专家浅谈如何搭建安全的工业互联网平台 - 工控网

12月19日， 上海工业控制系统安全创新功能平台（上海安全控制）主办了网络安全创新峰会。在会议上，技术总监刘洪从考虑工业安全的角度分享了工业互联网平台的技术部署。作者：上海工业控制安全创新技术有限公司首席技术官刘洪，主要研究方向包括边缘计算安全、工业控制系统安全等。

工业互联网是支持工业智能化发展的关键基础设施，连接整个产业系统、整个产业链和整个价值链。根据2017年11月27日国务院发布的《关于深化互联网的》 工业互联网包括网络、平台和安全三个功能系统，其中工业互联网平台是工业互联网的核心。工业互联网平台是一个基于大量数据收集、收集、分析和服务系统，支持制造资源泛连接、灵活供应、高效配置的工业云平台，满足制造业数字化、网络化、智能化需求。

如图所示，工业互联网平台的基本层次结构，即“数据” 模型=应用”。底层是边缘层，大量工业传感器收集的数据将在这个水平上收集，这是平台的基础；它是提供服务器、存储、网络等云基础设施的工业IaaS层，是平台的支持；工业PaaS层是核心，通过数据挖掘和构建开放的操作系统，帮助用户快速构建定制的工业应用程序；顶层是面向客户的，提供工业SaaS层，以业务形式作为最终APP应用的服务模式。

工业互联网平台安全是整个工业互联网安全的关键。因此，从安全的角度分析上述各级框架，分析各级面临的安全问题和对策。

首先，最底层的边缘层。这一层是数据收集和云集成的层次。本质上，它是通过各种通信手段访问物理空间中的设备、系统和产品，收集工业领域的数据；然后，依托协议转换技术，实现多源异构复杂数据的统一处理；最后，利用边缘计算设备将数据从底部集成到云平台，即“物理空间中隐藏数据在信息空间中的显性化”。

在这个过程的三个主要环节中，数据采集、协议转换和边缘计算对应于三个问题，即数据不足、数据混乱和数据无效。首先，数据收集能力有限导致数据不足和数据上传困难，使平台无法充分收集数据，从而影响整个系统的运行，即“数据上传困难”；工业领域涉及大量的工业协议，私人特殊协议的分析和转换能力有待提高，使数据在流通过程中存在“无法传输”的问题；边缘智能与云计算相结合，部分计算能力下降，使这一层的数据能够在不上传云的情况下进行本地处理，即“数据不需要传输”。

面对数据“难以上传、无法传输、无需传输”的问题，主要的安全对策是建立可靠的安全测试和有效的漏洞发现机制，用于工业嵌入式系统的基础软硬件系统。就具体边缘层而言，操作系统和核心设备(芯片、控制器)的安全性、可靠性和实时验证是实现这一级别的。这意味着需要对底层嵌入式系统的代码进行非常严格的测试。以自动驾驶、航空航天等安全标准非常苛刻的行业为例，要求代码语句分支覆盖率达到100%。同时，在这些系统的研发过程中，在代码运行过程中可能会出现一些动态缺陷，这是简单直观的静态分析工具难以发现的。

二是工业IaaS层（Infrastructure-as-a-Service），系统资源池虚拟化和集聚计算、网络、存储等资源。用于支持工业数据“收集、存储、应用、共享”的整个生命周期和数据聚合和基础设施的再利用，这意味着传统烟囱分散平台向集成集中的演变。在这种情况下，其安全策略应该基于零信任和微分段软件来定义。我们提出了“安全叠加”的保护理念。信息安全的主要产品形式包括隔离、以隔离为代表的平行和集中服务中分布式节点的相应保护机制。

但Google建立了不同的保护机制。以BeyondCorp计划为例，其主要理念是通过限制和严格执行访问控制、访问和验证所有数据源和监控审计网络流量日志，打开内外网络边界，而不是在内部建立防火墙。在实际行业中，Google这种去除边界保护的理念非常有名的实践案例是Android。它基于Linux良好的操作系统，将访问控制在用户端落地。这表明，这一层次的安全应该朝着软件定义的方向发展，并以更灵活的方式发展。

