点击查看第一章

第2章

工业物联网数据流和安全架构
“确保工业运行安全性和可靠性的关键在于确保连接到互联网的设备和系统是安全的。”
—工业互联网联盟（IIC）执行理事Dr. Richard Soley
工业物联网（IIoT）的庞大规模和复杂性要求采用系统的方法来保护其系统架构。当复杂程度较高时，将安全范畴分解为多个子域有助于管理和降低风险，这种分解对于涉及多种技术、多个组织边界（工业物联网中的常见场景）的案例特别有用。
工业系统已经发展了数十年，其进步使我们提出保护工业物联网系统和资产的计划以避免现在或未来的威胁。本章深入介绍了工业物联网数据流和工业物联网参考架构，并介绍了IIC提出的工业互联网安全框架。随后这些讨论将引导读者了解简化的四层工业物联网安全模型，该模型将基本的工业物联网安全措施分解为四个主要的层面。
但是，在开始讲解这些细节之前，我们将简单介绍工业物联网攻击、对策和威胁建模。
本章涉及的主要内容如下：

• 工业物联网攻击、对策和威胁模型初探
• 工业物联网系统的可信度
• 工业大数据管道和架构
• 工业物联网安全架构

2.1　工业物联网攻击、对策和威胁模型初探

掌握工业物联网攻击的动态对安全风险的分析和缓解来说至关重要。威胁建模通常是一种安全对策，本章稍后将对此进行讨论。攻击树和故障树是建立安全威胁模型和表述攻击风险的两种有效方法。
在现实世界中，大多数攻击都是针对物联网产品和连接中的特定漏洞。许多攻击都针对零日漏洞，对于这种漏洞，不仅可以利用漏洞进行攻击，还可以通过互联网或企业网轻松扩散攻击影响，从而产生雪球效应。由于IIoT攻击需要巨大投入和专业技能，因此大多数攻击都涉及民族、国家，足以造成重大影响。
IIoT环境中的一些常见攻击类型如下所示：

• 恶意软件触发的勒索软件
• 有线/无线扫描和映射攻击
• 网络协议攻击
• 感染ICS（工业控制系统）和智能SCADA（数据采集与监控系统）
• 密码算法和密钥管理攻击
• 欺骗和伪装（认证攻击）
• 未经授权的端点控制以触发意外的控制流
• 数据破坏攻击
• 操作系统和应用程序完整性攻击
• 拒绝服务和服务拥塞攻击
• 物理安全攻击（例如，有意破坏或接口暴露）
• 访问控制攻击（权限提升）

此外还存在许多其他攻击类型。如今，勒索病毒攻击事件的数量正在急剧上升。在IIoT中，如果勒索病毒将控制系统中的数据加密，则可能导致巨大的灾难。例如，医院的医疗数据被加密（参见1.10.6节）可能会导致大规模的致命后果。因此，我们需要仔细研究部署中的可能攻击，以便更好地管理安全风险。
图2-1显示了漏洞、攻击和对策的相关性。

2.1.1　攻击面和攻击向量

在第1章，我们讨论了工业安全风险。为了评估攻击对系统造成的风险，我们使用了两个常用的术语攻击面和攻击向量，这两个术语与系统所针对的行业、特定部署用例以及相关的业务目标有着密切联系。

攻击面涉及可能导致攻击的各类系统组件。例如，在连接到SCADA网络的传统工控系统中，攻击面包括内部威胁、物理威胁、SCADA专用协议中的漏洞等。但是，当工控系统连接到云平台时，云技术中存在的漏洞（例如，基于IP的WAN连接、远程配置以及设备管理等）也成了攻击面。总之，IIoT显著地扩大了工业系统和基础设施的攻击面。
攻击向量包括攻击所用的工具和技术，这也与行业和所涉及的技术密切相关。攻击者可以利用各种工具和技术对系统发起攻击。因此，针对IIoT系统的攻击向量可能是物理层面的，或者是与网络、软件及供应链相关的。常见网络攻击向量的示例包括网络钓鱼、不安全的无线网络、可移动媒介、移动设备、恶意Web组件、病毒以及恶意软件。
鉴于IIoT涉及的风险具有网络和物理双重性质，在评估与任何IIoT部署相关的总体风险时，安全从业者必须考虑威胁、攻击面和攻击向量的物理后果。
OWASP物联网攻击面
OWASP已经为物联网系统总结了一份攻击面列表，并将其作为OWASP物联网项目的一部分。其如下所示，它提供了物联网系统攻击面的基本概念，同时也适用于IIoT，并且可用在基于攻击面的分析上。你还可以访问参考部分提供的OWASP网站，那里提供了进一步的详细说明。

