工业互联网是我国“新基建”战略的重要组成部分，具有“变”“融”“新”的特征，其所面临的安全风险与传统的互联网有极大不同。
　　《工业互联网安全：架构与防御》从工业互联网的参考安全框架出发，将工业互联网视为一个复杂巨系统，并综合对手观察视角、对象防护视角、防御组织视角来分析工业互联网的安全问题。
　　内容上，《工业互联网安全：架构与防御》按照“威胁分析一安全检测一安全防御”的思路组织章节顺序，更加符合读者对安全的认知规律。同时，重点对信息物理融合的安全威胁进行介绍，并以设备安全和控制安全作为核心分析对象，帮助读者理解如何在工业互联网的场景下构筑内生安全防御体系。

　　魏强，战略支援部队信息工程大学教授，博士生导师，漏洞研究中心主任，研究方向为软件系统安全分析与工业互联网安全。国防科技工业网络安全创新中心首席研究员，中国国家信息安全漏洞库首批特聘专家。国家863重点课题、国家重点研发计划课题、国家自然科学基金课题、国防科技创新特区课题等的负责人。
　　
　　王文海，浙江大学求是特聘教授，长期致力于工业控制系统的研发。面向国家重大需求，历经30年持续攻关与迭代，重点解决了控制装置的高端性能与自主安全、成套专用与综合安全、广域协同与工程安全、智能防御与内生安全等关键技术问题，取得大量系统性创新成果，建立了独具特色的工业控制装置及系统的技术体系和装备系列，在能源、冶金、石化等领域实现了大规模工业应用。获国家科技进步一等奖1项、二等奖3项，省部级一等奖5项。获授权发明专利27项，登记软件著作权53项，发表论文99篇。
　　
　　程鹏，教授，浙江大学控制科学与工程学院副院长、网络空间安全研究中心副主任。研究兴趣为工业互联网安全、信息物理融合系统。研究获得国家自然科学基金重点、国家科技部重点研发课题等项目资助，成果获国家科技进步二等奖1项，教育部自然科学一等奖2项，教育部青年科学奖。获得霍英东教育基金青年教师奖一等奖、JSPS Invitation Fellowship、IEEE通信协会亚太区杰出青年学者等荣誉，并入选2020年教育部长江学者特聘教授。现任中国自动化学会青年工作委员会副主任、工业控制系统信息安全专委会秘书长等。

　　★本书的撰写由浅入深、循序渐进，通过实际案例与学科前沿问题相结合、现状总结与趋势发展相结合、理论分析与动手实践相结合的方式，生动地展示了工业互联网安全攻防对抗过程，可为不同类型的读者提供需要的学习资料。
　　——孙优贤，中国工程院院士
　　
　　★作者站在系统性思维的高度去追寻工业互联网安全的根源、剖析安全的内涵、提出框架的构建原则，综合对手观察视角、对象防护视角、防御组织视角来看待工业互联网的安全问题。
　　——邬江兴，中国工程院院士
　　
　　★当前，摆在我们面前的一个紧迫任务是，伴随着工业互联网的发展，应不断研究新风险、发现新规律、总结新方法，并在此基础上让更多人了解工业互联网安全是什么，规律是什么，它和其他安全有什么不同，将来会有什么变化，该怎么应对，等等。这是构建工业互联网安全能力，确保实现工业数字化转型的必要工作。本书就是从这个角度出发，综合多方面维度系统性地阐述了工业互联网安全的脉络，并提出了很多创新性的前瞻思考，非常适合工业互联网安全相关人员参考和学习。
　　——杜跃进，360集团首席安全官

