來源：信息通信技術與政策 本文已授權

摘要

工業互聯網標識解析作為工業互聯網關鍵要素實現協同的“神經樞紐”，一旦遭到入侵或攻擊，可能會對整個工業互聯網產業生態造成重創，甚至對國家安全構成威脅，加快推進工業互聯網標識解析安全保障能力建設迫在眉睫。對工業互聯網標識解析安全風險分析模型和方法論進行了分析和研究，從根源上把控風險，為工業互聯網標識解析安全建設貫徹落實提供參考和指引。

1 引言

隨著工業互聯網標識解析的普及應用，工業互聯網標識解析安全關乎生產安全、社會安全甚至國家安全，其安全性將成為工業互聯網安全保障的關鍵。工業互聯網標識解析體系是工業互聯網網絡架構的重要組成部分，是設備、系統、數據、網絡互聯互通的關鍵。借助標識解析體系，信息得以實現跨企業、跨行業、跨地域的共享和使用，企業得以實現全球供應鏈系統和生產系統的精準對接，實現智能化生產、個性化定制、重要產品追溯和產品全生命周期管理[1]。工業互聯網標識解析作為工業互聯網關鍵要素實現協同的“神經樞紐”，一旦遭到入侵或攻擊，可能會對整個工業互聯網產業生態造成重創，甚至對國家安全構成威脅，加快推進工業互聯網標識解析安全保障能力建設迫在眉睫。基于此，本文創新型地提出了標識解析安全風險分析模型，旨在標識解析體系設計階段為相關企業提供參考和指導。

2 風險分析模型設計

2.1 設計思路

本文中的工業互聯網標識安全風險分析模型是在充分借鑒傳統互聯網和國內外工業互聯網安全框架基礎上[2]，結合我國工業互聯網標識解體系的特點提出，旨在為相關單位在工業互聯網標識解析體系建設初期開展安全風險防范工作提供參考和指導，從根源上把控風險，防范于未然，從而提升工業互聯網標識解析體系安全防護能力。

2.2 風險模型總體架構

工業互聯網標識解析風險模型從風險分析視角、風險管理視角和風險措施視角3個視角進行構建（見圖1）。

圖1 工業互聯網標識解析安全風險模型總體架構

風險分析視角包括架構安全風險分析、身份安全風險分析、數據安全風險分析和運營安全風險分析四大風險分析重點；風險管理視角包括風險目標、風險識別和風險策略三大環節；風險防護視角包括行業監管、安全監測、態勢感知、威脅預警和響應處置五大環節[3]。工業互聯網標識解析風險模型的3個風險視角相對獨立，但彼此之間相互關聯、相輔相成，構成一個有機整體。

2.2.1 風險分析視角

風險分析視角主要包括架構安全風險分析、身份安全風險分析、數據安全風險分析、運營安全風險分析四大風險分析對象（見圖2）。

圖2 風險分析視角安全風險模型

（1）架構安全風險分析主要包括節點可用性風險、節點間協同風險、關鍵節點關聯性風險等架構安全風險分析。

（2）身份安全風險分析主要包括涉及人、機、物3種角色的身份欺騙、越權訪問、權限紊亂、設備漏洞4種身份風險分析[4]。

（3）數據安全風險分析主要包括涉及標識解析注冊數據、解析數據和日志數據的數據竊取、數據篡改、隱私數據泄露、數據丟失等數據安全風險分析。

（4）運營安全風險分析主要為人員管理、機構管理、流程管理等方面的運營安全風險分析。

2.2.2 風險管理視角

風險管理視角旨在指導構建持續改進的風險管控管理機制，提升風險管控水平（見圖3）。

圖3 風險管理視角安全風險模型

（1）風險目標指需要確立工業互聯網標識解析風險評估和業務保障的對象。

（2）指標體系是根據風險目標確定風險評估指標體系。

（3）風險識別是針對風險目標識別可能的風險。

（4）風險策略指針對風險目標可能的風險指定相應的安全防護策略。

2.2.3 風險防護視角

針對工業互聯網標識解析體系面臨的各種風險，風險防護視角從全生命周期角度明確方法指引，實現閉環管理和風險管控。風險措施視角主要包括行業監管、安全監測、態勢感知、威脅預警和響應處置五大環節（見圖4）。

