省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺系統(tǒng)架構研究

郭亮亮

（山西省信息產(chǎn)業(yè)技術研究院有限公司，山西 太原 030012）

0 引 言

為了加強工業(yè)互聯(lián)網(wǎng)安全監(jiān)測能力，有必要通過主動監(jiān)測、被動誘捕、流量分析、企業(yè)側(cè)采集等技術手段構建一體化工業(yè)互聯(lián)網(wǎng)業(yè)務和安全監(jiān)管平臺，為我國工業(yè)轉(zhuǎn)型升級和工業(yè)互聯(lián)網(wǎng)發(fā)展提供數(shù)據(jù)支撐和安全保障[1-2]。

1 平臺建設目標

（1）利用主動探測技術對省內(nèi)工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)設備、系統(tǒng)和云平臺等資產(chǎn)進行探測掃描，清算全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)，繪制工業(yè)互聯(lián)網(wǎng)資產(chǎn)地圖，關聯(lián)并排查工業(yè)互聯(lián)網(wǎng)資產(chǎn)漏洞。

（2）利用被動誘捕技術，引誘針對工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡攻擊，并通過網(wǎng)絡流量安全分析、終端攻擊取證等技術對已知和未知的網(wǎng)絡攻擊威脅進行檢測和分析，從而全面掌握工業(yè)互聯(lián)網(wǎng)網(wǎng)絡攻擊行為，形成威脅情報[3-4]。

（3）利用流量監(jiān)測技術采集關鍵網(wǎng)絡節(jié)點的流量數(shù)據(jù)，識別工業(yè)互聯(lián)網(wǎng)網(wǎng)絡資產(chǎn)，對聯(lián)網(wǎng)資產(chǎn)進行漏洞關聯(lián)匹配，檢測針對工業(yè)互聯(lián)網(wǎng)云平臺和企業(yè)的網(wǎng)絡攻擊行為，對網(wǎng)絡攻擊威脅源進行持續(xù)監(jiān)測。

（4）利用企業(yè)側(cè)采集技術采集企業(yè)互聯(lián)網(wǎng)出入口的流量數(shù)據(jù)，實現(xiàn)資產(chǎn)異常行為分析和網(wǎng)絡攻擊檢測。

（5）基于主動探測、被動誘捕、流量監(jiān)測、企業(yè)側(cè)采集等技術手段的分析結(jié)果，對全省工業(yè)互聯(lián)網(wǎng)業(yè)務發(fā)展態(tài)勢和網(wǎng)絡安全態(tài)勢進行綜合分析，構建全省工業(yè)互聯(lián)網(wǎng)基礎資源資產(chǎn)庫，對聯(lián)網(wǎng)資產(chǎn)進行風險評估，檢測針對工業(yè)互聯(lián)網(wǎng)云平臺和企業(yè)的網(wǎng)絡攻擊行為，對網(wǎng)絡攻擊威脅源進行持續(xù)監(jiān)測，并提供具有態(tài)勢展示、交互式分析、威脅告警、數(shù)據(jù)分析報表等功能的管理平臺，支撐全省工業(yè)互聯(lián)網(wǎng)業(yè)務主管部門的監(jiān)管，滿足平臺企業(yè)、工業(yè)企業(yè)的安全防護需求[5]。

（6）擬建設的省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺提供接口與國家級安全態(tài)勢感知平臺進行數(shù)據(jù)對接及交互，以安全數(shù)據(jù)共享和監(jiān)測業(yè)務協(xié)同為核心，構建以工信部、省、企業(yè)為主體的三級架構，實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知、預警通報、處置溯源和信息共享，形成上下聯(lián)動、政企協(xié)同的監(jiān)測體系。

2 平臺技術路線

省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺總體技術路線如圖1所示。整體技術路線圍繞系統(tǒng)的建設目標制定相應的建設內(nèi)容，簡潔清晰，目標明確，主次突出。

3 平臺系統(tǒng)架構

本項目依托省級互聯(lián)網(wǎng)省際出入口、省級移動互聯(lián)網(wǎng)等覆蓋全省三大運營商的網(wǎng)絡關鍵節(jié)點流量資源，接入工業(yè)企業(yè)和工業(yè)云平臺流量，綜合部署主動探測、被動誘捕、流量監(jiān)測和海量異構數(shù)據(jù)挖掘分析等系統(tǒng)手段，建設形成省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，實現(xiàn)對全省工業(yè)互聯(lián)網(wǎng)整體發(fā)展和安全態(tài)勢的綜合研判[6-7]。

