数据安全视角下工业互联网平台的攻击与防护

樊佩茹，王冲华

（国家工业信息安全发展研究中心，北京 100040）

1 引言

工业互联网平台是面向制造业数字化、网络化、智能化的需求，基于海量数据采集、汇聚、分析构建的服务体系，支撑制造资源泛在连接、弹性供给和高效配置的工业云平台。工业互联网平台在传统云平台的基础上，叠加物联网、大数据、人工智能等新兴技术后，构建更精准、实时、高效的使用平台，它向上承载应用服务，向下连接系统设备，是实现工业技术、经验、知识的模型化、软件化、复用化，形成资源富集、多方参与、协同演进、合作共赢的制造业生态的枢纽。其中，数据作为工业制造过程中一种备受关注的战略资源，具有挖掘需求、预测制造、整合产业链的价值，是发展智能制造，促进制造业转型升级的核心驱动力。

工业企业在生产制造、业务运行及问题发生和解决过程中，将会产生大量的数据。工业互联网平台通过对这些数据进行系统地收集、处理、分析和发掘，能够辅助决策者更及时、高效地了解问题产生的过程、造成的影响和解决方式，进一步做出正确决策，这就实现了工业数据价值的最大化。

然而，随着工业APP、企业设备上云，云端关键数据高价值密度聚合，分布式、开放化的云服务扩大了工业数据的暴露面，黑客入侵窃取数据的路径增多，大规模工业数据泄露、篡改等安全风险加剧。工业互联网平台的发展推动了工业数据从企业设备层到平台应用层的一体化贯通，在此过程中开放的各种API接口极易成为黑客入侵的渠道。此外，工业数据一般涉及到工业企业的生产要素、知识产权和商业机密，攻击者通过非法入侵、勒索病毒等方式攫取商业机密或巨额经济利益的攻击活动日益盛行，平台数据正成为黑客的重点攻击目标。一旦工业互联网平台被黑客入侵攻击，就可能引发大规模工业数据泄露、篡改等重大安全事件，将对工业企业生产安全、业务安全、社会安全甚至国家安全带来巨大危害。

目前，国内外工业互联网平台仍在探索、发展、应用过程中，常采用传统的防护手段保障数据安全。例如，工业数据采集系统中，主要通过工业防火墙和工业网闸等产品实现数据加密传输；工业互联网平台中，主要通过代码审计、接口验证、漏洞扫描、认证授权、安全监测等技术抵御外来攻击，减少平台数据受到危害的可能性。然而，当前工业互联网平台依然集中关注于数据预测性分析、资产运维优化、经营管理优化、资源匹配系统等功能性需求，面向特定的行业或工业场景提供服务时，进行大量定制化开发以满足客户的多样性应用需求，导致服务成本和周期大幅增加。现有的工业互联网平台主要致力于实现长期的工业知识积累和数据分析技术进一步创新，对工业数据在平台分析处理过程中隐藏的安全风险考虑较少，当前工业互联网平台数据还缺乏统一的安全考量和通用的安全防护措施，存在巨大的安全隐患。

我国高度重视工业互联网数据安全，2017年，国务院发布《关于深化“互联网+先进制造业”发展工业互联网的指导意见》将“建立数据安全保护体系”列为主要任务之一，提出“建立工业互联网全产业链数据安全管理体系，明确相关主体的数据安全保护责任和具体要求”，明确指出“加强数据收集、存储、处理、转移、删除等环节的安全防护能力”。2019年，工信部发布《关于加强工业互联网安全工作的指导意见（征求意见稿）》提出要建立工业互联网全产业链数据安全管理体系，加强工业互联网重要数据安全监测和管理。工业数据安全是推进工业互联网平台健康运行的重要保障。

