技術， 2018 （11）.

作者簡介：

李斌（1967-），男，漢族，廣東潮州人，廣東機械學院（現廣東工業大學），本科，珠海格力電器股份有限公司，工程師;主要研究方向和關注領域：企業5G+工業互聯網、園區網絡的設計與管理、大型數據中心的設計與管理、企業信息安全管理。

張俊杰（1970-），男，漢族，河北滄州人，清華大學，本科，珠海格力電器股份有限公司，工程師;主要研究方向和關注領域：企業信息化建設及數字化轉型、智能制造、工業互聯網。