本項目子系統(tǒng)的功能結(jié)構如圖2所示。

（1）工業(yè)互聯(lián)網(wǎng)主動探測子系統(tǒng)。利用互聯(lián)網(wǎng)云平臺資源部署主動探測節(jié)點，集成掃描探測腳本庫，通過端口探測、操作系統(tǒng)探測、漏洞探測等技術，對省內(nèi)的工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)設備、系統(tǒng)和云平臺等資產(chǎn)進行高速協(xié)同并行化探測掃描，并將掃描結(jié)果數(shù)據(jù)匯入數(shù)據(jù)綜合匯聚及態(tài)勢感知子系統(tǒng)。

（2）工業(yè)互聯(lián)網(wǎng)被動誘捕子系統(tǒng)。在工業(yè)企業(yè)側(cè)和工業(yè)互聯(lián)網(wǎng)云平臺側(cè)部署工業(yè)互聯(lián)網(wǎng)高交互蜜罐，通過虛實結(jié)合方法生成高仿真協(xié)議、設備、系統(tǒng)、平臺和業(yè)務功能以引誘網(wǎng)絡攻擊；通過終端攻擊取證、網(wǎng)絡流量分析等技術對已知和未知網(wǎng)絡攻擊威脅進行捕獲、檢測和發(fā)現(xiàn)，完整記錄攻擊細節(jié)，分解攻擊動作，從而深度解析工業(yè)互聯(lián)網(wǎng)網(wǎng)絡攻擊行為，將情報匯入數(shù)據(jù)綜合匯聚及態(tài)勢感知子系統(tǒng)。

圖1 項目整體技術路線圖

圖2 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺子系統(tǒng)功能結(jié)構圖

（3）網(wǎng)絡關鍵節(jié)點工業(yè)互聯(lián)網(wǎng)流量安全監(jiān)測子系統(tǒng)。采集全省互聯(lián)網(wǎng)省際出入口、全省移動互聯(lián)網(wǎng)等覆蓋全省三大運營商的網(wǎng)絡關鍵節(jié)點流量，通過協(xié)議五元組、報文內(nèi)容等特征準確識別工業(yè)互聯(lián)網(wǎng)相關流量，對Modbus/TCP、EtherNet/IP等主流工業(yè)互聯(lián)網(wǎng)協(xié)議進行解析還原，對Stuxnet、BlackEnergy、Mirai等工業(yè)互聯(lián)網(wǎng)相關惡意代碼進行識別與檢測，對煤炭、冶金、化工等全省重點行業(yè)的“云管端”網(wǎng)絡安全攻擊事件進行大規(guī)模集中發(fā)現(xiàn)，監(jiān)測結(jié)果和日志匯入數(shù)據(jù)綜合匯聚及態(tài)勢感知子系統(tǒng)[8-10]。

（4）企業(yè)側(cè)工業(yè)互聯(lián)網(wǎng)流量安全監(jiān)測子系統(tǒng)。在全省重點企業(yè)中部署采集探針，通過設備、總線、網(wǎng)絡和數(shù)據(jù)庫等采集功能，在企業(yè)互聯(lián)網(wǎng)出入口及重要系統(tǒng)內(nèi)部采集流量和安全日志等數(shù)據(jù)，對設備運行參數(shù)、I/O信號、現(xiàn)場總線、工業(yè)協(xié)議通信、網(wǎng)絡流量等進行匯總分析，有效發(fā)現(xiàn)針對工業(yè)企業(yè)的攻擊行為，并將監(jiān)測結(jié)果和日志匯入數(shù)據(jù)綜合匯聚及態(tài)勢感知子系統(tǒng)。

（5）工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)綜合匯聚及態(tài)勢感知子系統(tǒng)。搭建大數(shù)據(jù)和智能學習分析平臺，匯聚上述結(jié)果，基于統(tǒng)計分析、機器學習和深度學習等技術，綜合資產(chǎn)漏洞關聯(lián)、數(shù)據(jù)時空關聯(lián)、流量序列挖掘和行為模式分析等方法，對全省工業(yè)互聯(lián)網(wǎng)業(yè)務發(fā)展態(tài)勢和網(wǎng)絡安全態(tài)勢進行綜合分析，對全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)和攻擊源進行持續(xù)監(jiān)測和畫像分析，形成層次化的縱深監(jiān)測防御能力，并通過界面支持交互式分析、安全態(tài)勢展示、威脅告警、報表分析生成等功能，對接國家級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺，支撐省工信廳和通管局等業(yè)務主管部門的監(jiān)管需要，滿足水利、煤炭等行業(yè)企業(yè)安全監(jiān)測需求。

