专题丨工业互联网标识解析安全风险分析模型研究

∗基金项目：工业和信息化部“2018 年工业互联网创新发展工程”专项项目“工业互联网标识解析国家顶级节点（一期）建设”资助

工业互联网标识解析安全风险分析模型研究*

池程   马宝罗   田娟

（中国信息通信研究院工业互联网与物联网研究所，北京 100191）

摘要：工业互联网标识解析作为工业互联网关键要素实现协同的“神经枢纽”，一旦遭到入侵或攻击，可能会对整个工业互联网产业生态造成重创，甚至对国家安全构成威胁，加快推进工业互联网标识解析安全保障能力建设迫在眉睫。对工业互联网标识解析安全风险分析模型和方法论进行了分析和研究，从根源上把控风险，为工业互联网标识解析安全建设贯彻落实提供参考和指引。

关键词：工业互联网；标识解析安全；风险分析模型

1   引言

随着工业互联网标识解析的普及应用，工业互联网标识解析安全关乎生产安全、社会安全甚至国家安全，其安全性将成为工业互联网安全保障的关键。工业互联网标识解析体系是工业互联网网络架构的重要组成部分，是设备、系统、数据、网络互联互通的关键。借助标识解析体系，信息得以实现跨企业、跨行业、跨地域的共享和使用，企业得以实现全球供应链系统和生产系统的精准对接，实现智能化生产、个性化定制、重要产品追溯和产品全生命周期管理^[1]。工业互联网标识解析作为工业互联网关键要素实现协同的“神经枢纽”，一旦遭到入侵或攻击，可能会对整个工业互联网产业生态造成重创，甚至对国家安全构成威胁，加快推进工业互联网标识解析安全保障能力建设迫在眉睫。基于此，本文创新型地提出了标识解析安全风险分析模型，旨在标识解析体系设计阶段为相关企业提供参考和指导。

2   风险分析模型设计

2.1   设计思路

本文中的工业互联网标识安全风险分析模型是在充分借鉴传统互联网和国内外工业互联网安全框架基础上^[2]，结合我国工业互联网标识解体系的特点提出，旨在为相关单位在工业互联网标识解析体系建设初期开展安全风险防范工作提供参考和指导，从根源上把控风险，防范于未然，从而提升工业互联网标识解析体系安全防护能力。

2.2   风险模型总体架构

工业互联网标识解析风险模型从风险分析视角、风险管理视角和风险措施视角3个视角进行构建（见图1）。

图1   工业互联网标识解析安全风险模型总体架构

风险分析视角包括架构安全风险分析、身份安全风险分析、数据安全风险分析和运营安全风险分析四大风险分析重点；风险管理视角包括风险目标、风险识别和风险策略三大环节；风险防护视角包括行业监管、安全监测、态势感知、威胁预警和响应处置五大环节^[3]。工业互联网标识解析风险模型的3个风险视角相对独立，但彼此之间相互关联、相辅相成，构成一个有机整体。

2.2.1   风险分析视角

风险分析视角主要包括架构安全风险分析、身份安全风险分析、数据安全风险分析、运营安全风险分析四大风险分析对象（见图2）。

图2   风险分析视角安全风险模型

（1）架构安全风险分析主要包括节点可用性风险、节点间协同风险、关键节点关联性风险等架构安全风险分析。

（2）身份安全风险分析主要包括涉及人、机、物3种角色的身份欺骗、越权访问、权限紊乱、设备漏洞4种身份风险分析^[4]。

（3）数据安全风险分析主要包括涉及标识解析注册数据、解析数据和日志数据的数据窃取、数据篡改、隐私数据泄露、数据丢失等数据安全风险分析。

（4）运营安全风险分析主要为人员管理、机构管理、流程管理等方面的运营安全风险分析。

2.2.2   风险管理视角

风险管理视角旨在指导构建持续改进的风险管控管理机制，提升风险管控水平（见图3）。

图3   风险管理视角安全风险模型

（1）风险目标指需要确立工业互联网标识解析风险评估和业务保障的对象。

（2）指标体系是根据风险目标确定风险评估指标体系。

（3）风险识别是针对风险目标识别可能的风险。

（4）风险策略指针对风险目标可能的风险指定相应的安全防护策略。

2.2.3   风险防护视角

针对工业互联网标识解析体系面临的各种风险，风险防护视角从全生命周期角度明确方法指引，实现闭环管理和风险管控。风险措施视角主要包括行业监管、安全监测、态势感知、威胁预警和响应处置五大环节（见图4）。

