一種基于工業(yè)互聯(lián)網(wǎng)平臺的安全防護體系設計

魏文 許夢竹 劉仲亞 蒲星

摘? ?要：基于工業(yè)互聯(lián)網(wǎng)安全總體要求與工業(yè)互聯(lián)網(wǎng)平臺防護要求，文章提出了一套面向無線電管理行業(yè)的安全防護體系，包括安全防護總體架構、安全防護內(nèi)容、安全防護等級以及基本要求等相關內(nèi)容。這套安全防護體系由我國無線電管理行業(yè)首次提出，對健全我國各級無線電管理機構的信息安全防護機制，具有重要參考價值。

關鍵詞：工業(yè)互聯(lián)網(wǎng);無線電管理一體化;信息安全;體系架構

中圖分類號： TN915.08? ? ? ? ? 文獻標識碼：A

Abstract： Based on the general requirements of industrial internet security and protection requirements of industrial Internet platform， this paper proposes a set of security protection system for radio management industry， including the general architecture， main content， protect level and basic requirements of security protection. This is the first time that this security protection system proposed in radio management field， it has significant value for improving the information security protection mechanism of radio management organizations in China.

Key words： industrial internet; radio management integration; information security; architecture

1 引言

近年來，隨著全球第四次工業(yè)革命興起，工業(yè)互聯(lián)網(wǎng)作為新一代信息技術與制造業(yè)深度融合的產(chǎn)物，對未來工業(yè)發(fā)展產(chǎn)生著深層次影響。工業(yè)互聯(lián)網(wǎng)[1]是滿足工業(yè)智能化發(fā)展需求，具有低時延、高可靠、廣覆蓋特點的關鍵網(wǎng)絡基礎設施，是新一代信息通信技術與先進制造業(yè)深度融合所形成的新興業(yè)態(tài)與應用模式。工業(yè)互聯(lián)網(wǎng)平臺[2，3]是面向制造業(yè)數(shù)字化、網(wǎng)絡化、智能化需求，構建基于海量數(shù)據(jù)采集、匯聚、分析的服務體系，支撐制造資源泛在連接、彈性供給、高效配置的工業(yè)云平臺。目前，我國無線電管理基本建成超短波、短波、衛(wèi)星和信息管理等基礎設施網(wǎng)絡，完善了頻率、臺站、監(jiān)測、衛(wèi)星和檢測等數(shù)據(jù)庫，奠定了良好基礎。伴隨著新型無線電技術的迅猛發(fā)展，無線電技術設施逐步轉向自動化、智能化、小型化發(fā)展，促進技術設施互聯(lián)、信息數(shù)據(jù)共享、業(yè)務流程貫通，實現(xiàn)海量無線電管理數(shù)據(jù)采集與分析挖掘，對我國無線電管理信息化水平提出了新的要求。

基于工業(yè)互聯(lián)網(wǎng)理念的無線電管理一體化[4]是我國無線電管理全業(yè)務的高效管理、科學決策、流程連續(xù)與數(shù)據(jù)共享的長遠發(fā)展戰(zhàn)略。無線電管理一體化平臺[4]是無線電管理行業(yè)的工業(yè)互聯(lián)網(wǎng)平臺。隨著各級無線電管理機構一體化平臺的建設與發(fā)展，無線電管理技術設施多樣、用戶數(shù)量增加、網(wǎng)絡環(huán)境復雜等因素，導致外部網(wǎng)絡攻擊、非授權用戶訪問、數(shù)據(jù)異常丟失等，對一體化平臺造成越來越多的安全威脅[5]。因此，研究并構建無線電管理一體化安全防護體系，對推動我國無線電管理行業(yè)的信息化發(fā)展具有重要意義。

2 總體架構

按照工業(yè)互聯(lián)網(wǎng)的相關要求，無線電管理一體化安全防護體系是指涉及我國無線電管理行業(yè)監(jiān)測設施、網(wǎng)絡基礎設施、一體化平臺和應用系統(tǒng)等安全防護的總體要求，包括層級劃分、防護內(nèi)容、防護等級和防護要求等內(nèi)容。如圖1所示，無線電管理一體化主要包括監(jiān)測設施（邊緣層）、網(wǎng)絡基礎設施（IaaS層）、一體化平臺（PaaS層/平臺層）、應用系統(tǒng)（應用層）、安全防護平臺和無線電管理一體化（戰(zhàn)略層）等六個層級。其中，戰(zhàn)略層屬于非信息化實體表達;安全防護平臺即本文論述的安全防護體系。

