工業互聯網安全態勢感知技術探究

唐龍勝，侯正煒，程勝林，張定宇，劉志飛，桂 華

（淮浙電力有限責任公司 鳳臺發電分公司，安徽 淮南 232131）

0 引言

工業互聯網作為信息技術和制造業深度融合的產物，是推動未來工業革命的重要支撐。但同時，工業互聯網安全事故頻發，特別是工業控制系統經常受到各種威脅，造成了各類生產安全事故以及經濟損失。 工業互聯網不僅要保障工業控制系統全流程的安全， 也要能夠根據行業特點和企業生產實際進行自適應保護，具備及時、安全、可靠和便利的特點。

我國工業互聯網雖然起步較晚，但是國內各行業對工業互聯網的布局很快，對網絡安全也高度重視。在政策方面，我國相繼出臺了《加強工業互聯網安全工作的指導意見》、《省級工業互聯網安全態勢感知平臺建設指南》、《工業互聯網企業網絡安全分類分級管理試點》， 在不同的層面都對工業互聯網安全提出了要求。 對各企業來說，也應結合國家相關法律法規和企業自身的現實需求，針對互聯網技術發展和各類創新應用，形成較好的工業互聯網安全態勢感知及其保障機制，加強對工業行業的理解與工業互聯網本質和內涵的把握，找到工業互聯網安全發展的有效路徑。

1 工業互聯網安全現狀及面臨的挑戰

1.1 工業互聯網安全現狀

工業互聯網即工業的互聯網，又可稱為“工業+互聯網”，本質是將網絡技術同各行各業的設備、生產線、供應商、產品、客戶緊密聯系起來，實現工業經濟的高效共享，合理化分配生產要素，通過智能化、自動化、網絡化的新一代生產方式提高效率，降低成本，幫助各行各業合理規劃產業鏈，促進工業產業創新轉型。

自2015 年開始， 國家越來越重視互聯網與制造業的融合，不斷推進“互聯網+”行動，提升制造業數字化、網絡化、智能化水平，不斷加強產業鏈協作，發展基于互聯網的工業協同制造模式，并發布相關的網絡安全等級保護制度2.0， 將工業控制系統納入網絡安全等級保護的范圍。

工業互聯網安全涉及工業控制、互聯網、信息安全三個交叉領域，面臨著OT（Operation Technology）、IT（Information Technology）系統的雙重挑戰。攻擊者隨時會針對工業系統中存在的漏洞和問題進行攻擊，而目標一般是獲取情報信息、流程和工業機密數據。 從攻擊的手段和方法來看，攻擊類型已經呈現出多樣化的趨勢， 從震網病毒、BlackEnergy 攻擊、再到Shamoon2.0 攻擊，攻擊手段和攻擊方式都在不斷進化。 如在針對沙特阿拉伯的Shamoon2.0 攻擊中，攻擊者使用了一種簡單粗暴的攻擊方式， 把原有數據擦除并加入垃圾數據。 而Shamoon 最初的攻擊是先竊取用戶數據信息并上傳到C&C 服務器上， 然后進行文件的刪除或者覆蓋，這樣的攻擊手段還可以通過阻斷網絡或者限制訪問的IP 來進行攻擊防御。 但是在升級之后的Shamoon2.0 中，攻擊者設置了完全不可達的服務器地址，并且設置了定時器，這次攻擊就變成了一顆“定時炸彈”。

對攻擊方法和攻擊手段沒辦法進行事前了解、分析和防御就無法阻斷攻擊行為。工業互聯網平臺在建設過程中存在很大的問題，無法起到實際的防御作用。 但隨著工業互聯網的不斷發展，也使暴露在互聯網當中的工業設備不斷增加。 如2019 年相比2018 年增加了21.7%， 且有35%的設備都存在高危漏洞，對工業控制系統造成了極大威脅。 2020年工業控制系統的漏洞數量也比2019 年增加了180 個，增長比例高達40%，高危漏洞占比56.6%，中危漏洞占比35.8%， 中高危漏洞占比高達92.4%，工業互聯網安全受到嚴峻的考驗[7]。2020 年工業控制系統網絡安全漏洞類型占比統計如圖1所示。

圖1 工業控制系統漏洞類型統計Figure 1 Statistics of Vulnerability in industrial control systems

通過對2020 年工業互聯網安全新增漏洞涉及的行業分析發現，制造業存在的漏洞最多，攻擊方式高達幾十種，且攻擊破壞力強，對制造業關鍵基礎設施的安全造成了重大危協[7]。