图4   风险防护视角安全风险模型

（1）行业监管指统一领导、统一指挥、建立联动监管机制。

（2）安全监测是针对四大风险分析对象进行风险监测。

（3）态势感知指部署响应的监测措施实时感知安全风险。

（4）威胁预警主要针对态势感知发现的风险进行风险预警。

（5）响应处置是通过建立响应处置机制及时应对安全风险。

3   风险分析模型

主要研究工业互联网标识解析安全风险，本文仅针对风险模型中的风险分析视角进行介绍。

3.1   架构风险分析

标识解析体系从架构上而言，是一个树形分层型架构，从逻辑上而言是一个分布式信息系统。如图5所示，工业互联网标识解析体系架构主要包括客户端、解析服务器、镜像服务器、代理服务器、缓存服务器，该架构的安全性在事务的每一步都依赖于这些部件的安全性，当体系架构的某一层节点出现问题时，就会对整个架构的安全性产生一定程度的威胁。

图5   工业互联网标识解析体系架构

工业互联网标识解析体系架构面临的风险很多，如节点可用性风险、节点间协同性风险、关键节点关联性风险等。

（1）节点可用性风险：是指解析体系架构的每一层中每种节点在可用性方面面临的风险，如果节点受到攻击，那么该节点的可用性会受到威胁，造成节点功能失效或者不可达。具体而言，节点的可用性风险主要为DDoS攻击。

（2）节点间协同性风险：是指对于解析体系的分布式特点，如果在解析过程中，节点协同性出现问题，就会造成数据同步或者复制内容过程出现延迟现象，导致数据不一致或者数据完整性出现问题；节点间协同风险主要包括代理服务延迟、镜像服务器延迟等。

（3）关键节点关联性风险：是指标识解析体系架构中某些关键节点出现问题，将会导致影响其他节点的功能，最终削弱了稳定性或者健壮性。关键节点关联性风险主要表现为缓存击穿、缓存穿透、反射/放大攻击3种形式。

3.2   身份安全风险分析

身份安全是工业互联网标识解析的门户，用户使用系统首先要进行身份认证，身份的重要性不言而喻。本文从人、机、物的角度讨论标识解析系统中各种角色的身份以及其对应的风险点。不同的角色拥有不同的级别和不同种类的权限，标识解析系统中各种风险点都可造成权限或信任受到侵害。针对人、机、物3种身份，每种身份对应的主要风险点如表1所示。

表1   标识身份安全风险

（1）身份欺骗在工业互联网标识解析系统中也可以叫标识欺骗，因为标识解析系统所有的身份都是以标识来表示。本文将从人、机、物的角度来对身份欺骗进行分析。

（2）越权访问：主要是指能访问超过用户本身权限的资源。例如，标识管理员应该只有管理标识的功能没有普通用户的功能，如果标识管理员出现了普通用户的功能，就是越权访问。

（3）权限紊乱：使用标识解析服务的设备和人员众多，最小时间和资源范围授权有效但授权繁杂，攻击者可以通过注入、渗透等方式绕过权限管理，从而进入系统。

（4）设备漏洞：主要是指标识解析系统中的服务器、客户端或者终端可能存在安全漏洞或使用含已知漏洞的组件，导致攻击者通过已知漏洞绕过设定的访问控制策略，远程控制、入侵或篡改设备以及设备标识数据。

3.3   数据风险分析

工业互联网标识解析涉及标识注册数据、标识解析数据和日志数据共3类数据进行数据安全风险分析。在网络安全中，数据安全的能力包括数据的完整性、机密性和可用性3个维度。根据GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》，标识解析数据安全涉及到数据采集、数据传输、数据存储、数据使用、数据交换和数据销毁等环节。基于以上数据安全维度，标识解析数据安全风险主要包括数据窃取、数据篡改、隐私数据泄露和数据丢失4类。

（1）数据窃取：工业互联网标识解析数据窃取风险主要是破坏数据的机密性，数据被非授权用户获得，使得标识注册数据、标识解析数据或日志数据外泄，数据窃取风险可能发生在数据采集、数据传输、数据交换和数据存储环节。