序一
序二
序三
前言
第1章　绪论1
11　工业互联网的出现与发展1
111　工业互联网出现的必然性1
112　工业互联网发展的持续性4
12　从架构看特性8
121　工业互联网的参考体系架构8
122　系统特性分析10
13　从特性看安全14
131　信息系统的开放性与控制系统的封闭性之间的矛盾14
132　工业时代确定性思维和信息时代非确定性思维之间的冲突15
133　信息物理融合带来的复杂性与一致性问题16
14　工业互联网安全威胁的特点17
141　云边网端结构的攻击面更为广泛17
142　面向供应链的攻击无处不在17
143　工业互联网平台的网络安全风险日益严峻18
144　新技术和新应用带来新风险18
145　信息物理融合安全威胁显著增加19
15　工业互联网安全的发展趋势19
151　多层次、智能化、协同化的安全保障体系逐步构建完善19
152　人机物交互全生命周期一体化安全成为全局性目标20
153　工业互联网的大数据深度挖掘和安全防护成为热点20
154　内生安全防御和动态防御技术成为未来发展的重点20
155　未知入侵和功能故障的全域智能感知成为重要手段20
156　跨安全域与跨域安全的功能安全和信息安全一体化难题急需破解21
16　本书的知识结构21
17　本章小结23
18　习题23
第2章　工业互联网安全基础24
21　工业互联网安全的特征与内涵24
211　工业互联网安全的特征24
212　工业互联网安全的内涵26
22　工业互联网安全内涵的剖析29
221　系统性审视29
222　一体化考量30
223　对立统一性蕴含30
224　不失一般性31
225　具有特殊性32
23　攻击面和攻击向量的变化33
231　横向扩散使攻击面变得庞大34
232　工业数据暴露出全生命周期的攻击面34
233　棕色地带存在“过时”的攻击面34
234　攻击向量跨越信息物理空间35
24　功能安全与信息安全一体化35
241　IT与OT的安全需求差异35
242　功能安全与信息安全的平行发展37
243　功能安全与信息安全的融合需求40
25　体系化安全框架构建原则44
251　安全体系融入工业互联网系统设计44
252　一般性与特殊性相统一的过程构建45
253　对象防护与层次防护的整体安全呈现47
254　提供功能安全与信息安全融合能力47
255　缓解暗涌现性对安全系统动力学的冲击和影响48
26　主要工业互联网参考安全框架49
261　我国工业互联网安全框架49
262　其他安全框架54
263　工业互联网安全框架发展趋势55
27　本章小结56
28　习题56
第3章　信息物理融合威胁建模58
31　威胁建模58
311　信息物理融合威胁的特点58
312　信息物理融合威胁建模的新视角59
32　安全故障分析模型（物理侧）62
321　故障树分析法62
322　事件树分析法65
323　STAMP67
33　网络安全威胁模型（信息侧）74
331　KillChain工控模型74
332　ATT&CK工控模型79
34　信息物理融合的威胁模型84
341　STPA-SafeSec威胁模型84
342　端点系统架构层模型95
343　面向智能电网业务特性的威胁量化模型107
35　本章小结110
36　习题110
第4章　威胁模式分析111
41　典型事件和技术矩阵111
411　典型攻击事件112
412　技术矩阵115
42　攻击可达性的典型模式116
421　结合漏洞传播的USB摆渡攻击模式及防护117
422　第三方供应链污染及防护119
423　基于推送更新的水坑模式及防护121
424　边缘网络渗透及防护122
43　横向移动性模式124
431　利用POU在控制器之间扩散及防护125
432　利用POU从控制器向上位机扩散及防护126
433　利用工控协议从上位机向控制器扩散及防护128
434　暴力破解PLC密码认证机制及防护130
44　持续隐蔽性模式131
441　工业组态软件的DLL文件劫持及防护132
442　隐蔽的恶意逻辑攻击及防护134
443　PLC梯形逻辑炸弹及防护135
444　利用PLC引脚配置Rootkit及防护136
45　破坏杀伤性模式139
451　过程控制攻击及防护139
452　针对PLC的勒索及防护141
453　欺骗SCADA控制现场设备及防护 142
454　干扰控制决策的虚假数据注入及防护144
455　突破安全仪表系统及防护146
456　级联失效造成系统崩溃及防护147
46　本章小结149
47　习题149
第5章　设备安全分析150
51　设备安全分析基础150
511　设备安全分析的对象和重点150
512　设备安全分析的支撑技术与目标154
52　设备发现157
521　设备发现基础158
522　设备探测发现的常用方法161
523　设备真实性判断164
53　设备定位167
531　基于互联网信息挖掘的设备定位168
532

我们正处于一个激动人心的时代，“新基建”将加速网络空间与物理空间的联通和融合。作为“新基建”八大领域之一，驶入快车道的工业互联网逐渐打破了“键盘鼠标”和“大国重器”之间的界限。在数字基础设施化和基础设施数字化的大潮之下，工业互联网已成为“新基建”的重要应用场景之一。

这是一个大安全时代，工业互联网安全正从概念诞生之初的“零散建设”走向落地生根的“全局建设”。在工业互联的进程中，互联网的角色也逐步进化：从工具到思维，再到基础设施。可以看到，以To C为主的多媒体消费互联网的安全能力远不能满足工业互联网的安全需求。工业互联网安全面临着“一优两忧”。“一优”指功能安全认识之优，体现为工业互联网在设计之际、发展之初，已将功能安全或可靠性问题考虑在内，秉承安全与发展并重的原则去建设。“两忧”指的是：由于信息技术和网络技术的相互渗透，使得功能安全问题与网络安全问题交织在一起，原有的可靠性理论与相关技术已不再适用；工业互联网所连接的系统建成时间跨度长、所连接的设备类型多且范围广，生产和消费的直接连接使攻击行为可能直达生产一线，严重动摇了传统的安全理念与技术基石。