圖2展示了一體化安全防護體系的總體設計模型，其主要防護范圍涉及無線電監(jiān)測基礎技術設施、無線電網(wǎng)絡基礎設施、一體化平臺以及無線電管理專業(yè)應用系統(tǒng)等。本文對安全防護體系進行了立體化建模，其中層級劃分（y軸）是無線電管理一體化的四個信息化實體表達，即監(jiān)測設施（邊緣層）、網(wǎng)絡基礎設施（IaaS層）、一體化平臺（PaaS層/平臺層）、應用系統(tǒng)（應用層）;防護內(nèi)容（z軸）對照工業(yè)互聯(lián)網(wǎng)平臺的要求進行劃分和設計，包括邊緣安全、IaaS安全、平臺安全和應用安全等四個方面，與Y軸的層級劃分相互對應;防護要求（x軸）是結合工業(yè)互聯(lián)網(wǎng)安全防護等級，對每個層級劃分的防護內(nèi)容提出具體設計方案。后續(xù)章節(jié)將詳細闡述以上內(nèi)容。

3 安全防護等級

工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全防護等級共分為五個級別，按照社會影響力、所提供服務的重要性、用戶數(shù)大小等影響因素[1]，防護要求逐步提升，其中“第五級”為最高防護等級。每個防護等級均對設備安全、控制安全、網(wǎng)絡安全、應用安全、數(shù)據(jù)安全五大防護內(nèi)容提出了原則性要求，涉及身份鑒權、訪問控制、安全審計、入侵防范、惡意代碼防范、數(shù)據(jù)保密性保護、備份與恢復、銷毀、溯源等方面。

考慮到我國無線電管理工作，承擔著管頻率、管臺站、維護無線電波空中秩序的重要職能，是服務經(jīng)濟社會發(fā)展、服務國防建設、服務黨政機關的重要支撐，是保障重大活動、突發(fā)事件等時期無線電通信安全的重要手段，積累的無線電管理數(shù)據(jù)也成為重要的戰(zhàn)略資源。綜上，無線電管理一體化安全對社會經(jīng)濟發(fā)展、國防國家安全有著較為重要的影響。為此，本文建議無線電管理一體化安全防護應參照工業(yè)互聯(lián)網(wǎng)安全防護等級第三級開展建設，即“受到破壞后，會對系統(tǒng)提供商、個人及企業(yè)用戶等的合法權益產(chǎn)生特別嚴重損害，或者對社會秩序、經(jīng)濟運行和公共利益造成嚴重損害，或者對國家安全造成損害[6]”。

4 安全防護內(nèi)容

按照安全防護體系架構，安全防護內(nèi)容包括邊緣安全、IaaS安全、平臺安全、應用安全四個方面，分別對應無線電管理一體化架構如圖1所示中無線電管理邊緣感知層的各類無線電監(jiān)測設施、組成無線電監(jiān)測網(wǎng)絡的網(wǎng)絡基礎設施、一體化平臺以及各類無線電監(jiān)測專用業(yè)務應用系統(tǒng)。

4.1 邊緣安全

無線電管理一體化邊緣層由各類無線電監(jiān)測站、手持類監(jiān)測設備等無線電監(jiān)測技術設施構成，無線電監(jiān)測技術設施通過大范圍無線電監(jiān)測數(shù)據(jù)采集，構建無線電管理一體化平臺重要數(shù)據(jù)基礎。邊緣防護內(nèi)容主要對各類無線電監(jiān)測設施的設備、控制、監(jiān)測網(wǎng)絡、監(jiān)測基礎數(shù)據(jù)進行防護。

4.2 IaaS安全

無線電管理一體化IaaS層由支撐一體化平臺的服務器、存儲、網(wǎng)絡、虛擬化等物理及虛擬資源構成。IaaS安全主要對網(wǎng)絡基礎設施的設備、控制、網(wǎng)絡以及數(shù)據(jù)進行防護。

4.3 平臺安全

無線電管理一體化平臺層由無線電管理一體化基礎平臺、業(yè)務平臺以及數(shù)據(jù)類平臺構成。平臺安全主要對一體化平臺的網(wǎng)絡、應用以及數(shù)據(jù)進行防護。