2.1.2　攻击树

攻击树提供了一种结构化、层次化的方式来收集和记录对指定组织的攻击，以便进行威胁分析。从根本上说，通过攻击树，我们可推断资产或目标受攻击的可能方式。
攻击树已被用于各行各业，特别是用于分析针对防篡改电子系统和电网数字控制系统的威胁，这个概念也可以被扩展用于相关行业。
如图2-2所示，攻击树是由一个根节点和多个叶子节点组成的多层图。从下到上，子节点是使直接父节点成立必须满足的条件。从下到上的每条路径，当满足根节点的条件时，攻击完成，其中每个节点的条件是否被满足只能由其直接子节点决定。
攻击树通过推理方法来考虑所有攻击和威胁，而且这些推理可以与其他威胁模型集成，以创建一种透明且直接的攻击和攻击者的分析模式。
在传统的网络安全事件中，攻击目标可能是身份盗取、数据泄露、拒绝服务等。然而，对于涉及网络物理系统的案例来说，攻击目标可能涉及物理灾难：“从关闭灯泡到关闭人类心脏”（IOT-SEC）。同样，由于与物理世界的交互，我们还需要考虑针对根节点的新的威胁和攻击方式。

2.1.3　故障树分析

对IIoT而言，攻击从本质上具有网络和物理属性，且与安全性和可靠性工程密切相关，因此，故障树分析可以作为一种有效的工具来使用。

IIoT系统和技术具有一定程度的复杂性，因此任何子系统发生故障都可能导致系统级故障。然而，我们通常可以通过改进系统设计来降低宕机的可能性。在故障树分析（FTA）中，我们对整个系统创建逻辑图，映射故障、子系统和冗余安全设计元素之间的关系。图2-3展示了故障树的示例。

与攻击树不同，FTA是自上而下的。在这里，我们通过组合一系列较低级别的事件（包括子系统故障）来进行分析。通过使用布尔逻辑，组合这些事件来分析非预期的系统状态。这也是安全性和可靠性工程中常用的演绎故障分析方法，用于理解系统如何发生故障，从而找到降低故障风险的方法。
FTA最初用于航空航天工业，其对安全保障的要求非常高。对于商用飞机，故障概率为10-9（十亿分之一）（IOT-SEC）。如今，除航空航天外，FTA还用于其他行业，如核电、化学工程、制药、能源等。FTA也用于软件工程，用于调试寻找漏洞，并且与错误排除技术密切相关。
以下一些行业和政府标准中描述了FTA方法：

• NUREG-0492用于核电和航空航天工业
• SAE ARP4761用于民用航空航天
• MIL-HDBK-338用于军事系统
• IEC 61025用于跨行业用途

2.1.4　威胁建模

完全根除安全威胁几乎不可能，无论我们采取何种安全措施来降低攻击风险，威胁都将存在。在实际部署中，安全措施都是在掌握已知威胁的基础上进行的风险管理。但是，除非我们掌握特定场景中的威胁，否则无法缓解风险（OWA-TRM）。
威胁建模是一种有效管理和展示风险的系统技术，在威胁建模中，基于对系统架构和实现的深刻理解，我们根据威胁的发生概率来识别和评估威胁，这使我们能够按照优先级顺序降低风险，既经济又有效（MST-TRM）。
微软公司为应用程序开发了一种威胁建模方法，该方法也可应用于IIoT系统。因此，我们将根据微软公司的方法来处理本节中的IIoT威胁建模，其中包括如图2-4所示的步骤。

