“神經(jīng)樞紐”工業(yè)互聯(lián)網(wǎng)標識解析安全風險分析模型和方法論研究

來源：信息通信技術(shù)與政策 本文已授權(quán)

摘要

工業(yè)互聯(lián)網(wǎng)標識解析作為工業(yè)互聯(lián)網(wǎng)關(guān)鍵要素實現(xiàn)協(xié)同的“神經(jīng)樞紐”，一旦遭到入侵或攻擊，可能會對整個工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)造成重創(chuàng)，甚至對國家安全構(gòu)成威脅，加快推進工業(yè)互聯(lián)網(wǎng)標識解析安全保障能力建設迫在眉睫。對工業(yè)互聯(lián)網(wǎng)標識解析安全風險分析模型和方法論進行了分析和研究，從根源上把控風險，為工業(yè)互聯(lián)網(wǎng)標識解析安全建設貫徹落實提供參考和指引。

1 引言

隨著工業(yè)互聯(lián)網(wǎng)標識解析的普及應用，工業(yè)互聯(lián)網(wǎng)標識解析安全關(guān)乎生產(chǎn)安全、社會安全甚至國家安全，其安全性將成為工業(yè)互聯(lián)網(wǎng)安全保障的關(guān)鍵。工業(yè)互聯(lián)網(wǎng)標識解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡架構(gòu)的重要組成部分，是設備、系統(tǒng)、數(shù)據(jù)、網(wǎng)絡互聯(lián)互通的關(guān)鍵。借助標識解析體系，信息得以實現(xiàn)跨企業(yè)、跨行業(yè)、跨地域的共享和使用，企業(yè)得以實現(xiàn)全球供應鏈系統(tǒng)和生產(chǎn)系統(tǒng)的精準對接，實現(xiàn)智能化生產(chǎn)、個性化定制、重要產(chǎn)品追溯和產(chǎn)品全生命周期管理[1]。工業(yè)互聯(lián)網(wǎng)標識解析作為工業(yè)互聯(lián)網(wǎng)關(guān)鍵要素實現(xiàn)協(xié)同的“神經(jīng)樞紐”，一旦遭到入侵或攻擊，可能會對整個工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)造成重創(chuàng)，甚至對國家安全構(gòu)成威脅，加快推進工業(yè)互聯(lián)網(wǎng)標識解析安全保障能力建設迫在眉睫?；诖?，本文創(chuàng)新型地提出了標識解析安全風險分析模型，旨在標識解析體系設計階段為相關(guān)企業(yè)提供參考和指導。

2 風險分析模型設計

2.1 設計思路

本文中的工業(yè)互聯(lián)網(wǎng)標識安全風險分析模型是在充分借鑒傳統(tǒng)互聯(lián)網(wǎng)和國內(nèi)外工業(yè)互聯(lián)網(wǎng)安全框架基礎上[2]，結(jié)合我國工業(yè)互聯(lián)網(wǎng)標識解體系的特點提出，旨在為相關(guān)單位在工業(yè)互聯(lián)網(wǎng)標識解析體系建設初期開展安全風險防范工作提供參考和指導，從根源上把控風險，防范于未然，從而提升工業(yè)互聯(lián)網(wǎng)標識解析體系安全防護能力。

2.2 風險模型總體架構(gòu)

工業(yè)互聯(lián)網(wǎng)標識解析風險模型從風險分析視角、風險管理視角和風險措施視角3個視角進行構(gòu)建（見圖1）。

圖1 工業(yè)互聯(lián)網(wǎng)標識解析安全風險模型總體架構(gòu)

風險分析視角包括架構(gòu)安全風險分析、身份安全風險分析、數(shù)據(jù)安全風險分析和運營安全風險分析四大風險分析重點；風險管理視角包括風險目標、風險識別和風險策略三大環(huán)節(jié)；風險防護視角包括行業(yè)監(jiān)管、安全監(jiān)測、態(tài)勢感知、威脅預警和響應處置五大環(huán)節(jié)[3]。工業(yè)互聯(lián)網(wǎng)標識解析風險模型的3個風險視角相對獨立，但彼此之間相互關(guān)聯(lián)、相輔相成，構(gòu)成一個有機整體。