圖4 風險防護視角安全風險模型

（1）行業監管指統一領導、統一指揮、建立聯動監管機制。

（2）安全監測是針對四大風險分析對象進行風險監測。

（3）態勢感知指部署響應的監測措施實時感知安全風險。

（4）威脅預警主要針對態勢感知發現的風險進行風險預警。

（5）響應處置是通過建立響應處置機制及時應對安全風險。

3 風險分析模型

主要研究工業互聯網標識解析安全風險，本文僅針對風險模型中的風險分析視角進行介紹。

3.1 架構風險分析

標識解析體系從架構上而言，是一個樹形分層型架構，從邏輯上而言是一個分布式信息系統。如圖5所示，工業互聯網標識解析體系架構主要包括客戶端、解析服務器、鏡像服務器、代理服務器、緩存服務器，該架構的安全性在事務的每一步都依賴于這些部件的安全性，當體系架構的某一層節點出現問題時，就會對整個架構的安全性產生一定程度的威脅。

圖5 工業互聯網標識解析體系架構

工業互聯網標識解析體系架構面臨的風險很多，如節點可用性風險、節點間協同性風險、關鍵節點關聯性風險等。

（1）節點可用性風險：是指解析體系架構的每一層中每種節點在可用性方面面臨的風險，如果節點受到攻擊，那么該節點的可用性會受到威脅，造成節點功能失效或者不可達。具體而言，節點的可用性風險主要為DDoS攻擊。

（2）節點間協同性風險：是指對于解析體系的分布式特點，如果在解析過程中，節點協同性出現問題，就會造成數據同步或者復制內容過程出現延遲現象，導致數據不一致或者數據完整性出現問題；節點間協同風險主要包括代理服務延遲、鏡像服務器延遲等。

（3）關鍵節點關聯性風險：是指標識解析體系架構中某些關鍵節點出現問題，將會導致影響其他節點的功能，最終削弱了穩定性或者健壯性。關鍵節點關聯性風險主要表現為緩存擊穿、緩存穿透、反射/放大攻擊3種形式。

3.2 身份安全風險分析

身份安全是工業互聯網標識解析的門戶，用戶使用系統首先要進行身份認證，身份的重要性不言而喻。本文從人、機、物的角度討論標識解析系統中各種角色的身份以及其對應的風險點。不同的角色擁有不同的級別和不同種類的權限，標識解析系統中各種風險點都可造成權限或信任受到侵害。針對人、機、物3種身份，每種身份對應的主要風險點如表1所示。

表1 標識身份安全風險

（1）身份欺騙在工業互聯網標識解析系統中也可以叫標識欺騙，因為標識解析系統所有的身份都是以標識來表示。本文將從人、機、物的角度來對身份欺騙進行分析。

（2）越權訪問：主要是指能訪問超過用戶本身權限的資源。例如，標識管理員應該只有管理標識的功能沒有普通用戶的功能，如果標識管理員出現了普通用戶的功能，就是越權訪問。

（3）權限紊亂：使用標識解析服務的設備和人員眾多，最小時間和資源范圍授權有效但授權繁雜，攻擊者可以通過注入、滲透等方式繞過權限管理，從而進入系統。

（4）設備漏洞：主要是指標識解析系統中的服務器、客戶端或者終端可能存在安全漏洞或使用含已知漏洞的組件，導致攻擊者通過已知漏洞繞過設定的訪問控制策略，遠程控制、入侵或篡改設備以及設備標識數據。

3.3 數據風險分析

工業互聯網標識解析涉及標識注冊數據、標識解析數據和日志數據共3類數據進行數據安全風險分析。在網絡安全中，數據安全的能力包括數據的完整性、機密性和可用性3個維度。根據GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》，標識解析數據安全涉及到數據采集、數據傳輸、數據存儲、數據使用、數據交換和數據銷毀等環節。基于以上數據安全維度，標識解析數據安全風險主要包括數據竊取、數據篡改、隱私數據泄露和數據丟失4類。

