【优势企业】工业互联网的安全研究与实践

文 | 李鸿培 360企业安全集团

摘要

本文首先分析了工业互联网面临的信息安全风险，然后，针对性地提出了国防工业控制网的信息安全保障体系的建设思路；最后，结合360公司在保障工业互联网安全方面的理念及实践，为国防工业控制网的安全研究及安全能力建设工作提出了工作建议。

关键词：工业互联网 信息安全体系 安全建议

工业互联网是互联网与工业系统全方位深度融合所形成的产业和应用生态，是提升工业系统智能化能力的关键信息基础设施。随着德国提出工业4.0、美国提出工业互联网、中国提出“互联网+”及“中国制造2025”战略计划，全球工业领域的信息化正日益受到重视，工业生产正从以往基于计算机的设备自动化模式逐步转向以互联网为基础的网络化、智能化生产的方式。工业互联网已成为工业化与信息化融合的基础，互联网、物联网、云技术、大数据等当前最新技术的应用构建出新型的工业生产环境——虚拟物理系统（CPS），形成工业生产消费过程中的人与人、人与物、物与物广泛互联的万物互联的新时代。

随着信息化与工业化深度融合以及物联网的快速发展，国防工业也正在进行大规模的信息化、数字化和智能化升级改造，数据采集与监控、分布式控制系统、过程控制系统、可编程逻辑控制器等先进制造与控制系统等逐渐进入国防工业的生产制造领域，工业控制系统间日益通过信息网络来实现信息互联互通及远程控制，对信息网络的依赖越来越强。目前，国防科研生产单位对工业控制网安全重视不够，工作投入相对不足，导致国防工业控制系统关键设备安全管理制度不健全、安全规范和技术标准缺失、技术防护措施不到位、缺乏信息安全测评以及安全防护能力和应急处置能力较低等，无法满足移动辅助制造终端安全防护等新一代信息技术安全应用需求，甚至部分工业控制系统仍处于无安全防护运行状态，存在较大隐患，威胁着国防工业生产安全和正常运转。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国防、国家经济安全造成重大隐患。

因此，国防工业的工控系统将不能仅从系统可靠性的角度关注功能安全问题，更要注意防范来自网络空间的黑客攻击及以及病毒、木马、蠕虫等恶意代码的蓄意破坏，而这将成为当前保障国防工业系统安全的重要工作。2010年发生的“震网”病毒事件，2015年乌克兰因黑客攻击而造成的停电事故，充分反映出工业控制系统信息安全管理面临着严峻的形式。工业互联网产业联盟（AII）在其论述工业互联网体系架构的技术报告[1]中，就明确地提出“网络是基础、数据是核心、安全是保障”，已经把安全作为工业互联网的三大共性要素之一，其对安全问题的重视程度不言而喻。

本文将重点探讨工业互联网所面临的信息安全风险、防护策略及安全实践，并对保障我国国防工业控制网络安全提出参考和建议。

工业互联网所面临的信息安全风险

智能工厂、智能制造等新的生产模式要求数控机床、生产调度系统等设备通过网络连接起来，导致以前相对封闭独立的工业网络及设备大量暴露在网络、甚至互联网上。对此，国内外多个从事互联网上设备的搜索引擎（诸如国外的Shodan、国内的ZoomEye、谛听等）都能够搜索发现大量暴露在互联网上的工控设备的情况，图1则是谛听团队对暴露在互联网上的工业设备分布的统计分析结果。显然工业互联网在通过工业系统间互联提升工业系统间智能化协同、提升生产效率的同时，也可能会导致工业系统暴露在互联网上，这可能导致别有用心的人能够从互联网上发现、访问这些系统。

图1 暴露在互联网上的工业设备统计分布（源自：谛听）

再加上以往工业设备因只关注系统功能实现，普遍缺乏对系统安全问题的重视，使得这些联网的工业设备自身的脆弱性也很严重。研究报告[2][3][4]显示：自从2010年震网事件之后，CVE[5]统计的公开ICS系统漏洞数（每年新增）已呈急速增长的趋势（如图2所示），据CNCERT的漏洞库CNVD[6]的统计数据，近年来工控系统相关的漏洞累计已有近千条，并且多为高风险级别的漏洞。而且这些工控设备因种种原因不能及时实现系统更新/或打补丁，多数情况下只能“带病”运行，其面临被的安全风险可想而知。

