摘要：工業(yè)互聯(lián)網(wǎng)作為國家重點(diǎn)信息基礎(chǔ)設(shè)施的重要組成部分，正在成為全世界最新的地緣政治角逐戰(zhàn)場。工業(yè)控制系統(tǒng)由封閉狀態(tài)直接或者間接的與互聯(lián)網(wǎng)連接，其固有的安全弱點(diǎn)將被暴露在互聯(lián)網(wǎng)上并被無限放大，成為黑客未來攻擊的熱點(diǎn)和重點(diǎn)。如何確保工業(yè)企業(yè)的網(wǎng)絡(luò)安全，保障國家和社會經(jīng)濟(jì)正常運(yùn)轉(zhuǎn)成為國家和企業(yè)的重要研究課題。從用戶身份和訪問控制的角度探討由政府層面統(tǒng)籌規(guī)劃建立的基于云服務(wù)模式的身份和訪問控制體系模型的可行性，并描述了相應(yīng)的建設(shè)內(nèi)容，為工業(yè)互聯(lián)網(wǎng)時代的企業(yè)網(wǎng)絡(luò)安全建設(shè)提供了一個思路。

內(nèi)容目錄：

1　工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀

1.1　工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)

1.2　國內(nèi)工業(yè)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀

1.3　國內(nèi)工業(yè)互聯(lián)網(wǎng)常見問題

1.3.1　行業(yè)復(fù)雜性帶來需求多樣性的挑戰(zhàn)

1.3.2　缺乏統(tǒng)一接入的安全標(biāo)準(zhǔn)及安全規(guī)范、服務(wù)規(guī)范的建設(shè)

1.3.3　云服務(wù)下用戶身份治理問題分析

1.3.4　工業(yè)企業(yè)安全事件缺少審計

1.3.5　風(fēng)險診斷和研判能力有待提升

1.3.6　企業(yè)應(yīng)急機(jī)制的補(bǔ)充與完善

2　身份與訪問控制體系建設(shè)思路

3　身份與訪問控制體系建設(shè)內(nèi)容

3.1　工業(yè)領(lǐng)域各企業(yè)用戶身份治理需求多樣性

3.2　實(shí)現(xiàn)多層次安全風(fēng)險要素的集中分析和處置

3.3　建設(shè)云端企業(yè)安全檢測評估服務(wù)

3.4　建設(shè)風(fēng)險診斷與研判公共服務(wù)

3.5　建設(shè)用戶動態(tài)權(quán)限保護(hù)

3.6　建設(shè)應(yīng)急處置公共服務(wù)

3.7　開放性設(shè)計抵御主要安全威脅

3.8　可定制性的安全能力建設(shè)

3.9　建立安全規(guī)范和服務(wù)規(guī)范

4　結(jié)　語

隨著信息技術(shù)的不斷發(fā)展，傳統(tǒng)封閉的工業(yè)控制系統(tǒng)利用新興互聯(lián)技術(shù)實(shí)現(xiàn)生產(chǎn)效率的提升，但同時其本身固有的安全漏洞及互聯(lián)網(wǎng)的安全威脅也極大地影響了生產(chǎn)的安全。保障生產(chǎn)安全有多方面措施，本文從用戶身份管理和訪問控制的角度探討了生產(chǎn)安全的保障機(jī)制，希望為工業(yè)互聯(lián)時代的企業(yè)網(wǎng)絡(luò)安全建設(shè)提供一個思路。

1、工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀

近年來，隨著我國工業(yè)互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全威脅正在加速向工業(yè)領(lǐng)域蔓延，傳統(tǒng)的工業(yè)控制系統(tǒng)的安全機(jī)制的弱點(diǎn)在互聯(lián)網(wǎng)上暴露無遺。

1.1　工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)

工業(yè)互聯(lián)網(wǎng)作為國家重點(diǎn)信息基礎(chǔ)設(shè)施的重要組成部分，正在成為全世界最新的地緣政治角逐戰(zhàn)場。例如，包括能源、電力等在內(nèi)的關(guān)鍵網(wǎng)絡(luò)已成為全球攻擊者的首選目標(biāo)，極具價值。當(dāng)前，網(wǎng)絡(luò)安全威脅正在加速向工業(yè)領(lǐng)域蔓延，工業(yè)互聯(lián)網(wǎng)安全事件頻發(fā)已經(jīng)嚴(yán)重影響經(jīng)濟(jì)社會正常運(yùn)行及國家安全，接連發(fā)生的安全事件引發(fā)各國對工業(yè)互聯(lián)網(wǎng)安全高度重視與關(guān)注。

2015 年 12 月，烏克蘭約 60 座變電站遭到黑客攻擊，導(dǎo)致烏克蘭 140 萬名居民遭遇了一次長達(dá)數(shù)小時的大規(guī)模停電;2017 年 5 月，“永恒之藍(lán)“勒索病毒席卷全球，英國、意大利、俄羅斯等歐洲國家以及中國國內(nèi)多個高校內(nèi)網(wǎng)、大型企業(yè)內(nèi)網(wǎng)和政府機(jī)構(gòu)專網(wǎng)中招，被勒索支付高額贖金才能解密恢復(fù)文件;2021 年 5 月，美國最大的燃油管道商 Colonial Pipeline 遭到勒索軟件攻擊，導(dǎo)致其業(yè)務(wù)受到嚴(yán)重影響。