4.4 應用安全

無線電管理一體化應用層由各類無線電管理業(yè)務專用應用系統(tǒng)構成。應用安全主要對各類應用系統(tǒng)的網(wǎng)絡、訪問以及數(shù)據(jù)進行防護。

5 安全防護要求

基于工業(yè)互聯(lián)網(wǎng)安全防護等級第三級的要求，無線電管理一體化安全防護要求應考慮五個方面。（1）設備安全：設備、設備操作及運維用戶的身份鑒別、訪問控制、入侵防范、安全審計等;（2）控制安全：控制軟件的身份鑒別、訪問控制、入侵防范、安全審計，控制協(xié)議的完整性保護等;（3）網(wǎng)絡安全：網(wǎng)絡與邊界的劃分隔離、訪問控制、異常監(jiān)測、入侵防范、機密性與完整性保護、安全審計等;（4）應用安全：應用系統(tǒng)的訪問控制、入侵防范、攻擊防范、行為管控、來源控制等;（5）數(shù)據(jù)安全：數(shù)據(jù)機密性保護、完整性保護、數(shù)據(jù)備份恢復、數(shù)據(jù)安全銷毀等。本文按照無線電管理一體化每個層級的不同特性，對安全防護內(nèi)容逐一提出了具體的安全防護要求，匯總數(shù)據(jù)如表1所示。

5.1 邊緣安全防護要求

邊緣安全以各類監(jiān)測技術設施為主體，其防護要求主要包括設備安全、控制安全、網(wǎng)絡安全和數(shù)據(jù)安全四個方面。

5.1.1設備安全

對邊緣層各類監(jiān)測技術設施從訪問控制、身份鑒別、入侵防范、安全審計四個方面進行設備安全防護。

（1）應通過定制安全策略。實現(xiàn)對接入信息網(wǎng)絡平臺層的監(jiān)測技術設施的訪問控制;應單獨分配運維用戶賬戶和權限，建立監(jiān)測技術設施運維用戶訪問控制，并確保授予所需的最小權限;應重命名或刪除默認賬戶，修改默認賬戶的默認口令，及時刪除或停用多余的、過期的賬戶，避免共享賬戶存在。

（2）應采用鑒別機制。對接入信息網(wǎng)絡平臺層的監(jiān)測技術設施、設備操作用戶等進行身份鑒別，身份標識應具有唯一性，鑒別信息應具有復雜度要求并定期更換;應采取必要措施，防止需遠程操作的監(jiān)測設施身份鑒別信息在網(wǎng)絡傳輸中被竊聽。

（3）應遵循最小安裝原則。僅為邊緣層監(jiān)測技術設施安裝必要的組件和應用程序，并關閉監(jiān)測技術設施中不需要的系統(tǒng)服務、默認共享和高危端口;對監(jiān)測技術設施運維過程應具有登錄失敗處理功能，配置并啟用結束會話、限制非法登錄次數(shù)和登錄連接超時時自動退出等措施;對于通過網(wǎng)絡進行管理的監(jiān)測技術設施，應設定監(jiān)測技術設施終端接入方式或網(wǎng)絡地址范圍對其進行限制。

（4）應啟用審計范圍覆蓋對監(jiān)測技術設施進行操作的每個用戶、重要的用戶行為和重要安全事件的安全審計功能;審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息;應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等;應確保審計記錄的留存時間符合法律法規(guī)要求。

5.1.2 控制安全

對邊緣層監(jiān)測管控、天線控制等控制系統(tǒng)從控制協(xié)議完整性保護、身份鑒別、入侵防范、安全審計四個方面進行控制安全防護。

（1）應采取控制協(xié)議完整性保護機制。確?？刂茀f(xié)議中的各類指令不被非法篡改和破壞，控制協(xié)議應能識別和防范破壞控制協(xié)議完整性的攻擊行為。

（2）應對登錄控制系統(tǒng)軟件進行操作的用戶進行身份標識和鑒別，身份標識應具有唯一性，身份鑒別信息應具有復雜度要求并定期更換;對控制系統(tǒng)進行操作的過程應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數(shù)和登錄連接超時時自動退出等相關措施。

（3）應遵循最小安裝原則。僅安裝需要的組件和程序，并關閉控制系統(tǒng)主機中不需要的系統(tǒng)服務、默認共享和高危端口;應能夠監(jiān)測到對控制系統(tǒng)進行入侵的行為，并在發(fā)生嚴重入侵事件時提供報警。

