工业互联网企业身份与访问控制课题研究与探索

随着信息技术的不断发展，传统封闭的工业控制系统利用新兴互联技术实现生产效率的提升，但同时其本身固有的安全漏洞及互联网的安全威胁也极大地影响了生产的安全。保障生产安全有多方面措施，本文从用户身份管理和访问控制的角度探讨了生产安全的保障机制，希望为工业互联时代的企业网络安全建设提供一个思路。

1 工业互联网安全现状

近年来，随着我国工业互联网的高速发展，网络安全威胁正在加速向工业领域蔓延，传统的工业控制系统的安全机制的弱点在互联网上暴露无遗。

1.1　工业互联网安全事件频发

工业互联网作为国家重点信息基础设施的重要组成部分，正在成为全世界最新的地缘政治角逐战场。例如，包括能源、电力等在内的关键网络已成为全球攻击者的首选目标，极具价值。当前，网络安全威胁正在加速向工业领域蔓延，工业互联网安全事件频发已经严重影响经济社会正常运行及国家安全，接连发生的安全事件引发各国对工业互联网安全高度重视与关注。

2015 年 12 月，乌克兰约 60 座变电站遭到黑客攻击，导致乌克兰 140 万名居民遭遇了一次长达数小时的大规模停电；2017 年 5 月，“永恒之蓝“勒索病毒席卷全球，英国、意大利、俄罗斯等欧洲国家以及中国国内多个高校内网、大型企业内网和政府机构专网中招，被勒索支付高额赎金才能解密恢复文件；2021 年 5 月，美国最大的燃油管道商 Colonial Pipeline 遭到勒索软件攻击，导致其业务受到严重影响。

事实证明，没有得到良好安全保护的工业互联网，就像一扇虚掩的大门，根本无法防御任何精心策划的攻击行动。

1.2　国内工业互联网发展现状

当前我国工业互联网产业发展正处在一个关键的历史时刻。2012 年，通用电气公司（General Electric Company，GE）在全球范围内首次提出工业互联网概念后。我国于 2015 年 5 月正式印发《中国制造 2025》国家行动纲领，明确了 9项战略和重点任务，包括推进信息化与工业化深度融合，通过大力发展新一代信息技术产业，加快制造业转型升级，全面提高发展质量和核心竞争力。

党的十九大报告全面系统地论述了坚持总体国家安全观的重要思想，并明确提出“加快建设制造强国、网络强国、数字中国、智慧社会，推动互联网、大数据、人工智能和实体经济深度融合”的战略部署。从图 1 中可以看到，近几年我国联网工业控制系统的数量逐年递增，2020 年发展更是成数倍地增长。而工业互联网领域各类网络攻击行为直接破坏或损毁工业控制系统、设备等关键信息基础设施，对人民生产生活以及经济发展、社会稳定、国家安全构成严重威胁。工业互联网安全体系建设已成为国家安全体系建设的重要组成，其重要性不亚于经济安全、科技安全等 。

图 1　近年中国联网工业控制系统数量（数据来源：国家工业信息安全发展研究中心）

伴随工业互联网化平台接入，工控网络将直接或间接与互联网连接。此时，其封闭式底层工业控制网络安全考虑不充分、安全认证机制和访问控制的防护能力不足、生产设备和控制系统的控制指令简单等缺点暴露无遗。如图 2所示，伴随着联网工业控制系统的不断增多，新发现的工业控制系统漏洞也随之增加。一旦联网工业控制系统遭受攻击，将导致平台运行环境被破坏、生产流程中断，甚至关键工业设施损毁，严重威胁工业生产的稳定运行及财产、人身安全，进而影响国家和社会正常稳定运行。由此可见，没有坚实的安全保障，将难以维持工业生产平台的正常运行，更谈不上工业互联网的稳定发展。