事實(shí)證明，沒有得到良好安全保護(hù)的工業(yè)互聯(lián)網(wǎng)，就像一扇虛掩的大門，根本無法防御任何精心策劃的攻擊行動。

1.2　國內(nèi)工業(yè)互聯(lián)網(wǎng)發(fā)展現(xiàn)狀

當(dāng)前我國工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展正處在一個關(guān)鍵的歷史時刻。2012 年，通用電氣公司(General Electric Company，GE)在全球范圍內(nèi)首次提出工業(yè)互聯(lián)網(wǎng)概念后。我國于 2015 年 5 月正式印發(fā)《中國制造 2025》國家行動綱領(lǐng)，明確了 9項戰(zhàn)略和重點(diǎn)任務(wù)，包括推進(jìn)信息化與工業(yè)化深度融合，通過大力發(fā)展新一代信息技術(shù)產(chǎn)業(yè)，加快制造業(yè)轉(zhuǎn)型升級，全面提高發(fā)展質(zhì)量和核心競爭力。

黨的十九大報告全面系統(tǒng)地論述了堅持總體國家安全觀的重要思想，并明確提出“加快建設(shè)制造強(qiáng)國、網(wǎng)絡(luò)強(qiáng)國、數(shù)字中國、智慧社會，推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和實(shí)體經(jīng)濟(jì)深度融合”的戰(zhàn)略部署。從圖 1 中可以看到，近幾年我國聯(lián)網(wǎng)工業(yè)控制系統(tǒng)的數(shù)量逐年遞增，2020 年發(fā)展更是成數(shù)倍地增長。而工業(yè)互聯(lián)網(wǎng)領(lǐng)域各類網(wǎng)絡(luò)攻擊行為直接破壞或損毀工業(yè)控制系統(tǒng)、設(shè)備等關(guān)鍵信息基礎(chǔ)設(shè)施，對人民生產(chǎn)生活以及經(jīng)濟(jì)發(fā)展、社會穩(wěn)定、國家安全構(gòu)成嚴(yán)重威脅。工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)已成為國家安全體系建設(shè)的重要組成，其重要性不亞于經(jīng)濟(jì)安全、科技安全等 。

圖 1 近年中國聯(lián)網(wǎng)工業(yè)控制系統(tǒng)數(shù)量(數(shù)據(jù)來源：國家工業(yè)信息安全發(fā)展研究中心)

伴隨工業(yè)互聯(lián)網(wǎng)化平臺接入，工控網(wǎng)絡(luò)將直接或間接與互聯(lián)網(wǎng)連接。此時，其封閉式底層工業(yè)控制網(wǎng)絡(luò)安全考慮不充分、安全認(rèn)證機(jī)制和訪問控制的防護(hù)能力不足、生產(chǎn)設(shè)備和控制系統(tǒng)的控制指令簡單等缺點(diǎn)暴露無遺。如圖 2所示，伴隨著聯(lián)網(wǎng)工業(yè)控制系統(tǒng)的不斷增多，新發(fā)現(xiàn)的工業(yè)控制系統(tǒng)漏洞也隨之增加。一旦聯(lián)網(wǎng)工業(yè)控制系統(tǒng)遭受攻擊，將導(dǎo)致平臺運(yùn)行環(huán)境被破壞、生產(chǎn)流程中斷，甚至關(guān)鍵工業(yè)設(shè)施損毀，嚴(yán)重威脅工業(yè)生產(chǎn)的穩(wěn)定運(yùn)行及財產(chǎn)、人身安全，進(jìn)而影響國家和社會正常穩(wěn)定運(yùn)行。由此可見，沒有堅實(shí)的安全保障，將難以維持工業(yè)生產(chǎn)平臺的正常運(yùn)行，更談不上工業(yè)互聯(lián)網(wǎng)的穩(wěn)定發(fā)展。

圖 2 近年中國新增工業(yè)控制系統(tǒng)漏洞數(shù)量(數(shù)據(jù)來源：國家工業(yè)信息安全發(fā)展研究中心)

1.3　國內(nèi)工業(yè)互聯(lián)網(wǎng)常見問題

國內(nèi)工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)正處于初級階段，尚未形成良性發(fā)展的工業(yè)互聯(lián)網(wǎng)安全生態(tài)體系。存在以下系統(tǒng)性或共性問題。

1.3.1　行業(yè)復(fù)雜性帶來需求多樣性的挑戰(zhàn)

在兩化融合基礎(chǔ)上，電子、家電等行業(yè)推動生產(chǎn)向網(wǎng)絡(luò)化、智能化階段邁進(jìn)，各行業(yè)企業(yè)對工業(yè)互聯(lián)網(wǎng)安全需求側(cè)重不同。在流程型制造行業(yè)，利用信息技術(shù)助力企業(yè)提升綜合管控能力。例如，鋼鐵、石化、醫(yī)藥、食品等行業(yè)。在離散型制造行業(yè)，側(cè)重推動企業(yè)向服務(wù)型制造加速轉(zhuǎn)型。例如，機(jī)械制造、消費(fèi)品生產(chǎn)等行業(yè)。因此，國內(nèi)工業(yè)互聯(lián)網(wǎng)安全體系建設(shè)需要根據(jù)行業(yè)視角進(jìn)行理解、剪裁、取舍和優(yōu)化，逐步形成良性可持續(xù)發(fā)展的工業(yè)互聯(lián)網(wǎng)安全體系，為工業(yè)互聯(lián)網(wǎng)帶來持久穩(wěn)定的安全保障力量。