2.2.1 風險分析視角

風險分析視角主要包括架構(gòu)安全風險分析、身份安全風險分析、數(shù)據(jù)安全風險分析、運營安全風險分析四大風險分析對象（見圖2）。

圖2 風險分析視角安全風險模型

（1）架構(gòu)安全風險分析主要包括節(jié)點可用性風險、節(jié)點間協(xié)同風險、關(guān)鍵節(jié)點關(guān)聯(lián)性風險等架構(gòu)安全風險分析。

（2）身份安全風險分析主要包括涉及人、機、物3種角色的身份欺騙、越權(quán)訪問、權(quán)限紊亂、設備漏洞4種身份風險分析[4]。

（3）數(shù)據(jù)安全風險分析主要包括涉及標識解析注冊數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)的數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露、數(shù)據(jù)丟失等數(shù)據(jù)安全風險分析。

（4）運營安全風險分析主要為人員管理、機構(gòu)管理、流程管理等方面的運營安全風險分析。

2.2.2 風險管理視角

風險管理視角旨在指導構(gòu)建持續(xù)改進的風險管控管理機制，提升風險管控水平（見圖3）。

圖3 風險管理視角安全風險模型

（1）風險目標指需要確立工業(yè)互聯(lián)網(wǎng)標識解析風險評估和業(yè)務保障的對象。

（2）指標體系是根據(jù)風險目標確定風險評估指標體系。

（3）風險識別是針對風險目標識別可能的風險。

（4）風險策略指針對風險目標可能的風險指定相應的安全防護策略。

2.2.3 風險防護視角

針對工業(yè)互聯(lián)網(wǎng)標識解析體系面臨的各種風險，風險防護視角從全生命周期角度明確方法指引，實現(xiàn)閉環(huán)管理和風險管控。風險措施視角主要包括行業(yè)監(jiān)管、安全監(jiān)測、態(tài)勢感知、威脅預警和響應處置五大環(huán)節(jié)（見圖4）。

圖4 風險防護視角安全風險模型

（1）行業(yè)監(jiān)管指統(tǒng)一領(lǐng)導、統(tǒng)一指揮、建立聯(lián)動監(jiān)管機制。

（2）安全監(jiān)測是針對四大風險分析對象進行風險監(jiān)測。

（3）態(tài)勢感知指部署響應的監(jiān)測措施實時感知安全風險。

（4）威脅預警主要針對態(tài)勢感知發(fā)現(xiàn)的風險進行風險預警。

（5）響應處置是通過建立響應處置機制及時應對安全風險。

3 風險分析模型

主要研究工業(yè)互聯(lián)網(wǎng)標識解析安全風險，本文僅針對風險模型中的風險分析視角進行介紹。

3.1 架構(gòu)風險分析

標識解析體系從架構(gòu)上而言，是一個樹形分層型架構(gòu)，從邏輯上而言是一個分布式信息系統(tǒng)。如圖5所示，工業(yè)互聯(lián)網(wǎng)標識解析體系架構(gòu)主要包括客戶端、解析服務器、鏡像服務器、代理服務器、緩存服務器，該架構(gòu)的安全性在事務的每一步都依賴于這些部件的安全性，當體系架構(gòu)的某一層節(jié)點出現(xiàn)問題時，就會對整個架構(gòu)的安全性產(chǎn)生一定程度的威脅。

圖5 工業(yè)互聯(lián)網(wǎng)標識解析體系架構(gòu)

工業(yè)互聯(lián)網(wǎng)標識解析體系架構(gòu)面臨的風險很多，如節(jié)點可用性風險、節(jié)點間協(xié)同性風險、關(guān)鍵節(jié)點關(guān)聯(lián)性風險等。

（1）節(jié)點可用性風險：是指解析體系架構(gòu)的每一層中每種節(jié)點在可用性方面面臨的風險，如果節(jié)點受到攻擊，那么該節(jié)點的可用性會受到威脅，造成節(jié)點功能失效或者不可達。具體而言，節(jié)點的可用性風險主要為DDoS攻擊。

（2）節(jié)點間協(xié)同性風險：是指對于解析體系的分布式特點，如果在解析過程中，節(jié)點協(xié)同性出現(xiàn)問題，就會造成數(shù)據(jù)同步或者復制內(nèi)容過程出現(xiàn)延遲現(xiàn)象，導致數(shù)據(jù)不一致或者數(shù)據(jù)完整性出現(xiàn)問題；節(jié)點間協(xié)同風險主要包括代理服務延遲、鏡像服務器延遲等。