图 2　近年中国新增工业控制系统漏洞数量（数据来源：国家工业信息安全发展研究中心）

1.3　国内工业互联网常见问题

国内工业互联网安全体系建设正处于初级阶段，尚未形成良性发展的工业互联网安全生态体系。存在以下系统性或共性问题。

1.3.1　行业复杂性带来需求多样性的挑战

在两化融合基础上，电子、家电等行业推动生产向网络化、智能化阶段迈进，各行业企业对工业互联网安全需求侧重不同。在流程型制造行业，利用信息技术助力企业提升综合管控能力。例如，钢铁、石化、医药、食品等行业。在离散型制造行业，侧重推动企业向服务型制造加速转型 [2]。例如，机械制造、消费品生产等行业。因此，国内工业互联网安全体系建设需要根据行业视角进行理解、剪裁、取舍和优化，逐步形成良性可持续发展的工业互联网安全体系，为工业互联网带来持久稳定的安全保障力量。

1.3.2　缺乏统一接入的安全标准及安全规范、服务规范的建设

《中国制造 2025》战略带来工业互联网的蓬勃发展，新的工业互联网化平台不断涌现，数量众多，但是基本上处于各自为战的状态，安全方案千差万别，服务能力参差不齐，未形成统一的安全框架模式和安全标准，无法基于标准定义符合各企业情况的安全接入策略，并获得可预期的、全面的安全保障，不利于我国工业互联网安全保障体系的可持续性发展 。

1.3.3　云服务下用户身份治理问题分析

在企业生产经营过程中，普遍存在重发展轻安全的情况，对其工业互联网安全缺乏足够意识，安全防护投入较低。2021 年 2 月，由国家工业信息安全发展研究中心发布的《2020 年工业信息安全态势报告》中提到，在研判的工业信息安全风险中，主要存在弱口令漏洞、未授权访问漏洞、目录遍历漏洞、结构化查询语言（Structured Query Language，SQL）注入漏洞等。由此可见，工业企业各类应用普遍在用户口令、身份认证、权限管理和通信加密等方面均存在大量安全问题 。

2020 年国家工业信息安全漏洞库（CICSVD）收录的漏洞主要类型如图 3 所示。其中，授权问题、资源管理问题以及权限许可和访问控制问题都与用户身份、授权、访问控制密不可分，三者合计 406 个漏洞，占总体类型 30% 以上。因此，云服务模式下的用户身份治理与访问控制需要考虑如下几个方面。

图 3　2020 年 CICSVD 收录漏洞主要类型（数据来源：国家工业信息安全发展研究中心）

（1）用户身份治理安全。在信息化时代，各行业企业均不同程度涉及上游原料供应商、下游经销商以及企业自身人员的身份治理问题，包括内部员工的入职、离职、转岗、调动和外部人员注册和注销等变化，由于不同用户在企业管理的职责、权限不尽相同，造成企业各用户的身份管理、认证以及访问控制、动态权限管理的困难。需要构建面向各企业的统一用户身份治理与访问控制公共服务支撑体系，实现云服务模式下用户全生命周期管理来破解这一难题。（2）用户访问安全。在面临各企业内部应用时，如何有效做好用户访问范围的定义，包括内部员工、外部合作伙伴等不同角色以及在不同业务场景下的认证安全等级、认证方式、行为审计和追踪溯源等。还应考虑认证方式和安全手段上的可扩展性，以适应未来发展需要。（3）用户权限管理。在企业发展过程中，在面向不同层级海量数据汇聚的同时，需确保数据的访问权限的合理性和安全性。应将分散在不同应用系统中的用户权限进行纳管，除了能够支撑传统的按角色授权，还可根据用户属性、任务等不同类型授权以满足应用需要。对各类用户不同环境下对应用的访问情况开展审计追溯，满足应用权限监管与统一审计等合规要求。（4）企业应用安全管理。伴随远程办公、移动办公等场景需要，越来越多的应用接入工业互联网，使应用直接暴露在互联网网络中，同时也意味着工业控制系统将会暴露大量应用接口，而接口标准化、数据安全性、应用接入规范化、应用程序接口（Application Programming Interface，API）管理也面临着安全风险。统一的 API 管理规范建立、API 开发规范完善、API分级管理制度建设势在必行，同时需要对访问者的身份持续认证、动态授权，实现对应用动态访问的控制策略。