1.3.2　缺乏統(tǒng)一接入的安全標(biāo)準(zhǔn)及安全規(guī)范、服務(wù)規(guī)范的建設(shè)

《中國制造 2025》戰(zhàn)略帶來工業(yè)互聯(lián)網(wǎng)的蓬勃發(fā)展，新的工業(yè)互聯(lián)網(wǎng)化平臺不斷涌現(xiàn)，數(shù)量眾多，但是基本上處于各自為戰(zhàn)的狀態(tài)，安全方案千差萬別，服務(wù)能力參差不齊，未形成統(tǒng)一的安全框架模式和安全標(biāo)準(zhǔn)，無法基于標(biāo)準(zhǔn)定義符合各企業(yè)情況的安全接入策略，并獲得可預(yù)期的、全面的安全保障，不利于我國工業(yè)互聯(lián)網(wǎng)安全保障體系的可持續(xù)性發(fā)展 。

1.3.3　云服務(wù)下用戶身份治理問題分析

在企業(yè)生產(chǎn)經(jīng)營過程中，普遍存在重發(fā)展輕安全的情況，對其工業(yè)互聯(lián)網(wǎng)安全缺乏足夠意識，安全防護(hù)投入較低。2021 年 2 月，由國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2020 年工業(yè)信息安全態(tài)勢報告》中提到，在研判的工業(yè)信息安全風(fēng)險中，主要存在弱口令漏洞、未授權(quán)訪問漏洞、目錄遍歷漏洞、結(jié)構(gòu)化查詢語言(Structured Query Language，SQL)注入漏洞等。由此可見，工業(yè)企業(yè)各類應(yīng)用普遍在用戶口令、身份認(rèn)證、權(quán)限管理和通信加密等方面均存在大量安全問題 。

2020 年國家工業(yè)信息安全漏洞庫(CICSVD)收錄的漏洞主要類型如圖 3 所示。其中，授權(quán)問題、資源管理問題以及權(quán)限許可和訪問控制問題都與用戶身份、授權(quán)、訪問控制密不可分，三者合計 406 個漏洞，占總體類型 30% 以上。因此，云服務(wù)模式下的用戶身份治理與訪問控制需要考慮如下幾個方面。

圖 3 2020 年 CICSVD 收錄漏洞主要類型(數(shù)據(jù)來源：國家工業(yè)信息安全發(fā)展研究中心)

(1)用戶身份治理安全。在信息化時代，各行業(yè)企業(yè)均不同程度涉及上游原料供應(yīng)商、下游經(jīng)銷商以及企業(yè)自身人員的身份治理問題，包括內(nèi)部員工的入職、離職、轉(zhuǎn)崗、調(diào)動和外部人員注冊和注銷等變化，由于不同用戶在企業(yè)管理的職責(zé)、權(quán)限不盡相同，造成企業(yè)各用戶的身份管理、認(rèn)證以及訪問控制、動態(tài)權(quán)限管理的困難。需要構(gòu)建面向各企業(yè)的統(tǒng)一用戶身份治理與訪問控制公共服務(wù)支撐體系，實(shí)現(xiàn)云服務(wù)模式下用戶全生命周期管理來破解這一難題。

(2)用戶訪問安全。在面臨各企業(yè)內(nèi)部應(yīng)用時，如何有效做好用戶訪問范圍的定義，包括內(nèi)部員工、外部合作伙伴等不同角色以及在不同業(yè)務(wù)場景下的認(rèn)證安全等級、認(rèn)證方式、行為審計和追蹤溯源等。還應(yīng)考慮認(rèn)證方式和安全手段上的可擴(kuò)展性，以適應(yīng)未來發(fā)展需要。

(3)用戶權(quán)限管理。在企業(yè)發(fā)展過程中，在面向不同層級海量數(shù)據(jù)匯聚的同時，需確保數(shù)據(jù)的訪問權(quán)限的合理性和安全性。應(yīng)將分散在不同應(yīng)用系統(tǒng)中的用戶權(quán)限進(jìn)行納管，除了能夠支撐傳統(tǒng)的按角色授權(quán)，還可根據(jù)用戶屬性、任務(wù)等不同類型授權(quán)以滿足應(yīng)用需要。對各類用戶不同環(huán)境下對應(yīng)用的訪問情況開展審計追溯，滿足應(yīng)用權(quán)限監(jiān)管與統(tǒng)一審計等合規(guī)要求。

(4)企業(yè)應(yīng)用安全管理。伴隨遠(yuǎn)程辦公、移動辦公等場景需要，越來越多的應(yīng)用接入工業(yè)互聯(lián)網(wǎng)，使應(yīng)用直接暴露在互聯(lián)網(wǎng)網(wǎng)絡(luò)中，同時也意味著工業(yè)控制系統(tǒng)將會暴露大量應(yīng)用接口，而接口標(biāo)準(zhǔn)化、數(shù)據(jù)安全性、應(yīng)用接入規(guī)范化、應(yīng)用程序接口(Application Programming Interface，API)管理也面臨著安全風(fēng)險。統(tǒng)一的 API 管理規(guī)范建立、API 開發(fā)規(guī)范完善、API分級管理制度建設(shè)勢在必行，同時需要對訪問者的身份持續(xù)認(rèn)證、動態(tài)授權(quán)，實(shí)現(xiàn)對應(yīng)用動態(tài)訪問的控制策略。