步骤解释如下：
1.资产识别：确定必须受到保护的资产列表。
2.建立架构概览：记录整个IIoT系统的架构，其中包括子系统、平台、应用程序、信任边界、控制流以及数据流等。
3.架构分解：将架构分解为系统（应用程序、物联网端点）和基础设施（通信协议、数据中心、网络协议）组件。为该特定场景的IIoT创建安全配置文件，旨在发现设计、实现或部署配置中的漏洞。
4.威胁识别：基于攻击面和攻击向量，并使用攻击树和FTA（在本章前面讨论过）来进行威胁识别。常用的威胁识别技术有STRIDE和DREAD（接下来讨论），这两种技术都是由微软公司开发的。
5.威胁记录：使用通用威胁模板记录每个威胁，该模板定义了针对每个威胁的核心属性集。
6.威胁评级：对每个威胁进行评级，并根据威胁的影响确定威胁的优先级。评级过程会对威胁的可能性进行权衡，以指导我们有效地分配资源。
威胁的评级和排名可以根据几个因素来确定，图2-5展示了一种以风险为中心的方法，该方法可以应用于IIoT部署用例。

STRIDE威胁模型
由微软公司开发的STRIDE是对威胁进行识别和分类的一种模型，STRIDE模型还被扩展到了物联网威胁（MST-STR），并且可以应用于IIoT用例。STRIDE首字母缩略词代表以下类型的威胁：

• 身份欺骗（Spoofing identity）：个人或设备使用其他人的凭据（例如，登录名和密码以及证书等）来访问其无法访问的系统，其中设备可以使用虚假的设备ID。
• 数据篡改（Tampering with data）：更改数据发起攻击，数据通常与设备、协议字段、流动中的未加密数据等相关。
• 否认（Repudiation）：某人或设备能够否认卷入了某一特定交易或事务，并且无法证实。在发生安全漏洞的情况下，无法追踪到负责人或设备，这本身就是一种威胁。
• 信息泄露（Information disclosure）：向未被授权访问的个人提供信息，在IIoT环境中，这可能意味着攻击者可以访问传感器或操作数据。
• 拒绝服务（Denial of service）：这些威胁会阻止合法用户或设备访问服务器（计算）或网络资源。将系统性能降低到不可接受水平的漏洞也可被视为拒绝服务攻击的一种形式。
• 权限提升（Elevation of privilege）：未授权的用户可以渗透安全防护，获得足够的信任和访问权限，从而危及目标系统。

DREAD威胁模型
在识别并对威胁分类后，对它们进行排序和设定优先级也很重要，优先级较高的威胁应优先被解决。DREAD方法旨在对威胁进行排名（MS-DREAD）。虽然DREAD最初是为子系统组件（软件、固件等）开发的，但其概念可用于IIoT系统各种粒度级别的威胁评估。
DREAD是一个首字母缩略词，代表威胁评估的五个标准：

• 潜在损害（Damage）：威胁转化为安全攻击时可能造成的损害。就网络物理系统来说，损害可能是数据泄露、环境破坏、人身伤害等。
• 再现性（Reproducibility）：衡量特定威胁成功变为攻击的频率，易再现的威胁更可能被利用。
• 可利用性（Exploitability）：评估启动漏洞利用所需的工作量、经济投入和专业知识，仅需低水平技能和经验的威胁比那些需要高级技能人员和高昂费用的威胁更容易被利用。就IIoT而言，攻击通常涉及高度的复杂性和专业知识。如果工业威胁被远程利用，那么它比本地的、物理访问和特殊凭据的漏洞利用更具可利用性。
• 受影响的用户（Affected user）：可能受攻击影响的用户数量是威胁优先级的衡量因素，其可以扩展为包括受攻击影响的设备和资产的数量。
• 可发现性（Discoverability）：漏洞可以被利用的可能性。