1.3.4　工业企业安全事件缺少审计

工业企业需要不断提升安全态势感知和预警处置能力，以确保对安全事件的检测、数据分析、风险预测和自动调整等环节的实施。才能及时发现各类攻击威胁与异常，对企业内外部人员的日常登录操作、访问操作、输入 / 输出操作进行全面详实记录，通过归类、报表、图形化等方式实现在线的分析审计需要，合规、可视化的审计行为可帮助企业及时规避大范围的攻击风险，为企业安全事件调查与回溯提供直接证明。

1.3.5　风险诊断和研判能力有待提升

从工业互联网领域以往发生的信息安全事件不难看出，企业遭到的网络安全威胁逐渐从无意识攻击到有组织的蓄谋攻击，从个体侵害演变为国家网络安全的威胁。针对企业信息安全的攻击手段也更加多样化，攻击手段主要包括口令攻击、拒绝服务攻击、欺骗攻击、劫持攻击、高级可持续威胁攻击和后门程序攻击等，攻击方式呈现跨时间、地点、动机等因素限制。

因此，建设国家级安全检测评估的公共服务成为当前工业互联网企业保障安全必需的基础。通过对安全基线和安全风险特征库定义，利用先进的安全检测工具进行监测，实时更新风险特征库，并对其开展动态分析，依据风险等级进行通告、警告和处置等处理。促进工业企业由静态防御向动态防御发展，提升企业安全风险诊断和研判能力，为工业企业安全提供全面的防御保障。

1.3.6　企业应急机制的补充与完善

工业互联网身份与访问控制体系还应建立应急预案管理、定义应急安全处理策略，实现取证和总结等流程，规避高风险、不可逆、影响范围广的信息安全事件的发生。

基于上述现状分析可以看到，当前我国工业企业面临用户身份治理、认证和访问控制、安全审计可追溯性、风险评估与研判、应急机制建立等方面的管控能力不足，构建基于身份与访问控制为核心的安全云服务的支撑体系，成为工业互联网安全生态建设的关键。

2 身份与访问控制体系建设思路

基于经过验证的主流安全技术与规范，构建可良性发展的工业企业身份与访问控制安全生态体系。该体系下支撑平台将采用高度可扩展的架构，构建一个可扩展的安全服务云平台，覆盖基础设施即服务（Infrastructure as a Service，IaaS）、平台即服务（Platform as a Service，PaaS）、软件即服务（Software as a Service，SaaS）、边缘等各层次的安全分析和处置。将采用开放式可插拔架构，构建云端安全检测服务，通过插入新的检测模块扩展安全检测能力，保证平台应对新出现的安全威胁。形成一个可扩展的风险诊断和研判公共服务，通过定义动态风险策略引入新的风险诊断和研判能力，定义工业互联网安全体系的标准化基准。结合该体系下安全规范和服务规范建设，构建良性可持续发展的安全生态体系，以达到覆盖不同行业下企业安全建设的个性化诉求。

3 身份与访问控制体系建设内容

通过对用户身份和访问控制体系的建设，在企业内部实现集中统一的用户身份治理机制，结合安全检测、风险诊断、动态权限等服务，为企业的工业生产活动提供安全保障。

3.1　工业领域各企业用户身份治理需求多样性

随着近年来对工控安全的深入研究，研究人员发现工业信息安全漏洞、事件层出不穷，安全形势日趋严峻。2020 年，国家工业信息安全发展研究中心抽样研判工业信息安全风险近800 个，涉及制造、交通、市政等多个重点行业，如图 4 所示。研究发现，工业控制系统和工业信息系统中存在受攻击面大、漏洞利用难度低等问题。