2 工业互联网平台数据生命周期

工业互联网平台架构包括边缘计算、工业云基础设施（IaaS）、工业云平台服务（PaaS）和工业应用（SaaS）四个层次。其中，云基础设施层主要包括支撑工业互联网平台运行的基础设施，涵盖平台的服务器、存储器、网络、虚拟化系统等物理资源调度与隔离等基础功能，工业互联网平台支撑工业模型沉淀、工业大数据管理与分析、工业应用敏捷开发、新型工业应用等的核心能力主要集中在工业云平台服务层和工业应用层。因此，从机器设备产生初始数据到形成高价值决策依据再到投入应用的过程中，本文将工业数据生命周期的各环节主要对应到工业互联网平台除工业云基础设施层外的其他三个层次进行讨论。

一般数据的生命周期包含采集、传输、汇聚、存储、管理、清洗、挖掘、分析、共享、发布、迁移、销毁等，根据数据在工业互联网平台流转层次的不同，本文概括地将平台数据分为：汇聚、分析和应用三个环节，与平台各层次相对应，如图1所示。

图1 工业互联网平台数据生命周期

工业互联网平台与数据生命周期的三个环节的对应关系叙述为：

（1）边缘计算层。支持多种通信接入手段和协议转换技术，可实现多源异构工业数据的收集和聚合，对应数据生命周期的第一个环节—数据汇聚。

（2）工业云基础设施层。平台数据从所在物理位置讲，都位于该层的存储单元（磁盘）中；但是平台数据存储与访问逻辑一般在工业云平台服务层和工业应用层进行管理和控制，因此本文将数据存储和访问分别纳入数据分析和应用两个环节进行讨论。工业云基础设施层对应数据生命周期的第二个环节—数据分析中存储数据的物理单元。

（3）工业云平台服务层。在通用云平台资源部署管理功能的基础上，叠加工业数据处理系统、工业数据建模框架、工业应用开发环境、工业微服务组件库等新的功能，可实现数据的存储、清洗、管理、建模、挖掘和决策，为用户形成有价值的决策依据，对应数据生命周期的第二个环节—数据分析。

（4）工业应用层。面向不同行业的不同场景，对传统工业软件进行改造升级，将数据投入到实际中使用，使其更好地满足产品研发、生产、管理、决策和反馈等需求，可实现数据的共享、访问、发布、迁移和销毁，满足用户的多样化需求，对应数据生命周期的第三个环节—数据应用。

在工业云平台服务层，也可能出现数据应用的需求，同样在工业应用层，也可能出现数据分析的场景。但通常来看，数据分析为数据应用奠定了基础，在数据整个生命周期中处于第二环节；数据应用是数据分析的目的，是其存在于工业互联网平台上的最后一个阶段，由此本文将其归纳到数据生命周期的第三环节。

3 工业互联网平台数据面临安全威胁

工业领域中，大数据环境正在逐渐形成，工业系统运转模式也正在转变，从应激式的解决问题，到基于经验的预防问题，到现在利用数据基于线索和事实避免问题，最终目的是实现知识的获取和传承。这一系列转变的核心背后，是工业价值的转型，而工业数据已经成为工业价值转型的核心驱动力。然而相应的，工业数据的价值导致它已经成为一种高风险目标，容易遭到针对性的攻击。工业互联网平台中流转的数据一般具有较高的敏感性，涉及到工业企业的生产要素、知识产权和商业机密，有些数据资料甚至关系到国家安全，因此对数据的窃取、破坏或篡改，将造成严重的经济损失、社会影响甚至国家安全等问题。

工业数据的整个生命周期贯穿在工业互联网平台的所有层次中，本文围绕平台数据全生命周期的三个环节，分析了数据在各阶段面临的安全威胁。

3.1 数据汇聚安全威胁

工业数据由智能传感器、边缘网关等各种终端设备和边缘设备采集传输而来，工业互联网平台的边缘层负责工业数据接入过程中的数据收集与聚合工作。首先，由于目前工业数据体量大、数据接口不同、数据格式标准各异，从而导致平台边缘层的数据接收软件种类多样、结构复杂，形成较大的攻击面；其次，由于终端设备和边缘设备计算资源有限，安全防护能力薄弱，所以工业数据在采集、传输的过程中，被窃听、拦截、篡改、丢失的安全风险较高，容易产生错误、虚假的数据，干扰后期工业互联网平台上数据分析、处理、决策结果的正确性和可靠性；此外，攻击者还有可能通过控制终端设备和边缘设备，生成精心构造的攻击数据，触发平台边缘层数据接收端的漏洞或后门，对平台实施入侵或发起大规模网络攻击，进一步对平台安全造成危害。

