來源：信息通信技術(shù)與政策 本文已授權(quán)

摘要

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析作為工業(yè)互聯(lián)網(wǎng)關(guān)鍵要素實現(xiàn)協(xié)同的“神經(jīng)樞紐”，一旦遭到入侵或攻擊，可能會對整個工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)造成重創(chuàng)，甚至對國家安全構(gòu)成威脅，加快推進(jìn)工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全保障能力建設(shè)迫在眉睫。對工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全風(fēng)險分析模型和方法論進(jìn)行了分析和研究，從根源上把控風(fēng)險，為工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全建設(shè)貫徹落實提供參考和指引。

1 引言

隨著工業(yè)互聯(lián)網(wǎng)標(biāo)識解析的普及應(yīng)用，工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全關(guān)乎生產(chǎn)安全、社會安全甚至國家安全，其安全性將成為工業(yè)互聯(lián)網(wǎng)安全保障的關(guān)鍵。工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系是工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)架構(gòu)的重要組成部分，是設(shè)備、系統(tǒng)、數(shù)據(jù)、網(wǎng)絡(luò)互聯(lián)互通的關(guān)鍵。借助標(biāo)識解析體系，信息得以實現(xiàn)跨企業(yè)、跨行業(yè)、跨地域的共享和使用，企業(yè)得以實現(xiàn)全球供應(yīng)鏈系統(tǒng)和生產(chǎn)系統(tǒng)的精準(zhǔn)對接，實現(xiàn)智能化生產(chǎn)、個性化定制、重要產(chǎn)品追溯和產(chǎn)品全生命周期管理[1]。工業(yè)互聯(lián)網(wǎng)標(biāo)識解析作為工業(yè)互聯(lián)網(wǎng)關(guān)鍵要素實現(xiàn)協(xié)同的“神經(jīng)樞紐”，一旦遭到入侵或攻擊，可能會對整個工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)造成重創(chuàng)，甚至對國家安全構(gòu)成威脅，加快推進(jìn)工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全保障能力建設(shè)迫在眉睫?；诖耍疚膭?chuàng)新型地提出了標(biāo)識解析安全風(fēng)險分析模型，旨在標(biāo)識解析體系設(shè)計階段為相關(guān)企業(yè)提供參考和指導(dǎo)。

2 風(fēng)險分析模型設(shè)計

2.1 設(shè)計思路

本文中的工業(yè)互聯(lián)網(wǎng)標(biāo)識安全風(fēng)險分析模型是在充分借鑒傳統(tǒng)互聯(lián)網(wǎng)和國內(nèi)外工業(yè)互聯(lián)網(wǎng)安全框架基礎(chǔ)上[2]，結(jié)合我國工業(yè)互聯(lián)網(wǎng)標(biāo)識解體系的特點提出，旨在為相關(guān)單位在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系建設(shè)初期開展安全風(fēng)險防范工作提供參考和指導(dǎo)，從根源上把控風(fēng)險，防范于未然，從而提升工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系安全防護(hù)能力。

2.2 風(fēng)險模型總體架構(gòu)

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析風(fēng)險模型從風(fēng)險分析視角、風(fēng)險管理視角和風(fēng)險措施視角3個視角進(jìn)行構(gòu)建（見圖1）。

圖1 工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全風(fēng)險模型總體架構(gòu)

風(fēng)險分析視角包括架構(gòu)安全風(fēng)險分析、身份安全風(fēng)險分析、數(shù)據(jù)安全風(fēng)險分析和運(yùn)營安全風(fēng)險分析四大風(fēng)險分析重點；風(fēng)險管理視角包括風(fēng)險目標(biāo)、風(fēng)險識別和風(fēng)險策略三大環(huán)節(jié)；風(fēng)險防護(hù)視角包括行業(yè)監(jiān)管、安全監(jiān)測、態(tài)勢感知、威脅預(yù)警和響應(yīng)處置五大環(huán)節(jié)[3]。工業(yè)互聯(lián)網(wǎng)標(biāo)識解析風(fēng)險模型的3個風(fēng)險視角相對獨立，但彼此之間相互關(guān)聯(lián)、相輔相成，構(gòu)成一個有機(jī)整體。