1.3.4　工業(yè)企業(yè)安全事件缺少審計

工業(yè)企業(yè)需要不斷提升安全態(tài)勢感知和預(yù)警處置能力，以確保對安全事件的檢測、數(shù)據(jù)分析、風(fēng)險預(yù)測和自動調(diào)整等環(huán)節(jié)的實(shí)施。才能及時發(fā)現(xiàn)各類攻擊威脅與異常，對企業(yè)內(nèi)外部人員的日常登錄操作、訪問操作、輸入 / 輸出操作進(jìn)行全面詳實(shí)記錄，通過歸類、報表、圖形化等方式實(shí)現(xiàn)在線的分析審計需要，合規(guī)、可視化的審計行為可幫助企業(yè)及時規(guī)避大范圍的攻擊風(fēng)險，為企業(yè)安全事件調(diào)查與回溯提供直接證明。

1.3.5　風(fēng)險診斷和研判能力有待提升

從工業(yè)互聯(lián)網(wǎng)領(lǐng)域以往發(fā)生的信息安全事件不難看出，企業(yè)遭到的網(wǎng)絡(luò)安全威脅逐漸從無意識攻擊到有組織的蓄謀攻擊，從個體侵害演變?yōu)閲揖W(wǎng)絡(luò)安全的威脅。針對企業(yè)信息安全的攻擊手段也更加多樣化，攻擊手段主要包括口令攻擊、拒絕服務(wù)攻擊、欺騙攻擊、劫持攻擊、高級可持續(xù)威脅攻擊和后門程序攻擊等，攻擊方式呈現(xiàn)跨時間、地點(diǎn)、動機(jī)等因素限制。

因此，建設(shè)國家級安全檢測評估的公共服務(wù)成為當(dāng)前工業(yè)互聯(lián)網(wǎng)企業(yè)保障安全必需的基礎(chǔ)。通過對安全基線和安全風(fēng)險特征庫定義，利用先進(jìn)的安全檢測工具進(jìn)行監(jiān)測，實(shí)時更新風(fēng)險特征庫，并對其開展動態(tài)分析，依據(jù)風(fēng)險等級進(jìn)行通告、警告和處置等處理。促進(jìn)工業(yè)企業(yè)由靜態(tài)防御向動態(tài)防御發(fā)展，提升企業(yè)安全風(fēng)險診斷和研判能力，為工業(yè)企業(yè)安全提供全面的防御保障。

1.3.6　企業(yè)應(yīng)急機(jī)制的補(bǔ)充與完善

工業(yè)互聯(lián)網(wǎng)身份與訪問控制體系還應(yīng)建立應(yīng)急預(yù)案管理、定義應(yīng)急安全處理策略，實(shí)現(xiàn)取證和總結(jié)等流程，規(guī)避高風(fēng)險、不可逆、影響范圍廣的信息安全事件的發(fā)生。

基于上述現(xiàn)狀分析可以看到，當(dāng)前我國工業(yè)企業(yè)面臨用戶身份治理、認(rèn)證和訪問控制、安全審計可追溯性、風(fēng)險評估與研判、應(yīng)急機(jī)制建立等方面的管控能力不足，構(gòu)建基于身份與訪問控制為核心的安全云服務(wù)的支撐體系，成為工業(yè)互聯(lián)網(wǎng)安全生態(tài)建設(shè)的關(guān)鍵。

2、身份與訪問控制體系建設(shè)思路

基于經(jīng)過驗(yàn)證的主流安全技術(shù)與規(guī)范，構(gòu)建可良性發(fā)展的工業(yè)企業(yè)身份與訪問控制安全生態(tài)體系。該體系下支撐平臺將采用高度可擴(kuò)展的架構(gòu)，構(gòu)建一個可擴(kuò)展的安全服務(wù)云平臺，覆蓋基礎(chǔ)設(shè)施即服務(wù)(Infrastructure as a Service，IaaS)、平臺即服務(wù)(Platform as a Service，PaaS)、軟件即服務(wù)(Software as a Service，SaaS)、邊緣等各層次的安全分析和處置。將采用開放式可插拔架構(gòu)，構(gòu)建云端安全檢測服務(wù)，通過插入新的檢測模塊擴(kuò)展安全檢測能力，保證平臺應(yīng)對新出現(xiàn)的安全威脅。形成一個可擴(kuò)展的風(fēng)險診斷和研判公共服務(wù)，通過定義動態(tài)風(fēng)險策略引入新的風(fēng)險診斷和研判能力，定義工業(yè)互聯(lián)網(wǎng)安全體系的標(biāo)準(zhǔn)化基準(zhǔn)。結(jié)合該體系下安全規(guī)范和服務(wù)規(guī)范建設(shè)，構(gòu)建良性可持續(xù)發(fā)展的安全生態(tài)體系，以達(dá)到覆蓋不同行業(yè)下企業(yè)安全建設(shè)的個性化訴求。

