原创 | 工业互联网分布式零信推断安全体系

作者 | 天融信科技集团  马霄

工业互联网在新基建背景下打造全新工业生态，构建关键基础设施创新应用模式。其安全主旨围绕工业互联网“设备安全、网络安全、控制安全、应用安全、数据安全”进行构建，并在上述基础上推进安全运营中心建设。安全构建坚持“同步规划、同步建设、同步运营”的三同步原则，以规范管理为基础、以集成整合为主线、以确保控制业务可用性为重点、以信息安全技术为保障，持续完善工业信息安全体系建设，全面提高控制领域信息安全管理水平、应用水平和服务水平，构建工业智能化发展的安全可信环境。

工业互联网面临的信任挑战 

我国工业互联网的建设不仅仅要完成机器的智能改造以及互联生产，更重要的是以产业视角、地域视角完成工业生产全要素、全产业链、全价值链的全面互通。工业互联网在挑战企业固有生产模式的同时，其自身也面临着诸多安全风险挑战。首当其冲的就是单一企业并未重视的信任问题。

企业内部区域信任挑战：数字化、智能化的工业生产环境中存在大量信息系统及生产业务关系，包括生产管理系统与内部工程团队的业务关系、设计仿真系统与生产管理系统的业务关系、现场生产系统与制造管理系统的业务关系等。各业务系统均有不同的业务主体，且企业内部工业区域分散不集中，工业互联网平台大量应用公有云、私有云技术，造成企业边界愈发复杂且模糊，需要更多考虑企业内部区域相互之间的信任问题。

上下游产业链、协同方面信任挑战：工业互联网打破了以单一企业生产为单位的网络区域，上下游产业、协同生产方网络交互日益繁复，物流商、渠道商、设计商、供应商、用户、政府机构与生产企业之间的安全问题愈发复杂，不同主体之间就像共处于一个互不信任的“黑暗森林”，不能像对待单一企业一样处理不同协同方之间的信任问题。

多样设备终端信任挑战：接入工业互联网的设备多种多样，且逐步向更具边缘计算能力的模式发展演进。PLC、DCS、AGV、Robot等极具工业特色的终端设备大部分为国外品牌，其核心设计资料、维护能力均由设备原厂掌握，工业企业仅掌握部分二次开发及运行使用能力。众多的“黑盒”设备为工业互联网环境带来较多的设备信任挑战。

工业业务权限信任挑战：工业互联网以Web应用、工业App、工业微服务等形式向广泛客户提供业务增值服务，工业业务需面对众多高度差异化的用户群体，包括开发方、生产方、维护方及使用方等。需针对不同用户及终端情况为其制定不同等级的工业业务权限，避免出现越权使用等问题。

认证数据公信力信任挑战：工业互联网涉及大量不同企业主体，在互联体系下企业主体间不存在天然信任关系，任何企业均不希望将认证数据这样的核心数据由其他企业独自掌握，不同于单一企业对自身数据的信任，认证数据的公信力面临前所未有的挑战。

工业互联网零信推断安全体系 

结合工业互联网业务特点及安全需求，可引入零信推断安全体系架构帮助其解决部分问题。基于零信推断理念，通过构建工业行为画像、设定业务最小化权限、将部分业务隐藏于网络等方式帮助工业互联网应对前所未有的信任挑战。下图基于工业互联网企业视角来解析零信推断安全体系架构在工业互联网中具体应用设想。

图1  业务流程认证示意图

无论是企业员工还是非企业员工，利用认证终端还是非认证终端，在访问业务时均要通过一个单点登陆系统（１.１），再由集中的调度引擎进行人员认证，通过人员认证服务向信任数据源进行数据认证查询，认证通过后将返回相应应用代理的可视权限。拿到对应权限的访问者根据获得的可视应用代理进行业务访问时（２.１），向应用代理发起应用认证（２.２）。通过调度引擎，对人员使用的设备及人员行为推断认证（２.３），由相应的认证服务向信任数据源进行认证（２.４），认证通过后，通过调度引擎向业务代理发起访问申请（２.５），由业务代理向后端具体应用发起业务操作（２.６）。以上这些步骤实时发起、实时认证、动态授权，构建持续推断过程。

工业互联网分布式认证安全体系 

任何事物都具有两面性，零信推断安全体系架构也是同样，在解决一些传统问题的同时，也不免产生一些新的风险。例如采用零信推断安全体系架构会将安全认证授权权限高度集中起来，一旦授权中心或者信任数据源出现问题，影响将更加严重。为弥补以上不足尝试借助分布式认证方式解决问题。

图2  区块链分布式认证示意图

假如为工业互联网建立一个全新的独立证书认证体系，对于所有参与企业来说都是一个沉重的建设负担。我们可以充分利用每个参与企业自有的证书系统，参考联盟链结构，抽象出一个Members会员层，将有相互认证需求的企业组成不同的Group组，将各个参与企业自身设备信息在组内层面进行实例化，并由需要共同身份认证存储的参与方利用区块链技术共同记账。发起业务应用身份认证或查询时，利益相关方需要向所有共同记账方发起背书，而不需要向全链发起。利益相关方认证通过后，得到认证数据或更改数据存储。利用分布式身份认证能够有效的将各家独立的证书系统进行整合，一定程度上分担利用零信推断安全体系架构后大规模实时认证的压力。

分布式认证结构下的工业互联网零信推断安全体系最大程度上兼顾数据公信力及认证效率问题。零信推断安全体系架构在“从不信任、始终验证、动态授权”的指导思想下对人员、设备、行为进行动态验证授权，在不可信的工业互联网网络中，以身份为核心进行访问控制，重构可信安全的网络架构。满足异构网络的安全需求，应对日益开放的网络环境引发的各种身份安全风险、设备安全风险和行为安全风险。分布式认证中区块链分布式记账特性以及防篡改特性十分适用于业务固定的工业互联网环境，工业互联网接入终端数量庞大且分散的特点也有效弥补了私有区块链易出现霸链的难题。

转载请注明来源：关键基础设施安全应急响应中心

本文始发于微信公众号（关键基础设施安全应急响应中心）：原创 | 工业互联网分布式零信推断安全体系