2.2.1 風(fēng)險分析視角

風(fēng)險分析視角主要包括架構(gòu)安全風(fēng)險分析、身份安全風(fēng)險分析、數(shù)據(jù)安全風(fēng)險分析、運(yùn)營安全風(fēng)險分析四大風(fēng)險分析對象（見圖2）。

圖2 風(fēng)險分析視角安全風(fēng)險模型

（1）架構(gòu)安全風(fēng)險分析主要包括節(jié)點可用性風(fēng)險、節(jié)點間協(xié)同風(fēng)險、關(guān)鍵節(jié)點關(guān)聯(lián)性風(fēng)險等架構(gòu)安全風(fēng)險分析。

（2）身份安全風(fēng)險分析主要包括涉及人、機(jī)、物3種角色的身份欺騙、越權(quán)訪問、權(quán)限紊亂、設(shè)備漏洞4種身份風(fēng)險分析[4]。

（3）數(shù)據(jù)安全風(fēng)險分析主要包括涉及標(biāo)識解析注冊數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)的數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露、數(shù)據(jù)丟失等數(shù)據(jù)安全風(fēng)險分析。

（4）運(yùn)營安全風(fēng)險分析主要為人員管理、機(jī)構(gòu)管理、流程管理等方面的運(yùn)營安全風(fēng)險分析。

2.2.2 風(fēng)險管理視角

風(fēng)險管理視角旨在指導(dǎo)構(gòu)建持續(xù)改進(jìn)的風(fēng)險管控管理機(jī)制，提升風(fēng)險管控水平（見圖3）。

圖3 風(fēng)險管理視角安全風(fēng)險模型

（1）風(fēng)險目標(biāo)指需要確立工業(yè)互聯(lián)網(wǎng)標(biāo)識解析風(fēng)險評估和業(yè)務(wù)保障的對象。

（2）指標(biāo)體系是根據(jù)風(fēng)險目標(biāo)確定風(fēng)險評估指標(biāo)體系。

（3）風(fēng)險識別是針對風(fēng)險目標(biāo)識別可能的風(fēng)險。

（4）風(fēng)險策略指針對風(fēng)險目標(biāo)可能的風(fēng)險指定相應(yīng)的安全防護(hù)策略。

2.2.3 風(fēng)險防護(hù)視角

針對工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系面臨的各種風(fēng)險，風(fēng)險防護(hù)視角從全生命周期角度明確方法指引，實現(xiàn)閉環(huán)管理和風(fēng)險管控。風(fēng)險措施視角主要包括行業(yè)監(jiān)管、安全監(jiān)測、態(tài)勢感知、威脅預(yù)警和響應(yīng)處置五大環(huán)節(jié)（見圖4）。

圖4 風(fēng)險防護(hù)視角安全風(fēng)險模型

（1）行業(yè)監(jiān)管指統(tǒng)一領(lǐng)導(dǎo)、統(tǒng)一指揮、建立聯(lián)動監(jiān)管機(jī)制。

（2）安全監(jiān)測是針對四大風(fēng)險分析對象進(jìn)行風(fēng)險監(jiān)測。

（3）態(tài)勢感知指部署響應(yīng)的監(jiān)測措施實時感知安全風(fēng)險。

（4）威脅預(yù)警主要針對態(tài)勢感知發(fā)現(xiàn)的風(fēng)險進(jìn)行風(fēng)險預(yù)警。

（5）響應(yīng)處置是通過建立響應(yīng)處置機(jī)制及時應(yīng)對安全風(fēng)險。

3 風(fēng)險分析模型

主要研究工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全風(fēng)險，本文僅針對風(fēng)險模型中的風(fēng)險分析視角進(jìn)行介紹。

