工业物联网安全

本书指出了工业物联网的安全边界及安全问题，通过实例提供了一系列解决方案，可作为工业物联网安全从业人员的指导用书。正如工业互联网联盟的斯蒂芬·J.梅勒先生所说的，本书填补了工业物联网安全的概念框架和实践之间的空白，实用性较强，对于安全从业人员很好有益，值得细读。

作者简介Sravani Bhattacharjee是一名数据通信技术专家，拥有20多年的从业经历。2014年以前，她作为思科（Cisco）公司技术主管领导主持了针对多家企业的云端/数据中心解决方案的架构设计和安全评估工作。作为Irecamedia公司的负责人，她目前致力于与工业物联网创新团体合作，通过制订行业白皮书以及发表各种评论和技术营销内容来推动相关认识和商业决策的进步。她是一名IEEE物联网小组成员、一位作者以及一位演说家，她拥有电子工程专业硕士学位。我真诚地感谢行业同仁为本书所提出的意见、所付出的宝贵时间以及所给予的支持。特别感谢微软公司的Arjmand Samuel、RTI公司的Stan Schneider、Mocana公司的Dean Weber、IIC（工业互联网联盟）的Stephen Mellor、思科公司的Paul Didier和通用电气公司的Rebecca Lawson。RTI公司的Rajive Joshi和Infineon公司的Steve Hanna的主动帮助与支持令我感动。感谢我所有的家庭成员和朋友们，在我完成本书的过程中不断地提供关心与帮助。

目    录译者序序言前言作者简介评审者简介免责声明章  一个前所未有的机会 11.1  定义工业物联网 21.1.1  工业物联网、工业互联网以及工业4.0 31.1.2  消费者与工业物联网 51.2  工业物联网安全：一种商业必然 61.3  网络安全与网络物理物联网安全 71.4  工业“?物?”、连接和运维技术 91.4.1  运维技术 91.4.2  机器对机器 101.4.3  SCADA、DCS和PLC概述 101.4.4  工业控制系统架构 111.5  IT和OT结合：真正的含义 151.6  工业物联网部署架构 161.7  IT和OT安全基础的差异 181.7.1  操作优先级 181.7.2  攻击面和威胁对象 191.8  工业威胁、漏洞和风险因素 221.8.1  威胁和威胁对象 221.8.2  漏洞 241.8.3  风险 251.9  网络物理攻击的演变 261.10  工业物联网用例：检查网络风险缺口 271.10.1  能源和智能电网 281.10.2  制造业 281.10.3  工业控制系统中的网络攻击：Stuxnet案例学习 291.10.4  智慧城市和自主交通 311.10.5  医疗保健和药品 311.10.6  针对医疗企业的恶意软件攻击：WannaCry案例学习 321.11  总结 33第2章  工业物联网数据流和安全架构 342.1  工业物联网攻击、对策和威胁模型初探 342.1.1  攻击面和攻击向量 352.1.2  攻击树 372.1.3  故障树分析 372.1.4  威胁建模 392.2  工业物联网系统的可信度 412.3  工业大数据管道和架构 422.4  工业物联网安全架构 452.4.1  业务视角 452.4.2  使用视角 452.4.3  功能视角 462.4.4  实现视角 472.4.5  工业物联网架构模式 472.4.6  工业物联网安全架构构建块 502.4.7  四层工业物联网安全模型 522.5  总结 54第3章  工业物联网中的身份和访问管理 553.1  身份和访问控制初探 563.1.1  身份识别 563.1.2  身份认证 573.1.3  授权 573.1.4  账户管理 583.2  工业物联网中IAM的区别性特征 583.2.1  工业物联网端点的多样性 583.2.2  关于资源受限和棕地的考虑 593.2.3  物理安全性和可靠性 593.2.4  自治和可扩展性 593.2.5  缺少事件记录 603.2.6  基于订阅的模型 603.2.7  越来越复杂的身份攻击 603.2.8  基于风险的访问控制策略 613.3  贯穿设备生命周期的身份管理 613.4  工业物联网的身份认证和授权框架 623.4.1  基于密码的身份认证 623.4.2  生物识别技术 643.4.3  多因素身份认证 643.4.4  基于密钥的身份认证 653.4.5  零知识密钥 683.4.6  基于证书的身份认证 683.5  信任模型：公钥基础设施和数字证书 693.6  工业物联网的PKI证书标准 703.6.1  ITU-T X.509 703.6.2  IEEE 1609.2 713.6.3  工业物联网部署中的证书管理 733.7  为物联网访问控制扩展OAuth 