【公益译文】智能制造时代下的物联网安全良好实践

阅读： 1,556

工业4.0正在迅速成为现实，智能、互连的网络物理系统使工业操作的所有阶段自动化，包括设计、制造、运行、供应链和服务维护。由于其网络物理性质和固有的自主性，对公民的安全和隐私产生了巨大影响，涉及工业4.0和物联网的威胁范围极其广泛。基于方法论，ENISA展开了工业4.0和智能制造环境下物联网安全的良好实践的研究

执行摘要

工业4.0正在迅速成为现实，智能、互连的网络物理系统使工业操作的所有阶段自动化，包括设计、制造、运行、供应链和服务维护。由于其网络物理性质和固有的自主性，对公民的安全和隐私产生了巨大影响，涉及工业4.0和物联网的威胁范围极其广泛。

基于方法论，ENISA展开了工业4.0和智能制造环境下物联网安全的良好实践的研究。这项研究成果斐然，其中最重要的贡献有：

定义了相关术语（如工业0、智能制造、工业物联网），促进了对相关网络安全场景的共同认识。
以综合分类法对行业0资产进行了分类，包括整个制造过程和价值链。
根据相关的风险和攻击场景，开创了详细的工业0威胁分类法。
将已识别威胁与资产关联，有助于根据属意安全的利益相关方的定制需求部署安全措施。
列出了在智能制造和工业0中使用物联网有关的安全措施，并将之与上述威胁相对应。

在进行这项研究时，ENISA识别并广泛地分析了有关物联网、工业物联网、工业4.0和智能制造安全的文档现状，并通过结构化调查问卷和一系列访谈收集了多位安全专家的意见。

ENISA考虑了工业4.0设备和服务在整个生命周期（从概念到停产及停用）中的安全性，并密切关注工业4.所特有的问题。因此，研究强调了三个方面的安全措施：

策略
组织措施
技术措施

这项研究的另一个值得注意的因素是与现有安全措施、标准和方案相对应。ENISA审核了150多种关于工业4.0和物联网安全的资源，并将它们与本研究中提出的安全措施进行了对照。考虑到当前该领域各行其是的状况，这一做法有助于利益相关方达成共识。

本研究中列出的指导方针和安全措施旨在改善工业4.0组织的网络安全状况，这些组织已经采用或计划采用工业物联网设备和解决方案，以提高工业操作中的自动化。这些安全措施适用于各类用户，包括工业物联网运营商和制造商/厂商，他们可以基于这些措施和建议检查其工业4.0安全解决方案。

本研究旨在为欧盟国家提供标准，促进其在工业4.0和工业物联网方面的合作，提高对相关威胁与风险的认识，重点是“通过安全保障措施促进安全”。

1、概述

近年来，我们看到，由于更多的连接、协作和共享推动全球经济加速转变，导致数据传输和存储成本快速显著下降。伴随着双峰IT组织，这种发展可支持智能连接世界的指数增长，尤其是制造业。最近出现了工业4.0趋势。这一概念引入了新能力，如数字化、分散决策和价值链集成，正在为传统制造业和其他行业带来革命性的变化。工业4.0与网络物理系统紧密相连，网络物理系统反过来通过提高服务质量来支持智能、联网的基础设施，包括智能制造基础设施。

以物联网（IoT）为核心，工业4.0改变了工业格局，已对社会产生影响，进而改变产品、客户体验和劳动力市场。因此，工业4.0在欧盟的各种计划和项目中发挥着核心作用，成为各种研究、计划和法规[1]的主题。

第四次工业革命和全世界联网设备数量的指数增长，以及网络安全事件的迅速增加，都进一步强化了加强网络弹性的必要性，特别是刚开始使用物联网解决方案的工业运营商。针对工业4.0和智能制造[2]的近期措施让更多人开始关注技术方案的安全性和方案使用者的安全问题来。这方面尤为重要，因为新威胁造成的潜在影响包括人身安全、生产停机、产品变质、设备损坏以及随之而来的财务损失和名誉损失。

尤其是，工业4.0和智能制造使制造和供应链环境引入智能化、自动化和和自主性的速度大大加快。因此，鉴于对欧盟工业部门数字化的重视和优先化，本研究着眼于工业4.0环境下的物联网安全。由于厂商和用户/消费者对与智能制造和工业4.0部署相关的威胁意识通常是有限的，这一研究非常重要。同时，针对工业资产（例如安全仪表系统）的使用新的攻击向量的网络攻击最近越来越多。

1.1 目标

这项ENISA研究旨在应对那些与引入物联网创新带来的工业系统和服务演变相关的安全和隐私挑战。主要目标是归纳良好实践，确保在工业4.0/智能制造环境下的物联网安全，同时应对相关的安全和隐私挑战、威胁、风险和攻击场景。本研究旨在为欧盟国家提供标准，促进其在工业4.0和工业物联网方面的合作，提高对相关威胁与风险的认识，重点是“通过安全保障措施促进安全”。该研究的另一个重要内容是定义工业4.0和智能制造，确定工作范围，作为未来发展的基础。

1.2 范围

这项研究概述用于工业环境中物联网网络安全的良好实践。由于物联网的广泛部署，本研究聚焦于工业物联网（IIoT）和智能制造，因为它们是整个工业4.0[3]中最具代表性的元素。

在进行这项研究时，ENISA识别并广泛分析了有关物联网、工业物联网、工业4.0、智能制造等安全的文档现状。ENISA还通过结构化调查问卷和一系列访谈收集了很多安全专家的意见。在对现有文献全面审查的基础上，ENISA确定了威胁，并针对工业4.0和智能制造的各个域开发了可能的关键攻击场景。这为ENISA制定良好实践和安全措施，确保工业4.0中的物联网安全奠定了基础。从某种意义上说，这项研究还能够确定在安全采用方面的差距和障碍。

这项研究重点介绍了3组安全措施，以应对技术、人员和流程中的安全挑战，采用的是基于风险的全面性安全措施。ENISA考虑到工业环境中的物联网设备和服务整个生命周期（从概念到停用）过程中的安全性，并特别关注了工业4.0的基本要素：整体供应链和第三方管理。

1.3 欧盟和国际政策环境

随着全球范围内联网设备的不断涌现，以及世界各地组织越来越普遍采纳物联网概念，近年来，物联网网络安全已成为欧盟委员会和其他监管机构关注的问题。工业和智能制造中的物联网是物联网网络安全的特定子集。

意识到物联网的潜力以及相关的网络安全挑战后，欧盟一直努力确保物联网安全，并通过许多政策措施来加速这方面的发展。这些政策措施包括建立联盟和专业知识中心、开发监管文档和启动试点项目等。2015年3月，欧盟委员会推动“物联网创新联盟（Alliance for Internet of Things innovation，AIOTI）[4]”的建立，旨在建立创新型的欧洲物联网生态系统。AIOTI已成为欧洲最大的物联网协会，表明欧盟计划与利益相关方合作，以建立具有竞争力的欧洲物联网市场和发展新的商业模式。

两个月后，2015年5月，欧盟采用了数字化单一市场（DSM）[5]战略。对作为五大建设领域之一的物联网而言，DSM旨在解决可能导致安全物联网部署减速的常见问题，例如无权威指南和缺乏互通性。2016年4月，为了满足DSM需求并确保对即将出台的政策的认识，欧盟委员会发布了一份与物联网有关的员工工作文件[6]。这是“数字化欧洲工业”计划的一部分，描述了欧盟物联网的愿景。该愿景基于三大支柱：繁荣的物联网生态系统、以人为中心的物联网方案和独立的物联网市场。

与物联网一样，网络安全是DSM在标准开发方面的另一个优先事项。这是一个广泛的概念，跨越物联网网络安全和工业系统网络安全。谈及物联网络安全，ENISA在2017年发布了《物联网基线安全建议[7]》，以系统化解决由于引入物联网概念[8]而出现的网络安全问题。

说到欧盟在典型工业项目方面的政策，DSM侧重于促进欧洲、国家和区域间的项目协调。此类项目包括“德国工业4.0”[9]、“荷兰智能工业”[10]和“法国未来工业”[11]。2016，欧盟委员会发布了相关交流信息[12]。通过这些举措，欧盟旨在促进创新并为新产品和服务做好准备。

由于物联网和工业数字化依赖于大量数据的交换、处理和存储，在讨论欧盟政策行动时，必须提到最近的《数据保护通用条例（GDPR）》[13]，该条例的目的是保护隐私和个人信息，适用于所有组织，包括智能制造公司和物联网设备厂商及运营商。

从欧盟政策转向国际环境，2017年出台了《美国物联网网络安全改进法案》[14]，以解决物联网安全问题。就在最近，加州州长签署了美国第一部物联网网络安全法，计划于2020年生效。该法案要求制造商为联网设备配置安全功能[15]。除此之外，美国国土安全部、美国国家标准与技术研究院（NIST）和其他机构也致力于通过制定指导方针、框架等文件来解决与物联网和智能制造相关的网络安全问题。比如，国土安全部发布了《物联网保护战略原则》[16]，NIST发布了《网络安全框架 – 制造篇》[17]。

通过分析欧盟和国际上的一系列举措，可以发现与物联网安全有关的若干项政策倡议。然而，工业环境中的物联网安全仍被视为监管机构需要考虑的问题，因为利用物联网的工业4.0和智能制造概念仍处于酝酿阶段。

1.4 目标受众

本研究提供一套指导方针和安全措施，以改善工业4.0与智能制造组织（即已采用或计划采用工业物联网设备和解决方案的组织）的物联网网络安全现状。这些安全措施的受众范围，包括工业物联网运营商和制造商/厂商。潜在目标受众清单包括（但不限于）：