在DREAD分类方案中，我们将根据威胁的风险值来对其进行量化、对比和优先排序。风险值可使用以下公式计算：

2.2　工业物联网系统的可信度

正如本书中已经提到的，保护网络物理系统（CPS）的概念是我们通常理解的网络安全和信息安全概念的超集。
为了确定IIoT安全的范围，我们使用术语可信度（NIST-CPS）（IIC-IISF）。根据NIST-CPS，CPS可信度的定义是：“可信度是指系统在其特征所对应的任何条件下都能够根据既有设计准则执行的可能性，其特性包括但不限于物理安全性、信息安全性、私密性、可靠性和弹性。”
工作人员高度重视IIoT系统的可信度，为使IIoT系统可信，我们必须结合IT和OT域的安全特性（IIC-IISF）。如图2-6所示，可靠的IIoT系统的关键特性结合了IT可信度（私密性、信息安全性、可靠性和弹性）和OT可信度（物理安全性、可靠性、信息安全性和弹性）等元素。本书中对IIoT安全的所有引用都建立在IIoT可信度的概念之上。

在一个机构中，企业IT和OT团队对风险的看法完全不同，我们需要平衡考虑OT和IT，以确保IIoT系统的可信度。就IIoT来说，控制流和数据流可能跨越多个中间者，信任还应贯穿整个系统生命周期，涉及各种参与者和功能实体：从硬件和软件组件构建、系统平台构建、供应链，一直到终端用户。第7章将进一步阐述这一关键概念。
在本章后续几节中，我们将分析工业大数据流，并讨论各种IIoT架构模式，然后提出一个简化的四层安全模型作为IIoT可信度的实践基础。

2.3　工业大数据管道和架构

数据是IIoT价值链中的主要资产，传感器、执行器和控制器等工业设备会生成状态并运行相关数据，这些工业大数据中固有的信息可用于实现各种描述性、规范性和预测性的应用以及进行商业洞察。从数据处理的角度看，针对这种端到端的数据流，首先使用提取、转换和加载（ETL）方法进行预处理，然后使用人工智能和机器学习，最后应用于数据可视化和业务应用，这一过程统称为工业大数据管道（如图2-7所示）。

针对上图的解释如下：

• 现场（on-premise）数据源：现场数据包括使用和活动数据—实时流数据（传输中的数据）和来自各种数据源的历史/批处理数据。嵌入在远程站或工厂车间的传感器和控制器会产生大量数据，这些数据反映监测的参数、控制器动作和反馈信号数据。从中我们可以获得对实际系统较细粒度的可见度。这些原始数据既可以是结构化数据，也可以是非结构化数据，还可以是存储在数据池中以供将来处理或以流式传输进行（最近）实时流分析。静态数据包括传感器历史数据、反映设备健康（运行状况）的故障和维护数据以及事件日志，存储在瞬态或持久数据存储介质中；这些数据被上传到现场或云中平台进行规范数据存储，然后被用于批处理。
• 数据接入：事件处理中心旨在快速接入并发送数据以进行实时分析，在存在大量数据的情况下，诸如Hadoop/HDFS、Hive、SQL等规范数据存储和计算集群可以执行ETL功能，并且可以将数据导入机器学习引擎。
• 数据准备和分析：可对数据执行特征工程和ETL，以便为分析做好准备。
• 流分析：根据传感器数据提供实时监测，如蒸汽轮机的设备运行状况。这些数据可以存储在持久存储介质中，以进行更复杂的密集型计算的批量分析，这些数据经转换后可用于机器学习，能够预测例如蒸汽轮机的剩余使用寿命。
• 数据可视化：企业级应用程序（如客户关系管理（CRM）、企业资源规划（ERP）等）可以处理数据，商业智能（BI）分析软件（如Tableau、Pentaho等）可用于开发数据可视化应用程序以获取各种BI洞察（如性能、剩余使用寿命等）或基于异常的警报和通知。

