本书为读者提供了针对IIoT安全各个方面的综合理解，以及用来构建部署安全IIoT解决方案的实践技术。书中介绍IIoT安全的基本原则、威胁模型、参考架构，以及现实生活中的实例分析学习，涵盖了用来设计基于风险安全控制方案的各种实用工具，并且深入讨论了多层防御相关技术，包括IAM、终端安全、互联技术以及基于边界和云环境的应用。IIoT研究人员、安全专家、架构师、开发人员等能够从本书中获得保护IIoT生命周期流程、标准化、治理与评估新兴技术（比如区块链、人工智能以及机器学习）适用性方面的实用经验，从而实现成规模、可靠且具有社会效益的互联系统。

工业互联网联盟首席技术官斯蒂芬·J·梅勒鼎力推荐，全方位阐释工业物联网安全实践
涵盖用来设计基于风险的安全控制方案的各种实用工具
讨论多层防御技术相关的实用技能，包括IAM、端点安全、互联技术以及基于边界和云环境的应用

工业物联网（IIoT）正在为我们带来巨大的社会和经济机遇。它开启了一个自主机器和智能过程的崭新时代。然而，互联互通会带来一个不可避免的副作用，即我们将暴露于网络入侵的威胁之中。因此，安全性也就成为IIoT部署过程中人们最关注的问题。IIoT安全性与物理系统的可靠性，以及人与环境的物理安全性等有着错综复杂的联系。
本书为读者提供了针对IIoT安全各个方面的内容，以及用来构建和部署安全IIoT解决方案的实践技术。在本书中，我们将从专业视角为读者介绍IIoT安全的基本原则、威胁模型、参考架构，以及现实生活中的案例分析。
本书涵盖了用来设计基于风险的安全控制方案的各种实用工具，并且深入讨论了多层防御相关技术，包括IAM、端点安全、互联技术以及基于边界和云环境的应用，如此读者才能牢固掌握重要的安全规程。除了开发人员、架构师、生产经理、制造商和业务经理之外，很多相关人员都应该关注对IIoT生命周期中的流程、标准化操作、治理所进行的安全加固，以及对新兴技术（例如，区块链、AI/机器学习、TSN以及量子计算）可用性所进行的评估，从而大规模地实现稳定且具有社会效益的互联系统。
本书读者对象
本书的目标读者是IIoT从业者，包括IIoT研究人员、安全专家、架构师、开发人员以及业务利益相关者。任何需要深入理解工业设施互联所带来的独特物理安全和信息安全挑战，以及需要学习实用方法来保护工业资产的人，都可以从本书中获益。
本书主要内容
第1章介绍基本的IIoT概念、定义，以及保护ICS/SCADA/DCS系统所面临的独特挑战。本章还就一些典型IIoT用例的安全评估工作进行了深入研讨。
第2章帮助读者深入理解工业应用中的数据流、参考架构以及IIoT的风险管理方法。最后，本章基于工业互联网安全框架（Industrial Internet Security Framework，IISF），建立了一个端到端的IIoT安全架构。
第3章全面介绍用于保护IIoT架构的身份与访问控制技术及其演化发展。
第4章介绍端点安全的重要主题，帮助读者真正理解保护IIoT端点的重要性、挑战以及解决方案。
第5章介绍工业互联网连接框架（Industrial Internet Connectivity Framework，IICF），同时从深度与广度两方面探讨IIoT连接技术和架构，从而帮助读者深入洞察其安全态势。
第6章利用现实中的IoT系统云环境示例，讲解从边界到云端保护IIoT应用的安全技术。
第7章讨论IIoT安全在管理与治理方面的重要角色，目的是为业务经理和业内人士提供一些指导意见。
第8章帮助读者理解众多的新兴技术，并在保护联网的工业用例方面对其进行评估。
第9章涉及本书讨论的IIoT安全的各个方面，并且结合实例进行讲解。
第10章对本书提到的技术发现进行简要总结，并对下一步要做什么进行了总结陈述与展望。
如何使用本书
为满足具有IT或业务背景的技术专业人员以及组织的业务经理的需求，本书进行了精心编排。第3～6章都包含了一些高级内容，因此要求读者具有一定的IT背景，并具有一些工业方面的基础知识。其余章节则为具备技术和业务背景的IIoT从业人员提供了至关重要的知识。
下载本书彩图
本书中所用的截图和样图，可以从http://www.packtpub.com通过个人账号下载，也可以访问华章图书官网http://www.hzbook.com，通过注册并登录个人账号下载。
本书约定
警告或重要的注意事项。
小建议或小窍门。