工业物联网专家、软件开发者和设备制造商
工业物联网运营商和用户
IT和OT安全专家和解决方案架构师
工业0组织中的安全负责人（如首席信息安全官）
国际工业0组织和安全社区成员
学术和研发机构

此外，本文也可支持决策议事，因此也有利于制定工业物联网安全的相关法规。

1.5 方法论

本研究所采用的方法（如图1所示）包括以下五个任务。

图1：研究采用的方法论

任务1：项目范围定义与专家选择—第一步包括确定项目范围和选择领域专家，这些专家的意见和见解可用于报告编写。ENISA物联网安全[18]和ENISA工业4.0网络安全[19]非正式专家组的成员以及选定的其他利益相关方共同组成了领域专家池。来自42个不同机构的专家共同参与了这项研究的开发和验证。

任务2：案头调研—在这个步骤中，为项目广泛搜索相关文档。信息来源选定后作为制定良好实践和报告其他部分的参考。

任务3：对选定主题的专家开展问卷调查和系列访谈—ENISA编写了一份涵盖工业物联网和工业4.0安全各方面的调查问卷。该问卷由领域专家组来完成。此外，还对这些专家进行了一系列访谈。通过访谈，ENISA收集到了宝贵的意见，可用于编写这份报告。

任务4：分析收集的材料并编写报告—ENISA专家对从案头调研和与利益相关方的合作中收集到的信息进行了透彻分析，并根据分析编写了本报告的第一稿。

任务5：审核与验证—ENISA将报告草稿发给，获取评论和反馈。根据利益相关方的反馈，领域专家于2018年10月26日在荷兰海牙举行的验证研讨会上共同完成并通过了本报告的最终版本。

使用该方法，ENISA与感兴趣的利益相关方建立了密切联系，并且：

定义了术语（如行业0、智能制造、工业物联网等）
识别了相应资产（资产种类及其在制造过程和价值链中的作用和使用方式、路径和演变历程）
识别了可能对工业物联网带来的威胁、风险和攻击场景
将已识别的威胁和资产关联
列出了与智能制造中物联网使用相关的安全措施

1.6 结构

本文结构如下：

第一章：介绍研究的目标、范围、背景、目标受众、方法和结构。
第二章：定义工业0及其组件，对所讨论的概念和相关安全挑战进行概要介绍。
第三章：威胁和风险分析，包括威胁分类和工业0/智能制造攻击场景实例。
第四章：描述与威胁相对应的安全措施和良好实践、安全域、标准和相关文件。

2、工业物联网：工业4.0与智能制造

2.1 定义

本文重点介绍物联网、工业4.0、智能制造和工业物联网，这些都是相对较新的术语。这些术语的定义很多，但尚未有得到一致认可的权威说法。根据来源和背景，对这些术语的描述可能大不相同。因此，采用具体的定义并厘清含义非常重要。在本研究中，ENISA将工业物联网定义为应用于工业环境的物联网（正如《ENISA物联网基线安全建议》[20]中所定义的）。工业4.0是一个更广泛的概念，包括工业物联网和智能制造。

图2：工业4.0中的通信关系

行业4.0设计原则，通常被称为第四次工业革命，包括互通性、自主性、信息透明性、技术援助和分散决策[21]。最近的技术进步造成传统生产过程逻辑的颠倒而形成了工业4.0的概念，代表着向分散生产的转变。随着工业4.0的出现，产品不再仅仅由机器来处理，它能够与提供相关信息和指令的环境进行通信（参照数字孪生的概念）。产品和生产线已不再孤立，它们已经成为整个网络不可或缺的组成部分。

在传统的工业方法中，一般在硬件结构中有明确的通信层次，而工业4.0引入了灵活的系统，其功能不再局限于硬件，而是分布于整个网络。在这些新系统中，可以实现组织内各个层次的内部通信。引入了新类型的交互（见图2），并且组织之间的外部交互已发生明显变化且更加灵活[22]。

工业4.0将生产与信息和通信技术连接起来。它将最终用户数据与机器数据合并，允许机器之间相互通信。因此，组件和机器能够以灵活、有效和节省资源的方式自主地管理生产。工业4.0的好处包括更高的产品质量、更大的灵活性、更短的产品发布时间、新型的服务和商业模式[23]。需要注意的是，图中描述的流程是指实体商品和数据（例如数字孪生交换）。数据流至少是双向的，例如客户可以对生产/制造过程提供反馈。

图3：工业4.0中的智能制造

通过引入大量新功能，工业4.0充当了新的制造方法（即智能制造）的助推器。智能制造概念聚焦于使用新技术进行的产品制造，它只是工业4.0的一小部分。工业4.0可以看作是包罗各个工业领域的超集。图3中表明了智能制造与工业4.0及其他技术之间的关系。

ENISA将智能制造定义为“建立在符合工业4.0的新兴信息和通信技术之上的下一代工业制造过程和系统，例如增材制造、高级分析和IT/OT集成”。具体说，是指系统利用联网设备和传感器，通过先进技术促进数据的快速流动和数字信息[24]的广泛使用，以此最大化在成本、交付、灵活性和质量等方面的能力。智能制造结合了早期制造模型的一些功能，同时引入了自有新功能，包括高级决策。与协同供应链一起，组织可快速适应市场变化。

为了实现创新并根据需要强化能力，工业4.0和智能制造采用了以下技术（见图4）：

工业物联网终端设备

具有各种能力的设备，例如传感、驱动、存储和/或处理数据的设备和通过网络进行数据交换的设备。

机器对机器（M2M）通信

促进网络设备之间直接通信而无需人力协助的技术。

大数据分析

检查由智能传感器、设备、日志文件和音视频实时生成的海量的各类型数据集的过程。

高级机器人

具有智能可以完成复杂任务的高级工业机器人，如它们能够从错误中学习并提高自身性能。

人工智能（AI）

使计算机和数字机器能够执行一般由人类完成的任务的算法。

机器学习（ML）

使计算机无须编程就能行动且提高预测能力的算法。

预测性维护

监控设备状态的解决方案，预测何时可能发生故障，进行有效维护，尽量降低维修频次。

实时监测

支持从系统组件中收集和聚合安全数据以及监控和分析网络事件的技术。

高级耗损分析

用于分析在智能制造环境中可能发生的各种损失的方法，旨在消除或减少这些损失。

云计算

能够访问共享资源集（如网络、服务器和应用程序）的解决方案，最大程度地降低对管理工作和服务提供商交互的要求。

增材制造

通过添加材料来创建各种几何形状的物体的技术，例如3D打印或快速成型。

增强现实

改变对现实环境感知的技术,例如用于提高手工装配任务效率的智能制造技术。

图4：工业4.0与智能制造能力

工业4.0和智能制造的概念相当复杂。根据领域专家通过访谈获得的回应以及对相关刊物的分析，ENISA确定了以下主要内容：

工控系统（ICS）—该组包括控制系统（例如数据采集与监控（SCADA）和分布式控制系统（DCS））以及其他控制系统元件和设备（例如可编程逻辑控制器（PLC）和HMI（人机界面））。系统内的各种控制组件相互协作以实现特定的控制目标，例如根据预设参数制造产品，使其满足预期要求，例如将管道中的液体流动保持在预期的流速、压力或温度范围内。此外，ICS可包含远程诊断和维护工具。
工业物联网终端设备—这些设备具有各种能力，例如传感、驱动、存储和/或处理信息。工业物联网终端设备通过网络交换数据这与在工业应用中已使用多年的传统设备（如传感器和致动器）不同。在智能制造环境中，工业物联网终端设备提供了大量新型数据，可以简化生产。
制造和业务流程—这由实现特定目标的活动组成。在这里，是指从原材料或组件中获得最终产品。这些流程包括技术程序（根据公司特点而大不相同）以及组织流程（使整个公司成功运作）。
人工智能和机器学习—在智能制造中，由于从工业流程中收集了大量数据，各种机器学习和人工智能算法都被用于数据分析。人工智能改变了制造业，因其可轻易更改制造流程，不必耗时对工业机器人重新编程，这使得预测性维护成为可能，并提高了灵活性[25]。
控制系统通信网络及其组件—包括网络、网络设备和工业协议。网络在智能制造生态系统中扮演着重要的角色，因为它们允许不同的节点通过数据链路相互交换数据和信息。控制系统通信中的网络包括串口链路和数字链路，用于传输往返终端设备的输入和输出。网络设备包括网关、路由器、交换机等。典型工业通信协议包括（但不限于）HART协议[26]、Modbus TCP/IP协议[27]、OPC协议[28]和OPC-UA协议[29]。

2.2 安全挑战

采用工业4.0技术和智能制造在带来众多好处的同时，也要面对重大安全挑战。最近的一项调查显示，利益相关方正逐渐意识到了这个问题，因为65%的公司认为物联网技术[30]更容易带来OT/ICS网络安全风险。以下详细介绍智能制造和工业4.0所面临的安全挑战：