大数据管道和数据流的具体实现可根据特定的数据管理和所有权模型变化，端到端管道可以完全由工业组织（如智能风车）拥有，或者可以利用私有云或公有云基础设施来提高应用和业务领域的效率。
当资产位于远端时（例如，风电场中的涡轮发动机和油田中的石油钻井平台），我们可能需要在资产附近进行数据处理和计算，以进行本地分析和控制。本章后续几节将进一步阐述这一过程。
从IIoT系统可信度的角度来看，大数据管道的每个元素都需要通过集成数据私密性、可靠性和机密性控制来进行设计，同时也要考虑安全性、可用性和弹性。
随后的几章，我们将讨论在这个工业数据管道和数据流中集成安全控制（如安全传输、存储和更新、安全监控等）的实用机制。

2.4　工业物联网安全架构

2015年，IIC发布了IIoT系统的工业互联网参考架构（IIRA）（IIC-IIRA），它采用“ISO/IEC/IEEE 42010:2011系统和软件工程—架构描述”作为通用架构和实践的标准。IIRA结合架构框架与多维抽象来分析焦点、视图、模型等，使用该参考架构有助于通过设计整合安全，架构师可以在这些参考架构之上构建特定场景的IIoT架构。
本节简要讨论IIC参考架构的四个视角，这些视角简化了对IIoT架构的理解和分解。你可以在IIC-IIRA中找到对这些视角的深入讨论。

2.4.1　业务视角

IioT架构的业务视角有助于分析和评估面向业务的焦点，如采用IIoT解决方案的业务目标及其价值、投资回报、生命周期维护成本等，它进一步确定了IIoT系统如何通过映射到基本系统功能来实现既定目标。根据IIC:PUB:G1:V1.80:20170131：“?为了验证最终的系统确实能够满足目标需求，它们应该具有详细的可量化属性，如安全程度、安全性和弹性、衡量系统成功的基准，以及通过证据证实所声明的系统特性存在的标准。”

2.4.2　使用视角

该视角分析了使用IIoT系统实现关键系统和业务目标所涉及的活动和工作流程。示例工作流程如下所示：
1.将新设备注册到边界网关。
2.通过自动发现和查询所有网关，在基于云的管理平台中注册新设备。
3.运行适合此设备类型的远程测试过程，并验证生成值是否在预期范围内以及是否与附近的类似设备保持一致。
此分析将使用元素映射到整体架构中对应的功能和实现上，安全性是IIoT系统使用的除了数据完整性、数据机密性和弹性之外重要的可信赖因素，我们需要在整个使用周期中予以考虑。

2.4.3　功能视角

功能视角提供了一个基本抽象表示，以便设计IIoT端到端架构的重要功能组件。IIoT涉及多个关键任务功能组件，具有复杂的结构、交互、接口和连接，这些需要适当设计以确保其安全性和弹性。
IIRA将这个功能视角分解为五个功能域，以更好地解决分析、设计和安全集成问题，这些功能域适用于所有行业的垂直领域。虽然可能有其他方法来分解特定功能的用例，但以下五个域提供了概念功能架构的出发点：

• 控制域：侧重于传感和执行器功能，与外部物理对象和环境的交互是该领域的主要焦点，其还涉及环境安全性、弹性和数据保护。常见案例是风力涡轮机或自动车辆中的控制单元，或者能源网中的工控系统。
• 操作域：在工业互联网架构中，传统的工业控制一般聚焦于本地的物理设备，现在已经发展到更高的水平。操作域包括（多个工厂、资产类型、车队或客户的）配置、管理、监控和优化功能。例如，IIoT对不同铁路的多辆列车进行组合分析，而不是仅对一列火车进行优化，可以提高整个国家的铁路网络利用率。
• 信息域：表示从各个域收集数据的功能集合，尤其是来自控制域的数据；然后对这些数据进行转换、持久化存储和建模，以获得有关整个系统的高级信息。这反过来又帮助我们获得数据驱动的洞察并实现动态优化。例如，通过使用成本、需求和物流，我们可以动态地优化自动化生产设备的输出。由于这些功能大多属于IT领域，因此我们必须在规划和设计中集成适当的网络安全（cybersecurity）控制。
• 应用域：包括实现业务的功能，如应用程序逻辑和规则、API、仪表板等。
• 业务域：该域将IIoT系统与传统或新的业务应用的功能集成在一起，如ERP、CRM、产品生命周期管理（PLM）、制造企业生产过程执行系统（MES）、人力资源管理（HRM）、资产管理、服务生命周期管理、计费和支付、工作计划和调度系统等。