2.0授权框架 733.8  IEEE 802.1X 743.9  消息协议中的身份支持 753.9.1  MQTT 753.9.2  CoAP 753.9.3  DDS 753.9.4  REST 753.10  监控和管理功能 763.10.1  活动记录支持 763.10.2  支持撤销和OCSP 763.11  为工业物联网部署构建IAM策略 773.12  总结 79第4章  端点安全与可信度 804.1  定义IIoT端点 814.1.1  动机和基于风险的端点保护 814.1.2  资源受限的端点保护 834.1.3  棕地场景考虑 844.2  端点安全支持技术 844.3  IIoT端点漏洞 864.4  建立硬件信任 884.4.1  硬件安全组件 894.4.2  信任根：TPM、TEE和UEFI 894.4.3  保护秘密或密封 904.5  端点身份认证和访问控制 904.6  初始化和启动过程完整性 914.7  建立操作阶段的端点信任 934.7.1  安全更新 934.7.2  可信的执行生态系统 944.8  端点数据完整性 954.8.1  端点配置和管理 964.8.2  端点可见性和控制 964.9  使用隔离技术的端点安全 974.9.1  进程隔离 974.9.2  容器隔离 984.9.3  虚拟隔离 984.9.4  物理隔离 1004.10  端点物理安全 1004.11  启用机器学习的端点安全 1004.12  端点安全测试和认证 1014.13  端点保护行业标准 1024.14  总结 103第5章  确保连接和通信安全 1045.1  网络、通信和连接的定义 1055.2  区分IIoT连接的功能 1065.2.1  确定行为 1075.2.2  互操作性：专有与开放标准 1085.2.3  性能特征：延迟、抖动和吞吐量 1085.2.4  隔离网络消失的遗留网络 1095.2.5  访问资源受限的网络 1095.2.6  由连接引发的巨大变迁 1095.3  IIoT连接架构 1105.3.1  多层IIoT安全连接架构 1115.3.2  分层数据总线架构 1135.4  IIoT连接保护控制 1145.4.1  安全隧道和VPN 1145.4.2  密码学控制 1155.4.3  网络分段 1155.4.4  工业非军事区 1165.4.5  防火墙和过滤的边界防御 1165.4.6  全面的访问控制 1175.4.7  核心和边界网关 1185.4.8  单向网关保护 1195.4.9  资产的发现、可见性和监控 1205.4.10  物理安全：道防线 1215.5  IIoT连接标

前    言工业物联网（IIoT）正在为我们带来巨大的社会和经济机遇。它开启了一个自主机器和智能过程的崭新时代。然而，互联互通会带来一个不可避免的副作用，即我们将暴露于网络入侵的威胁之中。因此，安全性也就成为IIoT部署过程中人们最关注的问题。IIoT安全性与物理系统的可靠性，以及人与环境的物理安全性等有着错综复杂的联系。本书为读者提供了针对IIoT安全各个方面的内容，以及用来构建和部署安全IIoT解决方案的实践技术。在本书中，我们将从专业视角为读者介绍IIoT安全的基本原则、威胁模型、参考架构，以及现实生活中的案例分析。本书涵盖了用来设计基于风险的安全控制方案的各种实用工具，并且深入讨论了多层防御相关技术，包括IAM、端点安全、互联技术以及基于边界和云环境的应用，如此读者才能牢固掌握重要的安全规程。除了开发人员、架构师、生产经理、制造商和业务经理之外，很多相关人员都应该关注对IIoT生命周期中的流程、标准化操作、治理所进行的安全加固，以及对新兴技术（例如，区块链、AI/机器学习、TSN以及量子计算）可用性所进行的评估，从而大规模地实现稳定且具有社会效益的互联系统。本书读者对象本书的目标读者是IIoT从业者，包括IIoT研究人员、安全专家、架构师、开发人员以及业务利益相关者。任何需要深入理解工业设施互联所带来的独特物理安全和信息安全挑战，以及需要学习实用方法来保护工业资产的人，都可以从本书中获益。本书主要内容章介绍基本的IIoT概念、定义，以及保护ICS/SCADA/DCS系统所面临的独特挑战。本章还就一些典型IIoT用例的安全评估工作进行了深入研讨。第2章帮助读者深入理解工业应用中的数据流、参考架构以及IIoT的风险管理方法。最后，本章基于工业互联网安全框架（Industrial Internet Security Framework，IISF），建立了一个端到端的IIoT安全架构。第3章全面介绍用于保护IIoT架构的身份与访问控制技术及其演化发展。第4章介绍端点安全的重要主题，帮助读者真正理解保护IIoT端点的重要性、挑战以及解决方案。