來源：信息通信技術與政策 本文已授權

摘要

工業(yè)互聯(lián)網標識解析作為工業(yè)互聯(lián)網關鍵要素實現(xiàn)協(xié)同的“神經樞紐”，一旦遭到入侵或攻擊，可能會對整個工業(yè)互聯(lián)網產業(yè)生態(tài)造成重創(chuàng)，甚至對國家安全構成威脅，加快推進工業(yè)互聯(lián)網標識解析安全保障能力建設迫在眉睫。對工業(yè)互聯(lián)網標識解析安全風險分析模型和方法論進行了分析和研究，從根源上把控風險，為工業(yè)互聯(lián)網標識解析安全建設貫徹落實提供參考和指引。

1 引言

隨著工業(yè)互聯(lián)網標識解析的普及應用，工業(yè)互聯(lián)網標識解析安全關乎生產安全、社會安全甚至國家安全，其安全性將成為工業(yè)互聯(lián)網安全保障的關鍵。工業(yè)互聯(lián)網標識解析體系是工業(yè)互聯(lián)網網絡架構的重要組成部分，是設備、系統(tǒng)、數(shù)據(jù)、網絡互聯(lián)互通的關鍵。借助標識解析體系，信息得以實現(xiàn)跨企業(yè)、跨行業(yè)、跨地域的共享和使用，企業(yè)得以實現(xiàn)全球供應鏈系統(tǒng)和生產系統(tǒng)的精準對接，實現(xiàn)智能化生產、個性化定制、重要產品追溯和產品全生命周期管理[1]。工業(yè)互聯(lián)網標識解析作為工業(yè)互聯(lián)網關鍵要素實現(xiàn)協(xié)同的“神經樞紐”，一旦遭到入侵或攻擊，可能會對整個工業(yè)互聯(lián)網產業(yè)生態(tài)造成重創(chuàng)，甚至對國家安全構成威脅，加快推進工業(yè)互聯(lián)網標識解析安全保障能力建設迫在眉睫。基于此，本文創(chuàng)新型地提出了標識解析安全風險分析模型，旨在標識解析體系設計階段為相關企業(yè)提供參考和指導。

2 風險分析模型設計

2.1 設計思路

本文中的工業(yè)互聯(lián)網標識安全風險分析模型是在充分借鑒傳統(tǒng)互聯(lián)網和國內外工業(yè)互聯(lián)網安全框架基礎上[2]，結合我國工業(yè)互聯(lián)網標識解體系的特點提出，旨在為相關單位在工業(yè)互聯(lián)網標識解析體系建設初期開展安全風險防范工作提供參考和指導，從根源上把控風險，防范于未然，從而提升工業(yè)互聯(lián)網標識解析體系安全防護能力。

2.2 風險模型總體架構

工業(yè)互聯(lián)網標識解析風險模型從風險分析視角、風險管理視角和風險措施視角3個視角進行構建（見圖1）。

圖1 工業(yè)互聯(lián)網標識解析安全風險模型總體架構

風險分析視角包括架構安全風險分析、身份安全風險分析、數(shù)據(jù)安全風險分析和運營安全風險分析四大風險分析重點；風險管理視角包括風險目標、風險識別和風險策略三大環(huán)節(jié)；風險防護視角包括行業(yè)監(jiān)管、安全監(jiān)測、態(tài)勢感知、威脅預警和響應處置五大環(huán)節(jié)[3]。工業(yè)互聯(lián)網標識解析風險模型的3個風險視角相對獨立，但彼此之間相互關聯(lián)、相輔相成，構成一個有機整體。