      图2 CVE公开的ICS系统漏洞数的年度新增趋势[3]

显然，暴露在互联网上的工业系统或设备，必然会因其自身脆弱性被利用而大大增加遭受网络攻击的风险。

1.1互联导致的潜在攻击威胁

从工业互联网产业联盟提出的工业互联网整体网络架构[1]（图3a所示）可知，智能工厂内及工厂间的IT与OT系统存在广泛的互联，打破了以往OT系统相对封闭的安全生态，再加上关键工业系统对国计民生的重要性，近年来已成为网络黑客们研究攻击的重点对象，针对工业控制系统的潜在攻击威胁来源，孟雅辉等人在其文章中进行了较为详细的分析[7]（如图3b所示）。工业互联网的系统间互联特性，将使其核心工业生产控制系统面临更多的安全威胁。不仅工业控制系统脆弱性（漏洞）被分析暴露得越来越多（如图2所示），而且相关安全事件也呈快速增长的趋势（如图4所示），一些用于控制工控系统的恶意软件及相关安全事件也被陆续曝光Stuxnet、duqu、Havex、……。其中，2010年震网病毒攻击伊朗核电站，使8000台离心机损坏； 2014年Havex则利用供应商软件网站的“水坑攻击”，影响了欧美1000多家能源企业（供应链安全），2015年12月，Blackengergy则造成了乌克兰境内近三分之一的地区持续断电。

图3a 工业互联网整体网络架构[1] 图3b 工业控制系统所面临的潜在攻击威胁[7]

      图4 工业系统相关安全事件的快速增长趋势[3]

1.2互联网导致黑客组织的针对性攻击（APT）成为最重要威胁

工业互联网及其相关工业控制系统的重要性，使得它们所面临的网络攻击者往往是具有明确政治、经济或军事目的的黑客组织，且通常会采用难于防范的APT（高级持续性威胁）的攻击方式来达到其目的[4]。

自从2010年针对伊朗核电站的“震网病毒”事件之后，众多工业系统的相关安全事件表明，国家关键基础设施已成为未来网络战的重要攻击目标。根据ICS-CERT（美国工业控制系统网络应急小组）的报告，仅2015年处置的工业系统相关的安全事件高达295件；其中关键制造（33%）与能源（16%）行业的安全事件约占一半，且鱼叉式攻击是主要的攻击方式（如图5所示）[8]。014年黑客组织“蜻蜓组织”利用Havex 恶意代码攻击欧美上千家能源企业工控系统[9]，2014年底德国联邦信息安全办公室（BSI）披露的一起针对德国钢铁厂的APT攻击等系列安全事件，也进一步证实这种推断。

360公司在对黑客组织发动的大量高级持续性威胁的监测及跟踪研究[10]中，也发现国内的政府、能源、军事及工业系统已成为黑客组织发动APT攻击的重要攻击目标（如图6所示），鱼叉攻击与水坑攻击是主要攻击方式（如图7所示）；而且发起APT攻击的目的多是为了长期窃取敏感数据[4]。

图5 ICS-CERT 2015年处置的安全事件（295件）的统计分析

    图6 2015 APT组织主要攻击行业分布（来源：360公司）

      图7 APT组织的攻击方式统计分析（来源：360公司）

这些实践和数据分析都表明了来自黑客组织的网络攻击威胁正在日益向工业互联网渗透。我国国防工业在实施“中国制造2025”的国家战略过程中，随着互联网与工业融合创新的不断推进，各种联网、智能化及自动化传感装置的广泛应用；以及黑客攻击技能的泛化、攻击工具的商品化以及对工控系统脆弱性研究的逐步深入，来自信息网络的APT等有组织、有目的的新型攻击威胁将成为工业互联网所面临的最大安全威胁。