如图2-8所示，这些功能域跨过了多种系统可信度的特性。根据具体用例的要求，这些功能域可以在逻辑上和物理上集中或分散。例如，我们可以在处于边缘的工业厂房（用于更快的处理和决策），或是在远程数据中心，或是与云服务提供商一起配置信息域。

2.4.4　实现视角

实现视角合成了其他三类视角，其需要考虑业务目标，例如，成本和上市时间限制，与产品使用、协议、网络拓扑相关的活动，等等。这些都是满足功能特性所必需的。
这也是需要实施安全策略（如设计安全性、深度防御性和基于威胁的风险分析）的视角。
在下一节中，我们将回顾一些常见的IIoT架构，以便在详解安全分析之前建立基础的理解。

2.4.5　工业物联网架构模式

IIoT的部署包括前文讨论的各种功能域（控制、操作、信息、应用和业务），这些域的实现可以产生许多种架构模式（IIC-IIRA）。通过抽象各种IIoT部署的细节，我们可以推导出一些通用模式。我们将讨论两种常见模式以推出一种安全架构模型。
模式1：三层架构模型
三层架构非常常见，它涉及以下层的连接、数据和控制流：

• 边界层
• 平台层
• 企业层

图2-9显示了一个三层IIoT架构。

三层模式结合了IIoT的主要组件，如传感和控制、数据处理和转换、智能、通信和连接，以及管理服务和业务应用。它还可映射到功能视角中；例如在图2-8中，控制域功能被映射到边界层、平台层中的信息和操作上，以及企业层中的应用和业务上。
该映射可以根据实现而变化，例如在一些情况中，为了实现智能边界计算，我们可以在边界层中实现与信息处理及某些应用逻辑和规则相关的一些功能。
边界层中连接当地设备、传感器、执行器和控制系统（也称为边缘节点）的邻近网络，可以是有线或无线的形式。邻近网络可以利用网状或LAN网络拓扑，创建一个或多个集群，然后将这些集群与桥接到WAN或企业网络的边界网关相连。从边界层的节点收集的数据可以在本地处理或通过网关发送到云平台。
接入网络连接边界层和平台层，平台层整合和分析从边缘层来的数据流，还将管理和控制管理命令从企业层转发到边缘层。接入网络可以是企业网络，也可以是公共互联网上的WAN虚拟专用网络（VPN），或3G/4G/5G蜂窝网络。
企业层是管理功能的抽象层，它接收来自边缘层并在平台层中处理的数据流，这些数据可用于可视化或业务决策的分析。企业层中的操作用户还可以生成控制、配置和设备管理命令，这些命令被下传到边界节点。平台层和企业层通过服务网络连接；服务网络可以通过公共互联网或配备有企业级安全的专用网络来使用VPN。
模式2：分层数据总线架构
数据总线是连接的逻辑抽象表示，实现了一组通用模式和通用数据模型。在分层数据总线模型中，指定层中的每个端点都使用该通用模式集进行通信。
分层数据总线架构在IIoT部署的逻辑层内和逻辑层之间提供低延迟（实时）、安全、对等的数据通信，这种模式在控制和监控分布于不同层的工业案例中很有用。例如在石油钻井平台的SCADA系统中，部署于远程位置的智能机器和控制器需要直接传送控制和监控数据，这可以实现更快的本地分析。
监督层包含监督控制、监控和分析。
单独的数据总线可以连接各个系统，以便在下一个更高层进行协调控制、监控和分析。
在分层架构中，各层的数据总线可能具有不同的模式或数据模型集。为使用不同的数据模型，跨越不同层进行通信，较低级别的数据总线仅导出一组可控的内部数据。
为了匹配不同层的数据模型，我们还可以使用数据总线网关或适配器，适配器还可以隔离和桥接安全域，或充当用于兼容旧系统或不同协议（IIC-IISF）的接口点。
层与层之间的数据转发可以过滤和减少数据，由于控制和分析的范围从下到上逐层增加，因此减少跨层传输的数据量以适应范围、延迟和抽象级别内的增量则非常重要。
以数据为中心的“发布-订阅”通信模型对数据总线来说较常见，在给定层中的应用程序，通过简单地“订阅”所需的数据作为输入，并“发布”它们产生的信息。该“发布-订阅”通信模型对于快速分发大量时间关键信息来说是有效的，尤其是当传送机制不是非常可靠时。
对象管理组（OMG）的数据分发服务（DDS）标准使用此分层数据总线模型，消息队列遥测传输（MQTT）则使用基于代理的“发布-订阅”模型。DDS和MQTT及其安全功能将在第5章中讨论。
在图2-10中，我们用分层数据总线架构的示例实现来表示用于石油监测和操作控制的大型SCADA系统。