图 4　2020 年中国工业信息安全风险行业分布（数据来源：国家工业信息安全发展研究中心）

面向行业复杂性带来的企业多样化需求，工业互联网企业身份与访问控制支撑体系建设需要覆盖工业互联网整体安全要求。（1）贯彻国家关于“自主可控和安全可靠”的要求。深入贯彻国家有关国产化和安可工程的相关规定，确保密码算法、硬件设备和软件应用等关键基础设施在研发、生产、升级和维护等各环节全过程的自主可控。（2）提供满足共性和个性化需求的服务化安全保障能力。根据工业企业类型和用户访问控制需求不同、访问者对身份管理和访问控制的接受程度不同的需求，支持面向企业提供定制化安全服务。以动态风险识别为基础，对应用访问的行为进行精细化访问控制，将人、设备、服务和应用的身份统一抽象成实体身份，通过实体身份的属性进行认证和授权 。（3）建设覆盖应用访问全过程的纵深安全防御体系，包括安全数据的多源化采集、流程化处理、异构化存储、智能化应用等全生命周期的安全防护措施。（4）建设以大数据驱动为核心的安全运行管理体系。利用大数据技术，汇聚网络安全数据，建立安全数据分析中心和安全智慧控制中心，提升内外部风险感知能力、协同安全防护能力、攻击检测分析能力、违规行为发现能力、应急事件响应能力和态势感知预警能力。

3.2　实现多层次安全风险要素的集中分析和处置

实现 IaaS 层、PaaS 层、SaaS 层和边缘层 4层防护建设。在公共服务中心的风险检测、动态分析、主客体管理、访问控制和权限管理等能力的基础上，增强多层次的安全管理。（1）定义 IaaS 层包括云主机、云网络、虚拟化操作系统、物理主机、物理网络、物理设备和云存储等安全规则，通过运行日志、agent、接口方式收集风险相关信息。根据安全规则以及安全风险等级，下发处置指令，如通知、警告、断开网络、收回访问权限和使用权限等。（2）定义 PaaS 层包括云数据库存储服务、文件存储服务、容器服务、API 服务等安全规则，通过运行日志、agent、接口方式收集风险相关信息。根据安全规则以及安全风险等级，下发处置指令，如通知、警告、收回 API 与数据访问权限和使用权限等。（3）定义 SaaS 层包括 SaaS 应用、App 等安全规则，通过运行日志、agent、接口方式收集风险相关信息。根据安全规则以及安全风险等级，下发处置指令，如通知、警告、收回 API与数据访问权限和使用权限等。（4）定义边缘层包括智能传感器与边缘网关等安全规则，通过运行日志、agent、接口方式收集风险相关信息。根据安全规则以及安全风险等级，下发计算策略、下发计算能力、下发控制指令，如通知、警告、收回设备权限或停用设备等。

3.3　建设云端企业安全检测评估服务

建设云端企业安全检测评估服务包括安全风险特征库和情报库的建设，利用安全检测工具，实时动态更新安全风险特征库，为云端企业提供风险诊断与研判公共服务。（1）建立安全风险特征库。定义安全基线、安全风险特征库。（2）建立风险情报库。根据安全威胁情报信息，更新风险威胁情报库，并输入安全风险特征库中。（3）利用安全检测工具。将检测结果输入安全风险特征库中，如跨站点脚本攻击、注入式攻击、失效的访问控制、缓存溢出问题等工具化服务。（4）提供风险诊断与研判公共服务。将安全风险收集到安全风险特征库中，对使用情况进行动态分析，基于深度机器学习等方式对安全状态和安全事件等信息进行实时分析和研判，并依据风险等级处理规则，下发处置指令，如通知、警告、处置等。在出现较大安全风险时，平台能实现大范围的自动化处置能力，避免造成损失。