易受攻击的部件—随着第四次工业革命的到来，新的物联网格局已经出现，全球有数百万台联网设备。因此，保护智能制造物联网安全就是要为大量联网资产提供保护。此外，物联网网络安全并不是一个孤立的概念；它与许多安全学科（例如IT安全、OT安全和物理安全）相互联系，使其领域更加广阔。由于网络物理系统从封闭走向联网，智能制造公司需要处理这些系统中的典型漏洞问题。在工业环境中，这可能是相当大的挑战，因为大多数这类系统在设计之初都没有考虑到网络安全[31]，造成硬件漏洞变得越来越常见[32]。
过程管理—除了联网设备构成的广泛的攻击面，还应考虑智能制造中涉及的大量复杂过程。过程管理过程中确保网络安全网络安全是对工业0公司提出的一项挑战，尤其是因为功能和生产效率通常被视为比网络安全更重要。
互通性增强—制造过程需要与全球范围内的对象和环境进行交互，智能制造中使用的系统需要支持跨组织协作。实现更强的互通性是最严峻挑战之一，可对物理安全产生直接影响。
IT/OT融合—一旦在ICS领域引入IT组件成为惯例，工控系统就不再孤立。与使用IT网络的组织融合简化了复杂环境的管理，同时也引入了新的安全风险。管理IT/OT融合是一项重大挑战，原因包括不安全的网络连接（内部和外部）、利用有已知漏洞的技术（这些已知漏洞将先前未知的风险引入OT环境）和对ICS环境的需求理解不充分。整体安全必须包括数字孪生和物理实现。
供应链的复杂性—提供产品或解决方案公司很少能够自行生产所有的产品组件，通常需要引入第三方组件。开发技术复杂的产品会导致极其复杂的供应链，其中涉及大量的人员和组织，对管理的要求也高。不能跟踪每个组件源也就无法确保产品安全，这与加固最薄弱的环节同等重要。
老旧工控系统—最近一项调查显示[33]，超过三分之一的受访者认为老旧的硬件是实现工业物联网的一大障碍。制造商基于老旧系统构建新系统，可能会导致过时的保护措施并引入多年前活跃的未知漏洞。将新的物联网设备添加到过时的硬件中会会让人担心攻击者会找到入侵系统的新方法。
不安全协议—生产部件使用特定协议通过专用工业网络进行通信。在现代网络环境中，这些协议往往无法应对网络威胁，确保提供合理防护。最近的一份报告显示，在5个最不安全的协议中有4个是工控系统协议[34]。
人为因素—采用新技术意味着工厂的工人和工程师必须以全新的方式操控新型数据、网络和系统。他们不了解与收集、处理和分析这些数据相关的风险，因此很容易成为攻击者的攻击目标。再加上，2016年钓鱼邮件最青睐的是制造业[35]，这让人更加不安。
无用的功能—工业机器能够提供大量功能和服务，其中很多不是运营必需的。在工业环境中，由于机器或个别组件通常能够访问这些无用的功能，这些功能可显著扩大潜在的攻击区域并成为攻击者的入口。
安全方面—执行器部署在物理环境中，使得安全对于物联网和智能制造非常重要。安全保障成为首要目标。
安全更新—将安全更新应用到物联网是极具挑战性的，因为用户界面非常特殊，不支持传统更新机制。实现这些机制本身就是一项艰巨的任务，尤其是在线更新。特别是在OT环境中，更新需安排在停机时间完成，因此更难以实现。
确保生命周期安全—设备安全应贯穿整个产品生命周期，甚至一直到产品停产/终止支持。

2.3 高级参考模型

由大量元素构成的智能制造环境看起来过于复杂。为了更好地解释这个概念，基于普渡模型（即由威廉·J·布劳德（William J. Broad）和计算机集成制造联合会成员开发的普渡企业参考体系结构[36]，参见ISA-9537[37]），我们提出了适用于本项目规模的高级参考模型（见图5）。

图5：高级参考模型

该概念将智能制造环境划分为6层。这些层按序排列，最低层为制造流程（第0层），其次是设备层、系统和服务层(第1-5层)。1-2层为OT层。工业物联网设备为本模型的第一层。第4层对应于公司的IT部分，而第3层是是IT和OT之间的中间层。工业物联网平台属于第3层。最高层是智能制造特有的，在普渡模型中并不涉及，通常在这层使用外部服务。

参考模型的目的是展示最重要的资产（见2.4节）和组件（见2.1节）之间的关系。灰色箭头表示模型中大组（图片左侧）之间的简明通信路径。此外，工业4.0增加了新通信路径实现网络中引入的工业物联网设备的通信，例如工业物联网设备之间的通信以及工业物联网设备与工业物联网平台之间的直接连接，这些通信路径已添加至模型顶部（黄色箭头标示），以强调它们在安全和隐私方面的重要性。下文简述了参考模型的层级。

第0层：制造流程与设备（机器、机器人）

这是工业物联网环境中的最低级别，这是由智能机器和机器人执行的制造过程。这些过程由参考模型中更高层的设备和系统来测定和控制。

第1层：工业物联网设备—传感器和执行器

该层由测量系统参数（工业物联网传感器）和执行特定动作（工业物联网执行器）的工业物联网设备组成。数据在工业物联网设备和控制系统（第2层）以及工业物联网平台（第3层）之间传输。第1级还包括SIS。

第2层：工控设备和系统

该层涉及基于工业物联网设备的信息对工业工序进行控制的设备和系统，包括控制器（PLC和RTU）、分布式控制系统（DCS）、操作面板（HMI）和监控和控制系统（SCADA）。

第3层：制造运营系统和工业物联网平台

该层是OT和IT环境之间的中间层，包括用于管理制造流程的系统，例如制造执行系统（MES）、历史数据库、仓库管理系统（WMS）和查询跟踪系统。这些系统可与OT和IT环境通信。区分这一层有利于控制通信，并防止OT层和IT层之间直接通信。模型的第3层还包括一个工业物联网平台，用于分析和管理工业物联网设备提供的制造和控制流程数据。该层与OT环境密切相关，为上层系统提供信息。

第4层：企业运营系统

这些IT系统支持企业级的公司运营，包括供应链和生产管理与规划。与第2层系统不同，这些系统不能实时运行。该层包括下列系统（并非穷举）：企业资源计划（ERP）、供应链管理（SCM）、销售与运营计划（S&OP）、客户关系管理（CRM）、物料需求计划（MRP）、业务处理系统（TPS）和主管支持系统（ESS）。

第5层：第三方服务

如前所述，依赖第三方服务是智能制造的固有特征。因此，为了更清晰地说明工业4.0和智能制造的特点，我们决定在ISA 95模型的顶部又加了一层，纳入第三方服务。这些服务形式多样，例如软件即服务（SaaS）、平台即服务（PaaS）和基础设施即服务（IaaS）。

2.4 资产分类

要了解智能制造中物联网安全细节，必须先识别和分析庞杂的环境中的资产。本节，我们概要介绍需要保护的关键资产组和资产。工业4.0/智能制造资产划分为几个关键组（见图6和表1）。有关每个资产组的级别说明，请参见2.3（例如图5所示的概要性参考模型）。需要注意的是，最小分类级别仅供描述目的，并非面面俱到。例如，只列出了某些传感器类型或网络协议，而非涵盖全部。

图6：工业4.0资产分类

资产组	资产	备注
工业物联网终端设备第1层	传感器	这些设备检测和/或测量环境中的事件，并将信息传送给其他电子系统进行处理。传感器用途很多，如测量温度、运动、振动等。
	安全仪表系统（SIS）	这些系统由传感器、逻辑控制器和末控元件(执行器)组成，目的是在不符合预定条件时保证流程安全。
	执行器	这些设备通过移除或控制机制或系统与环境进行交互。为了实现这一点，这些设备将能量(例如电、液压或气动)转换成运动。
ICS 第2层	PLC	这些专用的工业计算机用于实现工业网络中的控制功能的自动化。通常，它们有额外的插件模块，例如用于连接传感器和执行器的输入/输出模块。
	RTU	这些设备通常用于变电站或远程位置。与PLC类似，它们也是监测现场参数，并将数据发送到中央站。
	DCS	这些控制系统传送可控的工业流程相关的信息（如管理逻辑），而不是依赖于单个中央单元。
	SCADA	这些系统从工资资产和流程中收集数据，进行展示、监测和控制。这些工作站运行Windows操作系统。
	人机界面	操作员可通过这些控制面板和仪表板监测和控制PLC、RTU和其他电子设备。
ICS通信网络及其组件第1–3层	路由器	这些网络设备在工业环境和物联网生态系统中的不同网络之间转发数据包。
	工业物联网网关	这些网络节点用于与IoT环境中使用不同协议的其他网络进行连接。网关可提供协议转换器、故障隔离器等，实现系统互连。
	交换器	这些网络组件可在局域网内过滤并转发数据包。
	无线接入点	这些组件可使用Wi-Fi或相关标准使无线设备连接到有线网络中。
	防火墙	这些网络安全设备或系统可根据预定规则对网络之间或主机和网络之间的网络流量进行控制。
	网络	通过这些网络，IoT生态系统中的不同节点通过数据链路交换数据和信息。这些网络根据空间覆盖范围划分为多种类型，如(W)LAN、(W)PAN、PAN和(W)WAN。
	协议	这些协议定义了一系列关于两个或多个物联网设备如何在特定信道上通信的规则。通信协议有很多，可以是有线通信协议，也可以是无线通信协议。
	电源	电源为物联网设备及其内部部件供电，包括外部电源、有线电源或集成到设备上的电池。
信息所有层	运营和生产数据	包括关于工业物联网系统运营和生产数据信息，如传感器数据、MES和SCADA数据等。
	设备信息	包括诸如模型、类型、配置、固件版本、状态等信息以及IP地址、物理位置等。资产清单包含有关所有系统设备的信息。
	用户信息	包括姓名、角色和权限等信息。
决策算法第2-5层	人工智能与机器学习	这些术语描述了机器（例如计算机、机器人等）为智慧生命执行典型任务的能力。智能制造会从工业流程中收集大量数据，使用各种机器学习和人工智能算法分析这些数据。
云计算服务[38] 第3-5层	提供网络访问共享资源集的快速通用网络访问，仅需最低限度的服务提供者介入和管理工作的网络、服务器和应用程序。
大数据分析第3-5层	在智能制造中，该术语指对智能传感器、设备、日志文件、视频和音频实时生成的大量数据集进行检查的过程。这些数据是在每个自动化级别上生成（包括制造工厂、交易应用等）。通过大数据分析，可发现隐藏的模式、未知的相关性、趋势和其他有助于做出更明智和深思熟虑的决策的有用信息。
高级机器人第0层	智能机器人、自动导航小车	这些先进的工业机器人具有智慧能力，可执行复杂任务，例如从错误中学习并提高自身性能。
实时监控与安全工具第3-5层	SIEM	这些应用程序用于收集和聚合来自各系统组件的安全数据，并通过单个接口呈现有意义的信息。
实时监控与安全工具第3-5层	IDS/IPS	这些系统能够自动监控计算机系统或网络中发生的事件，并对可能发生事件的迹象进行分析。此外，IPS可以执行动作，阻止检测到的事件。
软件与许可证第2-5层	程序（代码）	这些程序是为工业互联网生态系统中的设备而编写的，以实现特定的技术目标，如PLC逻辑、SCADA应用程序、HMI应用程序、工业机器人程序等。
	操作系统	指管理计算机硬件资源并为其他计算机程序运行提供常见服务的系统。
	移动应用程序	这些程序运行在平板电脑和智能手机等移动设备上，这些程序用于对流程（例如移动SCADA客户端应用程序）、设备维护和其他任务（例如仓库库存）进行远程监控和控制。
	杀毒软件	指监控计算机或网络以识别恶意软件、防止其感染设备和清洗受感染设备的软件。
	固件	指存储在设备只读内存上的一类软件，提供设备操作说明。在执行过程中，固件不能被动态编写或修改。
服务器与系统第3-5层	历史数据库	这些软件系统从工业设备中收集数据并存储在专用数据库中。
	应用服务器	指计算机主机应用程序，例如用户工作站应用程序。
	数据库服务器	这些服务器被用作资源库，用于存储传感器、代理和管理服务器提供的事件信息。
	企业运营系统（如ERP、CRM）	这些系统汇总组织的各部门（如制造、分销、财务、人力资源等）的信息，还提供组织与客户和供应商之间的连接。
	制造运营系统（如MES）	这些系统使用网络计算实现生产控制和流程自动化，从而弥合了业务和工厂车间之间的差距。这些系统用于下载指令、调度和上传生产结果信息。
移动设备第3层	平板、智能手机	可手动操作这些便携式设备。它们运行移动应用程序，使操作人员能够执行各种任务。
人员[39] 所有层	操作人员、维护员工和第三方	该资产组指的是对OT系统有物理或远程访问权的所有个人。人员是制造环境中不可获取的元素，因此从安全角度定义关键资产时必须考虑人为因素。OT环境的所有访问人员都有可能（有意或无意地）将恶意软件引入系统，成为钓鱼攻击的目标或对系统造成损害，并以各种方式危害系统安全。另一方面，人员需要特别的保护，因为一旦发生安全事故，人员的隐私和自身安全可能会受到威胁。