3.1 架構(gòu)風(fēng)險分析

標(biāo)識解析體系從架構(gòu)上而言，是一個樹形分層型架構(gòu)，從邏輯上而言是一個分布式信息系統(tǒng)。如圖5所示，工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系架構(gòu)主要包括客戶端、解析服務(wù)器、鏡像服務(wù)器、代理服務(wù)器、緩存服務(wù)器，該架構(gòu)的安全性在事務(wù)的每一步都依賴于這些部件的安全性，當(dāng)體系架構(gòu)的某一層節(jié)點出現(xiàn)問題時，就會對整個架構(gòu)的安全性產(chǎn)生一定程度的威脅。

圖5 工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系架構(gòu)

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系架構(gòu)面臨的風(fēng)險很多，如節(jié)點可用性風(fēng)險、節(jié)點間協(xié)同性風(fēng)險、關(guān)鍵節(jié)點關(guān)聯(lián)性風(fēng)險等。

（1）節(jié)點可用性風(fēng)險：是指解析體系架構(gòu)的每一層中每種節(jié)點在可用性方面面臨的風(fēng)險，如果節(jié)點受到攻擊，那么該節(jié)點的可用性會受到威脅，造成節(jié)點功能失效或者不可達(dá)。具體而言，節(jié)點的可用性風(fēng)險主要為DDoS攻擊。

（2）節(jié)點間協(xié)同性風(fēng)險：是指對于解析體系的分布式特點，如果在解析過程中，節(jié)點協(xié)同性出現(xiàn)問題，就會造成數(shù)據(jù)同步或者復(fù)制內(nèi)容過程出現(xiàn)延遲現(xiàn)象，導(dǎo)致數(shù)據(jù)不一致或者數(shù)據(jù)完整性出現(xiàn)問題；節(jié)點間協(xié)同風(fēng)險主要包括代理服務(wù)延遲、鏡像服務(wù)器延遲等。

（3）關(guān)鍵節(jié)點關(guān)聯(lián)性風(fēng)險：是指標(biāo)識解析體系架構(gòu)中某些關(guān)鍵節(jié)點出現(xiàn)問題，將會導(dǎo)致影響其他節(jié)點的功能，最終削弱了穩(wěn)定性或者健壯性。關(guān)鍵節(jié)點關(guān)聯(lián)性風(fēng)險主要表現(xiàn)為緩存擊穿、緩存穿透、反射/放大攻擊3種形式。

3.2 身份安全風(fēng)險分析

身份安全是工業(yè)互聯(lián)網(wǎng)標(biāo)識解析的門戶，用戶使用系統(tǒng)首先要進(jìn)行身份認(rèn)證，身份的重要性不言而喻。本文從人、機(jī)、物的角度討論標(biāo)識解析系統(tǒng)中各種角色的身份以及其對應(yīng)的風(fēng)險點。不同的角色擁有不同的級別和不同種類的權(quán)限，標(biāo)識解析系統(tǒng)中各種風(fēng)險點都可造成權(quán)限或信任受到侵害。針對人、機(jī)、物3種身份，每種身份對應(yīng)的主要風(fēng)險點如表1所示。

表1 標(biāo)識身份安全風(fēng)險

（1）身份欺騙在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析系統(tǒng)中也可以叫標(biāo)識欺騙，因為標(biāo)識解析系統(tǒng)所有的身份都是以標(biāo)識來表示。本文將從人、機(jī)、物的角度來對身份欺騙進(jìn)行分析。

（2）越權(quán)訪問：主要是指能訪問超過用戶本身權(quán)限的資源。例如，標(biāo)識管理員應(yīng)該只有管理標(biāo)識的功能沒有普通用戶的功能，如果標(biāo)識管理員出現(xiàn)了普通用戶的功能，就是越權(quán)訪問。