工业互联网具有“变”的特点，因此安全也要随需应变。人-机-物互联下的制造业赋能转型，推动了“智造”理念之变；基于数据驱动的生产方式与运行模式特征愈发显著，驱动了生产要素之变；工业互联网平台的开放式生态环境，加速了工业安全体系从传统的边界防护向基于零信任的重点防护格局转变。在这些革命性的变化面前，无论是信息物理世界还是功能安全与网络安全，始终要为平台、数据、智能制造的发展提供强有力的保障。这就势必要求在变化中充分把握新的规律，始终走在变化的前头，既要解决传统的功能安全问题，又要能够应对新型的网络安全需求，不断用发展的思路解决发展中的问题。

工业互联网具有“融”的特性，因此安全也要从“融”应对。信息技术、制造技术以及融合性技术共同驱动工业互联网物理系统与数字空间的全面互联和深度协同，推进流程、数据与场景的加速融合；当“停滞的原子”和“狂奔的比特”结合，物理意义上的零部件开始附带信息，信息的流动又影响物质和能量的转化，两者之间奇妙而深度的融合构建出新的信息世界观，工业互联网就具备了信息物理二元世界的双向交互与反馈闭环特性；当“制造潮流”遇上“技术新星”，碰撞产生的化学反应全面推动工业互联网的产业发展与技术进步，数字孪生、区块链、5G等技术给工业互联网带来了数变、智变与质变。融合之下，各种问题的耦合效应、投射效应都给广义安全性带来了热点、难点和痛点。工业互联网安全本身具有鲜明的跨域知识融合的特点，涉及工业、通信、安全等多个领域，要推动工业互联网朝着更高质量、更有效率、更可持续、更安全的发展目标和模式迈进，就要以此“融”化彼“融”，安全也就处在当仁不让的位置了。

工业互联网具有“新”的特征，因此安全也要迎“新”而上。工业互联网基于全面互联而形成数据驱动的智能，可以说是一切皆新。一是新机遇，工业互联网赋能垂直产业，加速转型升级，打造具有国际竞争力的工业互联网平台，促进新模式和新业态向更高层次、更深内涵迁移，从而实现“换道超车”，使我国成为制造业强国。二是新理解，要准确把握工业互联网中物理安全、功能安全、信息安全的内涵及其关系，以及信息流的不规则流动给传统的物理安全、功能安全带来的思维冲击，同时，要理解确定性与不确定性、协同与非协同、离散与非离散、开放与封闭的对立统一。三是新挑战，在当前网络对抗的强度、频率、规模和影响力不断升级的情况下，推进工业互联网与安全生产协同发展，提升工业企业的本质安全水平，本身就蕴含着巨大的挑战。
随着工业互联网的规模化推广、平台的持续化深耕，作为三大核心要素之一的安全，尽管在工业互联网安全保障体系的构建、数据安全保护体系的建立、工业互联网安全保障能力的体系化布局、安全技术手段的创新发展，以及重点行业的应用实践与创新探索等方面都取得了长足的进步，但我们还要清醒地认识到，作为发展中的事物，工业互联网安全领域仍有很多东西值得探索，包括具有实践借鉴意义的方法论以及系统性的知识体系、攻防两侧视角的专业性知识，并以此推动整个工业互联网安全领域的技术创新、成果转化、应用推广与生态建设。

本书就是在上述愿景中诞生的产物。在本书的成书过程中，得到了国家自然科学基金重点项目（编号：61833015）、国家重点研发计划项目（编号：2020YFB2010900，编号：2018YFB08-03501）、工业互联网创新发展工程项目（编号：TC190A449，TC19084DY）等的支持，我们高度凝练和系统总结了现有的成果。此外，我们参考了国内外最新理论和技术进展、产业界的新实践与新成果，希望较为系统地呈现工业互联网安全的知识体系。

本书的目标读者包括以下几类人员：
1）网络空间安全、自动化、计算机及相关专业的本科生和研究生，本书可以作为他们学习工业互联网安全的教材。
2）安全从业者，本书可以作为他们全面了解工业互联网安全知识的入门参考。
3）安全领域的研究人员，本书可以为他们深入理解和掌握工业互联网中的安全威胁、开展相关研究提供参考。

本书从工业互联网参考体系架构出发，将工业互联网视作一个复杂巨系统，说明工业互联网自身具有的特性。然后，从这些特性的视角出发，阐述工业互联网的安全问题，引导读者思考为什么工业互联网会面临这些安全问题，探究其根源。接着，从安全根源引出工业互联网面临的安全威胁，包括系统结构、物理世界分工、技术平台应用、信息物理融合等方面带来的威胁。最后，从攻防两侧的视角说明如何形成体系性的防御方案，保障工业互联网的安全。