3、身份與訪問控制體系建設(shè)內(nèi)容

通過對用戶身份和訪問控制體系的建設(shè)，在企業(yè)內(nèi)部實(shí)現(xiàn)集中統(tǒng)一的用戶身份治理機(jī)制，結(jié)合安全檢測、風(fēng)險診斷、動態(tài)權(quán)限等服務(wù)，為企業(yè)的工業(yè)生產(chǎn)活動提供安全保障。

3.1　工業(yè)領(lǐng)域各企業(yè)用戶身份治理需求多樣性

隨著近年來對工控安全的深入研究，研究人員發(fā)現(xiàn)工業(yè)信息安全漏洞、事件層出不窮，安全形勢日趨嚴(yán)峻。2020 年，國家工業(yè)信息安全發(fā)展研究中心抽樣研判工業(yè)信息安全風(fēng)險近800 個，涉及制造、交通、市政等多個重點(diǎn)行業(yè)，如圖 4 所示。研究發(fā)現(xiàn)，工業(yè)控制系統(tǒng)和工業(yè)信息系統(tǒng)中存在受攻擊面大、漏洞利用難度低等問題。

圖 4 2020 年中國工業(yè)信息安全風(fēng)險行業(yè)分布(數(shù)據(jù)來源：國家工業(yè)信息安全發(fā)展研究中心)

面向行業(yè)復(fù)雜性帶來的企業(yè)多樣化需求，工業(yè)互聯(lián)網(wǎng)企業(yè)身份與訪問控制支撐體系建設(shè)需要覆蓋工業(yè)互聯(lián)網(wǎng)整體安全要求。

(1)貫徹國家關(guān)于“自主可控和安全可靠”的要求。深入貫徹國家有關(guān)國產(chǎn)化和安可工程的相關(guān)規(guī)定，確保密碼算法、硬件設(shè)備和軟件應(yīng)用等關(guān)鍵基礎(chǔ)設(shè)施在研發(fā)、生產(chǎn)、升級和維護(hù)等各環(huán)節(jié)全過程的自主可控。

(2)提供滿足共性和個性化需求的服務(wù)化安全保障能力。根據(jù)工業(yè)企業(yè)類型和用戶訪問控制需求不同、訪問者對身份管理和訪問控制的接受程度不同的需求，支持面向企業(yè)提供定制化安全服務(wù)。以動態(tài)風(fēng)險識別為基礎(chǔ)，對應(yīng)用訪問的行為進(jìn)行精細(xì)化訪問控制，將人、設(shè)備、服務(wù)和應(yīng)用的身份統(tǒng)一抽象成實(shí)體身份，通過實(shí)體身份的屬性進(jìn)行認(rèn)證和授權(quán) 。

(3)建設(shè)覆蓋應(yīng)用訪問全過程的縱深安全防御體系，包括安全數(shù)據(jù)的多源化采集、流程化處理、異構(gòu)化存儲、智能化應(yīng)用等全生命周期的安全防護(hù)措施。

(4)建設(shè)以大數(shù)據(jù)驅(qū)動為核心的安全運(yùn)行管理體系。利用大數(shù)據(jù)技術(shù)，匯聚網(wǎng)絡(luò)安全數(shù)據(jù)，建立安全數(shù)據(jù)分析中心和安全智慧控制中心，提升內(nèi)外部風(fēng)險感知能力、協(xié)同安全防護(hù)能力、攻擊檢測分析能力、違規(guī)行為發(fā)現(xiàn)能力、應(yīng)急事件響應(yīng)能力和態(tài)勢感知預(yù)警能力。

3.2　實(shí)現(xiàn)多層次安全風(fēng)險要素的集中分析和處置

實(shí)現(xiàn) IaaS 層、PaaS 層、SaaS 層和邊緣層 4層防護(hù)建設(shè)。在公共服務(wù)中心的風(fēng)險檢測、動態(tài)分析、主客體管理、訪問控制和權(quán)限管理等能力的基礎(chǔ)上，增強(qiáng)多層次的安全管理。

(1)定義 IaaS 層包括云主機(jī)、云網(wǎng)絡(luò)、虛擬化操作系統(tǒng)、物理主機(jī)、物理網(wǎng)絡(luò)、物理設(shè)備和云存儲等安全規(guī)則，通過運(yùn)行日志、agent、接口方式收集風(fēng)險相關(guān)信息。根據(jù)安全規(guī)則以及安全風(fēng)險等級，下發(fā)處置指令，如通知、警告、斷開網(wǎng)絡(luò)、收回訪問權(quán)限和使用權(quán)限等。

(2)定義 PaaS 層包括云數(shù)據(jù)庫存儲服務(wù)、文件存儲服務(wù)、容器服務(wù)、API 服務(wù)等安全規(guī)則，通過運(yùn)行日志、agent、接口方式收集風(fēng)險相關(guān)信息。根據(jù)安全規(guī)則以及安全風(fēng)險等級，下發(fā)處置指令，如通知、警告、收回 API 與數(shù)據(jù)訪問權(quán)限和使用權(quán)限等。