（4）應啟用審計范圍覆蓋對控制系統(tǒng)進行操作的每個用戶、重要的用戶行為和重要安全事件的安全審計功能，具體要求同5.1.1（4）。

5.1.3 網(wǎng)絡安全

對邊緣層無線電監(jiān)測技術設施信息網(wǎng)絡從邊界防護、訪問控制、入侵防范、安全審計四個方面進行網(wǎng)絡安全防護。

（1）無線電監(jiān)測設施網(wǎng)絡與外部網(wǎng)絡之間應劃分為兩個區(qū)域，區(qū)域間應采用技術隔離手段，并在不同等級的網(wǎng)絡區(qū)域邊界部署訪問控制機制，設置訪問控制規(guī)則;應能夠?qū)Ψ鞘跈嘣O備的接入行為進行告警。

（2）應根據(jù)訪問控制策略設置訪問控制規(guī)則，保證跨網(wǎng)絡邊界的訪問和數(shù)據(jù)流通過邊界防護設備提供的受控接口進行通信，默認情況下受控接口拒絕所有通信;應刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化;應該根據(jù)網(wǎng)絡邊界訪問控制規(guī)則，通過檢查數(shù)據(jù)包的源地址、目的地址、源端口、目的端口和協(xié)議等，確定是允許該數(shù)據(jù)包通過該區(qū)域邊界;內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間應采用訪問控制機制，禁止任何穿越區(qū)域邊界的Web、FTP等通用網(wǎng)絡服務。

（3）應在關鍵網(wǎng)絡節(jié)點處部署入侵防范措施，監(jiān)測并檢測通過無線電監(jiān)測設施關鍵節(jié)點發(fā)起的DDoS等網(wǎng)絡攻擊行為，當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，并在發(fā)生嚴重入侵事件時提供告警。

（4）應在關鍵網(wǎng)絡節(jié)點進行安全審計，對重要的用戶行為和重要安全事件進行安全審計，具體要求同5.1.1（4）。

5.1.4 數(shù)據(jù)安全

對邊緣層監(jiān)測技術設施信息網(wǎng)絡數(shù)據(jù)傳輸從完整性保護、保密性保護、備份與恢復三個方面進行數(shù)據(jù)安全防護。

（1）應采用密碼技術支持的完整性校驗機制。

（2）應采用適應無線電管理內(nèi)部網(wǎng)絡特點的密碼技術支持的保密性保護機制。

（3）應根據(jù)無線電管理數(shù)據(jù)存儲策略，提供各級監(jiān)測設施本地數(shù)據(jù)備份與恢復功能，保證數(shù)據(jù)一致性，且備份數(shù)據(jù)應采取與原數(shù)據(jù)一致的安全保護措施。

5.2 IaaS安全防護要求

IaaS安全以信息機房物理設備和虛擬化設備為主體，其防護要求主要包括設備安全、控制安全、網(wǎng)絡安全和數(shù)據(jù)安全等四方面。

5.2.1 設備安全

對IaaS層服務器等網(wǎng)絡基礎設施設備從訪問控制、身份鑒別、入侵防范、資源控制、惡意代碼防護、安全審計等六個方面進行設備安全防護。

（1）應采用技術措施對允許訪問服務器的終端地址范圍進行限制;應關閉服務器不使用的端口，防止非法訪問;應根據(jù)服務器和網(wǎng)絡設備管理用戶的角色分配權限，僅授予管理用戶所需的最小權限，應對網(wǎng)絡設備的管理員登錄地址進行限制。

（2）應對登錄服務器和網(wǎng)絡設備的用戶進行身份標識和鑒別，身份標識應具有不易被冒用的特點，口令應有復雜度并定期更換;應啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數(shù)和自動退出等措施;應采用安全方式防止用戶鑒別認證信息泄露。

（3）服務器所使用的操作系統(tǒng)應遵循最小安裝的原則，并保持系統(tǒng)補丁及時更新;應能夠檢測對重要服務器的入侵行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴重入侵事件時提供報警。

（4）應根據(jù)安全策略，設置登錄服務器的會話數(shù)量;應根據(jù)安全策略設置登錄服務器的操作超時鎖定。

（5）應安裝防惡意代碼軟件，并及時更新防惡意代碼軟件版本和惡意代碼庫。

（6）應具有審計范圍覆蓋到網(wǎng)絡基礎設施上的每個用戶，內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等重要的安全相關事件的安全審計功能，具體要求同5.1.1（4）。