1.3 工业互联网所面临的主要安全问题

国防工业向工业互联网演进的过程中，主要存在以下几方面的安全问题：

1）设备/系统间的互联使大量生产装备和产品直接暴露在网络攻击之下，木马病毒在设备之间的传播扩散速度将呈指数级增长；

2）工厂网络的灵活组网需求使网络拓扑的变化更加复杂，传统静态防护策略和安全域划分方法面临动态化、灵活化的挑战；

3） IT和OT的融合打破了传统安全可信的控制环境，网络攻击从IT层渗透到OT层，从工厂外渗透到工厂内，有效的APT攻击检测和防护手段缺乏；

4） 网络化协同、服务化延伸、个性化定制等新模式新业态的出现对传统公共互联网的安全能力提出了更高要求；

5）工业领域业务复杂，数据种类和保护需求多样，数据流动方向和路径复杂，数据保护难度增大。

国防工业控制网络信息安全保障体系的建设思路

工业互联网通过网络互联及信息化技术提升工业系统综合效益的同时，也将造成工业系统面临来自互联网的信息安全威胁的强大压力。面对新的信息安全威胁，工业互联网的发展将促使传统的国防工业控制系统安全理念的巨大转变。

2.1 从注重功能安全到功能安全与信息安全并重

传统的工业系统因其相对封闭性，多关注如何避免工业系统因系统故障或误操作而造成的业务中断问题，很少关注因黑客攻击所造成的信息安全问题，本文上面的分析表明，随着工业化与信息化的深度融合，信息安全已成工业互联网所面临的重要安全问题，因此，关于工业互联网的安全防护理念将不仅要解决工业系统自身的功能安全，更要及时处置来自互联网络的信息安全威胁；实现从传统的仅注重功能安全到当前功能安全与信息安全并重的安全理念转变（如图8所示）。

      图8 安全理念：从注重功能安全到功能安全与信息安全并重

2.2 从关注安全合规型转变到更关注安全效益、及时减损的安全运营

传统IT系统安全防护建设的重点是构建基于安全产品及安全基线的合规性安全防护体系，这种基于历史知识和最佳实践的方式，并不能抵御未知的入侵攻击，建设的最大目的是为了抵御已知攻击的泛滥。

为了应对未知的新型入侵攻击，可期望通过安全运维模式，以快速的检测与应急响应能力，尽可能降低因遭受攻击而造成的损失。从这个角度，安全建设的目标将不再仅是强调合规性，而更加关注安全建设的防护效果和安全效益。

国防工业控制网及其核心系统，因其主要面对来自黑客组织的APT等新型未知攻击，传统的合规性安全防护策略，只能增大攻击者的攻击代价，并不能真正地阻挡住攻击者。因此，对于国防工业工控系统的安全防护理念，也将需要实现从重点关注功能安全到符合政策、标准的信息安全合规性建设，再到关注安全效益、及时减损的安全运营的转变。

2.3基于动态安全运营，构建多机制安全协同的纵深防护体系

面对工业互联网发展过程中如此复杂的安全防护需求及所面对的针对性攻击威胁，工业互联网产业联盟提出了相对完善的工业互联网安全体系架构[1]（如图9所示）。

      图9工业互联网的安全体系架构，2016（工业互联网产业联盟）

当前国防工业领域安全防护常用的分级分域的隔离与边界防护思路及传统的IT安全手段已不能有效识别和抵御所有可能的攻击。在假定系统总是能够被攻破的前提下，系统安全能力建设重点将更强调动态安全运营的能力：

1）如何能及时洞察系统中的安全缺陷（漏洞），并尽早主动弥补；

2）如何能快速、准确地发现攻击入侵，并进行及时处置。

具体将通过建立面向国防工业控制网的安全监测预警体系，充分结合安全大数据分析能力和威胁情报，帮助用户及时洞察工业互联网中的安全风险、隐患和安全威胁。进而基于威胁情报分享及应急处置决策机制，实现安全机制/产品间的有效协同，形成威胁感知、监测预警与应急处置的动态安全运营闭环，最终实现基于多种安全机制密切协同的纵深安全防护体系，大大提升对所监测工业网络系统的综合安全保障能力。

◆◆◆

360公司的工业互联网安全理念与实践

360公司基于在互联网安全及工业控制系统安全领域多年的深入研究，明确提出了针对工业互联网安全防护思路：

1）纵深防御：提高攻击成本；

2）主动防御：主动挖掘漏洞，加强自我保护；

3） 重点防御：加强数据安全保护，确保生产、管理与控制相关的各种敏感数据的安全；

4）动态防御：强调如何发现攻击，并将攻击者清除出去的能力建设。

在上述针对工业互联网安全防御理念的基础上，360公司已在工业互联网安全领域做了大量研究与实践工作：

1）作为国内率先运用大数据技术发现未知威胁（APT）的厂商，具有看见威胁的能力，不仅发现了数十个APT攻击，而且发布了多个APT攻击研究报告。并且已经启动了工业控制系统安全监测预警平台的研究与建设工作，目的是及时发现针对工业系统的有目的攻击并进行有效阻断。