图7提供了资产分类中描述的主要资产的关键性视图，以领域专家在访谈期间的反馈为基础。这些访谈中有一个结构型调查问卷，其中一个问题是根据工业物联网/智能制造资产的关键性对其进行深入评估。专家可从工业物联网生态系统网络安全角度，选择任意数量的关键资产。下图中的数字表明了专家们选择的资产比例。

图7：资产重要性

上图表明利益相关方认为工控系统（即PLC、RTU、DCS和SCADA系统）是智能制造和工业4.0中最关键的资产。这样的选择结果一点也不意外，因为这些系统可以控制和监督工业流程，其功能对于正确执行生产和生产安全是不可或缺的。正如研究所示，在关键性方面，工控系统最为重要，然后是物联网设备，特别是工业物联网网关、传感器和执行器。过半受访者均选择了这些类型的资产，他们认为在OT环境中引入新的联网设备实际上是一项安全挑战，需要提供额外保护。受访者的其他回答中强调了人为因素(例如操作人员、维护人员和第三方)。人员被认定为关键资产，因为人员可能成为钓鱼活动的目标，人为失误可能会导致恶意软件入侵系统。此外，利益相关方指出，除了资产本身，资产管理也非常重要。为了合理保护资产，公司应了解自己所拥有的设备和解决方案、自身所处位置，以及安全程度，即应用了哪些类型的保护机制/安全措施。

3、威胁与风险分析

3.1威胁分类

工业4.0环境面临着由多种因素导致的无数安全挑战，因此需要做好准备，以应对各种网络安全威胁。除了与物联网技术相关的威胁，工业4.0和智能制造公司还有可能受到OT和IT环境中典型威胁的影响。最近发生的名为NotPetya[40]的大规模勒索软件攻击就是一个很好的例证，这次攻击中一多半公司均为工业公司。[41]

根据ENISA的威胁分类法[42]，我们开发了一个专门针对工业4.0的威胁分类法，如图8所示，详细描述见表2。

图8：工业4.0威胁分类

分类	威胁	描述	受影响资产
恶意活动/滥用	拒绝服务	拒绝服务攻击可以双向进行：攻击工业物联网系统，通过向系统发送大量请求导致系统不可用，生产中断。另一方面，攻击者可利用工业环境中的大量工业物联网设备，创建物联网僵尸网络大军作为攻击其他系统的平台。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件 – 信息 – 云计算服务 – 移动设备 – 服务器与系统 – 软件
	恶意软件	旨在执行恶意和非法操作、对OT系统、操作流程和相关数据造成损害的工业物联网中之恶意软件渗透。勒索软件、病毒、木马和间谍软件是常见的恶意软件。	– 工业物联网终端设备 – ICS – 服务器与系统 – 实时监控与安全工具 – 信息 – 云计算服务 – 软件
	软硬件操控	攻击者非法操控OT系统中的设备软件或应用程序的威胁。就工业物联网系统而言，攻击行为可包括操控工业机器人、操控远程控制设备、抑制控制设备状态以及修改其配置。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件 – 软件 – 实时监控与安全工具 – 高级机器人 – 人员
	信息操控	攻击者恶意并非法篡改数据的威胁，包括入侵OT或生产支持系统（例如SCADA、MES、历史数据库等）和操控流程数据。可能的后果包括基于伪造数据做出不合理决策。	– 工业物联网终端设备 – ICS – 信息 – 云计算服务 – 大数据分析 – 实时监控与安全工具 – 服务器与系统 – 软件与许可证
	定向攻击	针对特定组织（或该组织中的特定人员）发动网络攻击的威胁。这类攻击旨在伤害组织，可能使用各种技术手段（例如入侵关键设备、伪造遥测、欺骗不知情的操作人员等）控制系统。其他影响包括声誉受损或公司机密被盗。例如，当目标是制造公司时，攻击者可能会试图窃取配方或制作方法并出售给竞争对手。攻击者可使用人工智能针对选定组织或个人员工量身定制，进行高度定制化的攻击。这种攻击与大规模攻击不同，后者的目的是感染（1）任何连接到攻击者事先构建的网站的公司，或（2）任何使用具有特定漏洞的设备或软件的公司。	– 工业物联网终端设备 – ICS – 信息
	滥用个人数据	入侵存储在设备或云中的个人/敏感信息的威胁。攻击者的目的是非法访问并使用此类数据。对于制造公司，这种威胁针对的是OT系统用户的名称和角色。生产数据不视为隐私，但若与个体员工的绩效挂钩，也可能产生问题。	– 工业物联网终端设备 – 信息 – 云计算服务 – 人员
	暴力破解	通过反复尝试猜测正确的密钥或密码以获取对组织资源（数据、系统、设备等）非法访问的威胁。工业4.0组织若允许对工业设备和系统使用简单或默认密码，则会特别容易遭受此类攻击。	– 工业物联网终端设备 – ICS – 移动设备 – ICS通信网络及其组件 – 实时监控与安全工具
窃听/拦截/劫持	中间人攻击/会话劫持	主动窃听威胁，指受影响方之间交换的消息在不知情的情况下由攻击者转发。攻击者可能只是窃听交换的消息（例如为了窃取公司的敏感或机密信息），也可能篡改或删除传输的信息，导致通信中断。	– 信息 – ICS通信网络及其组件 – 工业物联网终端设备 – 移动设备
	物联网通信协议劫持	攻击者控制两个网络组件之间当前通信会话的威胁，这可能导致密码等机密信息的泄露。	– 信息 – ICS通信网络及其组件 – 工业物联网终端设备 – 决策算法
	网络侦察	攻击者通过被动扫描获取内部网络信息（例如联网设备、使用的协议、开放端口和使用的服务等）的威胁。获取这些信息后，攻击者就能规划入侵系统后的操作。	– 信息 – 工业物联网终端设备 – ICS通信网络及其组件
物理攻击	故意破坏与盗窃	破坏者（设法绕过不充分物理安全措施的局外人或内部人员（例如心怀不满的员工由于某些原因想要伤害组织））通过物理访问OT环境对设备造成物理损害的威胁。这种威胁还包括盗窃。需要更换受损或被盗设备时，可能因备件交付时间导致计划外生产停工。	– 工业物联网终端设备 – ICS – 移动设备 – ICS通信网络及其组件 – 高级机器人 – 人员
物理攻击	破坏	破坏者（设法绕过不充分物理安全措施的局外人或内部人员（例如心怀不满的员工由于某些原因想要伤害组织））通过物理访问OT环境对设备动手脚的威胁。攻击者可能利用端口的不当配置或开放端口，还可能获取访问权限以操作员身份执行非法操作。	– 工业物联网终端设备 – ICS – 移动设备
非故意伤害（意外）	无意中修改OT系统数据或配置	员工由于未经充分培训，无意中修改了OT系统中的数据或配置而导致操作过程中断的威胁。技术不熟练的员工即使本为善意，在不了解后果的情况下也可能会对系统进行不当修改，特别是当其获取了过高权限时。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件 – 高级机器人 – 信息 – 云计算服务 – 大数据分析 – 软件与许可证 – 服务器与系统 – 人员
	不当使用或管理设备和系统	员工由于未经充分培训，无意中误用工业物联网/OT设备致操作过程中断或对设备造成物理损坏的威胁。技术不熟练的员工即使本为善意，也可能因疏忽未按手册和指南使用设备，从而中断设备运行或对设备造成物理损坏。	– 工业物联网终端设备 – ICS – 移动设备 – ICS通信网络及其组件 – 高级机器人 – 信息 – 人员
	第三方造成的损坏	第三方破坏OT资产的威胁。在工业4.0中，第三方在某些情况下（例如为维护或软件更新之目的）可访问OT系统。若未充分控制此类访问，则第三方组织的安全事件可能会影响到接收服务的公司。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件 – 高级机器人 – 云计算服务 – 信息
失效/故障	传感器/执行器失效或故障	工业物联网终端设备失效或出现故障的威胁。这种情况具有偶发性，若在产品使用期间对设备的手册和说明未妥善维护并遵从，则更易发生此类威胁。	– 工业物联网终端设备 – ICS
	控制系统（PLC、RTU、DCS）失效或故障	控制系统失效或出现故障的威胁。这种情况具有偶发性，若在产品使用期间对设备的手册和说明未妥善维护并遵从，则更易发生此类威胁。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件
	软件漏洞利用	攻击者利用工业物联网终端设备固件或软件漏洞的威胁。由于缺乏更新、使用弱密码或默认密码以及配置不当，此类设备常会遭受攻击。	– 工业物联网终端设备 – 信息 – 软件与许可证
	服务故障或中断	在服务发生故障或中断时依赖第三方服务的流程中断的威胁。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件 – 信息 – 云计算服务 – 大数据分析
中断	通信网络中断	有线、无线或移动网络问题造成通信链路不可用的威胁。	– ICS通信网络及其组件
	断电	供电系统失效或出现故障的威胁。若关键系统不存在应急电源，则任何一次电源中断都可能使生产过程突然关闭，导致严重后果。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件 – 高级机器人
	无法获得支持服务（MES、ERP、CRM）	支持生产或物流的系统（即MES、ERP和CRM）失效或发生故障的威胁。	– 服务器与系统
法律	违反规章制度/违法/滥用个人数据	与个人数据处理相关的法律问题和经济损失威胁，例如使用工业物联网终端设备时未遵守当地法律法规带来的风险。对于在欧盟国家经营业务的公司，GDPR有此要求。	– 工业物联网终端设备 – 信息
法律	未满足合同要求	组件制造商和软件供应商因缺失必要的安全措施而违反合同要求的威胁。	– 工业物联网终端设备 – 云计算服务 – 信息 – ICS – 软件与许可证
重大事故	自然灾害	可能对OT环境组件造成物理损害的洪水、雷击、大风、大雨和大雪等自然灾害的威胁。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件 – 高级机器人 – 人员
重大事故	环境事故	可能对OT环境组件造成物理损害的事故和恶劣条件等威胁，如火灾、污染、灰尘、腐蚀、爆炸等。	– 工业物联网终端设备 – ICS – ICS通信网络及其组件 – 高级机器人 – 人员