3.2 数据分析安全威胁

工业互联网平台数据分析环节面临的安全威胁来自工业云基础设施层和工业云平台服务层。

工业云基础设施层包括了数量众多、种类多样的硬件和软件组件，如主机设备、磁盘阵列、虚拟化软件栈、虚拟机系统等。这些组件数目巨大、种类多样，组件之间交互过程复杂，使得工业数据到达平台时，将会面临着极大的攻击面。利用虚拟机逃逸、跨虚拟机侧信道攻击、镜像篡改等新型攻击的方式，攻击者能够窃取到虚拟机中的敏感工业数据、加密密钥等信息，甚至获得虚拟机的控制权，进而利用虚拟化软件栈的漏洞，穿透整个工业互联网平台，渗透到平台主机层，对整个平台的数据安全构成威胁。

当讨论数据在平台不同层次面临的安全威胁时，首先应考虑其存储单元面临的物理威胁，如数据存储的物理介质被破坏，数据销毁时相应物理介质未一同销毁等问题。工业云基础设施层的物理安全，是数据安全和整个工业互联网平台安全的基础，可通过其他技术与管理手段进行解决，因此本文不讨论由工业云基础设施层物理威胁引起的数据安全问题。

工业云平台服务层是基于工业知识显性化、模型化、标准化构建的工业服务环境，包括通用PaaS平台、工业应用开发工具、工业微服务组件、工业大数据分析平台等，通过对工业大数据的清洗、挖掘和分析，支撑企业实现先进制造、生产、运行、管理的优化，辅助管理员做出有效决策。工业云平台服务层处理着海量工业企业的工艺参数、产能数据等高价值数据，容易遭到针对性攻击，一旦被入侵，可能导致敏感信息泄露，威胁平台和工业企业的数据安全；攻击者还有可能篡改工业数据，操纵数据分析处理软件，给出扭曲的、错误的、精心制造的分析结果，误导工业企业做出错误判断和决策，给企业、甚至国家造成重大经济损失。

多数企业在建设工业互联网平台时，使用了第三方服务商提供的IaaS或PaaS服务，第三方服务商又可能依赖第四方、第五方服务商提供的硬件或软件组件支持服务运行，随着工业互联网平台服务供应链长度的增加，数据在其生命周期的第二个环节，面对的攻击面将不断扩大，面临的安全威胁更加严峻。

3.3 数据应用安全威胁

工业数据经过有效地分析和挖掘后，只有应用到生产制造、产品销售、售后服务等过程中，才能帮助工业企业了解和解决可见的问题，分析和预测不可见的问题，辅助管理者做出正确的决策。工业数据生命周期的第三个环节—数据应用，主要对应于工业应用层。工业互联网平台应用层部署着大量的工业应用程序，涉及到专业工业知识和特定工业场景，一般会集成封装多个低耦合的工业微服务组件，功能复杂，若开发过程中编码不符合安全规范，或使用了不安全的第三方库，则会非常容易出现安全漏洞和缺陷，为工业数据安全带来突出的问题。此外，工业数据在发布和共享时面临访问授权验证、信息泄露的问题；在迁移时面临平台认证、安全级别变更的问题；在销毁时面临数据残留问题，对工业互联网平台的数据安全造成危害。

4 构建可信的工业互联网平台

我国工业互联网平台正处于高速发展阶段，平台实现的薄弱环节较多，工业数据类型多样、流动复杂、分散分布等特征增加了防护的难度。传统的IT扫描、检测、监控、病毒查杀等被动防御手段无法有效地抵御针对工业互联网平台数据的网络攻击。可信计算采用“度量+管控”的思路，其目标不是消除平台系统或软件中的漏洞或缺陷，而是阻止一切未知的或非法的程序执行，防患于未然，通过构建可信的工业互联网平台，确保系统按照预定的期望执行，确保数据按照预期的方式被处理。