5.2.2 控制安全

應對網(wǎng)絡基礎設施相關的控制系統(tǒng)采取必要的控制安全防護措施，具體要求同5.1.2。

5.2.3 網(wǎng)絡安全

對IaaS層網(wǎng)絡基礎設施信息網(wǎng)絡從網(wǎng)絡區(qū)域劃分隔離、訪問控制、惡意代碼防護、網(wǎng)絡安全監(jiān)測、安全審計等五個方面進行網(wǎng)絡安全防護。

（1）應根據(jù)業(yè)務系統(tǒng)的類型、功能及租戶的不同劃分不同子網(wǎng)、網(wǎng)段或安全組，并在各子網(wǎng)、網(wǎng)段或安全組之間采取技術手段進行隔離;應根據(jù)無線電管理業(yè)務需求對信息網(wǎng)絡劃分不同的安全域，安全域之間應采用技術隔離手段。

（2）應在網(wǎng)絡或網(wǎng)段邊界啟用訪問控制，應能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力，控制力度到主機級;接入網(wǎng)絡邊界網(wǎng)關只開放接入服務相關端口;邊界安全網(wǎng)關應對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)進出。

（3）應對惡意代碼進行檢測和清除。

（4）應對網(wǎng)絡設備運行狀況、網(wǎng)絡流量、管理員和運維人員行為等進行監(jiān)測，識別和記錄異常狀態(tài);應持續(xù)大流量攻擊進行識別、報警和阻斷的能力;應監(jiān)視端口掃描、木馬后門攻擊、拒絕服務攻擊等攻擊行為，當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警;應對網(wǎng)絡通訊數(shù)據(jù)、訪問異常、業(yè)務操作異常、網(wǎng)絡設備流量、冗余機制等進行監(jiān)測并報警。

（5）應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、管理員和運維人員行為等進行日志記錄，安全審計具體要求同5.1.1（4）。

5.2.4 數(shù)據(jù)安全

對IaaS層數(shù)據(jù)從產(chǎn)生、傳輸、存儲、銷毀、備份與恢復等三個方面進行數(shù)據(jù)安全防護。

（1）數(shù)據(jù)產(chǎn)生時，應具有數(shù)據(jù)敏感度的界定標準，并根據(jù)敏感度進行分類。

（2）應保證鑒別信息等關鍵數(shù)據(jù)傳輸?shù)谋Ｃ苄裕z測數(shù)據(jù)在傳輸過程中的完整性。

（3）應采用加密技術或其他保護措施實現(xiàn)鑒別信息、關鍵數(shù)據(jù)和管理數(shù)據(jù)的存儲保密性，應支持對密碼算法、強度和方式等參數(shù)的可選配置，并檢測到數(shù)據(jù)在存儲過程中的完整性;應具備有效的磁盤保護方法或數(shù)據(jù)碎片化存儲等措施。

（4）應能夠清除因數(shù)據(jù)遷移等產(chǎn)生的遺留數(shù)據(jù)，對日志的留存期限應符合國家有關規(guī)定;應提供手段清除數(shù)據(jù)的所有副本。

（5）應提供數(shù)據(jù)本地備份與恢復功能，全量數(shù)據(jù)備份至少每周一次，增量備份至少每天一次，或提供多副本備份機制。

5.3 平臺安全防護要求

平臺安全以中間件、無線電管理高復用業(yè)務應用/服務為主體，其防護要求主要包括網(wǎng)絡安全、應用安全和數(shù)據(jù)安全等三方面。

5.3.1 網(wǎng)絡安全

對平臺層信息網(wǎng)絡安全防護的具體要求同5.2.3IaaS層網(wǎng)絡安全要求。

5.3.2 應用安全

對平臺層無線電管理高復用業(yè)務應用/服務從用戶身份鑒別、訪問控制、合規(guī)性檢查、來源保證、健壯性保證、資源控制、上線前檢測、安全審計等八個方面進行應用安全防護。

（1）應對使用平臺層的用戶、運行管理人員進行身份標識和鑒別，身份標識應具有唯一性;應采用口令、令牌、基于生物特征、數(shù)字證書以及其他具有相應安全強度的兩種或兩種以上的組合機制進行身份鑒別，鑒別信息應具有復雜度要求并定期更換，并強制用戶首次登錄時修改初始口令;登錄過程應提供并啟用登錄失敗處理功能，多次登錄失敗后應采取必要的保護措施。