(3)定義 SaaS 層包括 SaaS 應(yīng)用、App 等安全規(guī)則，通過運(yùn)行日志、agent、接口方式收集風(fēng)險相關(guān)信息。根據(jù)安全規(guī)則以及安全風(fēng)險等級，下發(fā)處置指令，如通知、警告、收回 API與數(shù)據(jù)訪問權(quán)限和使用權(quán)限等。

(4)定義邊緣層包括智能傳感器與邊緣網(wǎng)關(guān)等安全規(guī)則，通過運(yùn)行日志、agent、接口方式收集風(fēng)險相關(guān)信息。根據(jù)安全規(guī)則以及安全風(fēng)險等級，下發(fā)計算策略、下發(fā)計算能力、下發(fā)控制指令，如通知、警告、收回設(shè)備權(quán)限或停用設(shè)備等。

3.3　建設(shè)云端企業(yè)安全檢測評估服務(wù)

建設(shè)云端企業(yè)安全檢測評估服務(wù)包括安全風(fēng)險特征庫和情報庫的建設(shè)，利用安全檢測工具，實(shí)時動態(tài)更新安全風(fēng)險特征庫，為云端企業(yè)提供風(fēng)險診斷與研判公共服務(wù)。

(1)建立安全風(fēng)險特征庫。定義安全基線、安全風(fēng)險特征庫。

(2)建立風(fēng)險情報庫。根據(jù)安全威脅情報信息，更新風(fēng)險威脅情報庫，并輸入安全風(fēng)險特征庫中。

(3)利用安全檢測工具。將檢測結(jié)果輸入安全風(fēng)險特征庫中，如跨站點(diǎn)腳本攻擊、注入式攻擊、失效的訪問控制、緩存溢出問題等工具化服務(wù)。

(4)提供風(fēng)險診斷與研判公共服務(wù)。將安全風(fēng)險收集到安全風(fēng)險特征庫中，對使用情況進(jìn)行動態(tài)分析，基于深度機(jī)器學(xué)習(xí)等方式對安全狀態(tài)和安全事件等信息進(jìn)行實(shí)時分析和研判，并依據(jù)風(fēng)險等級處理規(guī)則，下發(fā)處置指令，如通知、警告、處置等。在出現(xiàn)較大安全風(fēng)險時，平臺能實(shí)現(xiàn)大范圍的自動化處置能力，避免造成損失。

3.4　建設(shè)風(fēng)險診斷與研判公共服務(wù)

風(fēng)險診斷與研判建設(shè)在數(shù)據(jù)安全基礎(chǔ)之上，設(shè)置用戶及應(yīng)用對數(shù)據(jù)的使用范圍、使用規(guī)則、控制規(guī)則，并依據(jù)風(fēng)險指令自動更新網(wǎng)關(guān)控制策略。以最小化原則設(shè)置應(yīng)用數(shù)據(jù)和“是否可見”“是否可用”“哪些能用”以及“什么情況下能用”等屬性。根據(jù)不同應(yīng)用、不同企業(yè)需求，支持從用戶類型、終端類型、網(wǎng)絡(luò)類型及訪問資源重要等級等多維度考慮，搭建風(fēng)險模型。搭建企業(yè)基于身份的持續(xù)信任評估能力，識別異常訪問行為和風(fēng)險訪問環(huán)境，基于風(fēng)險評估引擎，通過對用戶認(rèn)證、用戶操作、終端環(huán)境變化、位置、設(shè)備指紋和時間等數(shù)據(jù)序列的采集分析和風(fēng)險評估，按照風(fēng)險評估結(jié)果，可以進(jìn)行阻斷、二次增強(qiáng)認(rèn)證等自動干預(yù)，并自動為用戶提示認(rèn)證警告等抵制風(fēng)險的措施 。

3.5　建設(shè)用戶動態(tài)權(quán)限保護(hù)

公共服務(wù)從用戶的身份管理、訪問控制、權(quán)限管理和應(yīng)用管理等維度進(jìn)行監(jiān)督與管控，實(shí)現(xiàn)用戶使用風(fēng)險研判結(jié)果動態(tài)處置能力。為參與到工業(yè)互聯(lián)網(wǎng)中的人、物、應(yīng)用、服務(wù)等各類訪問主體提供身份管理、訪問控制、權(quán)限管理等能力。

(1)用戶身份管理。用戶身份主體定義與特征定義，如用戶管理員、分級管理員、企業(yè)員工等身份定義。

(2)用戶訪問控制。用戶訪問范圍定義，如企業(yè)內(nèi)財務(wù)部員工能訪問財務(wù)系統(tǒng)、人事系統(tǒng)等訪問規(guī)則，按照不同的員工標(biāo)簽設(shè)置規(guī)則。

(3)用戶權(quán)限管理。用戶權(quán)限定義，如企業(yè)內(nèi)財務(wù)主管能訪問財務(wù)系統(tǒng)所有功能模塊和數(shù)據(jù)，財務(wù)專員只能訪問部分功能模塊和部分?jǐn)?shù)據(jù)。