第三，工业PaaS层次（Platform-as-a-Service）。是指基于云基础设施的开放式工业互联网操作系统，是工业互联网平台的核心。这一级别可以灵活调度底层工业设备、业务系统等软硬件资源，承载工业领域的实际业务系统和具体应用服务。其核心要素是基于微服务架构的数字模型，即功能分布在不同的过程中，并根据需要进行扩展。

工业Pass层的目的是为工业APP的创建、测试和部署提供安全的开发环境。这种结构下的安全策略与传统的网络安全密切相关。目前，主流的安全措施（黑白名单、身份认证、审计、安全路由等保护机制）将在这一水平上有效地实现应用效果。同时，工业PaaS层涉及的虚拟机安全需要特别注意，包括篡改、跳跃、逃逸、隐藏（rootki）以及各种安全问题，如拒绝服务。

第四，最高层是工业SAAS层（Software-as-a-Service），通过创建软件、应用程序和解决方案，满足不同的行业和场景，形成工业互联网平台的最终价值，服务于整个研发、生产、管理和服务过程，覆盖整个产业链和产品的整个生命周期。

目前，大约有两种类型的工业应用程序：一种是云应用程序，改造升级传统的工业开发软件，更好地服务于研发、管理、生产制造；另一种是云应用程序，伴随着工业互联网的发展，包括状态监测、故障诊断、故障预警等。随着工业互联网的不断发展，工业应用程序从单位层深化到系统和平台层，并逐步涵盖开发周期的分析、决策、着陆和反馈。SaaS层的安全策略主要是支持代码审计的已知漏洞分析和未知漏洞挖掘，包括软件代码、组件的深入分析、源代码和二进制文件的扫描、漏洞扫描、开源许可证的规范等。

针对上述工业互联网平台的安全问题，(我们)在技术上的主要安全实践有以下三点。

首先，为嵌入式系统开发了智能测试工具进行代码测试。利用动态符号执行技术，自动预处理和插入代码，生成符合所选覆盖标准（语句、分支、边界和MC/DC覆盖）的测试用例。该工具是根据航空航天场景的高安全标准开发的，严格要求代码覆盖率和分支语句。

第二，开发了源代码和二进制文件的漏洞和软件组件分析工具，利用深度学习和人工经验处理TB级开源和封闭源漏洞数据，利用第三方数据库和开源组件的独特特点，提高扫描结果的准确性。有效地反映了代码动态运行中的错误，并有效地分析和挖掘了源代码和二进制文件的漏洞。

第三，开发了工业嵌入式系统的安全访问控制，实现系统固化，可支持嵌入式操作系统和网络协议、应用程序、外设访问控制等功能，如ARM架构、Linux等，实现异常行为的入侵检测。通过引入谷歌访问控制的概念，实现嵌入式操作系统顶层的安全工作，达到系统安全加固的目的。

工业互联网安全的最终趋势，上海安全控制致力于联合企业建立端到端信任、动态和静态检测监控内生工业安全体系，主要包括四个方面：一是标准体系，建立一般基础设施安全模型和标准框架体系，确保最终用户数据的可用性、完整性和安全性；二是系统固化，部署系统固化机制，切割不必要的服务、应用和网络协议，适当配置操作系统的用户身份验证和资源控制；三是安全应用，采用静态和动态自动化测试相结合的机制，将安全纳入产品研发过程，确保软件代码的安全性和可靠性；第四，不断监控，不断监控各级，不断监控应用或微服务，提供数据保护机制，阻止外部网络的恶意攻击。

广州鲁邦通物联网科技股份有限公司成立于2010年，致力为行业客户提供软硬件结合的5G+工业互联网平台解决方案，通过设备物联、机器人乘梯、设备售后管理系统、电梯物联网等产品和服务，助力电梯及特种设备、医疗设备、机器人、环保设备、环卫设备、电力设备和水务设备等工业客户进行后市场服务的数字化转型，降本增效，开启利润增长的第二曲线。