计算机\安全

保护联网的工业系统与自治系统的安全，是工业物联网（Industrial Internet of Things，IIoT）社区颇为关注的课题。与网络安全不同，信息物理安全是一门与系统可靠性以及人员和环境安全直接相关的复杂学科。本书能够帮助你深入透彻地理解从边界到云端保护联网的工业设施的方方面面。
本书通过介绍现实案例、威胁模型和参考架构，建立了IIoT安全的基本概念和原则。你将学习使用实用工具来为工业用例设计基于风险的安全控制手段，并学到多层防御技术相关的实用技能，包括身份与访问管理、端点安全以及通信基础设施。利益相关者（包括开发人员、架构师和业务经理）能够从本书中获得保护IIoT生命周期的流程、标准化、治理与评估新兴技术（比如区块链、人工智能以及机器学习）适用性方面的实用经验，从而大规模地实现可靠且具有社会效益的互联系统。
通过阅读本书，你将：
理解多层IIoT安全框架的重要概念
了解保护大规模部署方案中身份、访问与配置管理的相关内容
保护机器对机器（M2M）以及机器对云端(M2C)的连接
为IIoT部署方案构建实际的安全项目
通过案例学习工业IoT威胁建模以及应对措施
学习风险管理和防治计划等相关内容

在大约40年前互联网刚刚出现时，没有人担心是否安全，甚至没有人考虑这方面的问题，因为没有必要—当时所设计的应用程序的主要用途是，在欧洲核子研究组织（CERN）的各个实验室之间共享非涉密的文件；而当时的互联网工作模式，主要是具有共享意愿的私人在进行交互。
作为一项重要的发明，统一资源定位符（URL）目前主要用于个人与业务的交互。通过互联网，我们可以使用网上银行、预订航班机票和酒店，以及提供信用卡信息等。由于互联网不再是一个简单的文件共享方案，因此安全就成为一个重要的问题。此外，健康档案通常都是在线保存的，并且我们（有时在不经意间）会通过社交媒体和提供特定服务（比如约会相亲）的网站来泄露大量的个人数据。我们希望这些数据能够作为秘密进行保存。因而，个人隐私理所当然地成为一个引人关注的问题。
如今，我们正在将各种实体连接到互联网。我们可以控制现实世界中的物理设备，互联网逐渐变成业务与实体进行交互的工作模式。因此，物理安全成了一个问题。此外，以无人驾驶汽车为例，不仅需要在安全气囊等物理层面实现安全配置，而且还需要在无人驾驶技术方面做到稳定可靠，从而保证不会在时速65英里的情况下突然发生故障。它们需要具有足够的弹性，从而在汽车真正发生故障时，仍然能够平稳降速。
工业物联网（Industrial Internet of Things，IIoT）是由机器、计算机和人等各种实体组成的互联网，它将彻底改变经济和社会形态，但前提是它要有可信度。
可信度（可信赖性）是由信息技术（Information Technology，IT）和运维技术（Operational
Technology，OT）两个领域中的信息安全性（它不再仅仅指网络中的安全）、私密性、物理安全性、可靠性和稳定性共同组合而成的概念。这个集合中包含了来自很多不同区域、使用不同术语（“?安全?”一词对于IT专家和工厂经理而言具有不同的含义），并且拥有不同时间线（在我们谈论的时候，IT行业正在为我的手机更新换代，而一个化学工厂则需要进行大量的合规性检验）的人。这就要求我们对文化、进程、价值和重点进行仔细的思考和调整。
因此，可信度是一个复杂而昂贵的主题，其中包含了多个方面的内容和原则。它要求相关人员掌握全面的基础知识，从而提升安全意识、专业技能和实践能力。它直接关系到全世界经济和社会中的安全性、环境破坏以及伦理道德。然而，企业利益相关者和技术专家（包括系统开发人员、集成商和制造商）对于可信度还是缺乏全面的理解。想要使用IIoT的工业用户需要综合性的指导。
本书包含了IIC的相关工作、现有标准以及最佳实践，并将它们整合成一本安全从业人员的指导手册。它广泛适用于多个垂直领域，其目标读者主要是解决方案架构师以及任何负责IIoT安全的人员，旨在通过简短的篇幅来帮助他们理解IIoT所涉及的安全问题。本书将这些框架无缝结合在一起，展示了它们对于多种IIoT实例的实用性。
当今的工业界十分需要这样的资源。本书填补了概念框架和实践之间的空白，着重介绍了贯穿于生命周期的安全角色和责任，从业务实例和需求定义到开发和集成阶段，一直到部署与现场操作。除了IIC资源，读者还将发现其他一些有用的工业参考资料，包括IEEE、IEC、OMG、云安全联盟、NIST以及一些研究组织和学院等的研究成果。而就本书而言， 我们将主要介绍IIC的关注内容和新方案。
本书并不是对IIoT安全的总结陈述，而更像是一段旅程的起点，读者可以从这里开始认识一个数字互联的世界，并且一起完善它，从而应对在可预见的将来可能会出现的安全挑战。

