第三部分：功能与实现观点

概述

IIoT需要实施从边缘到云端到端的安全。包括终端设备加固、通信保护、管理和控制策略、更新、远程管理监控等。

理想情况下，安全和实时态势感知需要通过不干涉原有业务流程的方式将IT、OT系统无缝衔接起来。需要在设计阶段而非事后考虑安全。

工业系统的寿命较长，平均寿命19年。应用及部署最新的安全技术到难以变动的老旧系统很困难，需要制造商、集成商、经营者协同参与。

没有单一的最佳方法实施所有的安全行为。需要采用纵深防御策略再工业的个多不同环境使用不同的技术。

IIoT系统的资源有限，需要根据纵深防御策略，结合功能性、非功能性的功能的优先级做出合理的资源分配、实施策略。

应充分自动化，达到快速分析、响应、决策，减少操作员误操作的目的。

IISF功能观点

IISF的安全结构块

第一层

• 终端保护：包括物理安全功能、网络安全技术、身份认证。光终端保护不够，需要跟通信连接保护结合起来
• 通信连接保护：使用密码学技术、信息传输控制技术保障从终端到传输的认证与鉴权。
• 安全监控与分析
  
• 安全配置与管理

第二层

• 数据保护功能：从终端的静态数据延伸到传输的动态数据，同时包括收集用于监控分析的数据、安全配置管理相关的数据

第三层

• 安全模型与策略：把控安全如何实现，确保系统整个生命周期的机密性、完整性、可用性。精心组织所有的功能元素协同工作实现端到端的安全

IIoT系统、IIRA与IISF之间可以充分映射

IIRA包括：

• 端侧传感器、控制器的控制；
• 应用、信息、操作；
• 商业业务。

IIoT系统包括:

• 边缘、云
• 连接
• OT、IT

终端保护

终端是同时具备计算、通信能力并且暴露功能的IIoT系统的任意元素。包括边缘设备、通信设施、云服务器以及它们之间的任何东西。

终端安全至少需要考虑如下这些安全功能：

• 终端物理安全：提供防篡改、防盗的物理保护。
• 终端根信任：提供保护终端上其它从硬件到应用的功能安全的基础（包括防火墙、虚拟化层、操作系统、执行环境以及应用）它也提供终端认证的凭据。
• 终端认证：基于终端能够区别其它终端的内部属性。需要提供证明身份的凭证。
• 终端完整性保护：确保终端处于可按预期执行其功能所需的配置中。
• 终端访问控制：确保在分配任何资源或服务前执行了合适的认证、鉴权。
• 终端安全配置与管理：控制终端安全策略配置的更新，包括已知漏洞的补丁升级。
• 终端监控与分析：包括完整性校验、恶意使用模式检测、服务活动的抵赖、跟踪安全行为指标的安全策略与分析的执行。
• 终端数据保护：提供保护数据完整性、机密性与可用性的控制
• 终端安全模型与策略：把控终端的安全功能的实现

终端安全功能的地位与关系：

• 终端安全以物理安全、终端根信任为基础，终端根信任决定了系统的认证凭证，以保障资源的完整性以及访问控制。建立基础后，需要参考系统模型与策略进行持续的维护跟踪。
• 终端监控与分析负责确保保护、监控、从任何有悖于安全策略的活动中恢复。
• 终端配置管理确保所有变更、行动在控制管理下
• 终端数据保护负责通过加密、隔离访问控制的手段实现访问保护、防（静态数据、在用数据）篡改。数据保护横跨了终端包括配置、监控运营数据在内的所有数据。

通信和连接保护

通信和连接保护提供了网络终端的物理安全、保护网络的信息流、终端间通信的加密保护。这两项职能，支撑于横跨首层4个构建块（网络配置与管理、网络监控与分析、通信终端保护、连接物理安全）的区域。

通信和连接安全应该考虑以下对于动态数据的保护与控制的功能:

• 连接的物理安全：确保通向网络的物理连接层（电缆、无线电）是受保护的。
• 通信终端保护：提供一些功能性安全构建块，例如加密秘钥，以确保终端间通信安全。
• 加密保护：使用密码学技术保护通信双方的可靠性，交换数据、元数据的完整性与机密性。
• 信息流保护：通过使用网络分段与边缘保护技术来隔离网络流，以确保只有被允许类型的消息与内容才能到达敏感系统与网络。
• 网络配置与管理：控制所有网络元素的更新，提供对通信配置、安全策略的实施，包括网络分段、加密保护通信设置、网关与防火墙的配置。
• 网络监控与分析：收集用于分析的网络数据，包括入侵检测、网络访问控制、深度报文检测、网络日志分析。
• 动态数据保护：提供控制以保持数据的完整性、机密性、可靠性。
• 通信与连接保护的安全策略：控制通信上的安全功能的实现。