2）通过自身或是结合第三方的力量来共同挖掘漏洞；尽可能早地发现、修补工业系统及相关IT系统的漏洞，避免或降低企业因系统被攻击而造成的损失。

3）利用云计算及大数据技术提供安全服务，将成为工业互联网安全的重要需求。而360公司作为全球最大的云安全系统运营公司，不仅拥有多年的云安全运维及保障服务能力，而且具有很强大的云安全服务能力。

4）工业设备的自身安全，工业设备在出厂时就应该是安全的，现在越来越多的工业厂商开始注重这方面。360不仅在这方面和多家工控安全厂商有合作，而且在智能硬件的安全方面也已有相当的技术与人才积累；

5）针对工控系统的业务环境提出构建白名单监测机制[11]。这是因工业系统在业务层面的操作行为相对规范，更加适合用白名单机制来检测、发现违规的异常操作。

◆◆◆

结束语

为保障工业互联网及其关键系统的安全，除提供工业系统传统必备的功能安全能力之外，还必需加强工业互联网的信息安全保障能力。针对工业互联网及关键系统的业务特点、自身脆弱性以及所可能面临的各种网络安全威胁，需要我们在国防工业控制网的安全体系架构设计、系统建设的供应链安全保障、工业系统上线前安全检查以及工业系统安全的运维与管理等方面进行综合、全面地考虑。

为更好的促进工业互联网的安全能力建设，促进整个工业互联网安全产业的发展；结合我们的实践经验，提了一些关于产业发展的参考建议，具体如下：

1） 开展对国防工业系统所使用软、硬件的静态和动态代码脆弱性分析以及系统漏洞分析研究；构建由国防科技工业主管部门主导的权威应急响应小组、专业漏洞库或漏洞信息分享平台以及完善的漏洞补丁发布机制。

2）开展对国防工业系统常用的通信协议的安全性分析，制定国防工控系统的安全协议标准。

3） 建立适用于国防工业的风险评估与安全检查机制，配合专业的检查工具，定期对国防工业的工控系统进行合规性安全检查，并督促不合格单位进行安全整改。

4）开展针对国防工业控制网的APT安全防护技术研究，建立威胁情报分享机制。

5）要求供应商产品进行安全测评，而且在新产品上线前或进行系统软件更新前，对系统代码进行测试，尽可能地发现潜伏的间谍软件功能。

6）在自主可控产品成熟的条件下，尽可能采用自主可控的系统或产品替代国外的同类产品，来尽可能避免国外产品存在后门或其他有意植入的未声明功能的安全威胁。

7）建立供应商黑白名单、审计供应商自身IT安全体系、建立供应商可信访问网关等，实现供应链安全管控。

8）启动国防工业控制网安全建设的试点工程，提出具有国防工业特色的工业互联网安全解决方案，并通过示范工程项目进行试点推广。

参考文献：

1.工业互联网体系架构[R].北京：工业互联网产业联盟（AII），2016.6

2.李鸿培，工控系统的安全风险及对策， CCF Yocsef论坛讲稿，2014.11。3.李鸿培、王晓鹏，《工控系统安全态势报告》，绿盟科技，技术报告，2014.09

4.李鸿培、忽朝俭、王晓鹏，《工业控制系统的安全研究与实践》，绿盟科技，技术报告，2014.03

5.CVE， http://www.cve.mitre.org/

6.CNVD，http://www.cnvd.org.cn/

7.孟雅辉、毕学尧，工业4.0进程中的工控系统信息安全，http://sec.chinabyte.com/346/13007346.shtml

8.ICS-CERT_Monitor_Nov-Dec2015_S508C。http://ics-cert.us-cert.gov/

9.Dragonfly: Western EnergyCompanies Under Sabotage Threat.

10.360天眼实验室，2015年中国高级持续性威胁研究报告-解读版[R]. http://zt.360.cn/2015/reportlist.html?list=4

工业控制系统网络安全评估及整体防御体系建设方案, 北京威劤特技术有限公司。