斯蒂芬·J.梅勒
工业互联网联盟首席技术官
2018年6月27日于美国加利福尼亚州拉荷亚

[美] 斯拉瓦尼·巴塔查尔吉（Sravani Bhattacharjee） 著：Sravani Bhattacharjee是一名数据通信技术专家，拥有20多年的从业经历。一直到2014年，她以一名思科（Cisco）公司技术主管的身份，领导主持了针对多家企业的云端/数据中心解决方案的架构设计和安全评估工作。作为Irecamedia公司的负责人，她目前致力于与工业物联网创新力量合作，通过制订行业白皮书，以及发表各种评论和技术营销内容，来推动相关认识和商业决策的进步。她是一名IEEE物联网小组成员，一位作者以及一位演说家；她拥有电子工程专业硕士学位。

本书指出了工业物联网的安全边界及安全问题，通过实例提供了一系列解决方案，可作为工业物联网安全从业人员的指导用书。正如工业互

联网联盟的斯蒂芬·J.梅勒先生所说的，本书填补了工业物联网安全的概念框架和实践之间的空白，实用性较强，对于安全从业人员非常有

益，值得细读。
本书的翻译在不偏离原意的前提下尽可能保证语句顺畅，使读者读起来不至于太生硬。对于其中翻译不到位的地方，还请读者见谅。
感谢对本书翻译工作付出辛勤劳动的北京邮电大学的陈晨、徐涵、张政、姚敏等，他们在相关专业术语的翻译方面提出了很多宝贵的建议。
本书的译者之一李伟博士在新婚燕尔之际抽出身来完成翻译工作，借本书祝愿他们夫妇百年好合。
感谢中国信息安全测评中心对本书的支持与帮助。