(4)用戶應(yīng)用管理。用戶使用系統(tǒng)范圍定義，如企業(yè)以公司名義購買云服務(wù)或設(shè)施，設(shè)置應(yīng)用可見范圍，并維護(hù)用戶對應(yīng)用的訪問范圍。①接入網(wǎng)關(guān)。設(shè)置用戶對云平臺和設(shè)施的訪問范圍，并依據(jù)風(fēng)險指令自動更新網(wǎng)關(guān)控制策略。實(shí)現(xiàn)用戶在不同網(wǎng)絡(luò)環(huán)境、設(shè)備環(huán)境下使用應(yīng)用防護(hù)、身份認(rèn)證防護(hù)、傳輸加密防護(hù)等功能。② API 服務(wù)網(wǎng)關(guān)。設(shè)置用戶及應(yīng)用對 API的使用范圍、使用規(guī)則、控制規(guī)則，并依據(jù)風(fēng)險指令自動更新網(wǎng)關(guān)控制策略。以最小化原則設(shè)置 API“是否可見”“是否可用”“哪些能用”和“什么情況下能用”等屬性。

(5)使用風(fēng)險研判結(jié)果動態(tài)處置用戶權(quán)限與訪問。當(dāng)用戶訪問和被訪問資源出現(xiàn)安全風(fēng)險時，根據(jù)風(fēng)險研判結(jié)果，下發(fā)處置指令，如通知、警告、回收權(quán)限(包括部分權(quán)限)、阻斷訪問等。

3.6　建設(shè)應(yīng)急處置公共服務(wù)

為用戶身份管理和認(rèn)證服務(wù)提供應(yīng)急處理機(jī)制、操作取證和總結(jié)服務(wù)。集中的用戶身份和訪問控制系統(tǒng)提供了統(tǒng)一的管理和認(rèn)證門戶，也成為所有集成應(yīng)用的唯一入口，需要做好相應(yīng)的應(yīng)急預(yù)案和處理措施，以及用戶行為日志記錄，為應(yīng)用取證和總結(jié)提供相應(yīng)的支持。

(1)構(gòu)建應(yīng)急預(yù)案。對安全事件定級定策略，根據(jù)不同的安全事件等級設(shè)置不同的響應(yīng)策略，針對緊急安全事件，啟用應(yīng)急預(yù)案。如病毒木馬高發(fā)、重大安全情報發(fā)布、重大安全事故等。

(2)定義應(yīng)急安全處理策略。支持手動、自動等靈活的處理方式，根據(jù)動態(tài)風(fēng)險策略下發(fā)的風(fēng)險評估或通知，啟用應(yīng)急預(yù)案。依據(jù)動態(tài)風(fēng)險策略配置規(guī)則，完成某些自動化風(fēng)險的處理。

(3)取證和總結(jié)。應(yīng)急處置后，根據(jù)需要進(jìn)行安全事件取證、復(fù)盤、總結(jié)與完善。

3.7　開放性設(shè)計抵御主要安全威脅

定義開放性服務(wù)方式。通過第三方服務(wù)和風(fēng)險數(shù)據(jù)接入的擴(kuò)展能力，不斷完善具有針對性的風(fēng)險識別和檢測服務(wù)，完善風(fēng)險特征庫和抵御能力。包括引入其他殺毒工具、漏洞掃描工具、專殺工具等方式，并將其封裝為新的服務(wù)能力，獲取更多風(fēng)險情報。提供“端”(包括 PC 端和移動端)風(fēng)險情報收集能力，根據(jù)“端”風(fēng)險情況執(zhí)行對應(yīng)的風(fēng)險處置策略。各類平臺或企業(yè)可按需選用。

3.8　可定制性的安全能力建設(shè)

提供可定制化擴(kuò)展的安全組件建設(shè)能力。通過 API 服務(wù)網(wǎng)關(guān)使企業(yè)內(nèi)外部系統(tǒng)間相互安全調(diào)用得到有效治理，為工業(yè)互聯(lián)網(wǎng)身份與訪問控制系統(tǒng)提供“原子級”(API 接口)安全公共服務(wù)能力整合、聚合、分裂、重組等業(yè)務(wù)編排的能力。利用負(fù)載均衡、限流、降級、熔斷、容錯、審計等統(tǒng)一治理能力，使各企業(yè)信息系統(tǒng)群的健壯性得到有效提升。

(1)API 服務(wù)網(wǎng)關(guān)。讓服務(wù)的消費(fèi)者(系統(tǒng))將 API 能力便捷地整合到自己的應(yīng)用中，促進(jìn)企業(yè)新的服務(wù)生態(tài)建設(shè)。為服務(wù)的消費(fèi)者提供授權(quán)鑒權(quán)、API 通用訪問控制、API 敏感數(shù)據(jù)訪問控制、流量控制、熔斷控制、IP 黑白名單控制、時間訪問控制、日志審計等急需的重點(diǎn)功能，合理開放與應(yīng)用 API 且整體需滿足信創(chuàng)合規(guī)的要求，支撐國產(chǎn)化網(wǎng)關(guān)底層和算法的需要。兼容不同應(yīng)用系統(tǒng)的多種形式的開發(fā)接口，支持應(yīng)對大規(guī)模并發(fā)流量，對 API 調(diào)用過程進(jìn)行統(tǒng)計分析，清晰展示各應(yīng)用系統(tǒng)調(diào)用關(guān)系。為不同的消費(fèi)者配置不同的訪問范圍策略，使 API敏感數(shù)據(jù)訪問得到有效控制。