（3）關(guān)鍵節(jié)點關(guān)聯(lián)性風險：是指標識解析體系架構(gòu)中某些關(guān)鍵節(jié)點出現(xiàn)問題，將會導致影響其他節(jié)點的功能，最終削弱了穩(wěn)定性或者健壯性。關(guān)鍵節(jié)點關(guān)聯(lián)性風險主要表現(xiàn)為緩存擊穿、緩存穿透、反射/放大攻擊3種形式。

3.2 身份安全風險分析

身份安全是工業(yè)互聯(lián)網(wǎng)標識解析的門戶，用戶使用系統(tǒng)首先要進行身份認證，身份的重要性不言而喻。本文從人、機、物的角度討論標識解析系統(tǒng)中各種角色的身份以及其對應的風險點。不同的角色擁有不同的級別和不同種類的權(quán)限，標識解析系統(tǒng)中各種風險點都可造成權(quán)限或信任受到侵害。針對人、機、物3種身份，每種身份對應的主要風險點如表1所示。

表1 標識身份安全風險

（1）身份欺騙在工業(yè)互聯(lián)網(wǎng)標識解析系統(tǒng)中也可以叫標識欺騙，因為標識解析系統(tǒng)所有的身份都是以標識來表示。本文將從人、機、物的角度來對身份欺騙進行分析。

（2）越權(quán)訪問：主要是指能訪問超過用戶本身權(quán)限的資源。例如，標識管理員應該只有管理標識的功能沒有普通用戶的功能，如果標識管理員出現(xiàn)了普通用戶的功能，就是越權(quán)訪問。

（3）權(quán)限紊亂：使用標識解析服務的設備和人員眾多，最小時間和資源范圍授權(quán)有效但授權(quán)繁雜，攻擊者可以通過注入、滲透等方式繞過權(quán)限管理，從而進入系統(tǒng)。

（4）設備漏洞：主要是指標識解析系統(tǒng)中的服務器、客戶端或者終端可能存在安全漏洞或使用含已知漏洞的組件，導致攻擊者通過已知漏洞繞過設定的訪問控制策略，遠程控制、入侵或篡改設備以及設備標識數(shù)據(jù)。

3.3 數(shù)據(jù)風險分析

工業(yè)互聯(lián)網(wǎng)標識解析涉及標識注冊數(shù)據(jù)、標識解析數(shù)據(jù)和日志數(shù)據(jù)共3類數(shù)據(jù)進行數(shù)據(jù)安全風險分析。在網(wǎng)絡安全中，數(shù)據(jù)安全的能力包括數(shù)據(jù)的完整性、機密性和可用性3個維度。根據(jù)GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》，標識解析數(shù)據(jù)安全涉及到數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié)?；谝陨蠑?shù)據(jù)安全維度，標識解析數(shù)據(jù)安全風險主要包括數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露和數(shù)據(jù)丟失4類。

（1）數(shù)據(jù)竊取：工業(yè)互聯(lián)網(wǎng)標識解析數(shù)據(jù)竊取風險主要是破壞數(shù)據(jù)的機密性，數(shù)據(jù)被非授權(quán)用戶獲得，使得標識注冊數(shù)據(jù)、標識解析數(shù)據(jù)或日志數(shù)據(jù)外泄，數(shù)據(jù)竊取風險可能發(fā)生在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)交換和數(shù)據(jù)存儲環(huán)節(jié)。

（2）數(shù)據(jù)篡改：工業(yè)互聯(lián)網(wǎng)設備在接入工業(yè)互聯(lián)網(wǎng)絡時，攻擊者有機會通過物理方式或者遠程接入互聯(lián)的設備，對設備中存儲的標識注冊數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)進行讀取、篡改、偽造等操作。

（3）隱私數(shù)據(jù)泄露：在標識數(shù)據(jù)使用過程中，在沒有有效的安全防護措施的情況下，很容易導致工業(yè)企業(yè)關(guān)鍵設備數(shù)據(jù)、產(chǎn)品數(shù)據(jù)、管理數(shù)據(jù)、客戶數(shù)據(jù)等隱私數(shù)據(jù)的泄露，從而為企業(yè)、個人帶來重大損失，甚至可能會給國家?guī)聿豢晒懒康膿p失。