2.4.6　工业物联网安全架构构建块

对于上一节中讨论的三层架构，IIoT安全架构必须从端到端跨越三层—从边界设备终端到平台层，最终到企业层。在分层部署数据总线的情况下，安全体系框架需要包含数据总线通信和模式、每层的端点，以及通过数据总线网关的层间通信，这表明了IIoT安全的普遍性。此外，我们应该在部署生命周期的早期评估安全风险，而且必须在设计中加入应对方案。然而，由于IIoT的一些显著特征，这些安全要求在现实世界的工业物联网部署中并不容易实现，如下面摘录自IIC的工业互联网安全框架（IIC-IISF）文档的内容：

• 由于IIoT包括IT和OT，理想情况下，安全性和实时态势感知应该无缝地跨越IT和OT子系统，而不会干扰任何运营业务流程。
• 目前，工业系统的平均寿命为19年。使用最新和最安全技术进行绿地部署并不一定可行，安全技术通常得应用在一组难以改变的现有旧系统上。在绿地和棕地部署中，所有受影响的制造商、系统集成商和设备所有者/运营商，均必须参与创建更安全可靠的IIoT系统。
• 由于没有单一的“最佳方式”来实现安全性和足够安全的行为，因此技术构建模块应该支持将逻辑防御级别映射到安全工具和技术的深度防御策略。由于工业系统的高度隔离性，需要在多种情况下应用安全部署。多个子网和不同的功能区可能具有不同的运维技术和安全要求，且为IT环境构建的安全工具和技术可能并不总是适合OT环境。
• IIoT系统可能只有受限的系统资源来满足诸如系统安全和实时执行的安全需求，这些因素可能无法在最大程度上实现所有安全措施和控制（根据深度防御策略的要求）。安全规划实现应考虑系统行为所有必需的功能和非功能方面，包括相对优先级。

基于前面的区别特征，图2-11显示了由IIC-IISF提出的从边界到云的多层IIoT安全框架的功能构建块；它映射到IIC参考架构的功能视角。

安全框架的功能视角由六个交互构建块组成，这些构建块分为三层，顶层包括四个核心安全功能：端点保护、通信和连接保护、安全监控和分析以及安全配置管理。
这四个功能由数据保护层以及系统级的安全模型和策略层支持。
摘自IIC-IISF对每个层的简要描述：

• 端点保护：可在边界和云端的设备上实现防御，主要关注点包括物理安全功能、网络安全技术和权限识别。端点保护并不足够，因为端点必须相互通信，且通信中可能存在漏洞。
• 通信和连接保护：使用端点保护的权限识别功能来实现流量的身份验证和授权验证。它使用完整性和加密技术以及信息流控制技术来保护通信和连接。
  一旦端点和通信受到保护，我们便必须在整个操作的生命周期中监管系统状态，可以采用安全监控和分析以及系统组件的安全配置管理来实现。