马金鑫

译者序
序言
前言
作者简介
评审者简介
免责声明
第1章　一个前所未有的机会 1
1.1　定义工业物联网 2
1.1.1　工业物联网、工业互联网以及工业4.0 3
1.1.2　消费者与工业物联网 5
1.2　工业物联网安全：一种商业必然 6
1.3　网络安全与网络物理物联网安全 7
1.4　工业“?物?”、连接和运维技术 9
1.4.1　运维技术 9
1.4.2　机器对机器 10
1.4.3　SCADA、DCS和PLC概述 10
1.4.4　工业控制系统架构 11
1.5　IT和OT结合：真正的含义 15
1.6　工业物联网部署架构 16
1.7　IT和OT安全基础的差异 18
1.7.1　操作优先级 18
1.7.2　攻击面和威胁对象 19
1.8　工业威胁、漏洞和风险因素 22
1.8.1　威胁和威胁对象 22
1.8.2　漏洞 24
1.8.3　风险 25
1.9　网络物理攻击的演变 26
1.10　工业物联网用例：检查网络风险缺口 27
1.10.1　能源和智能电网 28
1.10.2　制造业 28
1.10.3　工业控制系统中的网络攻击：Stuxnet案例学习 29
1.10.4　智慧城市和自主交通 31
1.10.5　医疗保健和药品 31
1.10.6　针对医疗企业的恶意软件攻击：WannaCry案例学习 32
1.11　总结 33
第2章　工业物联网数据流和安全架构 34
2.1　工业物联网攻击、对策和威胁模型初探 34
2.1.1　攻击面和攻击向量 35
2.1.2　攻击树 37
2.1.3　故障树分析 37
2.1.4　威胁建模 39
2.2　工业物联网系统的可信度 41
2.3　工业大数据管道和架构 42
2.4　工业物联网安全架构 45
2.4.1　业务视角 45
2.4.2　使用视角 45
2.4.3　功能视角 46
2.4.4　实现视角 47
2.4.5　工业物联网架构模式 47
2.4.6　工业物联网安全架构构建块 50
2.4.7　四层工业物联网安全模型 52
2.5　总结 54
第3章　工业物联网中的身份和访问管理 55
3.1　身份和访问控制初探 56
3.1.1　身份识别 56
3.1.2　身份认证 57
3.1.3　授权 57
3.1.4　账户管理 58
3.2　工业物联网中IAM的区别性特征 58
3.2.1　工业物联网端点的多样性 58
3.2.2　关于资源受限和棕地的考虑 59
3.2.3　物理安全性和可靠性 59
3.2.4　自治和可扩展性 59
3.2.5　缺少事件记录 60
3.2.6　基于订阅的模型 60
3.2.7　越来越复杂的身份攻击 60
3.2.8　基于风险的访问控制策略 61
3.3　贯穿设备生命周期的身份管理 61
3.4　工业物联网的身份认证和授权框架 62
3.4.1　基于密码的身份认证 62
3.4.2　生物识别技术 64
3.4.3　多因素身份认证 64
3.4.4　基于密钥的身份认证 65
3.4.5　零知识密钥 68
3.4.6　基于证书的身份认证 68
3.5　信任模型：公钥基础设施和数字证书 69
3.6　工业物联网的PKI证书标准 70
3.6.1　ITU-T X.509 70
3.6.2　IEEE 1609.2 71
3.6.3　工业物联网部署中的证书管理 73
3.7　为物联网访问控制扩展OAuth 2.0授权框架 73
3.8　IEEE 802.1X 74
3.9　消息协议中的身份支持 75
3.9.1　MQTT 75
3.9.2　CoAP 75
3.9.3　DDS 75
3.9.4　REST 75
3.10　监控和管理功能 76
3.10.1　活动记录支持 76
3.10.2　支持撤销和OCSP 76
3.11　为工业物联网部署构建IAM策略 77
3.12　总结 79
第4章　端点安全与可信度 80
4.1　定义IIoT端点 81
4.1.1　动机和基于风险的端点保护 81
4.1.2　资源受限的端点保护 83
4.1.3　棕地场景考虑 84
4.2　端点安全支持技术 84
4.3　IIoT端点漏洞 86
4.4　建立硬件信任 88
4.4.1　硬件安全组件 89
4.4.2　信任根：TPM、TEE和UEFI 89
4.4.3　保护秘密或密封 90
4.5　端点身份认证和访问控制 90
4.6　初始化和启动过程完整性 91
4.7　建立操作阶段的端点信任 93
4.7.1　安全更新 93
4.7.2　可信的执行生态系统 94
4.8　端点数据完整性 95
4.8.1　端点配置和管理 96
4.8.2　端点可见性和控制 96
4.9　使用隔离技术的端点安全 97
4.9.1　进程隔离 97
4.9.2　容器隔离 98
4.9.3　虚拟隔离 98
4.9.4　物理隔离 100
4.10　端点物理安全 100
4.11　启用机器学习的端点安全 100
4.12　端点安全测试和认证 101
4.13　端点保护行业标准 102
4.14　总结 103
第5章　确保连接和通信安全 104
5.1　网络、通信和连接的定义 105
5.2　区分IIoT连接的功能 106
5.2.1　确定行为 107
5.2.2　互操作性：专有与开放标准 108
5.2.3　性能特征：延迟、抖动和吞吐量 108
5.2.4　隔离网络消失的遗留网络 109
5.2.5　访问资源受限的网络 109
5.2.6　由连接引发的巨大变迁 109
5.3　IIoT连接架构 110
5.3.1　多层IIoT安全连接架构 111
5.3.2　分层数据总线架构 113
5.4　IIoT连接保护控制 114
5.4.1　安全隧道和VPN 114
5.4.2　密码学控制 115
5.4.3　网络分段 115
5.4.4　工业非军事区 116
