物联网中的IT安全与OT安全解析

# 物联网中的 IT 安全与 OT 安全解析 ## 1. 物联网 IT 与 OT 安全概述 在物联网（IoT），尤其是工业物联网（IIoT）中，安全问题十分严峻。虽然物联网设备的集体行为有助于检测异常，但许多物联网设备资源受限，限制了设备间的协作能力。 ### 1.1 IT 安全与 OT 安全的紧密联系 在物联网系统中，运营技术（OT）安全与信息技术（IT）安全紧密相连。用于指导 OT 技术操作的数据需经 IT 技术处理，而 OT 技术操作结果也需 IT 技术进一步处理。IT 安全问题会直接影响 OT 安全，反之亦然。例如，OT 安全问题导致的物联网设备异常行为会产生异常数据，这属于 IT 安全问题。 ### 1.2 通用安全技术与特定 OT 安全技术 数据加密和数据完整性保护等技术可同时用于 IT 安全和 OT 安全。然而，OT 安全还有一些特定技术，如系统稳定性、健壮性和可控性，与传统 IT 安全技术有明显差异。 ### 1.3 OT 安全对控制命令数据的保障 OT 安全的主要服务是确保控制命令数据的正确性。对于命令数据内容，最直观的操作是检查其是否与预定义命令匹配，匹配则执行，不匹配则丢弃，类似“if - else”逻辑。 控制命令以通信数据形式呈现时，安全保护包括机密性和完整性保护。多数情况下，控制命令内容保护并非必要，如开关操作命令，其内容易猜测，机密性意义不大，但完整性保护极其重要，任何非法更改都可能造成意外损害。此外，还需验证命令数据的来源真实性。由于命令数据通常较小，可将来源真实性和完整性验证集成，使协议更轻量级，更复杂的协议还可集成数据源认证、数据完整性保护和数据新鲜度验证等多种安全服务。 当命令数据需要内容保护时，推荐使用概率加密算法。该算法使查看密文者难以猜测对应内容，甚至在计算上也难以判断两个密文是否对应同一明文。 ## 2. 特定 OT 安全相关要求分析 ### 2.1 物联网系统的稳定性 物联网系统的稳定性与可用性服务（IT 安全措施）和正常运行（OT 安全措施）相关，涉及命令数据的正确传输和执行。在工业控制系统和 IIoT 系统中，稳定性至关重要，可靠的工作状态是工业控制系统的关键，无论系统内是否存在入侵者。 工业控制系统的稳定性体现在过程控制的稳定性上。控制是基于系统信息反馈和外部信息进行持续调整的过程，简化理论模型常采用线性控制系统，可用以下方程描述： $\overline{x}(t) = A \cdot x(t) + B \cdot u(t) (t > 0)$ 其中，$x(t)$ 是状态向量，$u(t)$ 是控制输入信号，二者随时间 $t$ 变化，$A$ 和 $B$ 是常数。 稳定性概念与信息系统的可用性密切相关，可用性是三大重要安全措施之一，在工业控制系统中通常被视为安全措施，在物联网中也很重要。 ### 2.2 物联网系统的健壮性 物联网系统的健壮性衡量部分故障容忍能力，是另一个 OT 安全要求。当物联网系统部分部件工作不正常，但整个系统仍能工作并完成基本任务时，称该系统具有健壮性。健壮性水平不同，由系统能容忍的故障程度衡量。 若物联网系统设计和构建良好，具有较高健壮性，其可靠性将高于各部件，部分物联网设备故障不会导致系统故障。常见的增强系统健壮性的技术包括：物联网设备的冗余设置、冗余网络连接、冗余计算和冗余电源供应。 实际中，系统冗余是从系统层面设计，而非设备层面，旨在提高整个系统的健壮性。关于网络冗余有大量研究，如通过平衡各物联网节点的能耗可延长物联网系统的整体寿命，或在固定寿命时降低网络运行成本。有时系统健壮性要求在少量传感器工作不正常时仍能确保感知数据结果正确，这表明健壮性和稳定性密切相关。 不过，提供系统冗余会带来额外成本，包括系统建设和运行成本。例如，拥有 $n$ 个物联网设备的系统为每个设备提供冗余备份，整个系统将需要 $2n$ 个设备，硬件和软件成本翻倍。实际实施可进一步优化，相同类型设备无需每个都配备备份，根据设备故障概率确定备份设备数量，故障概率包括自然硬件或软件故障以及网络攻击导致的故障。 ### 2.3 物联网系统的可控性 在实际应用中，物联网系统（尤其是 IIoT 系统）的可控性是物联网实际安全的关键因素，体现了从系统设计、实施、运行、管理和监督等方面对物联网安全的信心。 物联网系统的可控性包括以下方面： 1. **硬件可控性**：物联网系统使用的硬件可靠性高，无隐藏操作（如隐藏后门）。 2. **软件可控性**：软件（包括操作系统）的机制和功能无隐藏恶意操作。尽管大多数大型软件存在安全漏洞，但可控性确保不会故意嵌入后门和安全威胁。 3. **系统运行可控性**：系统运行过程中（包括软件执行和硬件操作），不接受未经授权的进程、数据和操作，确保系统运行符合合理预期。 4. **整个物联网系统可控性**：在系统建设、运行维护和应用过程中，从技术和管理/监督层面都具有可控性。 从管理方面看，可控性包括： 1. 尽量减少自然事故和误操作导致的系统故障。 2. 尽量减少恶意入侵、攻击和破坏，提高及时发现此类恶意活动的能力。 3. 尽量减少知识产权保护的限制，如使用自主知识产权技术。 4. 对于恶意活动，除技术保护外，可根据技术证据寻求法律协助。 从技术方面看，可控性涉及硬件、软件和操作系统。硬件可控性相关技术是可信计算。1999 年，英特尔、IBM、惠普、微软等公司合作成立了可信计算平台联盟（TCPA），定义了可信平台模块（TPM），旨在从硬件层面提供系统安全。通过在主板上嵌入安全芯片，与高层软件和可信软件栈（TSS）协作，TPM 可过滤未经授权的软件和进程，从根本上消除安全攻击。2003 年，TCPA 组织了更商业化的可信计算组（TCG），吸纳了索尼和太阳微系统等新成员。受 TPM 启发，中国定义了可信密码模块（TCM），利用中国国家标准密码算法，具有 TCM 架构的安全芯片可用于为系统平台和应用软件提供安全服务。 软件可控性主要涉及软件的目的和实现。软件生产过程中，若软件为满足用户需求而开发，且软件制造商和用户属于同一利益群体，则