(2)安全接入網(wǎng)關(guān)。從用戶角度出發(fā)，無論用戶身在何地、何時訪問、訪問企業(yè)什么資源，都能夠非常靈活的受到保護(hù)。通過安全網(wǎng)關(guān)提供具有應(yīng)用防護(hù)、身份認(rèn)證機(jī)制、安全防護(hù)機(jī)制的安全架構(gòu)支撐，支持隱藏企業(yè)應(yīng)用系統(tǒng)的真實(shí)訪問地址，實(shí)現(xiàn)零接觸訪問，杜絕應(yīng)用暴露帶來的安全風(fēng)險。安全接入網(wǎng)關(guān)對用戶訪問采取“先鑒權(quán)(認(rèn)證和授權(quán))、后連接、再訪問”的方式，實(shí)現(xiàn)端到端可信訪問企業(yè)資源，建立設(shè)備信任、用戶信任、流量信任、應(yīng)用信任的“端到端”信任鏈解決方案，通過相互傳輸層安全協(xié)議(Mutual Transport Layer Security，MTLS) 雙向加密應(yīng)用請求，實(shí)現(xiàn)應(yīng)用級傳輸安全，解決了虛擬專用網(wǎng)絡(luò)(Virtual Private Network，VPN) 建立鏈路帶來的網(wǎng)絡(luò)資源浪費(fèi)的問題。為應(yīng)用級安全接入、遠(yuǎn)程辦公提供安全保障。

3.9　建立安全規(guī)范和服務(wù)規(guī)范

為保障整個身份與訪問控制體系建設(shè)、支撐平臺的平穩(wěn)運(yùn)行，需建立完整的安全制度，明確平臺安全部門、業(yè)務(wù)部門、企業(yè)用戶的職責(zé)等。

(1)安全規(guī)范。安全規(guī)范包含政策性依據(jù)，明確安全部門、業(yè)務(wù)部門、最終用戶的職責(zé)權(quán)限，包括可見范圍、適應(yīng)范圍、權(quán)利和責(zé)任等。出臺支撐平臺的管理標(biāo)準(zhǔn)，如行業(yè)用戶屬性標(biāo)準(zhǔn)、使用規(guī)則、使用內(nèi)容和管理方式等，包括制定云端安全檢測評估服務(wù)、基于公共服務(wù)的運(yùn)維管理和考核方法等指導(dǎo)性文件。

(2)服務(wù)規(guī)范。應(yīng)形成與企業(yè)用戶管理系統(tǒng)對應(yīng)的“應(yīng)用接入和集成規(guī)范”“賬號管理流程和辦法”“安全標(biāo)準(zhǔn)和接口規(guī)范”和“系統(tǒng)運(yùn)維管理制度”“組織機(jī)構(gòu)管理規(guī)范”等，保障整個支撐平臺的易用性和安全性。

4、結(jié)語

工業(yè)互聯(lián)網(wǎng)用戶身份與訪問控制體系的建設(shè)，是建立在政府統(tǒng)籌規(guī)劃、企業(yè)自愿接入的基礎(chǔ)上，配套出臺具體的安全規(guī)范與服務(wù)規(guī)范，覆蓋 IaaS 層、PaaS 層、SaaS 層、邊緣層 4 層安全防護(hù)體系的支撐平臺。融合新一代應(yīng)用風(fēng)險評估技術(shù)、用戶動態(tài)權(quán)限控制機(jī)制、數(shù)據(jù)保護(hù)公共服務(wù)、各實(shí)體全生命周期的身份安全管理、智能風(fēng)險診斷與研判等功能，為工業(yè)企業(yè)提供全方位、多層次安全防護(hù)。同時利用安全接入網(wǎng)關(guān)、API 網(wǎng)關(guān)等安全組件，在系統(tǒng)入口或功能入口處開展保護(hù)措施，針對企業(yè)系統(tǒng)侵入行為，簡單的配置就可以將平臺的安全防護(hù)能力賦予到企業(yè)應(yīng)用系統(tǒng)中。

整個體系建設(shè)支持云平臺架構(gòu)，有效滿足云服務(wù)模式，支撐平臺搭建成功，可同時為云上所有企業(yè)提供安全服務(wù)，為參與工業(yè)互聯(lián)網(wǎng)的企業(yè)用戶、設(shè)備、應(yīng)用、服務(wù)等各訪問主體提供身份與訪問的綜合管控，為企業(yè)生產(chǎn)安全提供保障。在搭建體系過程中，基于威脅信息源的端安全檢測評估技術(shù)、多因素的風(fēng)險診斷與研判等難點(diǎn)值得進(jìn)一步探索與研究。比如，如何完善除用戶 IP 規(guī)則、密碼規(guī)則、設(shè)備規(guī)則、地址規(guī)則等因素外的風(fēng)險模型;如何開展基于對用戶認(rèn)證趨勢、訪問趨勢等多維度歷史信息合理輸出評估風(fēng)險的判定結(jié)果;在安全規(guī)范與服務(wù)規(guī)范的建設(shè)過程中，如何結(jié)合工業(yè)領(lǐng)域、行業(yè)特色、企業(yè)實(shí)施范圍等因素制定合理的政企職責(zé)分工、安全管理制度、運(yùn)維管理辦法等，基于上述問題可開展進(jìn)一步課題研究。

原文來源：《信息安全與通信保密》雜志