上述功能项之间在实现安全功能上相互依赖、相互影响。例如，想要建立安全通信，通信终端本身必须安全，以及提供加密保护。

动态数据保护策略贯穿所有的安全功能项，保障所有在两端传输的数据的机密性、完整性、可用性。此外，通信与连接保护的安全策略定义了网络中的元素如何被允许与彼此相互通信。两端的策略必须与双方保持全面、一致，并且对其它系统特征（安全性、隐私性、可靠性、韧性）负责，以保护通信的可用性、完整性与机密性。

安全监控与分析

安全监控与分析负责捕获在终端、连接传输中的所有状态的系统数据，用来分析以检测到可能的安全隐患或潜在系统威胁。一旦检测到，应当执行系统安全策略派生的一系列操作。此监控-分析-动作循环可能实时完成，也可能延后执行，以识别使用模式并检测潜在的攻击场景。

安全监控与分析分为三项顶层功能：

监控：按照安全模型与策略的决定，监控、捕获以及聚合来自系统中的如下每项数据源

• 终端与通信：监控数据由运行在每个终端与通信系统上的本地代理来收集，根据系统安全策略获取有关安全控制实施的信息。
• 安全远程日志记录：使用安全通信发送、接收日志信息。
• 供应链：从所有的供应链上的组件制造商与集成商上收集数据以确保满足安全要求。

分析：旨在找到事件（例如安全阈值超标）以及统计趋势（可以发现特定系统安全漏洞、威胁）。这一阶段存储保存了用于审计或者其它挖掘目的的数据。这里有两种类型的分析：

• 行为分析：观察系统的使用模式，并分析系统的适宜行为是什么。
• 基于规则的分析：监控违反预定义策略规则的情况，这些规则定义了系统中永远不会发生的事件。

行动：在分析了事件与趋势后必须采取的行动。有三种类型：

• 主动预防性行动：通过观察临近攻击的先行指标，在攻击发生前实施主动预防性尝试来消减威胁。
• 被动性检测与恢复：提供对于正在进行的攻击的人工以及自动化的响应，尝试缓解、恢复并返回到正常的运行状态。
• 根因分析/调查：在攻击发生之后对潜在的漏洞、漏洞利用进行根因分析、调查研究。

监控支撑于本层中的其它功能。监控需要终端收集代理的保护，监控器与分析代理间的通信如有需要也要被保护。监控加密信道可能不可行，所以监控动态数据，需要与定义终端间通信保护等级的策略进行协调。

收集的数据根据监控与分析数据策略进行保护。该项策略可能会跟其它数据类型相比，更严格，因为它包含了系统的聚合与敏感数据。安全模型和策略确定所捕获的数据，这些数据描述了系统的整体状态，这些数据将输入到分析阶段。

安全配置与管理

安全配置和管理负责控制对系统的操作功能（包括可靠性和安全行为）以及确保其保护的安全控制的更改。例如，安全配置和管理通过确保对系统的所有更改都以安全、受控和可信的方式执行来为系统提供稳定性。

安全配置管理包括如下功能：

• 安全运营管理：负责管理运营系统所有方面的安全与受控变更，除了安全控制之外，它被安全管理独立执行。
• 安全管理：负责保证与执行贯穿整个系统的安全策略与功能的安全与受控变更。它应该与安全运营管理保持区分。
• 终端识别管理：生成、更新、回收机器（以及用户）身份以及用来识别终端的认证凭据。
• 终端配置与管理：负责配置与管理包括终端运营、安全功能在内的终端安全与受控变更。该项功能可能通过终端上的本地代理或者一个共享的安全中心设施来实施。
• 通信配置与管理：专门对于通信及网络安全控制的配置与管理。
• 安全模型变更控制：安全模型变更控制是在配置和管理流程中，管理安全模型和安全策略变更的过程。
• 配置与管理数据保护：是负责保护与系统的配置与管理相关的所有数据（静态、使用中和动态）的功能。
• 变更管理的安全模型与策略：是管理安全配置管理功能的过程。

要改变安全控制下的配置，安全模型应该被转换为可操作设置，包括终端以及连接的标识与配置。系统的配置与管理的力度级别依赖于系统以及安全模型和策略中捕获的信任要求。

数据保护

数据遍布整个IIoT系统。每类数据集拥有不同的生命周期、时间关联性以及有关其危险的潜在风险。威胁可能来自于它的修改、窃听与复制。数据攻击的影响从系统行为的直接改变到未来的隐蔽性负面行为。

