第一部分：介绍

动机

工业物联网（llOT）集成了控制系统、传感器、企业系统、业务流程、分析和人员。与传统工业控制系统比有更多的系统多样性、规模。攻击会带来品牌声誉受损、经济受损、民生基础设施威胁等更大程度的影响。

功能场景快速从最初的远程监控管理发展数据挖掘分析、预测故障、优化生产经营决策。提高了价值的同时带来了风险。传统紧靠物理、网络隔离的设计已不够。

工业OT系统与传统IT系统在系统安全特征的优先级不同。OT系统的首要任务是safety，人身、财产、环境安全。其次才是质量生产和实现产品目标。所以OT中safety、reliability、resilience比IT中重要，security、privacy不如IT中重要。本文档提供框架对两者安全相关考虑做系统性平衡。

安全可信的关键系统特征

关键的系统特征主要有安全性(security)、安全性(safety)、可靠性(reliability)、韧性(resilience)、隐私(privacy)。其它非关键的系统特征有可扩展性、可用性、可维护性、可移植性、可组合性等。为了证明可信可通过可信保证用例、滥用渗透用例、威胁模型等进行辅助。

安全性(security)

指保护系统免受意外或未经授权的访问、修改或破坏的状态，非静态的是或否，而是动态的持续过程。

安全要在利益相关方明确描述的特定上下文情况基础下。

安全保证通常根据风险来评估。安全风险要素包括威胁（试图造成伤害的某人或某物）、目标资产（具有价值）、可利用的漏洞、对策及消减措施。

支撑信息与系统的安全的要素为机密性（confidentiality）、完整性（integrity）、可用性（avaiability），缩写短语为CIA。传统OT系统中重要性排序为可用性、完整性、机密性，所以称为AIC。

安全性(safety)

指系统处于不造成直接或间接对于人身、财产或环境的不可接受损害的状态。

传统OT评估技术侧重于根据流程、各部件故障率等作出经验性判断。软件组件的行为无法按照经验概率做预测，甚至在测试环境通过不代表生产环境一定没问题，测试覆盖率跟实际故障率无法强相关。可利用的漏洞一旦被攻击者发现，能够稳定做出入侵破坏动作。

对于生产安全关键系统部分采用严格的开发、规范的验证方式、全路径覆盖的测试。

可靠性(reliability)

是系统或组件在规定的条件、指定的时间段内执行其所需功能的能力。

可靠性和可用性是相关的。可靠性是实际可用性相对于计划可用性的一小部分，受计划维护、更新、维修和备份的影响。这些功能降低了可用性，但如果调度得当，它们不会降低可靠性。

韧性(resilience)

是一种系统的应急特性，能够在完成任务过程中以某种方式避免、消减以及把控动态对抗条件，并在事后重新建立正常运转能力。

韧性通常通过设计故障隔离、容灾、替代功能自动执行等方式实现。

隐私(privacy)

隐私是个人或组织控制或影响其相关信息的收集、处理、由谁存储、披露的权力。

隐私保护主要取决于利益相关方的要求、法律法规的要求。工业系统由于集成了多个子系统，增加了隐私数据分发、泄露的风险，应该最大限度减少隐私数据的使用，身份信息有可能在验证身份时被披露出来。

IIoT安全的区别方面

在IIoT系统中IT、OT需要做融合性考虑。比如OT的一些控制指令数据等可能存储在IT系统上，IT系统有安全问题会对OT的生产流程造成重大影响。

IT与OT的安全演进。传统IT依赖中心化的比如IP协议栈的安全保护已经不够，OT设备上增加了很多暴露面；系统出于功能性考虑增加了很多新型设备，但不会优先考虑安全；设备上也会使用一些IT软件，这些软件在离线状态下也可能通过移动介质的软件病毒进行攻击。

考虑到相关的安全风险，政府出台了一系列的监管的法律法规，要求IIoT系统遵循。

OT的软件一般生命周期很长，甚至持续几十年，一般会长期出现新旧版本并存的情况。

IIoT会使用非本地的云计算算力资源。控制系统一定要做非常充分的安全保护。