3.4　建设风险诊断与研判公共服务

风险诊断与研判建设在数据安全基础之上，设置用户及应用对数据的使用范围、使用规则、控制规则，并依据风险指令自动更新网关控制策略。以最小化原则设置应用数据和“是否可见”“是否可用”“哪些能用”以及“什么情况下能用”等属性。根据不同应用、不同企业需求，支持从用户类型、终端类型、网络类型及访问资源重要等级等多维度考虑，搭建风险模型。搭建企业基于身份的持续信任评估能力，识别异常访问行为和风险访问环境，基于风险评估引擎，通过对用户认证、用户操作、终端环境变化、位置、设备指纹和时间等数据序列的采集分析和风险评估，按照风险评估结果，可以进行阻断、二次增强认证等自动干预，并自动为用户提示认证警告等抵制风险的措施 。

3.5　建设用户动态权限保护

公共服务从用户的身份管理、访问控制、权限管理和应用管理等维度进行监督与管控，实现用户使用风险研判结果动态处置能力。为参与到工业互联网中的人、物、应用、服务等各类访问主体提供身份管理、访问控制、权限管理等能力 。（1）用户身份管理。用户身份主体定义与特征定义，如用户管理员、分级管理员、企业员工等身份定义。（2）用户访问控制。用户访问范围定义，如企业内财务部员工能访问财务系统、人事系统等访问规则，按照不同的员工标签设置规则。（3）用户权限管理。用户权限定义，如企业内财务主管能访问财务系统所有功能模块和数据，财务专员只能访问部分功能模块和部分数据。（4）用户应用管理。用户使用系统范围定义，如企业以公司名义购买云服务或设施，设置应用可见范围，并维护用户对应用的访问范围。①接入网关。设置用户对云平台和设施的访问范围，并依据风险指令自动更新网关控制策略。实现用户在不同网络环境、设备环境下使用应用防护、身份认证防护、传输加密防护等功能。② API 服务网关。设置用户及应用对 API的使用范围、使用规则、控制规则，并依据风险指令自动更新网关控制策略。以最小化原则设置 API“是否可见”“是否可用”“哪些能用”和“什么情况下能用”等属性。（5）使用风险研判结果动态处置用户权限与访问。当用户访问和被访问资源出现安全风险时，根据风险研判结果，下发处置指令，如通知、警告、回收权限（包括部分权限）、阻断访问等。

3.6　建设应急处置公共服务

为用户身份管理和认证服务提供应急处理机制、操作取证和总结服务。集中的用户身份和访问控制系统提供了统一的管理和认证门户，也成为所有集成应用的唯一入口，需要做好相应的应急预案和处理措施，以及用户行为日志记录，为应用取证和总结提供相应的支持。（1）构建应急预案。对安全事件定级定策略，根据不同的安全事件等级设置不同的响应策略，针对紧急安全事件，启用应急预案。如病毒木马高发、重大安全情报发布、重大安全事故等。（2）定义应急安全处理策略。支持手动、自动等灵活的处理方式，根据动态风险策略下发的风险评估或通知，启用应急预案。依据动态风险策略配置规则，完成某些自动化风险的处理。（3）取证和总结。应急处置后，根据需要进行安全事件取证、复盘、总结与完善。

3.7　开放性设计抵御主要安全威胁

定义开放性服务方式。通过第三方服务和风险数据接入的扩展能力，不断完善具有针对性的风险识别和检测服务，完善风险特征库和抵御能力。包括引入其他杀毒工具、漏洞扫描工具、专杀工具等方式，并将其封装为新的服务能力，获取更多风险情报。提供“端”（包括 PC 端和移动端）风险情报收集能力，根据“端”风险情况执行对应的风险处置策略。各类平台或企业可按需选用。