前四个构建块由通用数据保护功能支持，该功能涉及的数据从端点中的静态数据扩展到通信中的动态数据，还包括监控和分析功能中产生的数据，以及所有系统配置和管理数据。

• 安全模型和策略：功能层管理安全性的实现方式以及确保系统在整个生命周期内的机密性、完整性和可用性的策略，协调所有功能元素协同工作，以提供整体端到端的安全性。

2.4.7　四层工业物联网安全模型

工业物联网系统较复杂，涉及多个动态部件。为了简化安全性分析和实现，我们可以通过多种方式将IIoT架构分解为组件。由于大多数常见的部署模型由边界层、平台层和企业层组成，并且安全研究和发展与技术堆栈更加一致，因此在本书中，为了便于安全性分析、规划和实现，我们剖析了一个四层安全模型的整体架构：

• 端点和嵌入式软件
• 通信和连接
• 云平台和应用
• 处理和管理

这种分层遵循之前讨论的IIoT的安全性原则，即：

• 安全集成需要考虑IT和OT领域的特有动态
• 安全需要解决工业生命周期（可能持续数十年）和棕地部署（与旧技术共存）
• 工业端点的资源限制及其高可用性要求

这种四层安全模型考虑了IISF中的数据保护层功能（见图2-11），其中包含静态、使用和动态数据。安全框架顶层的功能映射到此四层安全模型的第1～3层；安全框架的安全性和策略层映射到此模型的处理和管理层（如图2-12所示）。

四层模型解释如下：

• 端点和嵌入式软件：在IIoT部署中，安全部署从芯片扩展到设备端点的软件层。IIoT端点包括从现场设备到具有海量存储和计算功能的企业级服务器和路由器。许多工业部署中使用不安全协议栈的旧设备，因此，安全不能仅限于网络边界，还要扩展到端点。在第3章和第4章中，我们将讨论IIoT端点安全所涉及的挑战，并介绍各种端点安全方法和解决方案，如访问和身份管理、建立信任根和信任链、安全启动和固件/软件升级、分区等。
• 通信和连接：该层专注于通过安全传输、深度数据包检查、入侵检测和防御、安全通信协议等方法来保护使用和传输中的数据。在第5章中，我们将深入探讨保护IIoT连接和通信的挑战及解决方案。
• 云平台和应用：这是需要保护的第三层，基于云的IIoT部署显著扩大了攻击面。IIoT用例中存在低延迟的关键任务命令和控制，由此提出了一系列独特的安全挑战。云平台服务通常延伸到工业边界，因此我们需要考虑特殊的攻击向量和缓解策略。在第6章中，我们将深入讨论保护工业边缘、云和应用的安全架构和方法。
• 处理和管理：实用安全管理需采用基于风险的方法来使安全投入更合理，安全管理跨越从设计到运行的整个生命周期。IIoT相关角色还必须发挥各自的作用，以确保IIoT部署的安全。

采用工业物联网的组织都可以通过威胁预防和风险管理的相关政策和指南受益，这是工业物联网安全目标和业务目标的重要组成部分。由NIST、IEEE等行业组织制定的安全标准以及开放的行业标准，都需要在任何物联网部署的设计规划阶段进行评估和应用。此外，需要围绕配置和管理、数据保护、连接、端点保护、威胁分析等制订专用的安全模型和策略。
第7章会提供有关工业物联网风险管理的更多见解，并回顾现有标准和管理原则，以便为企业开发成功的安全管理模型。

2.5　总结

本章介绍了攻击、对策和威胁建模的入门知识，为风险分析和缓解奠定了基础，还为读者介绍了有关IIoT系统可信度和工业大数据管道功能组件特征的观点。
IIoT系统非常复杂，本章介绍了由IIC开发的IIoT架构观点和模式，为你提供对端到端IIoT系统组件的清晰理解。基于使用、操作和功能域，IIoT安全架构被分解为四层安全模型，后续章节会对此进行详细阐述。

(en)