（3）權(quán)限紊亂：使用標(biāo)識解析服務(wù)的設(shè)備和人員眾多，最小時間和資源范圍授權(quán)有效但授權(quán)繁雜，攻擊者可以通過注入、滲透等方式繞過權(quán)限管理，從而進(jìn)入系統(tǒng)。

（4）設(shè)備漏洞：主要是指標(biāo)識解析系統(tǒng)中的服務(wù)器、客戶端或者終端可能存在安全漏洞或使用含已知漏洞的組件，導(dǎo)致攻擊者通過已知漏洞繞過設(shè)定的訪問控制策略，遠(yuǎn)程控制、入侵或篡改設(shè)備以及設(shè)備標(biāo)識數(shù)據(jù)。

3.3 數(shù)據(jù)風(fēng)險分析

工業(yè)互聯(lián)網(wǎng)標(biāo)識解析涉及標(biāo)識注冊數(shù)據(jù)、標(biāo)識解析數(shù)據(jù)和日志數(shù)據(jù)共3類數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險分析。在網(wǎng)絡(luò)安全中，數(shù)據(jù)安全的能力包括數(shù)據(jù)的完整性、機(jī)密性和可用性3個維度。根據(jù)GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》，標(biāo)識解析數(shù)據(jù)安全涉及到數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)交換和數(shù)據(jù)銷毀等環(huán)節(jié)?；谝陨蠑?shù)據(jù)安全維度，標(biāo)識解析數(shù)據(jù)安全風(fēng)險主要包括數(shù)據(jù)竊取、數(shù)據(jù)篡改、隱私數(shù)據(jù)泄露和數(shù)據(jù)丟失4類。

（1）數(shù)據(jù)竊取：工業(yè)互聯(lián)網(wǎng)標(biāo)識解析數(shù)據(jù)竊取風(fēng)險主要是破壞數(shù)據(jù)的機(jī)密性，數(shù)據(jù)被非授權(quán)用戶獲得，使得標(biāo)識注冊數(shù)據(jù)、標(biāo)識解析數(shù)據(jù)或日志數(shù)據(jù)外泄，數(shù)據(jù)竊取風(fēng)險可能發(fā)生在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)交換和數(shù)據(jù)存儲環(huán)節(jié)。

（2）數(shù)據(jù)篡改：工業(yè)互聯(lián)網(wǎng)設(shè)備在接入工業(yè)互聯(lián)網(wǎng)絡(luò)時，攻擊者有機(jī)會通過物理方式或者遠(yuǎn)程接入互聯(lián)的設(shè)備，對設(shè)備中存儲的標(biāo)識注冊數(shù)據(jù)、解析數(shù)據(jù)和日志數(shù)據(jù)進(jìn)行讀取、篡改、偽造等操作。

（3）隱私數(shù)據(jù)泄露：在標(biāo)識數(shù)據(jù)使用過程中，在沒有有效的安全防護(hù)措施的情況下，很容易導(dǎo)致工業(yè)企業(yè)關(guān)鍵設(shè)備數(shù)據(jù)、產(chǎn)品數(shù)據(jù)、管理數(shù)據(jù)、客戶數(shù)據(jù)等隱私數(shù)據(jù)的泄露，從而為企業(yè)、個人帶來重大損失，甚至可能會給國家?guī)聿豢晒懒康膿p失。

（4）數(shù)據(jù)丟失：在標(biāo)識數(shù)據(jù)使用過程中，如果沒有安全的保護(hù)措施和合理的備份情況下，不法分子通過對緩存或代理服務(wù)器進(jìn)行攻擊獲取了權(quán)限后惡意刪除數(shù)據(jù)，服務(wù)器遇到自然災(zāi)害造成數(shù)據(jù)丟失，操作人員誤刪數(shù)據(jù)，導(dǎo)致工業(yè)企業(yè)關(guān)鍵設(shè)備數(shù)據(jù)、關(guān)鍵產(chǎn)品數(shù)據(jù)、用戶數(shù)據(jù)等重要數(shù)據(jù)丟失并無法恢復(fù)，對工業(yè)企業(yè)造成巨大的損失。

