2.1.1　工业互联网安全的特征

安全是特定的心理状态和技术状态，工业互联网安全同时具有自然属性和社会属性。自然属性是其本质的规律、现象，社会属性是以自然属性为基础发展而来。对于工业互联网安全而言，其安全特征主要描述了抵御网络攻击、信息物理融合攻击等安全风险，确保工业互联网健康有序发展的安全防护能力。但目前的安全特征属于概括式的定性描述，缺乏设计与验证的定量表述。邬江兴院士指出，当前工业互联网领域的安全解决方案尚无法做到可量化设计与可验证度量，主要原因是科技发展水平制约与全球化时代上下游供应链的影响，无法杜绝信息系统或控制装置的漏洞/后门问题，从而无法通过技术检测手段对安全性给出可量化的品质保证。

可信度是用来定义IT和OT系统的一个特性。美国国家标准与技术研究所（NIST）和工业互联网联盟（IIC）提出的“可信度”概念聚焦于网络连接工业互联网（Industrial Internet of Things，IIoT）安全所具备的主要特征。IT的可信度主要涵盖安全性、可靠性、隐私性和恢复能力。OT的可信度主要涵盖保障性、可靠性和弹性，对安全性涉及较少，隐私性不在OT可信度的考量范围内。解决IT和OT系统中缺少的关键系统特性，关注IIoT可信范式的五个关键特性，有助于解决IT/OT融合问题，特别是安全性和隐私性方面的问题。IT和OT的可信度融合工业互联网的示意图如图2-1所示。

图2-1　IT与OT融合可信度

IIC将IIoT的可信度定义为系统按预期运行的可信程度，其特征包括5个关键要素：安全性、保障性、隐私性、可靠性和面临环境破坏、人为错误、系统故障及攻击时的恢复能力。工业互联网安全因IT和OT的不断融合而必然追求IT和OT的安全属性的并集，即安全性、弹性、可靠性、保障性和隐私性。

1.安全性

安全性是指工业互联网系统运行时，不会因财产或环境的损害而直接或间接造成不可接受的人身伤害或人身健康危害。系统安全性旨在消除系统性和概率性的故障。传统的OT安全评估技术着重于实物和过程，将经验得出的部件失效概率融合到系统总风险中，但没有考虑攻击者对系统带来的威胁。我国工业互联网安全以信息物理系统为核心，侧重业务交互和数据汇总分析，实现用户、设备、产品和企业全方位的互联安全。

2.弹性

弹性是工业互联网系统的新兴属性，其行为方式是在执行特定任务时避免、吸收和管理动态对抗条件，并重构作战能力。通过对正常情况和异常情况做出相应的处理，为元素和互连增加物理或逻辑冗余，当系统有异常情况发生时具有到备用元素和连接的传输，且备用元素不会被破坏。

3.可靠性

可靠性指在一定时间内、一定条件下无故障地执行指定功能的能力或可能性。它是实际可用性与计划可用性的比值，受计划维护、更新、修复和备份的影响。要保证可靠性，需要详细了解操作环境、系统组成以及如何设计和预先部署以确定故障可能性。连接到互联网可能会使最初设计的一些安全假设失效，考虑攻击者可能影响可靠性哪些方面，并设计系统及其安全性来应对这些攻击，可以提高系统的可靠性。

4.保障性

保障性是保护系统免受意外或未经授权的访问、更改或破坏的条件。保障性通常是根据风险来评估的。安全风险的要素包括威胁（企图造成伤害的某人或某物），目标资产（具有价值），威胁将利用的资产的潜在脆弱性，以及试图减少威胁的对策。保密性、完整性和可用性是确保信息和系统资产安全的关键要素。

5.隐私性

隐私权是个人或企业控制收集、处理和存储与他们有关的信息的权利，以及由谁和向谁披露这些信息的权利。隐私的保护取决于利益相关者是否期望或在法律上要求对信息进行保护、控制以防不合规的使用，如对用户隐私数据或敏感数据的保护。

在工业互联网安全中，除内在因素及HSE（即人为、系统和环境）之外，还包含外在主体对于系统的威胁：故障、扰动、攻击和错误。IIOT系统可信度如图2-2所示。

图2-2　IIoT的可信度