表2：工业4.0威胁分类

3.2工业4.0/智能制造网络安全攻击场景示例

在采访过程中，领域专家根据这些威胁评估了攻击场景，以确定智能制造组织的关键攻击场景。对于所提议的攻击场景，专家根据感觉给出了严重性判断（不重要、不太重要、一般、重要、严重）。对专家答案分析后，得出结果，如表3所示。

攻击场景	严重性
1. 对控制器（如DCS、PLC）和执行器之间的连接进行攻击	重要
2. 对传感器进行攻击（对测量值/状态、传感器配置等进行篡改）	重要
3. 对执行器进行攻击（抑制执行器状态、修改其配置等）	重要 – 严重
4. 对网络中传输的信息进行攻击	重要 – 严重
5. 对工业物联网网关进行攻击	重要 – 严重
6. 操控远程控制设备（如操作面板、智能手机等）	重要
7. 对安全仪表系统（SIS）进行攻击	严重
8. 恶意软件	重要
9. 利用物联网僵尸网络发动的DDoS攻击	一般 – 重要
10. 跳板攻击（如对云的攻击）	一般
11. 人为错误导致的攻击以及社会工程攻击	重要
12. 利用人工智能技术发动的高度定制化攻击	一般 – 重要

表3：工业物联网攻击场景

对于每种攻击场景，下文基于威胁分类法（第3.1节）简要说明了其潜在影响和相关威胁：

对控制器（如DCS、PLC）和执行器之间的连接进行攻击

这种攻击是指攻击者注入并执行代码或通过被入侵系统使用未监控线路发送（被操控）数据。

影响：操控或失去控制、批次/产品及基础设施受损。
相关威胁：内外部破坏、软硬件操控、控制设备配置操控。

对传感器进行攻击（对测量值/状态、传感器配置等进行篡改）

终端设备中的测量数据被操控，例如，入侵传感器并修改其固件或配置（如测量调整等）。

影响：操作员根据被操控数据做出错误决策；基于错误测量值执行流程；法规要求的检测项无法合理评估。
相关威胁：篡改信息、破坏、操控软硬件、操控所传输的传感器数据。

对执行器进行攻击（抑制执行器状态、修改其配置等）

操控执行器的配置/参数，使其使用错误的配置、阈值或数据，从而破坏其正常的操作设置，影响它们的正常活动。

影响：取决于受影响的具体执行器；或会影响生产流程。
相关威胁：软硬件操控、传感器/执行器失效或故障、控制系统（PLC、RTU、DCS）失效或故障。

对网络中传输的信息进行攻击

攻击的目的是操控网络层（OSI模型中的第2、3、4层）数据。在OSI模型中的第5、6、7层，即控制器和控制系统（DCS、SCADA），数据值似乎并无异常。网络层流量监控可检测到此种操控。

影响：取决于受操控的具体数据；或会影响生产流程或对流程造成破坏（如操控熔炉温度导致爆炸）。
相关威胁：APT、中间人攻击、破坏、恶意软件。

对工业物联网网关进行攻击

攻击者试图入侵工业物联网网关，可能危及整个环境。若系统使用了脆弱/有漏洞的协议或默认密码/协议，就容易遭受此类攻击。这种类型的攻击包括不同的阶段/环节，发起方式较为隐蔽。须注意的是，在设备的整个生命周期都应警惕该类攻击。

影响：攻击者可访问网络和数据，包括访问设备、系统和网络设备。这可能只是第一步，最终目的是向整个系统及其组件发动攻击。
相关威胁：密码攻击、攻击工具包、滥用个人数据、恶意软件及DDoS攻击。

操控远程控制设备（如操作面板、智能手机等）

攻击者入侵与控制系统距离遥远的设备（分布式环境）。这些设备通常在本地控制，不会受到持续监控。俘获这种设备后，就有很大可能渗透整个网络，并对设备造成损害，而用户无法即时获取这些信息，因此会扩大影响。

影响：获得对系统的访问权限以及对控制层和工程工具及更改的完全访问权限，这种方式实现的更改对物联网环境可能会很危险。
相关威胁：密码攻击、软件漏洞利用、会话劫持、信息泄露。

对安全仪表系统（SIS）进行攻击

有的系统的最终目的是保护环境、人类生命和/或公司免受巨额财务损失，针对这种系统的攻击是最危险的一种攻击。接管控制系统或对该系统的任何操控都可能摧毁系统，即使在最乐观的情况下也会导致流程的意外中断。最近发生的Triton攻击就是这种攻击[43]。

影响：SIS的入侵、操控或中断可能会影响很多人，造成环境问题，甚至延伸到其他系统，影响甚或中断其运行。
相关威胁：恶意软件、破坏、远程控制设备操控、APT。

恶意软件

这类攻击通过网络传播恶意代码实施，可获取受害者数据的访问权限。由于这些攻击基于恶意软件实施，因此可以通过更新/修补脆弱设备来避免这些攻击，非工业物联网生态系统也会遭遇此类攻击。工业物联网的问题是难以更新/修补各种设备，更有甚者，有些设备根本就没有更新或修补能力。

影响：恶意软件在工业物联网中有许多潜在攻击目标，比如，攻击者在隆冬时控制智能恒温器使其不送热，或者控制电网或医院系统等，从而置人们的安全于风险中。
相关威胁：攻击工具包、恶意软件、DDoS攻击、密码攻击

（物联网）僵尸网络DDoS攻击

这种攻击并不针对工业物联网设备本身，而是利用它们来攻击其他设备（不一定是工业物联网设备）。首先，恶意软件会自动发现有漏洞的物联网设备，感染这些设备并将其纳入僵尸网络，然后利用僵尸网络发起DDoS攻击，用恶意流量淹没目标服务器。

影响：目标设备或服务被恶意流量淹没因而瘫痪。
相关威胁：攻击工具包、DDoS与恶意软件。

跳板攻击（如对云的攻击）

这种攻击是常见的匿名攻击方式。网络入侵者常通过这种攻击隐藏身份，从之前入侵的中间主机而非自己的计算机发起攻击。

影响：攻击者发动跳板攻击时会破坏一组主机，将其用作跳板，转发攻击命令。
相关威胁：APT、DDoS、恶意软件。

人为错误导致的攻击以及社会工程攻击

这种攻击通常是发动其他类型攻击的入口，是通往目的的途径。利用攻击或人为错误获取对系统的未经授权的特权访问，导致安装其他恶意内容或后门甚至是设备的物理访问权限。无论目标是单个系统/设备还是整个网络或设施，攻击者都可利用它发动攻击。由于非技术特性，这些攻击很难检测。对员工进行充分意识培训后，更容易检测环境中的可疑行为。