第5章介绍工业互联网连接框架（Industrial Internet Connectivity Framework，IICF），同时从深度与广度两方面探讨IIoT连接技术和架构，从而帮助读者深入洞察其安全态势。第6章利用现实中的IoT系统云环境示例，讲解从边界到云端保护IIoT应用的安全技术。第7章讨论IIoT安全在管理与治理方面的重要角色，目的是为业务经理和业内人士提供一些指导意见。第8章帮助读者理解众多的新兴技术，并在保护联网的工业用例方面对其进行评估。第9章涉及本书讨论的IIoT安全的各个方面，并且结合实例进行讲解。0章对本书提到的技术发现进行简要总结，并对下一步要做什么进行了总结陈述与展望。如何使用本书为满足具有IT或业务背景的技术专业人员以及组织的业务经理的需求，本书进行了精心编排。第3～6章都包含了一些不错内容，因此要求读者具有一定的IT背景，并具有一些工业方面的基础知识。其余章节则为具备技术和业务背景的IIoT从业人员提供了至关重要的知识。下载本书彩图本书中所用的截图和样图，可以从http://www.packtpub.com通过个人账号下载，也可以访问华章图书官网http://www.hzbook.com，通过注册并登录个人账号下载。本书约定警告或重要的注意事项。小建议或小窍门。序    言在大约40年前互联网刚刚出现时，没有人担心是否安全，甚至没有人考虑这方面的问题，因为没有必要—当时所设计的应用程序的主要用途是，在欧洲核子研究组织（CERN）的各个实验室之间共享非涉密的文件；而当时的互联网工作模式，主要是具有共享意愿的私人在进行交互。作为一项重要的发明，统一资源定位符（URL）目前主要用于个人与业务的交互。通过互联网，我们可以使用网上银行、预订航班机票和酒店，以及提供信用卡信息等。由于互联网不再是一个简单的文件共享方案，因此安全就成为一个重要的问题。此外，健康档案通常都是在线保存的，并且我们（有时在不经意间）会通过社交媒体和提供特定服务（比如约会相亲）的网站来泄露大量的个人数据。我们希望这些数据能够作为秘密进行保存。因而，个人隐私理所当然地成为一个引人关注的问题。如今，我们正在将各种实体连接到互联网。我们可以控制现实世界中的物理设备，互联网逐渐变成业务与实体进行交互的工作模式。因此，物理安全成了一个问题。此外，以无人驾驶汽车为例，不仅需要在安全气囊等物理层面实现安全配置，而且还需要在无人驾驶技术方面做到稳定可靠，从而保证不会在时速65英里的情况下突然发生故障。它们需要具有足够的弹性，从而在汽车真正发生故障时，仍然能够平稳降速。工业物联网（Industrial Internet of Things，IIoT）是由机器、计算机和人等各种实体组成的互联网，它将彻底改变经济和社会形态，但前提是它要有可信度。可信度（可信赖性）是由信息技术（Information Technology，IT）和运维技术（Operational Technology，OT）两个领域中的信息安全性（它不再仅仅指网络中的安全）、私密性、物理安全性、可靠性和稳定性共同组合而成的概念。这个集合中包含了来自很多不同区域、使用不同术语（“?安全?”一词对于IT专家和工厂经理而言具有不同的含义），并且拥有不同时间线（在我们谈论的时候，IT行业正在为我的手机更新换代，而一个化学工厂则需要进行大量的合规性检验）的人。这就要求我们对文化、进程、价值和重点进行仔细的思考和调整。因此，可信度是一个复杂而昂贵的主题，其中包含了多个方面的内容和原则。它要求相关人员掌握全面的基础知识，从而提升安全意识、专业技能和实践能力。它直接关系到全世界经济和社会中的安全性、环境破坏以及伦理道德。然而，企业利益相关者和技术专家（包括系统开发人员、集成商和制造商）对于可信度还是缺乏全面的理解。想要使用IIoT的工业用户需要综合性的指导。本书包含了IIC的相关工作、现有标准以及最佳实践，并将它们整合成一本安全从业人员的指导手册。它广泛适用于多个垂直领域，其目标读者主要是解决方案架构师以及任何负责IIoT安全的人员，旨在通过简短的篇幅来帮助他们理解IIoT所涉及的安全问题。本书将这些框架无缝结合在一起，展示了它们对于多种IIoT实例的实用性。当今的工业界十分需要这样的资源。本书填补了概念框架和实践之间的空白，着重介绍了贯穿于生命周期的安全角色和责任，从业务实例和需求定义到开发和集成阶段，一直到部署与现场操作。除了IIC资源，读者还将发现其他一些有用的工业参考资料，包括IEEE、IEC、OMG、云安全联盟、NIST以及一些研究组织和学院等的研究成果。而就本书而言， 我们将主要介绍IIC的关注内容和新方案。本书并不是对IIoT安全的总结陈述，而更像是一段旅程的起点，读者可以从这里开始认识一个数字互联的世界，并且一起完善它，从而应对在可预见的将来可能会出现的安全挑战。斯蒂芬·J.梅勒工业互联网联盟首席技术官2018年6月27日于美国加利福尼亚州拉荷亚