省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺業(yè)務模型如圖3所示。

圖3 省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺業(yè)務模型圖

工業(yè)互聯(lián)網(wǎng)主動探測子系統(tǒng)對工業(yè)互聯(lián)網(wǎng)資產(chǎn)和系統(tǒng)進行主動探測，繪制工業(yè)互聯(lián)網(wǎng)資產(chǎn)地圖，關聯(lián)排查聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)漏洞。工業(yè)互聯(lián)網(wǎng)被動誘捕子系統(tǒng)部署在重點工業(yè)企業(yè)、工業(yè)云平臺側(cè)檢測針對防護目標的已知和未知網(wǎng)絡攻擊行為；網(wǎng)絡關鍵節(jié)點工業(yè)互聯(lián)網(wǎng)流量安全監(jiān)測子系統(tǒng)采集全省省際口、移動網(wǎng)等網(wǎng)絡關鍵節(jié)點全部流量數(shù)據(jù)，并對工業(yè)互聯(lián)網(wǎng)相關流量進行資產(chǎn)識別、漏洞匹配、異常行為檢測、網(wǎng)絡攻擊檢測等；企業(yè)側(cè)工業(yè)互聯(lián)網(wǎng)流量安全監(jiān)測子系統(tǒng)通過在工業(yè)企業(yè)部署數(shù)據(jù)采集探針，對網(wǎng)絡流量中存在的異常行為和網(wǎng)絡攻擊事件進行檢測分析。

4 解決關鍵問題

（1）解決無法有效掌握省內(nèi)工業(yè)互聯(lián)網(wǎng)資產(chǎn)發(fā)展態(tài)勢的難題。由于缺少相關工業(yè)互聯(lián)網(wǎng)監(jiān)測手段，省工信廳等行業(yè)主管部門難以全面掌握省內(nèi)工業(yè)互聯(lián)網(wǎng)的發(fā)展態(tài)勢，不能有針對性地制定相應產(chǎn)業(yè)發(fā)展政策。平臺建成后，通過多種技術手段構建全省工業(yè)互聯(lián)網(wǎng)基礎資源資產(chǎn)庫，可以對相關工業(yè)互聯(lián)網(wǎng)資產(chǎn)進行核驗，對重點行業(yè)和企業(yè)的工業(yè)互聯(lián)網(wǎng)發(fā)展態(tài)勢進行直觀統(tǒng)計分析。

（2）針對全省工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡攻擊事件實現(xiàn)快速全面監(jiān)測。大量關鍵信息基礎設施中的工業(yè)互聯(lián)網(wǎng)設備和系統(tǒng)存在安全漏洞，并頻繁遭到網(wǎng)絡攻擊，但當前難以全面監(jiān)測到對省內(nèi)工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡攻擊事件。平臺建成后，將綜合多種監(jiān)測手段進行聯(lián)動分析，對資產(chǎn)漏洞進行分析、對異常行為和網(wǎng)絡攻擊進行檢測、對威脅源進行監(jiān)測，并通過管理平臺進行態(tài)勢感知，查看和處置威脅告警，將監(jiān)測結(jié)果生成分析報告，為省工信廳和通信管理局等行業(yè)主管部門提供數(shù)據(jù)支持。

（3）提高工業(yè)互聯(lián)網(wǎng)企業(yè)抵御網(wǎng)絡攻擊的能力。當前聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)設備和系統(tǒng)還處在單點防護、邊界防護的層次，難以抵御網(wǎng)絡攻擊。平臺建成后，將為企業(yè)提供威脅情報支撐服務，構建“國家-省-企業(yè)”三級立體防護能力，并從威脅源頭防御，增強企業(yè)抵擋網(wǎng)絡攻擊的能力。

5 結(jié) 語

通過省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺的建設，構建全省工業(yè)互聯(lián)網(wǎng)業(yè)務發(fā)展和網(wǎng)絡安全的總體態(tài)勢感知體系，摸清全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況和網(wǎng)絡安全情況，有效發(fā)現(xiàn)針對全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡攻擊事件，提高全省工業(yè)互聯(lián)網(wǎng)安全事件的監(jiān)測發(fā)現(xiàn)、威脅預警及應急處置能力。形成具備全面安全監(jiān)測、威脅預警、信息通報、處置溯源、優(yōu)化閉環(huán)能力及創(chuàng)新能力的工業(yè)互聯(lián)網(wǎng)威脅監(jiān)測與態(tài)勢感知平臺，構建上下聯(lián)動、政企協(xié)同的安全監(jiān)測技術體系，為我國深化“互聯(lián)網(wǎng)+先進制造業(yè)”戰(zhàn)略的順利推進保駕護航。