（2）数据篡改：工业互联网设备在接入工业互联网络时，攻击者有机会通过物理方式或者远程接入互联的设备，对设备中存储的标识注册数据、解析数据和日志数据进行读取、篡改、伪造等操作。

（3）隐私数据泄露：在标识数据使用过程中，在没有有效的安全防护措施的情况下，很容易导致工业企业关键设备数据、产品数据、管理数据、客户数据等隐私数据的泄露，从而为企业、个人带来重大损失，甚至可能会给国家带来不可估量的损失。

（4）数据丢失：在标识数据使用过程中，如果没有安全的保护措施和合理的备份情况下，不法分子通过对缓存或代理服务器进行攻击获取了权限后恶意删除数据，服务器遇到自然灾害造成数据丢失，操作人员误删数据，导致工业企业关键设备数据、关键产品数据、用户数据等重要数据丢失并无法恢复，对工业企业造成巨大的损失。

3.4   运营风险分析

运营风险管理起到对二级节点运营风险进行识别、衡量、监督、控制和报告的作用。随着标识生态的形成，参与者角色不断丰富，规模不断扩大。用户体量和系统规模的持续壮大，给标识解析体系的运营带来新的挑战。来自内部与外部的风险，都将影响整个工业互联网标识解析体系的安全可控运营，运营风险主要存在于对人员管理、分支机构管理以及流程管理。

（1）人员管理风险：标识解析体系的运营具有高可靠性和高安全性的要求，所有有权使用或控制那些可能影响标识分配、标识解析、业务管理、数据管理等操作的员工、第三方服务人员等（统称“人员”）都会影响系统的正常运营，统称为可信角色。人员管理风险主要包括角色鉴别风险、关键岗位角色管理风险、人员操作风险、人员控制风险。

（2）分支机构管理风险分析：主要指在标识解析体系众多环节上提供相应标识服务的实体/机构的生命周期管理风险。分支机构管理风险主要包括分支机构的授权风险、分支机构的运行风险、分支机构的服务终止风险。

（3）流程管理风险：系统的运营是由一系列业务流程所组成的集合，缺乏必要的业务流程管理，会导致运营人员在执行工作时，只是依据经验执行，具有较大的随意性，给系统运营带来风险，主要为二级节点申请流程管理风险。

4   结束语

通过对工业互联网标识解析安全风险进行分析研究，提出了统一的工业互联网标识解析安全风险分析模型，在工业互联网标识解析体系建设初期可以提前识别出受保护对象的风险点、风险事件、风险事件的起因、可能的影响后果、适合的保护措施、标准法规的符合性、贯彻实施的可行性等，从根源上把控风险，为工业互联网标识解析安全建设贯彻落实提供参考和指引，并推动业界达成广泛共识，共同推进工业互联网标识解析安全、健康、持续发展。

参考文献

[1] 工业和信息化部. 《加强工业互联网安全工作的指导意见》解读[R], 2019.

[2] Dolezel Diane, McLeod Alexander. Managing security risk modeling the root causes ofdata breaches[J]. Health Care Manager, 2019, 38(4):322-330.

[3] 工业互联网产业联盟. 工业互联网标识解析安全风险分析模型[R], 2020.

[4] HUANG Kai, KONG Ning. Research on status of DNS privacy[J]. Computer Engineering and Applications, 2018, 54(9): 28-36.

Security risk analysis model for identifier resolution system of Industrial Internet

CHI Cheng, MA Baoluo, TIAN Juan

（Industrial Internet and IOT Research Institute, China Academy of Information and Communications Technology, Beijing 100191, China）

Abstract: Identifier and resolution system of the Industrial Internet is the “ neural hub” for coordination. Catastrophic damage to the whole Industrial Internet industry ecology may be caused if the identifier resolution system is attacked. Moreover, it may become a threat to national security. Therefore, security plays an important role in identifier resolution system. This paper analyses an innovative security risk model, which can help control risks from the root at the initial stage of Industrial Internet construction, provide guidance for related enterprises in the early design stage of identifier resolution system, and promote the sustainable development of the industrial identifier resolution system.

Key words: Industrial Internet; identifier resolution system; security risk analysis model

本文刊于《信息通信技术与政策》2020年第10期

主办：中国信息通信研究院

🔷 专家论坛     

🔷 专题            

🔷 产业与政策

🔷 技术与标准

ictp@caict.ac.cn（投稿邮箱）

 010-62300192（联系电话）