工業互聯網安全態勢感知平臺的搭建策略

◆門嘉平

工業互聯網安全態勢感知平臺的搭建策略

◆門嘉平

（北京國聯易安信息技術有限公司 北京 100084）

本文從工業互聯網安全背景、風險態勢感知、產品與技術應用、平臺搭建策略的角度，提出了工業互聯網安全態勢感知平臺的構建思路，供相關讀者參考。

工業互聯網；安全態勢感知；平臺；搭建

1 前言

為了解決工業互聯網高速發展所帶來的日益嚴峻的安全挑戰，國家非常重視工業互聯網安全態勢感知工作。國務院、工業和信息化部，先后提出指導意見，預警、通報、處置機制、行動計劃，以求提升安全態勢感知和綜合保障能力。

目前總體來看，工業互聯網安全防護上存在三個能力缺失：一是監測預警能力，對于一些安全事件的威脅，沒有做到及時監測、及時預警、及時發現；二是應急響應能力，由于網絡與信息安全邊界路徑多，網絡與信息安全技術人才匱乏，應急響應能力有待提升；三是應用安全能力，工業控制管理系統復雜，如果產品特征庫、版本更新不及時，就會導致系統中網絡安全漏洞百出、防護應對棘手，甚至是措手不及。

2 工業互聯網安全風險與態勢感知

總體來看，工業互聯網安全與其他網絡安全具有不同的特點：一是設備和系統的接入加大網絡安全風險，設備之間通聯導致攻擊渠道增多，傳統的網絡安全問題延伸至工業互聯網領域；二是云環境下安全風險跨域傳播的級聯效應愈發明顯，工業數據面臨的安全風險與日俱增；三是由于工業互聯網作為新興技術領域，其安全產品種類有限、工業防護能力薄弱。

3 工業互聯網安全態勢感知平臺搭建策略

3.1 戰略上要高度重視

隨著國家戰略的推進，越來越多智能化的工業物聯網產品被廣泛應用于一些關乎國家戰略安全、人民生命財產安全的關鍵領域，工業物聯網正逐漸從專有標準向通用的標準、通信協議以及智能化轉化。

從近期一些國際案例可以看到，安全威脅已經通過網絡空間蔓延至制造、交通、電力、制造業等關乎國家運轉的命脈行業。這些工業行業一旦受到網絡攻擊，就會影響國家公共安全、經濟安全和社會安全，嚴重損害廣大人民群眾的切身利益。

《生產安全事故應急管理條例》、《關于加強應急基礎信息管理的通知》為企業的安全生產提出了更高的要求，但在現階段的實際生產環境中，已有的安全防護方案卻無法更好地滿足實際的需求。

以安全視頻監控為例，目前的安全監控方案，多為在生產相關區域廣泛設置視頻監控設備，其所有的視頻畫面由監控室人員進行值守觀察。在這種環境下，僅7*24小時觀察監控一項工作，就會消耗大量的人力與財力。同時由于監控場景復雜性、安全風險評估復雜性等原因，往往導致整套視頻監控方案，僅能在事故發生后的調查、取證過程中發揮作用，無法發揮其應有的安全防護價值。

3.2 戰術上要講究整合

隨著工業網絡智能化規模的迅速擴大，工業網絡安全威脅不斷增加，單一的網絡安全防護技術已經不能滿足行業需要，工業互聯網態勢感知平臺聚焦工業互聯網網絡，全面匯集工控網絡威脅事件、工控設備、以及工控安全漏洞等數據，從整體上反映工業互聯網安全態勢，并充分利用大數據、人工智能技術對工控網絡風險趨勢進行預測評估。

（1）做好平臺頂層設計。尤其要設置智能白名單策略、可配置邊緣計算，要加強終端和云端的協同計算，要構建工業協議庫、工業漏洞庫、工控設備指紋庫等且不斷積累和內部共享機制，技術上要精益求精。

（2）注重應用場景。平臺的產品一定要適用工業用戶的管理習慣和場景，具備故障導向、高性能無打擾、系統高可靠原則等。尤其是要建立性能全面的矩陣模組，達成為不同細分行業用戶提供可靠、全面、適配、安全、易用的解決方案是場景規劃的根本。

圖1 工業互聯網安全管控與審計系統部署圖

3.3 關鍵性技術及產品部署

（1）網絡邊界安全

1.3.2 比較聯合組與對照組患者血壓水平控制情況。統計對比兩組患者治療前后的舒張壓和收縮壓,正常舒張壓水平為60—90mm Hg,正常收縮壓水平為90—140mm Hg。

部署工業安全網關，工業安全網關可識別工控網絡中已知的安全威脅，根據相關工藝定義白名單安全策略，對工控網絡中的網絡通信行為進行細粒度的控制，防止外部網絡向工控網絡傳輸基于工控協議的各類攻擊，保證通路可信、可靠。

（2）主機安全防護

開啟主機白名單安全防護，能使工控網絡抵御各種木馬程序、病毒入侵，達到防護信息系統中的主機安全。

（3）網絡流量審計

對工業控制網絡全網數據流量進行協議級審計，采用網絡流量檢測技術，可有效檢測、實時監控控制網絡安全，一旦發現病毒入侵、木馬程序，即可及時處理。

（4）安全風險感知

部署安全巡檢平臺，定期對工控網絡環境實現靜態掃描，感知網絡安全狀況，為企業制定各種安全政策提供技術、管理依據。

（5）統一安全管理

統一管控所有工控網絡安全設備，對相關安全產品實現統一管理、統一策略下發等，最終實現系統的工控網絡安全現狀的實時、全面監控。

3.4 “4+1”工控安全防護策略

本文所指的控制安全是指工業控制系統的安全，工控系統普遍應用于水務、供電、燃氣、鐵路等關鍵基礎設施行業，是工業生產的“心臟”。隨著IT技術的快速發展，基于TCP/IP的協議的計算機技術正在越來越多地應用于工控系統當中，與之同時，系統漏洞數量逐年增加，受攻擊面也呈現不斷擴大的趨勢。針對如上難題，筆者提出“4+1”工控網絡安全的防護策略：

第一是要樹立全方位的安全意識，不僅要應急響應，更要持續監測響應；

第二是做好威脅溯源，攻擊都是不達目的不罷休，所以必須要找到源頭；

第三是要搭建態勢感知平臺，利用數據驅動，通過威脅監測及時把握、洞悉；

第四是要加強部門協同，供應鏈、云地、數據協同，缺一不可；

第五是建立網絡運管中心，通過收集多方數據（網絡、安全、生產數據等），繼而進行數據分析，發現網絡異常。

4 結束語

當前已經進入全面安全時代，網絡安全不再是電腦和互聯網的安全，還涉及國家、社會、民生安全，工業互聯網作為最易受到犯罪分子攻擊和利用的薄弱環節，更應該加強安全防護和預警。

我國工業企業由于經濟結構調整、IT架構搭建等歷史原因，對于工業互聯網安全還沒有完全做好技術準備。市場調研數據顯示，我國超過90%以上的工業企業無法做到及時、主動地發現網絡攻擊源，往往是在受到攻擊、造成明顯損失后才被發現。

構建安全、自主可控的“工業互聯網安全態勢感知”平臺，非常必要。利用平臺可以實時監測網絡流量、威脅情報數據、網絡安全行為、高持續性威脅，從而進行審計、感知、預警、運維，最終全面掌控工業互聯網的系統安全狀況，并采取行之有效的產品與解決方案。