（1）數據竊取：工業互聯網標識解析數據竊取風險主要是破壞數據的機密性，數據被非授權用戶獲得，使得標識注冊數據、標識解析數據或日志數據外泄，數據竊取風險可能發生在數據采集、數據傳輸、數據交換和數據存儲環節。

（2）數據篡改：工業互聯網設備在接入工業互聯網絡時，攻擊者有機會通過物理方式或者遠程接入互聯的設備，對設備中存儲的標識注冊數據、解析數據和日志數據進行讀取、篡改、偽造等操作。

（3）隱私數據泄露：在標識數據使用過程中，在沒有有效的安全防護措施的情況下，很容易導致工業企業關鍵設備數據、產品數據、管理數據、客戶數據等隱私數據的泄露，從而為企業、個人帶來重大損失，甚至可能會給國家帶來不可估量的損失。

（4）數據丟失：在標識數據使用過程中，如果沒有安全的保護措施和合理的備份情況下，不法分子通過對緩存或代理服務器進行攻擊獲取了權限后惡意刪除數據，服務器遇到自然災害造成數據丟失，操作人員誤刪數據，導致工業企業關鍵設備數據、關鍵產品數據、用戶數據等重要數據丟失并無法恢復，對工業企業造成巨大的損失。

3.4 運營風險分析

運營風險管理起到對二級節點運營風險進行識別、衡量、監督、控制和報告的作用。隨著標識生態的形成，參與者角色不斷豐富，規模不斷擴大。用戶體量和系統規模的持續壯大，給標識解析體系的運營帶來新的挑戰。來自內部與外部的風險，都將影響整個工業互聯網標識解析體系的安全可控運營，運營風險主要存在于對人員管理、分支機構管理以及流程管理。

（1）人員管理風險：標識解析體系的運營具有高可靠性和高安全性的要求，所有有權使用或控制那些可能影響標識分配、標識解析、業務管理、數據管理等操作的員工、第三方服務人員等（統稱“人員”）都會影響系統的正常運營，統稱為可信角色。人員管理風險主要包括角色鑒別風險、關鍵崗位角色管理風險、人員操作風險、人員控制風險。

（2）分支機構管理風險分析：主要指在標識解析體系眾多環節上提供相應標識服務的實體/機構的生命周期管理風險。分支機構管理風險主要包括分支機構的授權風險、分支機構的運行風險、分支機構的服務終止風險。

（3）流程管理風險：系統的運營是由一系列業務流程所組成的集合，缺乏必要的業務流程管理，會導致運營人員在執行工作時，只是依據經驗執行，具有較大的隨意性，給系統運營帶來風險，主要為二級節點申請流程管理風險。

4 結束語

通過對工業互聯網標識解析安全風險進行分析研究，提出了統一的工業互聯網標識解析安全風險分析模型，在工業互聯網標識解析體系建設初期可以提前識別出受保護對象的風險點、風險事件、風險事件的起因、可能的影響后果、適合的保護措施、標準法規的符合性、貫徹實施的可行性等，從根源上把控風險，為工業互聯網標識解析安全建設貫徹落實提供參考和指引，并推動業界達成廣泛共識，共同推進工業互聯網標識解析安全、健康、持續發展。

參考文獻

[1] 工業和信息化部. 《加強工業互聯網安全工作的指導意見》解讀[R], 2019.

[2] Dolezel Diane, McLeod Alexander. Managing security risk modeling the root causes ofdata breaches[J]. Health Care Manager, 2019, 38(4):322-330.

[3] 工業互聯網產業聯盟. 工業互聯網標識解析安全風險分析模型[R], 2020.

[4] HUANG Kai, KONG Ning. Research on status of DNS privacy[J]. Computer Engineering and Applications, 2018, 54(9): 28-36.

責任編輯：PSY

原文標題：工業互聯網標識解析安全風險分析模型研究

文章出處：【微信公眾號：工業IoT】歡迎添加關注！文章轉載請注明出處。