要保护的数据类型包括：

• 终端数据保护：指运营以及安全相关的数据在终端间的使用、存储与传输。
• 通信数据保护：处理所有与网络通信与连接操作相关的数据以及终端间使用这些连接传输的数据。
• 配置数据保护：是关于系统的安全或者运营配置数据，包括所有的终端与连接。
• 监控数据保护：指的是系统生成的所有目的为跟踪当前状态以及关键系统参数、指标以及整个系统可信的相关活动。

每个类型的数据的数据保护策略分为三个类别：

• 静态数据（DAR）：在持久化存储中的数据，例如，在长期网络云存储驱动上、在本地的USB驱动上、在边缘设备的固态存储硬盘上（SSD）。
• 在用数据（DIU）：在非持久化存储上的数据，例如在运行内存（RAM）、CPU缓存或者寄存器中。
• 动态数据（DIM）：在两个或多个连接终端间流转的数据。

安全模型与策略

安全模型与策略涵盖了管理的、组织的以及机器级别的安全。安全策略描述了系统的安全目标，安全模型是系统中实施的安全策略的形式化表示。在一个系统中可以适用各种安全模型，并且这些模型的范围可以解决其中的不同安全功能或安全域。安全模型和策略涵盖了系统的所有安全方面，包括如何保护端点、通信和数据。它还定义了要监控、分析和恢复的内容，以及谁和如何对系统的各个方面进行更改。

安全模型与策略中提供的关键功能如下：

• 系统威胁分析：负责进行迭代、持续性识别威胁功能，威胁可能会入侵系统以及利用系统漏洞进行攻击。
• 系统安全目标：负责设置系统在机密性、完整形、可用性以及负责性需求的安全目标。这些目标有助于指导创建IIoT系统的特定安全策略。
• 安全策略：系统的安全策略是定义了贯穿整个IIoT系统的流程、规则、安全措施以及实施控制的在用文件。
• 安全模型：安全模型是为指定与执行IIoT系统的安全策略提供形式化标识的功能。
• 数据保护安全策略：是负责定义保护IIoT系统中的所有形式的数据的可用性、完整性与机密性的安全策略的构建块。
• 终端安全策略：是负责定义以及传达IIoT系统中的所有终端安全策略的功能，确保通过各自的终端安全配置和管理功能以安全和受控的方式执行。
• 通信与连接安全策略：负责定义与传达IIoT系统中所有的通信与连接的安全策略，确保他通过网络配置与管理功能进行系统级执行。
• 监控与分析安全策略：负责定义与传达IIoT系统中的所有监控与分析活动的安全策略，确保通过监控与分析功能进行系统级执行。
• 配置与管理安全策略：负责设置与传达IIoT系统中的与配置变更、管理相关的流程与控制的安全策略。安全管理能力负责保证该策略能够被传达给系统的所有终端与通信能力。

安全策略包括系统的总策略以及对终端保护、通信与连接保护、安全监控与分析、安全配置与管理、数据保护等的子策略。系统威胁分析使能系统安全目标的创建，派生于法规与标准。根据这些目标，将基于行业垂直、客户群、地理位置和其他考虑因素选择适用的安全策略。安全策略描述了总体业务风险考虑事项，并定义了确保系统日常正常运行的指导方针。然后，将此策略转换为安全模型，确定并推动对安全框架构建块功能的需求。例如，每个机器级别的安全策略具体地涵盖了与端点及其可能连接到或控制的设备相关联的安全策略。

从功能到实现的观点

功能观点提出了IIoT安全的六个关键构建块。这些功能可作为在可信性背景下跨IloT系统实现安全端到端的指导。一组安全设计原则应该指导在具体实现中使用的功能和技术。

根据Saltzer和Schroeder的观点，落地实现方应当在为其IloT系统实施安全功能之前应考虑八项设计原则：

• 机制简化原则：保持设计尽可能简单和小。
• 默认安全原则：访问决策基于白名单而非黑名单。
• 完全仲裁原则：对每个对象的每次访问都必须进行授权检查。
• 开放设计原则：一个设计不应该是秘密的。这些机制不应该依赖于潜在攻击者的无知，而应该依赖于拥有特定的、更容易受到保护的密钥或密码。
• 权限分离原则：在可行的情况下，需要两把钥匙才能解锁的保护机制比只允许用一把钥匙访问的保护机制更健壮和灵活。
• 最小权限原则：系统的每个程序和每个用户都应该使用完成工作所需的最小权限集进行操作。
• 最少公共机制原则：尽可能减少对多个用户共有的、所有用户都依赖的机制的数量。
• 心理可接受性原则：人机界面设计为易于使用是必要的，这样用户就可以正常地、自动地正确地应用保护机制。