2.2.1 風險分析視角

風險分析視角主要包括架構安全風險分析、身份安全風險分析、數(shù)據(jù)安全風險分析、運營安全風險分析四大風險分析對象（見圖2）。

圖2 風險分析視角安全風險模型

（1）架構安全風險分析主要包括節(jié)點可用性風險、節(jié)點間協(xié)同風險、關鍵節(jié)點關聯(lián)性風險等架構安全風險分析。

（2）身份安全風險分析主要包括涉及人、機、物3種角色的身份欺騙、越權訪問、權限紊亂、設備漏洞4種身份風險分析[4]。

（3）數(shù)據(jù)安全風險分析主要包括涉及標識解析注冊數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)的數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露、數(shù)據(jù)丟失等數(shù)據(jù)安全風險分析。

（4）運營安全風險分析主要為人員管理、機構管理、流程管理等方面的運營安全風險分析。

2.2.2 風險管理視角

風險管理視角旨在指導構建持續(xù)改進的風險管控管理機制，提升風險管控水平（見圖3）。

圖3 風險管理視角安全風險模型

（1）風險目標指需要確立工業(yè)互聯(lián)網標識解析風險評估和業(yè)務保障的對象。

（2）指標體系是根據(jù)風險目標確定風險評估指標體系。

（3）風險識別是針對風險目標識別可能的風險。

（4）風險策略指針對風險目標可能的風險指定相應的安全防護策略。

2.2.3 風險防護視角

針對工業(yè)互聯(lián)網標識解析體系面臨的各種風險，風險防護視角從全生命周期角度明確方法指引，實現(xiàn)閉環(huán)管理和風險管控。風險措施視角主要包括行業(yè)監(jiān)管、安全監(jiān)測、態(tài)勢感知、威脅預警和響應處置五大環(huán)節(jié)（見圖4）。

圖4 風險防護視角安全風險模型

（1）行業(yè)監(jiān)管指統(tǒng)一領導、統(tǒng)一指揮、建立聯(lián)動監(jiān)管機制。

（2）安全監(jiān)測是針對四大風險分析對象進行風險監(jiān)測。

（3）態(tài)勢感知指部署響應的監(jiān)測措施實時感知安全風險。

（4）威脅預警主要針對態(tài)勢感知發(fā)現(xiàn)的風險進行風險預警。

（5）響應處置是通過建立響應處置機制及時應對安全風險。

3 風險分析模型

主要研究工業(yè)互聯(lián)網標識解析安全風險，本文僅針對風險模型中的風險分析視角進行介紹。

3.1 架構風險分析

標識解析體系從架構上而言，是一個樹形分層型架構，從邏輯上而言是一個分布式信息系統(tǒng)。如圖5所示，工業(yè)互聯(lián)網標識解析體系架構主要包括客戶端、解析服務器、鏡像服務器、代理服務器、緩存服務器，該架構的安全性在事務的每一步都依賴于這些部件的安全性，當體系架構的某一層節(jié)點出現(xiàn)問題時，就會對整個架構的安全性產生一定程度的威脅。

圖5 工業(yè)互聯(lián)網標識解析體系架構

工業(yè)互聯(lián)網標識解析體系架構面臨的風險很多，如節(jié)點可用性風險、節(jié)點間協(xié)同性風險、關鍵節(jié)點關聯(lián)性風險等。

（1）節(jié)點可用性風險：是指解析體系架構的每一層中每種節(jié)點在可用性方面面臨的風險，如果節(jié)點受到攻擊，那么該節(jié)點的可用性會受到威脅，造成節(jié)點功能失效或者不可達。具體而言，節(jié)點的可用性風險主要為DDoS攻擊。

（2）節(jié)點間協(xié)同性風險：是指對于解析體系的分布式特點，如果在解析過程中，節(jié)點協(xié)同性出現(xiàn)問題，就會造成數(shù)據(jù)同步或者復制內容過程出現(xiàn)延遲現(xiàn)象，導致數(shù)據(jù)不一致或者數(shù)據(jù)完整性出現(xiàn)問題；節(jié)點間協(xié)同風險主要包括代理服務延遲、鏡像服務器延遲等。