影响：社会工程攻击若成功发动，会创建通往系统或设施的入口，在某些情况下还会提升权限。基于人为错误的攻击可能导致系统崩溃或不稳定。此类攻击通常是高级攻击的一部分，目的或为简单的数据窃取，或为复杂的APT。
相关威胁：错误使用或管理设备和系统、OT系统中数据或配置的无意更改、设备的物理损坏、知识价值的窃取。

利用人工智能技术（AIT）发动的高度定制化攻击

识别特征进行匹配或针对工业物联网系统发动的攻击。这种攻击的主要威胁是使用一般看来无关紧要的信息。随着AIT的应用，攻击者可以将从互联网获得的特定数据和显式数据结合起来，找到安全漏洞。

影响：这些攻击高度定制，针对特定人群，如系统管理员，也会针对整个工业物联网生态系统的通信过程。这种攻击可能是第一阶段攻击，也可能发生在随后阶段中。
相关威胁：数据丢失、网络侦察。

4、安全措施与良好实践

4.1安全措施分类

智能制造中物联网安全措施的制定是本项研究的一个重点内容，目的是为工业物联网运营商、制造商和用户提供指导和建议，应用后可以帮助预防或正确应对潜在的网络攻击，确保工业物联网环境的安全保障和整体安全性。在本研究中，我们将大量精力花在了确定与此问题相关的所有重要方面上。

首先，进行了广泛的案头工作。对相关来源（见附录C）进行彻底分析，可以发现工业物联网安全中的热门话题。然后整合这些话题，初步创建安全域列表。最后，根据与利益相关方的访谈，厘清并调整列表，得出最终的20个安全域，全面展示了工业4.0的格局并指明需要保护的领域。

这些安全域从逻辑上分成三大组：

策略
组织实践
技术实践

这个分组是对安全域的大致划分，与ENISA的《物联网基线安全建议》中的分类一致。

图9：良好实践概览

4.2策略

第一组安全措施主要是指组织内部应建立的策略和程序，以帮助确保良好的网络安全水平，尤其是在涉及工业物联网解决方案的情况下。此外，隐私问题已纳入制造商和运营商的安全考虑，制造商应确保自己的解决方案不违反隐私法规，运营商应该关注隐私相关的风险，了解如何在不暴露用户个人信息的情况下使用工业物联网设备。

4.2.1安全设计

应从产品开发一开始就应用的安全措施：

PS-01：将IoT网络安全视为一个周期，而非端到端的流程。在智能制造系统开发生命周期（SDLC）中的每一步骤从设备和基础设施角度采取安全设计方法。
PS-02:通过配置端点功能确保安全，而不只是停留在网络层面。
PS-03：安全评估后，可酌情对设备—甚至是只提供有限处理能力的最基本接入设备（如执行器和转换器）—配置识别和认证功能，并确保与IAM级别方案兼容。
PS-04：在设备设计早期，让网络安全专家进行风险和威胁分析，确定需要哪些安全特性。
PS-05：每篇设计文档均应有一章单独介绍工业环境中信息和控制系统的安全。

4.2.2隐私设计

与隐私和个人数据保护相关的安全措施（这些措施应该从产品开发的第一阶段开始应用）：

PS-06：根据适用的本地和国际法规（如《数据保护通用条例》）解决隐私相关问题[44]。
PS-07：PS-07：在设计阶段，明确设备的数据处理范围以及目的，避免收集敏感数据，除非确有必要，否则避免提供敏感数据。
PS-08：确定组织存储数据的物理位置，规定哪些组织可以相互传输数据，仅对获得授权的个人开放所收集的个人数据的访问权限。
PS-09：对设备要处理的数据进行隐私影响分析（PIA）。
PS-10：将可用于识别个人身份的数据从其他信息中分离出来，确保这些数据的安全，例如，可对工业物联网环境中传输的所有个人数据加密。

4.2.4资产管理

与资产发现、管理、监控和维护相关的安全措施：

PS-11：使用支持资产管理的工具，动态发现、识别、列举组织所属和工业环境中的资产。
PS-12：确保公司维护一份统一的资产清单，且及时更新。
PS-13：若复杂的工业环境中有老旧系统，须尽量使用被动监控设备，若考虑使用主动监控工具，则须提前进行测试。
PS-14：在制造工厂的电算化环境中使用统一的资产清单。
PS-15：考虑资产管理中的安全性，通过专门的管理网络管理基础设施和安全设备。
PS-16：在系统中部署新设备时应遵循一种大家公认的、表意清晰且成熟的变更管理流程。
PS-17：若无合理业务需求，避免使用移动设备且禁用USB接口。

4.2.4风险与威胁管理

针对工业4.0环境的风险和威胁管理流程的建议安全措施：

PS-18：采取工业4.0和智能制造专用的风险管理方案，考虑新参数、威胁和攻击场景。
PS-19：对于制造环境中的关键基础设施，严格按照公司、安全和环境方面的要求制定一系列风险管理措施。评估并分析威胁、漏洞和风险管理相关的防护措施。
PS-20：根据公司的个性化需求和安全要求构建风险和威胁管理流程。
PS-21：进行风险分析，如至少每年进行一次网络安全风险分析。此外，将风险分析与其他流程相结合，如变更管理、事件处理和漏洞管理。风险评估应包括对安全策略和流程的有效性进行技术性和程序性测试。
PS-22：基于各种信息来源，并与可信工业合作伙伴、ISAC和CERT共享信息，在公司的威胁管理方案中加入威胁情报流程。
PS-23：从组织的角度，监控重点威胁，进行风险分析确定这些威胁对系统的影响。
PS-24：对于风险管理流程，可同时采取以下两种方案：自上而下地在组织层面处理网络安全问题以及自下而上地对公司现状进行细粒度的详细分析[45]。

4.3组织实践

组织原则和治理是对公司安全方面不可或缺的因素，通常至关重要。以下安全措施介绍了智能制造等工业4.0公司应如何运作、建立和遵循什么样的组织规则和责任以及对员工和第三方承包商采取什么样的方法以有效处理网络安全事件、管理漏洞并在整个工业物联网解决方案生命周期内确保安全。

4.3.1端点生命周期

与产品（包括终端设备和基础设施）生命周期不同阶段的安全相关的安全措施，包括采购流程、供应链、交接阶段、利用和终止：

OP-01：在端点生命周期各阶段关注软硬件安全。
OP-02：将安全考虑纳入整个供应链中。
OP-03：在整个采购流程中考虑安全的方方面面，制定适用于特定设备/方案的安全措施和需求。
OP-04：在产品生命周期的各验证活动或阶段，按照技术规范进行网络安全验收测试。
OP-05：在项目实施过程的移交阶段，合理制定和移交所有的网络安全文件、流程和规程。

4.3.2安全架构

与基于架构的方法和安全架构的建立相关的安全措施：

OP-06：为确保电算化生态系统的安全，采取基于整体架构的方案，基于业务需求开发纳入风险考虑的安全架构。
OP-07：制定安全架构时，确保该架构考虑了从组织层面到物理实现层面的各方面安全问题。
OP-08：在安全架构中，明确划分安全相关角色和职责，明确界定和传达OT系统和安全流程中的各个角色。
OP-09：将合规执行控制措施集成至现有安全架构中，确保所有产品均满足架构的要求。

4.3.3事件处理

与工业4.0环境中潜在事件的检测和响应相关的安全措施：

OP-10：根据公司的经营领域和范围，定义与组织相关的网络事件，依据适用标准对其进行分类。
OP-11：考虑建立由OT和IT网络安全专员构成的网络安全运营中心（SOC）,提供与网络安全事件相关的支撑。按相应角色和职责，将这些安全专员划分到具体支持部门。
OP-12：建立事件处理流程，涵盖受影响资产识别、漏洞识别和分类、升级和通知阶段。
OP-13：及时检测和调查每起安全异常事件。

4.3.4漏洞管理

与漏洞管理流程及其活动和漏洞公布相关的安全措施：

OP-14：制定组织的全面漏洞管理流程，包括根据风险分析结果选择使用自动或手动工具。
OP-15：弥补安全缺口时，须考虑资产和系统的重要性，从最严重的漏洞入手。
OP-16：制定全面清晰的漏洞披露流程。
OP-17：在受控环境中或在调试开始前/进行中，对新的工业物联网方案进行渗透测试。
OP-18：OT和IT部门要紧密配合，确保与系统业务负责人、决策机构等利益相关方有效合作。

4.3.5培训与意识

与工业物联网设备和系统使用人员的安全培训和意识培养相关的建议安全措施：

OP-19：采取全面的员工安全培训和意识方案，确保覆盖组织内各层级的员工，涵盖工业4.0各种新威胁。
OP-20：在新员工正式开始工作前为其提供网络安全培训。
OP-21：务必坚持定期开展安全培训，且及时更新培训内容。
OP-22：为工业物联网用户提供设备安全使用相关培训，解释部署的工业物联网设备及其生态系统保护技术。
OP-23：考虑与其他公司进行部门级（如供应链）沟通，加入国际安全社区，这些社区允许不同组织间进行交流、合作与情报共享，提高安全意识。

4.3.6第三方管理

与第三方管理和第三方访问控制相关的安全措施：

OP-24：本着最小权限原则，严格控制第三方对控制层或生产层的访问权限，该权限仅在一定时间内用于特定用途。
OP-25：请勿向厂商提供控制层或生产层系统的直接连接，仅允许访问某些必要功能和网络的某些部分。
OP-26：让供应商提供有关其流程安全和产品承诺方面的信息。针对厂商和服务提供商，开发特定安全需求。
OP-27：在相关协议和合同中明确规定与第三方合作的所有相关方面，包括安全。