3.4 運(yùn)營風(fēng)險分析

運(yùn)營風(fēng)險管理起到對二級節(jié)點運(yùn)營風(fēng)險進(jìn)行識別、衡量、監(jiān)督、控制和報告的作用。隨著標(biāo)識生態(tài)的形成，參與者角色不斷豐富，規(guī)模不斷擴(kuò)大。用戶體量和系統(tǒng)規(guī)模的持續(xù)壯大，給標(biāo)識解析體系的運(yùn)營帶來新的挑戰(zhàn)。來自內(nèi)部與外部的風(fēng)險，都將影響整個工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系的安全可控運(yùn)營，運(yùn)營風(fēng)險主要存在于對人員管理、分支機(jī)構(gòu)管理以及流程管理。

（1）人員管理風(fēng)險：標(biāo)識解析體系的運(yùn)營具有高可靠性和高安全性的要求，所有有權(quán)使用或控制那些可能影響標(biāo)識分配、標(biāo)識解析、業(yè)務(wù)管理、數(shù)據(jù)管理等操作的員工、第三方服務(wù)人員等（統(tǒng)稱“人員”）都會影響系統(tǒng)的正常運(yùn)營，統(tǒng)稱為可信角色。人員管理風(fēng)險主要包括角色鑒別風(fēng)險、關(guān)鍵崗位角色管理風(fēng)險、人員操作風(fēng)險、人員控制風(fēng)險。

（2）分支機(jī)構(gòu)管理風(fēng)險分析：主要指在標(biāo)識解析體系眾多環(huán)節(jié)上提供相應(yīng)標(biāo)識服務(wù)的實體/機(jī)構(gòu)的生命周期管理風(fēng)險。分支機(jī)構(gòu)管理風(fēng)險主要包括分支機(jī)構(gòu)的授權(quán)風(fēng)險、分支機(jī)構(gòu)的運(yùn)行風(fēng)險、分支機(jī)構(gòu)的服務(wù)終止風(fēng)險。

（3）流程管理風(fēng)險：系統(tǒng)的運(yùn)營是由一系列業(yè)務(wù)流程所組成的集合，缺乏必要的業(yè)務(wù)流程管理，會導(dǎo)致運(yùn)營人員在執(zhí)行工作時，只是依據(jù)經(jīng)驗執(zhí)行，具有較大的隨意性，給系統(tǒng)運(yùn)營帶來風(fēng)險，主要為二級節(jié)點申請流程管理風(fēng)險。

4 結(jié)束語

通過對工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全風(fēng)險進(jìn)行分析研究，提出了統(tǒng)一的工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全風(fēng)險分析模型，在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析體系建設(shè)初期可以提前識別出受保護(hù)對象的風(fēng)險點、風(fēng)險事件、風(fēng)險事件的起因、可能的影響后果、適合的保護(hù)措施、標(biāo)準(zhǔn)法規(guī)的符合性、貫徹實施的可行性等，從根源上把控風(fēng)險，為工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全建設(shè)貫徹落實提供參考和指引，并推動業(yè)界達(dá)成廣泛共識，共同推進(jìn)工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全、健康、持續(xù)發(fā)展。

參考文獻(xiàn)

[1] 工業(yè)和信息化部. 《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》解讀[R], 2019.

[2] Dolezel Diane, McLeod Alexander. Managing security risk modeling the root causes ofdata breaches[J]. Health Care Manager, 2019, 38(4):322-330.

[3] 工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟. 工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全風(fēng)險分析模型[R], 2020.

[4] HUANG Kai, KONG Ning. Research on status of DNS privacy[J]. Computer Engineering and Applications, 2018, 54(9): 28-36.

責(zé)任編輯：PSY

原文標(biāo)題：工業(yè)互聯(lián)網(wǎng)標(biāo)識解析安全風(fēng)險分析模型研究

文章出處：【微信公眾號：工業(yè)IoT】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。