考虑到工业互联网安全的涉及面很广，因此我们按照“威胁分析—安全检测—体系防御”这条主线来组织内容，这样更符合安全认知的基本规律。在选择具体内容方面，我们着重在以下三个方面做了创新：一是从对手观察视角、对象防护视角和防御组织视角等多个视角审视工业互联网的安全；二是在工业互联网面临的一系列安全威胁中，重点选择信息物理融合的安全威胁进行介绍；三是在五大防护对象（设备、控制、网络、数据、应用）中，突出介绍了“设备”和“控制”对象安全并独立成章。

1多视角选择问题

网络安全的本质是对抗，对抗中最重要的是提升本方能力，也就是保护自己的能力。因此，首先要学会用赢家思维，站在对手观察视角，像对手一样去思考，从而更好地掌握对手的套路，洞见对手所拥有的能力，知其趋势、依其模型、破其技术矩阵，从而做到应对有方。其次，站在对象防护视角有利于解决共性基础安全问题。从局部和整体的关系来说，这些对象的安全共同构成了整体安全。从覆盖面来说，这些对象涉及我国工业互联网平台实施架构中设备层、边缘层、企业层中的相关防护对象。同时，应该注意到，美国的工业互联网也涵盖端点保护、通信和连接保护、数据保护等所界定的防护对象。最后，从体系上考虑防护能力建设问题，必然要从宏观到微观、从安全规划到运营维护全面提升整体防御组织水平。今天的安全形势已经发生了巨大变化，买一些软硬件防护盒子，将它们简单堆叠或附加到系统上就能解决安全问题的时代已经过去，对手已经不是“脚本小子”，而可能是难缠的专业级选手。因此，体系防御既需要从目标、宏观、指导性层面掌握方法论，又需要了解安全防御技术的演进，理解防御理念的发展变化，更要面向实战加强主动设计与规划水平，学会运用场景化的安全运维技术。总之，面对工业互联网的新安全挑战，要转变安全思维，从被动防御过渡到主动防御，提升态势感知、监测预警等能力。

2主要威胁关切问题
工业互联网面临着各种各样的威胁，限于篇幅，本书不可能针对所有威胁源和威胁手段展开全面分析。工业互联网面临的传统网络安全威胁、工业云安全问题等在很大程度上可以归结为内生安全共性问题，解决这些问题的相关资料不难找到，因此本书不再赘述。本书重点关注工业互联网中信息物理融合或功能安全与网络安全交集这类新兴的安全威胁。随着信息化、智能化深入生产一线，操作技术和信息技术深度融合，生产系统直接连接到网上，生产和消费的双边网络效应凸显。结合特定的工艺和流程，传统攻击向量可以穿透网络空间直达物理空间，而物理世界的注入量可变成信息量，反过来通过物理世界对虚拟世界产生影响。此外，攻击者总是寻求例外之道，信息侧与物理侧攻击手段结合后的新型威胁不断涌现，这类威胁不易检测，让人防不胜防，所以本书在选取典型威胁模式的时候，聚焦于信息物理融合的安全威胁，并以工业控制系统为重要场景，建立相应的技术矩阵，进行威胁模式分析。

3保护对象关注问题
在工业互联网安全实施架构中，设备、控制、网络、应用、数据五大防护对象存在于设备层、边缘层和企业层。本书选择设备安全和控制安全作为重要的分析对象，主要基于以下三点考虑。一是对于工业互联网而言，设备与控制的安全是整个安全的数字化基石。工业互联网产业联盟执行理事Soley曾说过，“确保工业运行安全性和可靠性的关键在于确保连接到互联网的设备和系统是安全的”。二是从现实情况来看，设备网络安全问题十分突出，依然是重中之重。根据《中国工业互联网安全态势报告（2019）》的数据，2019年工业互联网的安全问题主要是工业设备（如工控系统、物联网设备等）安全性需要提升，急需加强针对工业设备漏洞的防护。国家互联网应急中心发布的《2020年上半年我国互联网网络安全监测数据分析报告》指出，网络恶意程序增长较快，安全漏洞大幅增长，工业互联网设备存在严重的安全隐患。三是限于本书篇幅，无法做到面面俱到。网络、应用、数据的安全也非常重要，尤其是数据，其包含生产经营相关业务数据、设备互联数据、外部数据等，且作为全新的生产要素资源在整个系统中共享流动，一旦出现安全问题，将会给信息物理世界造成极大损失。例如，预见性维护会收集环境运行情况的数据，帮助企业及时发现并替换有问题的设备，但如果这些数据被篡改或者落入有恶意的人手中，企业将面临停工停产甚至事故伤亡的风险。