（3）關鍵節(jié)點關聯(lián)性風險：是指標識解析體系架構中某些關鍵節(jié)點出現(xiàn)問題，將會導致影響其他節(jié)點的功能，最終削弱了穩(wěn)定性或者健壯性。關鍵節(jié)點關聯(lián)性風險主要表現(xiàn)為緩存擊穿、緩存穿透、反射/放大攻擊3種形式。

3.2 身份安全風險分析

身份安全是工業(yè)互聯(lián)網標識解析的門戶，用戶使用系統(tǒng)首先要進行身份認證，身份的重要性不言而喻。本文從人、機、物的角度討論標識解析系統(tǒng)中各種角色的身份以及其對應的風險點。不同的角色擁有不同的級別和不同種類的權限，標識解析系統(tǒng)中各種風險點都可造成權限或信任受到侵害。針對人、機、物3種身份，每種身份對應的主要風險點如表1所示。

表1 標識身份安全風險

（1）身份欺騙在工業(yè)互聯(lián)網標識解析系統(tǒng)中也可以叫標識欺騙，因為標識解析系統(tǒng)所有的身份都是以標識來表示。本文將從人、機、物的角度來對身份欺騙進行分析。

（2）越權訪問：主要是指能訪問超過用戶本身權限的資源。例如，標識管理員應該只有管理標識的功能沒有普通用戶的功能，如果標識管理員出現(xiàn)了普通用戶的功能，就是越權訪問。

（3）權限紊亂：使用標識解析服務的設備和人員眾多，最小時間和資源范圍授權有效但授權繁雜，攻擊者可以通過注入、滲透等方式繞過權限管理，從而進入系統(tǒng)。

（4）設備漏洞：主要是指標識解析系統(tǒng)中的服務器、客戶端或者終端可能存在安全漏洞或使用含已知漏洞的組件，導致攻擊者通過已知漏洞繞過設定的訪問控制策略，遠程控制、入侵或篡改設備以及設備標識數(shù)據(jù)。

3.3 數(shù)據(jù)風險分析

工業(yè)互聯(lián)網標識解析涉及標識注冊數(shù)據(jù)、標識解析數(shù)據(jù)和日志數(shù)據(jù)共3類數(shù)據(jù)進行數(shù)據(jù)安全風險分析。在網絡安全中，數(shù)據(jù)安全的能力包括數(shù)據(jù)的完整性、機密性和可用性3個維度。根據(jù)GB/T 37988-2019《信息安全技術 數(shù)據(jù)安全能力成熟度模型》，標識解析數(shù)據(jù)安全涉及到數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié)。基于以上數(shù)據(jù)安全維度，標識解析數(shù)據(jù)安全風險主要包括數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露和數(shù)據(jù)丟失4類。

（1）數(shù)據(jù)竊?。汗I(yè)互聯(lián)網標識解析數(shù)據(jù)竊取風險主要是破壞數(shù)據(jù)的機密性，數(shù)據(jù)被非授權用戶獲得，使得標識注冊數(shù)據(jù)、標識解析數(shù)據(jù)或日志數(shù)據(jù)外泄，數(shù)據(jù)竊取風險可能發(fā)生在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)交換和數(shù)據(jù)存儲環(huán)節(jié)。

（2）數(shù)據(jù)篡改：工業(yè)互聯(lián)網設備在接入工業(yè)互聯(lián)網絡時，攻擊者有機會通過物理方式或者遠程接入互聯(lián)的設備，對設備中存儲的標識注冊數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)進行讀取、篡改、偽造等操作。

（3）隱私數(shù)據(jù)泄露：在標識數(shù)據(jù)使用過程中，在沒有有效的安全防護措施的情況下，很容易導致工業(yè)企業(yè)關鍵設備數(shù)據(jù)、產品數(shù)據(jù)、管理數(shù)據(jù)、客戶數(shù)據(jù)等隱私數(shù)據(jù)的泄露，從而為企業(yè)、個人帶來重大損失，甚至可能會給國家?guī)聿豢晒懒康膿p失。