（4）數(shù)據(jù)丟失：在標識數(shù)據(jù)使用過程中，如果沒有安全的保護措施和合理的備份情況下，不法分子通過對緩存或代理服務器進行攻擊獲取了權(quán)限后惡意刪除數(shù)據(jù)，服務器遇到自然災害造成數(shù)據(jù)丟失，操作人員誤刪數(shù)據(jù)，導致工業(yè)企業(yè)關(guān)鍵設備數(shù)據(jù)、關(guān)鍵產(chǎn)品數(shù)據(jù)、用戶數(shù)據(jù)等重要數(shù)據(jù)丟失并無法恢復，對工業(yè)企業(yè)造成巨大的損失。

3.4 運營風險分析

運營風險管理起到對二級節(jié)點運營風險進行識別、衡量、監(jiān)督、控制和報告的作用。隨著標識生態(tài)的形成，參與者角色不斷豐富，規(guī)模不斷擴大。用戶體量和系統(tǒng)規(guī)模的持續(xù)壯大，給標識解析體系的運營帶來新的挑戰(zhàn)。來自內(nèi)部與外部的風險，都將影響整個工業(yè)互聯(lián)網(wǎng)標識解析體系的安全可控運營，運營風險主要存在于對人員管理、分支機構(gòu)管理以及流程管理。

（1）人員管理風險：標識解析體系的運營具有高可靠性和高安全性的要求，所有有權(quán)使用或控制那些可能影響標識分配、標識解析、業(yè)務管理、數(shù)據(jù)管理等操作的員工、第三方服務人員等（統(tǒng)稱“人員”）都會影響系統(tǒng)的正常運營，統(tǒng)稱為可信角色。人員管理風險主要包括角色鑒別風險、關(guān)鍵崗位角色管理風險、人員操作風險、人員控制風險。

（2）分支機構(gòu)管理風險分析：主要指在標識解析體系眾多環(huán)節(jié)上提供相應標識服務的實體/機構(gòu)的生命周期管理風險。分支機構(gòu)管理風險主要包括分支機構(gòu)的授權(quán)風險、分支機構(gòu)的運行風險、分支機構(gòu)的服務終止風險。

（3）流程管理風險：系統(tǒng)的運營是由一系列業(yè)務流程所組成的集合，缺乏必要的業(yè)務流程管理，會導致運營人員在執(zhí)行工作時，只是依據(jù)經(jīng)驗執(zhí)行，具有較大的隨意性，給系統(tǒng)運營帶來風險，主要為二級節(jié)點申請流程管理風險。

4 結(jié)束語

通過對工業(yè)互聯(lián)網(wǎng)標識解析安全風險進行分析研究，提出了統(tǒng)一的工業(yè)互聯(lián)網(wǎng)標識解析安全風險分析模型，在工業(yè)互聯(lián)網(wǎng)標識解析體系建設初期可以提前識別出受保護對象的風險點、風險事件、風險事件的起因、可能的影響后果、適合的保護措施、標準法規(guī)的符合性、貫徹實施的可行性等，從根源上把控風險，為工業(yè)互聯(lián)網(wǎng)標識解析安全建設貫徹落實提供參考和指引，并推動業(yè)界達成廣泛共識，共同推進工業(yè)互聯(lián)網(wǎng)標識解析安全、健康、持續(xù)發(fā)展。

參考文獻

[1] 工業(yè)和信息化部. 《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導意見》解讀[R], 2019.

[2] Dolezel Diane, McLeod Alexander. Managing security risk modeling the root causes ofdata breaches[J]. Health Care Manager, 2019, 38(4):322-330.

[3] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟. 工業(yè)互聯(lián)網(wǎng)標識解析安全風險分析模型[R], 2020.

[4] HUANG Kai, KONG Ning. Research on status of DNS privacy[J]. Computer Engineering and Applications, 2018, 54(9): 28-36.

責任編輯：PSY

原文標題：工業(yè)互聯(lián)網(wǎng)標識解析安全風險分析模型研究

文章出處：【微信公眾號：工業(yè)IoT】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。