4.4技术实践

除了应用策略和组织实践外，还要通过工业物联网解决方案的合理技术能力和部署环境来解决安全问题。下面列出的技术安全措施是整个安全问题的最后一个方面，帮助工业4.0和智能制造公司提高安全水平。本节概述了在设备中应实施的技术安全措施、相应的解决方案以及方案实施方法，还为智能制造公司提供了安全建议，确保其基础架构的弹性和生产过程的连续性。

4.4.1可信性与完整性管理

有助于确保数据和设备完整性与可信性的安全措施：

TM-01：运行软件之前须验证其完整性，确保软件来源可靠（有供应商签名）并且获取方式安全。
TM-02：采用相应方法，如数字证书/PKI，对OT网络中的所有工业物联网设备进行授权。
TM-03：用白名单形式确定工业物联网设备之间的数据交换通道，尽量选择安全通道。
TM-04：实施应用白名单机制，应至少每年审核一次，而且在系统发生变化时也要审核。

TM-05：使用合适的加密机制以及满足实施方案处理能力的密钥存储，确保生产数据的完整性。

TM-06：对静态和传输中的生产数据进行监控，识别潜在的非授权数据修改。

4.4.2云安全

与云计算各安全维度相关的安全措施：

TM-07：确定所需的云类型时要评估对业务和隐私的影响，考虑云服务提供商所在国及入网点适用的法律和法规。
TM-08：与云安全提供商签署的协议应尽量明确规定安全性和可用性。
TM-09：避免基于云的应用和集中化系统中出现单点故障。
TM-10：确定私有部署模型或至少是混合部署模型中的关键系统和应用。若考虑利用公共云，应首先进行风险分析。
TM-11：为缓解云攻击相关风险，采取零知识安全方案，保护云中的所有数据及传输中的数据。

4.4.3业务连续性与恢复

以下安全措施与公司确保安全事件发生时的运营弹性和持续性的计划的制定、测试和评审相关：

TM-12：制定业务连续性计划和容灾计划，着重确保工业4.0系统的恢复能力。定期对这些计划进行测试，并依据从测试和实际发生的安全事件中得出的经验教训进行相应修改。
TM-13：制定关键业务和技术流程，确定对业务连续性的影响程度。
TM-14：进行威胁和风险评估，依据评估结果,编写书面流程，说明如何恢复正常（需明确定义）运行状态。
TM-15：考虑应急计划前应先进行风险分析。制定应急计划，并通过开展可控的活动对其进行测试。定期审核该计划并进行相应调整。
TM-16：在业务连续性和恢复计划中，明确第三方相关内容。
TM-17：定义公司业务连续性相关的重要参数，如恢复时间目标（RTO）、恢复点目标（RPO）、允许的最长中断时间（MTO）和最低业务持续目标（MBCO）。

4.4.4机器对机器安全

与机器对机器通信安全中的密钥存储、加密、输入验证和保护相关的安全措施：

TM-18：将服务层长期密钥（除公钥外）存储在基础设施设备中的服务器-硬件安全模块（HSM）中。
TM-19：利用安全可靠的加密算法在通信实体之间建立安全关联，实现双向认证，确保完整性和机密性。
TM-20：确保采用的通信协议可检测一则消息的全部或部分内容是否未经授权而与之前消息重复。
TM-21：利用正输入验证/白名单输入验证，防范跨站脚本执行和命令注入。

4.4.5数据保护

与组织各级机密数据保护和数据访问管理相关的安全措施：

TM-22：保护静态数据（易失性内存和非易失性内存中的数据）、传输中的数据以及正在使用的数据。
TM-23：基于风险分析对与OT系统相关的数据进行分类，评估重要性，定义必要安全措施，确保合理的安全水平。
TM-24：按照最小特权和“按需知密”原则向第三方授予某些类别数据的访问权限并作相应记录。
TM-25：对于高度机密的数据，实施加密和密钥管理，只允许授权用户读取信息，并使用数据泄露防护（DLP）解决方案。
TM-26：依据所有相关法律要求，将公司内部处理的所有直接或间接的个人数据进行匿名化处理并保护，如采用基于角色的访问控制和加密措施。

4.4.6软件/固件更新

与补丁验证、测试和执行相关的安全措施：

TM-27：验证端点的软件/固件的真实性和完整性，确保严格控制更新。
TM-28：验证更新的来源，且仅当经过风险分析后，才执行自动更新过程。
TM-29：只有证明了不存在负面后果才为工业物联网设备打补丁，在生产环境中打补丁之前，务必在测试环境中进行测试。
TM-30：第三方仅在保证且能够证明补丁已经过测试且不会对设备产生任何负面后果或者第三方根据适用协议愿意承担更新责任时才可以加载补丁。
TM-31：对无法更新的控制系统应用补偿措施。

4.4.7访问控制

与远程访问、认证、权限、账号和物理访问控制相关的安全措施：

TM-32：隔离远程访问，即开发用于控制远程通信的规则集。
TM-33：务必保证工业物联网设备和系统的最基本认证，确保仅授权访问系统的某个网段。
TM-34：在工业物联网方案中实现/使用多重身份认证功能。
TM-35：在调试/首次使用时更改默认密码和用户名，使用强密码，并要求在指定期限后修改密码。
TM-36：应用最小权限原则，确保在多用户环境中，角色合理隔离，并经相关人员批准。
TM-37：尽可能为不同用户创建不同的个人账户。
TM-38：在工业物联网设备中实现并/或使用账号锁定功能。
TM-39：对于具有大量设备的大型多样化网络，采用特权访问管理（PAM）方案。
TM-40：访问控制应覆盖对建筑物、区域、房间和机柜位置的物理访问。

4.4.8网络、协议与加密

可通过恰当的协议实施、加密和网络分段帮助确保通信安全的安全措施：

TM-41：保护与工业物联网方案相关的信道安全。对于重要数据，若技术允许，加密其通信。
TM-42：基于预定义的分区模型（例如普渡模型）来分割工业工厂网络，建立非军事区（DMZ），控制不同区域之间的流量。
TM-43：采用微分段方法，在相同网络内构建能够相互通信的小岛，控制网段之间的网络流量。
TM-44：将安全网络与业务和控制网络尽量隔离开来。
TM-45：对于工业物联网解决方案，基于标准和技术建议，使用具有已知安全功能的经过实践验证的协议。所选用的方案应使用已证明安全或解决了历史安全问题的协议（例如TLS 1.3），避免使用具有已知漏洞的协议（例如Telnet、SNMP vl/v2等）。
TM-46：同一系统中的各种设备实现不同协议时，确保协议之间的安全功能和互通性。
TM-47：尽可能限制在特定环境中实现的协议数量，禁用无用的默认网络服务。
TM-48：保证密钥交换和密钥管理在安全环境中进行，同时避免跨设备共享加密密钥。
TM-49：确保合理、有效地使用加密技术来保护传输和静态数据与信息（包括控制消息）的机密性、真实性和/或完整性。保证选择正确的标准和强加密算法以及强密钥，禁用不安全协议。验证实现的稳健性。

4.4.9监控与审计

与网络流量和可用性监控、日志收集和评审相关的安全措施：

TM-50：在IT和OT环境中实施被动监控方案，创建工业网络流量基线并监控异常及基线遵守情况。
TM-51：使用专门工具（如SIEM类方案）实时收集、分析安全日志，比如在安全运营中心（SOC）内进行该操作。
TM-52：定期检查网络日志、访问控制权限和资产配置。
TM-53：若技术允许，实时监控工业物联网设备的可用性。

4.4.10配置管理

与安全配置、配置更改管理、设备加固和备份验证相关的安全措施：

TM-54：为不同类型的资产定制基准安全配置。
TM-55：部署具有配置管理功能的机制和支持工具。
TM-56：根据组织基于风险分析制定的变更管理策略，实施和记录配置变更。
TM-57：制定专门的影响分析流程，在对系统实施变更前执行该流程。
TM-58：加固工业物联网方案并将其纳入变更管理策略中。
TM-59：创建并应用全面的备份计划，包括针对不同类型资产量身定制的定期测试规定。

术语表

APT Advanced Persistent Threat 高级持续性威胁

BCP Business Continuity Plan 业务持续性计划

BLE Bluetooth Low Energy 低功耗蓝牙

CRM Customer Relationship Management 客户关系管理

CERT Computer Emergency Readiness Team 计算机应急响应小组

(D)DoS (Distributed) Denial of Service （分布式）拒绝服务

DCS Distributed Control System 分布式控制系统

DRP Disaster Recovery Plan 灾难恢复计划（灾备/容灾计划）

ERP Enterprise Resource Planning 企业资源规划

ESS Executive Support System 主管支持系统

HMI Human Machine Interface 人机界面

ICS Industrial Control System 工业控制系统

IDS Intrusion Detection System 入侵检测系统

IP Internet Protocol 互联网协议

IPS Intrusion Prevention System 入侵防护系统

ISAC Information Sharing and Analysis Centre 信息共享与分析中心

M2M Machine to Machine 机器对机器

MES Manufacturing Execution System 制造执行系统

ML Machine Learning 机器学习

MQTT Message Queuing Telemetry Transport 消息队列遥测传输

PLC Programmable Logic Controller 可编程逻辑控制器

QC Quality Control 质量控制

RTU Remote Terminal Unit 远程终端单元

SCADA Supervisory Control and Data Acquisition 数据采集与监控系统

SIEM Security Information and Event Management 安全信息与事件管理

SIS Safety Instrumented System 安全仪表系统

SOC Security Operations Centre 安全运营中心

TCP Transmission Control Protocol 传输控制协议

WMS Warehouse Management System 仓库管理系统

附录A：关于ENISA物联网基线安全建议

《物联网基线安全建议》是欧洲网络与信息安全局（ENISA）之前发布的一份研究报告，目的是制定关键基础设施中的物联网安全指南。本文基于并参考该报告，深入探讨了工业物联网和工业4.0特定领域的网络安全。