（4）數(shù)據(jù)丟失：在標識數(shù)據(jù)使用過程中，如果沒有安全的保護措施和合理的備份情況下，不法分子通過對緩存或代理服務器進行攻擊獲取了權限后惡意刪除數(shù)據(jù)，服務器遇到自然災害造成數(shù)據(jù)丟失，操作人員誤刪數(shù)據(jù)，導致工業(yè)企業(yè)關鍵設備數(shù)據(jù)、關鍵產品數(shù)據(jù)、用戶數(shù)據(jù)等重要數(shù)據(jù)丟失并無法恢復，對工業(yè)企業(yè)造成巨大的損失。

3.4 運營風險分析

運營風險管理起到對二級節(jié)點運營風險進行識別、衡量、監(jiān)督、控制和報告的作用。隨著標識生態(tài)的形成，參與者角色不斷豐富，規(guī)模不斷擴大。用戶體量和系統(tǒng)規(guī)模的持續(xù)壯大，給標識解析體系的運營帶來新的挑戰(zhàn)。來自內部與外部的風險，都將影響整個工業(yè)互聯(lián)網標識解析體系的安全可控運營，運營風險主要存在于對人員管理、分支機構管理以及流程管理。

（1）人員管理風險：標識解析體系的運營具有高可靠性和高安全性的要求，所有有權使用或控制那些可能影響標識分配、標識解析、業(yè)務管理、數(shù)據(jù)管理等操作的員工、第三方服務人員等（統(tǒng)稱“人員”）都會影響系統(tǒng)的正常運營，統(tǒng)稱為可信角色。人員管理風險主要包括角色鑒別風險、關鍵崗位角色管理風險、人員操作風險、人員控制風險。

（2）分支機構管理風險分析：主要指在標識解析體系眾多環(huán)節(jié)上提供相應標識服務的實體/機構的生命周期管理風險。分支機構管理風險主要包括分支機構的授權風險、分支機構的運行風險、分支機構的服務終止風險。

（3）流程管理風險：系統(tǒng)的運營是由一系列業(yè)務流程所組成的集合，缺乏必要的業(yè)務流程管理，會導致運營人員在執(zhí)行工作時，只是依據(jù)經驗執(zhí)行，具有較大的隨意性，給系統(tǒng)運營帶來風險，主要為二級節(jié)點申請流程管理風險。

4 結束語

通過對工業(yè)互聯(lián)網標識解析安全風險進行分析研究，提出了統(tǒng)一的工業(yè)互聯(lián)網標識解析安全風險分析模型，在工業(yè)互聯(lián)網標識解析體系建設初期可以提前識別出受保護對象的風險點、風險事件、風險事件的起因、可能的影響后果、適合的保護措施、標準法規(guī)的符合性、貫徹實施的可行性等，從根源上把控風險，為工業(yè)互聯(lián)網標識解析安全建設貫徹落實提供參考和指引，并推動業(yè)界達成廣泛共識，共同推進工業(yè)互聯(lián)網標識解析安全、健康、持續(xù)發(fā)展。

參考文獻

[1] 工業(yè)和信息化部. 《加強工業(yè)互聯(lián)網安全工作的指導意見》解讀[R], 2019.

[2] Dolezel Diane, McLeod Alexander. Managing security risk modeling the root causes ofdata breaches[J]. Health Care Manager, 2019, 38(4):322-330.

[3] 工業(yè)互聯(lián)網產業(yè)聯(lián)盟. 工業(yè)互聯(lián)網標識解析安全風險分析模型[R], 2020.

[4] HUANG Kai, KONG Ning. Research on status of DNS privacy[J]. Computer Engineering and Applications, 2018, 54(9): 28-36.

責任編輯：PSY

原文標題：工業(yè)互聯(lián)網標識解析安全風險分析模型研究

文章出處：【微信公眾號：工業(yè)IoT】歡迎添加關注！文章轉載請注明出處。