5.4.5　防火墙和过滤的边界防御 116
5.4.6　全面的访问控制 117
5.4.7　核心和边界网关 118
5.4.8　单向网关保护 119
5.4.9　资产的发现、可见性和监控 120
5.4.10　物理安全：第一道防线 121
5.5　IIoT连接标准和协议的安全评估 121
5.6　现场总线协议 122
5.7　连接框架标准 124
5.7.1　数据分发服务 125
5.7.2　oneM2M 127
5.7.3　开放平台通信统一架构 128
5.7.4　Web服务和HTTP 130
5.8　连接传输标准 131
5.8.1　传输控制协议 131
5.8.2　用户数据报协议 131
5.8.3　MQTT和MQTT-SN 132
5.8.4　约束应用程序协议 133
5.8.5　高级消息队列协议 133
5.9　连接网络标准 134
5.10　数据链路和物理访问标准 134
5.10.1　IEEE 802.15.4 WPAN 134
5.10.2　IEEE 802.11无线局域网 134
5.10.3　蜂窝通信 135
5.10.4　无线广域网标准 135
5.11　总结 136
第6章　保护IIoT边界、云端与应用 137
6.1　定义边界、雾与云计算 138
6.2　IIoT云安全架构 140
6.2.1　受保护的工业场地 141
6.2.2　受保护的边界智能 141
6.2.3　安全边界云传输 141
6.2.4　安全云服务 142
6.3　云安全：共享责任模型 142
6.4　深度防御云安全策略 142
6.5　基础设施安全 144
6.6　身份与访问管理 144
6.7　应用安全 145
6.7.1　微服务架构 147
6.7.2　容器安全 147
6.7.3　凭据存储与电子仓库 148
6.8　数据保护 148
6.9　数据加密 149
6.10　保护数据生命周期 150
6.11　云安全操作生命周期 151
6.11.1　业务连续性计划与灾难恢复 151
6.11.2　安全补丁管理 152
6.11.3　安全监控 152
6.11.4　漏洞管理 153
6.11.5　威胁情报 154
6.11.6　事件响应 154
6.12　安全设备管理 155
6.13　云安全标准与合规性 156
6.14　IIoT云平台案例学习 156
6.14.1　案例1：Predix IIoT平台 157
6.14.2　案例2：Microsoft Azure IoT系统 158
6.14.3　案例3：Amazon AWS IoT系统 159
6.15　云安全评估 161
6.16　总结 162
第7章　安全流程与治理 164
7.1　统一安全治理所面临的挑战 165
7.2　保护IIoT生命周期的各个阶段 166
7.2.1　业务案例 166
7.2.2　系统定义 167
7.2.3　开发阶段 168
7.2.4　部署阶段 169
7.2.5　操作使用阶段 171
7.3　理解安全角色 171
7.3.1　解决方案提供商 172
7.3.2　硬件制造商 172
7.3.3　工业治理部门 173
7.3.4　解决方案所有方 174
7.4　IIoT安全项目的组成要素 174
7.4.1　风险评估 175
7.4.2　执行标准 175
7.4.3　安全策略 175
7.4.4　安全监控 177
7.4.5　安全分析 177
7.4.6　事件响应与管理 178
7.4.7　安全审计 179
7.5　安全成熟度模型 180
7.6　IIoT安全项目的实现过程 181
7.6.1　建立IIoT安全小组 181
7.6.2　确立执行标准 182
7.6.3　对风险进行评估与管理 182
7.6.4　对第三方安全进行管理 182
7.6.5　执行安全策略 183
7.6.6　持续监控与分析 183
7.6.7　进行安全培训 184
7.6.8　实现事件管理 184
7.6.9　定义安全审计 184
7.6.10　对安全流程进行改进与完善 185
7.7　总结 185
第8章　利用新兴技术实现IIoT安全 186
8.1　用来保护IIoT交易过程的区块链技术 187
8.1.1　公共与私有区块链 188
8.1.2　区块链中的数字身份识别 188
8.1.3　保护供应链 189
8.1.4　区块链所面临的挑战 189
8.2　认知对策：AI、机器学习与深度学习 190
8.3　时间敏感网络：下一代工业互联技术 194
8.3.1　时钟同步 195
8.3.2　流量调度 195
8.3.3　网络与系统配置 196
8.3.4　TSN系统安全 196
8.4　其他研究热点 197
8.5　总结 198
第9章　IIoT安全案例学习 199
9.1　案例1：对一次现实网络物理攻击进行分析 200
9.1.1　背景与影响 200
9.1.2　事件经过 200
9.1.3　攻击行为的深入剖析 202
9.1.4　网络物理防御：经验教训 204
9.2　案例2：构建成功的IIoT安全项目 204
9.2.1　背景 205
9.2.2　定义安全项目 205
9.2.3　实现 206
9.2.4　结论 207
9.3　案例3：基于ISA/IEC 62443标准的工业端点保护 207
9.3.1　背景 208
9.3.2　解决方案 208
9.3.3　结论 208
9.4　总结 209
第10章　未来发展方向 210
10.1　一个分布式自主的时代 210
10.2　端点安全 211
10.3　标准和参考架构 211
10.4　工业合作 212
10.5　互操作性 213
10.6　棕地中的绿色区域 213
10.7　技术趋势 214
10.8　总结 215
附录A　参考资料 216
附录B　安全标准 223