由于本文基于《物联网基线安全建议》展开介绍，因此文中的各种定义和物联网相关内容与ENISA的常规处理一致。我们在后面会介绍IIoT与IoT之间的关系。ENISA对物联网的定义为：“由互联的物理和潜在虚拟的传感器和执行器组成的网络物理生态系统，可实现决策智能化。信息是物联网的核心，为感测、决策和行动这一连续性循环提供参考。”

根据图10所示的商业功能划分标准，IoT可分为消费者IoT和工业IoT，前者是为消费者带来增值的智能连接产品平台，后者为机器连接，提升资产性能和产品质量，便于追踪和问责。

图10：消费者和工业物联网设备

工业物联网概念可以使人联想到实现工业数字化的物联网。一般来说，物联网是个更为广泛的概念，涵盖各类消费产品，而工业物联网则专指用于OT（运营技术）环境的物联网。虽然两者在技术上颇为相似，但物联网系统通常更注重易用性，而非安全性。相较而言，工业物联网需要满足OT环境特定的安全需求，因而在业务驱动因素和特征方面[46]存在差异。

表4工业物联网和物联网在特定方面存在的差异

特征	IoT	IIoT
关注点	保护个人数据和资产。	防止流程中断，确保安全。
重点事项	机密性、完整性和可用性。	可用性、完整性和机密性。
设备故障影响	无严重后果。	流程中断、影响生产，还可能带来物理威胁。
威胁响应	可能会关机，进行修复。	运营维护。
升级包和补丁管理	可能会在运行期间安装升级包和补丁，不会拖延很长时间。	需按计划安排并在停机期间安装升级包和补丁，可能会将升级延后很长时间。
设备生命周期	设备升级较为频繁。	设备的生命周期较长（15年以上[47]）。
部署条件	正常。	恶劣环境（温度、震动等）

附录B：安全措施/优秀实践详细列表

见附件

附件下载

智能制造时代下的物联网安全良好实践

免责声明

本文原文来自于互联网的公共方式，由绿盟科技博客和“安全加”社区出于学习交流的目的进行翻译，而无任何商业利益的考虑和利用，“安全加”社区已经尽可能地对作者和来源进行了通告，但不保证能够穷尽，如您主张相关权利，请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证，也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时，用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途，也不以任何方式修改本译文，基于上述问题产生侵权行为的，法律责任由用户自负

[1] 参见与工业4.0概念相关的欧盟计划和项目：https://ec.europa.eu/growth/toolsdatabases/dem/monitor/tags/industry-40

[2] 参见欧盟数字化工业的国家计划和项目：https://ec.europa.eu/growth/toolsdatabases/dem/monitor/category/national-initiatives

[3] 参见欧盟委员会和第四次工业革命：https://ec.europa.eu/digital-single-market/en/fourth-industrial-revolution

[4] 参见物联网创新联盟：https://ec.europa.eu/digital-single-market/en/alliance-internetthings-innovation-aioti

[5] 参见数字化单一市场：https://ec.europa.eu/commission/priorities/digital-single-market/

[6] 参见欧盟委员会的《欧洲物联网的发展》：https://eur-lex.europa.eu/legalcontent/EN/TXT/?uri=CELEX:52016SC0110

[7] 参见ENISA（2017）的《物联网基线安全建议》：https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot/at_download/fullReport

[8] 本文与《ENISA物联网基线安全建议》的关系，见附件A。

[9] 参见平台工业4.0：https://www.plattform-i40.de/I40/Navigation/EN/Home/home.html

[10] 参见智能工业：https://www.smartindustry.nl/

[11] 参见工业未来联盟：http://www.industrie-dufutur.org/

[12] 参见欧盟委员会（2016）的《数字化欧洲工业：充分体现数字化单一市场的好处》：https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52016DC0180

[13] 参见欧洲议会和欧盟理事会（2016）的《数据保护通用条例》：https://eurlex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32016R0679

[14] 参见美国国会（2017）的《物联网安全提升法案》：https://www.congress.gov/bill/115th-congress/senate-bill/1691/text?format=txt

[15] 参见加利福尼亚州物联网网络安全法案：https://www.cnet.com/news/california-governor-signscountrys-first-iot-security-law/

[16] 参见美国国土安全部（2016）的《物联网安全战略原则》：https://www.dhs.gov/sites/default/files/publications/Strategic_Principles_for_Securing_the_Internet_of_Things-2016-1115-FINAL….pdf

[17] 参见美国国家标准技术研究所（NIST，2017）《网络安全框架 – 制造篇》：https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8183.pdf

[18] 参见物联网安全专家小组：https://resilience.enisa.europa.eu/iot-security-experts-group-1

[19] 参见EICS专家小组：https://resilience.enisa.europa.eu/eics-experts-group

[20] 参见ENSIA（2017年）的《物联网基线安全建议》：https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot/at_download/fullReport

[21] 参见全球互联工厂（2016）的《制造控制系统网络安全：风险评估与缓解战略》：http://www.connectedfactoryglobal.com/resources/cybersecurity-report/

[22] 参见平台工业4.0（2016）的《技术概述：安全标识》：https://www.plattformi40.de/I40/Redaktion/EN/Downloads/Publikation/secure-identities.pdf?__blob=publicationFile&v=9

[23] 参见平台工业4.0（2018）《RAMI4.0：数字化参考框架》：https://www.plattformi40.de/I40/Redaktion/EN/Downloads/Publikation/rami40-an-introduction.pdf?__blob=publicationFile&v=4

[24] 参见美国国家标准技术研究所（NIST，2016）的《智能制造系统现有标准体系》：https://nvlpubs.nist.gov/nistpubs/ir/2016/NIST.IR.8107.pdf

[25] 参见TOPBOTS（2017）的《未来工厂：人工智能如何推动智能制造》：https://medium.com/topbots/future-factories-how-ai-enables-smart-manufacturing-c1405f4ec0e6

[26] 参见高速寻址远程变送协议（HART）：https://www.fieldcommgroup.org/technologies/hart

[27] 参见MODBUS TCP/IP规范：http://www.modbus.org/specs.php

[28] 参见开放平台通信（OPC）：https://opcfoundation.org/about/what-is-opc/

[29] 参见OPC统一架构：https://opcfoundation.org/about/opc-technologies/opc-ua/

[30] 参见卡巴斯基实验室（2018）的《物联网隐忧，遭遇恶意软件攻击：卡巴斯基实验室揭秘工业组织痛点》：https://www.kaspersky.com/about/press-releases/2018_ics-cybersecurity

[31] 参见何红梅（2017）的《智能制造面临的安全挑战》：https://www.iotsecurityfoundation.org/security-challenges-on-the-way-towards-smart-manufacturing/

[32] 参见Positive Technologies（2018）的《工控系统安全：2017概览》：https://www.ptsecurity.com/upload/corporate/ww-en/analytics/ICS-Security-2017-eng.pdf

[33] 参见世界经济论坛（2015）的《工业物联网：释放互联产品和服务的潜力》：http://www3.weforum.org/docs/WEFUSA_IndustrialInternet_Report2015.pdf

[34] 参见新思科技（2017）的《2017Fuzzing状态》：https://www.synopsys.com/content/dam/synopsys/sigassets/reports/state-of-fuzzing-2017.pdf

[35] 参见NTT Security（2017）的《2017年全球威胁情报报告》：https://www.nttsecurity.com/en-us/gtir-2017

[36] 参见T.J. Williams的《企业参考体系结构》：https://www.sciencedirect.com/science/article/pii/0166361594900175

[37] 参见ISA95,详见：https://www.isa.org/isa95/

[38] 参见ENISA（云计算研究）的《实现云和物联网的安全融合》：https://www.enisa.europa.eu/publications/towards-secure-convergence-of-cloud-and-iot

[39] 所示级别与2.3节中层的概念相对应。

[40] 参见附录A:D的描述性事件列表。

[41] 参见卡巴斯基实验室（2017）的《过半遭遇Expetr（Petya）加密程序攻击的组织为工业公司》： https://ics-cert.kaspersky.com/alerts/2017/06/29/more-than-50-percent-of-organizations-attacked-byexpetr-petya-cryptolocker-are-industrial-companies/

[42] 参见ENISA（2016）的《ENISA威胁分类法：威胁信息构造工具》：https://www.enisa.europa.eu/topics/threat-risk-management/threats-and-trends/enisa-threatlandscape/etl2015/enisa-threat-taxonomy-a-tool-for-structuring-threat-information

[43] 参见FireEye（2017）的《攻击者部署新型ICS攻击框架TRITON，导致关键基础设施运营中断》：https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attackframework-triton.html

[44] 数据保护通用条例，https://eur-lex.europa.eu/eli/reg/2016/679/2016-05-04

[45] 关于自上而下和自下而上的方法，详见附录B。

[46] 请参见工业互联网联盟2016年发布的《工业物联网G4卷：安全框架》：https://www.iiconsortium.org/pdf/IIC_PUB_G4_V1.00_PB.pdf

[47] 请参见思科2017年发布的《工业4.0网络安全》：https://i40.hkpc.org/CyberSec/pdf/Day%201_1110-1150_Mr.%20Garrick%20Ng%20(new).pdf