3.8　可定制性的安全能力建设

提供可定制化扩展的安全组件建设能力。通过 API 服务网关使企业内外部系统间相互安全调用得到有效治理，为工业互联网身份与访问控制系统提供“原子级”（API 接口）安全公共服务能力整合、聚合、分裂、重组等业务编排的能力。利用负载均衡、限流、降级、熔断、容错、审计等统一治理能力，使各企业信息系统群的健壮性得到有效提升。（1）API 服务网关。让服务的消费者（系统）将 API 能力便捷地整合到自己的应用中，促进企业新的服务生态建设。为服务的消费者提供授权鉴权、API 通用访问控制、API 敏感数据访问控制、流量控制、熔断控制、IP 黑白名单控制、时间访问控制、日志审计等急需的重点功能，合理开放与应用 API 且整体需满足信创合规的要求，支撑国产化网关底层和算法的需要。兼容不同应用系统的多种形式的开发接口，支持应对大规模并发流量，对 API 调用过程进行统计分析，清晰展示各应用系统调用关系。为不同的消费者配置不同的访问范围策略，使 API敏感数据访问得到有效控制。（2）安全接入网关。从用户角度出发，无论用户身在何地、何时访问、访问企业什么资源，都能够非常灵活的受到保护。通过安全网关提供具有应用防护、身份认证机制、安全防护机制的安全架构支撑，支持隐藏企业应用系统的真实访问地址，实现零接触访问，杜绝应用暴露带来的安全风险。安全接入网关对用户访问采取“先鉴权（认证和授权）、后连接、再访问”的方式，实现端到端可信访问企业资源，建立设备信任、用户信任、流量信任、应用信任的“端到端”信任链解决方案，通过相互传输层安全协议（Mutual Transport Layer Security，MTLS） 双向加密应用请求，实现应用级传输安全，解决了虚拟专用网 络（Virtual Private Network，VPN） 建 立 链 路带来的网络资源浪费的问题。为应用级安全接入、远程办公提供安全保障。

3.9　建立安全规范和服务规范

为保障整个身份与访问控制体系建设、支撑平台的平稳运行，需建立完整的安全制度，明确平台安全部门、业务部门、企业用户的职责等。（1）安全规范。安全规范包含政策性依据，明确安全部门、业务部门、最终用户的职责权限，包括可见范围、适应范围、权利和责任等。出台支撑平台的管理标准，如行业用户属性标准、使用规则、使用内容和管理方式等，包括制定云端安全检测评估服务、基于公共服务的运维管理和考核方法等指导性文件。（2）服务规范。应形成与企业用户管理系统对应的“应用接入和集成规范”“账号管理流程和办法”“安全标准和接口规范”和“系统运维管理制度”“组织机构管理规范”等，保障整个支撑平台的易用性和安全性。

4 结　语

工业互联网用户身份与访问控制体系的建设，是建立在政府统筹规划、企业自愿接入的基础上，配套出台具体的安全规范与服务规范，覆盖 IaaS 层、PaaS 层、SaaS 层、边缘层 4 层安全防护体系的支撑平台。融合新一代应用风险评估技术、用户动态权限控制机制、数据保护公共服务、各实体全生命周期的身份安全管理、智能风险诊断与研判等功能，为工业企业提供全方位、多层次安全防护。同时利用安全接入网关、API 网关等安全组件，在系统入口或功能入口处开展保护措施，针对企业系统侵入行为，简单的配置就可以将平台的安全防护能力赋予到企业应用系统中。

整个体系建设支持云平台架构，有效满足云服务模式，支撑平台搭建成功，可同时为云上所有企业提供安全服务，为参与工业互联网的企业用户、设备、应用、服务等各访问主体提供身份与访问的综合管控，为企业生产安全提供保障。在搭建体系过程中，基于威胁信息源的端安全检测评估技术、多因素的风险诊断与研判等难点值得进一步探索与研究。比如，如何完善除用户 IP 规则、密码规则、设备规则、地址规则等因素外的风险模型；如何开展基于对用户认证趋势、访问趋势等多维度历史信息合理输出评估风险的判定结果；在安全规范与服务规范的建设过程中，如何结合工业领域、行业特色、企业实施范围等因素制定合理的政企职责分工、安全管理制度、运维管理办法等，基于上述问题可开展进一步课题研究。

引用本文：吕波 . 工业互联网企业身份与访问控制课题研究与探索 [J]. 信息安全与通信保密 ,2022(2):99-108.