4.1 工业互联网平台薄弱环节

总的来看，工业互联网平台的薄弱环节主要体现为两大因素。

（1）人的因素

人的多变、不可控是制约工业互联网平台安全的一大因素。随着工业企业生产业务环境与“互联网+”的融合，及针对人的社会工程学、钓鱼攻击等行为日渐增多，企业内部人员如工程师、操作员、管理员等，“有意识”和“无意识”的行为，都可能泄露敏感信息，传播恶意软件甚至破坏工业系统。

（2）技术的因素

一方面，数据采集设备安全防护能力薄弱导致来源的数据不可信。早期的工业数据采集设备运行在相对封闭的独立环境中，一般仅考虑设备的功能性和稳定性，安全性考虑不足，容易引发工业互联网平台边缘层接收的数据存在可信性不确定问题。接收的数据可能是过期的、错误的、被篡改的、或者是攻击者精心构造的，给平台后续的数据分析带来了巨大的隐患。

另一方面，平台安全防护缺乏针对性。现有工业互联网平台产品重点关注工业数据分析、资产运维优化、经营管理优化、资源匹配协同等多样性的客户需求，在平台安全方面主要通过安全监测、安全审计、漏洞扫描修复、认证授权等通用方式进行保障。然而，这类防护功能主要依赖系统级安全软件提供的支撑，在缺乏硬件保护的情况下，一旦安全软件自身遭到攻击，所提供的安全防护能力将立即失效，工业互联网平台安全也就岌岌可危。

4.2 “战略”+“战术”双重保障

针对上述薄弱环节，构建可信的工业互联网平台时，应从“战略”+“战术”两方面进行保障。如图2所示。

从“战略”角度讲，完善政策制度，加快标准研制，推动规范指导，建立健全的工业互联网平台可信管理体系，规范人的行为。工业互联网平台可信管理体系建设，旨在指导人做出可信的行为，判断人的行为是否可信，制约人无法做出不可信行为，对人的不可信行为给出可信防护策略，以最大限度地减少和避免由于人的失误给工业互联网平台带来的安全威胁。

图2 可信的工业互联网平台构建思路

从“战术”角度讲，应用可信的计算技术，从工业数据可信采集、工业设备可信接入、工业软件可信运行、工业互联网平台可信性检测等方面，建立完整的工业互联网平台可信技术体系。以可信芯片作为硬件基础，在工业互联网平台边缘计算层、工业云基础设施层、工业云平台服务层、工业应用层进行信任扩展，构建信任链，从系统级对平台进行信任度量，构建可信的工业互联网平台，对平台软件提供可信的防护能力，保证工业数据在工业互联网平台上的可信汇聚、可信分析和可信应用。

安全技术为保证工业互联网平台安全奠定基础，安全管理为安全技术切实发挥作用提供保障。工业互联网平台可信管理体系与可信技术体系相结合，从“战略”+“战术”的角度，保障工业互联网平台中人的可信和技术的安全，能建立一个完整的集工业数据汇聚、分析、应用为一体的工业互联网平台数据可信生态体系。

5 结束语

工业数据包括了高价值密度的核心业务数据、积累的产品研发数据、生产制造数据、供应链数据以及客户服务数据等，是工业领域的核心数据资产。工业数据的高价值导致它已经成为一种高风险目标，面临严峻的安全威胁。数据在工业互联网平台流转时，其汇聚、存储、挖掘、使用、共享、迁移等环节都容易遭到针对性攻击，一旦数据被窃取、破坏或篡改，将造成严重的经济损失、社会影响，甚至威胁到国家安全。本文围绕着工业数据的生命周期，分析了其在工业互联网平台各层次面临的安全威胁针对平台现有的安全薄弱环节，提出“战略”+“战术”的防护理念，给出一种可信工业互联网平台的构建思路，以保障工业数据在平台上全生命周期的安全。