1.2 工業互聯網安全面臨的挑戰

1.2.1 產業發展缺少內生動力

大部分企業注重工業網絡安全都是由于近幾年國家相關政策和產業發展形勢的外力所推動的，并不是企業意識到工業網絡安全對于自身持續發展的重要價值而主動關注和重視的。 因此，一般工業企業都面臨網絡安全保護不全面等問題，安全投入均為分散式和單點式的，缺少體系化的安全規劃和布局。

同時，大部分工業控制行業的從業人員沒有意識到工業互聯網安全的重要性，沒有意識到工業互聯網安全不僅僅關系到企業生產安全，更關系到社會經濟運行和國家安全。 因此，大部分企業在面對國家各類實戰化的網絡攻防演習行動時，應對措施都是臨時應變和突擊建設防護，常態化的安全投入缺少，沒有對應的主體責任人，工業互聯網安全產業內生動力不足。

1.2.2 安全專業人才缺乏

工業互聯網安全的競爭不僅在于健全基礎防護設施，更在于對整體網絡狀況的把握和維護。工業控制系統本身具有多樣性，數據有多個維度，為了保證整個生產過程的安全， 不但需要專門的系統及時發現和研判生產過程中發生的網絡安全問題， 而且需要專門的安全專業人才對告警信息進行處理和響應。 貫徹落實“總體國家安全觀”和維護工業控制系統的安全，必備要素為人才。 根據《2020 年網絡安全人才發展白皮書》[7]統計來看，網絡安全從業人員從事行業分布中： 通信和電子行業的網絡安全人員較多，占比33.14%；其次是IT 和互聯網行業，占比約為27.46%；而制造業的從業人員僅有22%，工業控制行業的網絡安全人才嚴重缺乏。 具體如圖2 所示。

圖2 網絡安全從業人員所在行業分布圖Figure2 Industry distribution of network security practitioners

1.2.3 工業控制系統缺少一站式網絡安全監控平臺

隨著對網絡安全重視程度的不斷提高，各類工業互聯網安全平臺紛紛出現，如工業互聯網審計平臺、工業控制漏掃平臺等。 但這些防護平臺之間不能互通，增加了網絡安全管理的難度，導致管理人員不能快速地對外部的攻擊威脅情報進行整合和分析處置，同時也不能實時動態地掌握所有設備的網絡安全防護狀態，并結合攻擊威脅和安全狀態合理決策和進行處置響應。

2 工業互聯網平臺建設存在的問題

對于工業互聯網安全來說，工業互聯網平臺是重要的基礎設施。 其連接的設備多種多樣，且廠商采用不同的協議等，這些建設過程中存在的隱患也是導致工業互聯網安全問題的重要原因。

隨著企業數字化轉型， 越來越多的工業企業“上云”、“入網”， 導致許多工業設備暴露在互聯網中。雖然網絡的融合讓企業在管理與控制一體化層面的效率和效益有了提升，但隨著自動化控制系統的深入推進， 管理層數據和控制層數據不斷交換，沒有嚴格把控好數據界限和進行區域隔離與邊界防護工作， 會導致工業控制系統被外界攻擊和攻破，嚴重影響企業生產運營。

同時，由于工業控制系統的底層設備一般有較長的使用年限，系統較為老舊，不會隨時進行漏洞的修復和補丁更新，漏洞數量不斷增加。 而漏洞修復難度較大， 修復過程中必須保證不能中斷生產，同時在修復之后不能有兼容性問題，導致企業不愿意進行漏洞修復。這些都導致工業互聯網平臺面臨較為嚴峻的網絡安全形勢挑戰。

3 工業互聯網安全態勢感知技術

3.1 工業互聯網安全態勢感知綜述

相比于傳統的網絡安全， 工業互聯網安全需要綜合考慮傳統的網絡攻擊和針對工業設備的攻擊。因此，在進行監管平臺搭建時不僅要考慮IT 網絡上的所有攻擊行為，也要考慮對OT 設備的攻擊行為。工業互聯網安全態勢感知平臺一般都是根據現有工業控制系統的運行數據進行數據分析和數據可視化，動態展示網絡環境中所有安全指標的變化。而構建一個全面、宏觀、可靠和可視化的工業互聯網安全態勢感知平臺， 有利于加強安全管理人員對工業互聯網安全環境的理解和及時處置相關安全危協。

針對工業互聯網來說，態勢感知技術可以提供更多的安全基礎服務， 從工業控制系統暴露情況、應用站點安全情況、內網系統的安全情況三個緯度進行可視化展示。 同時，工控態勢感知系統中數據采集的程度影響到可視化的程度，因此應在數據采集的基礎上結合歷史數據、原始日志、威脅情報庫、工控漏洞知識庫等給出預判性告警，再結合工單管理功能快速將工控系統內的告警信息下發到對應的單位和人，實現告警信息閉環管理和實時追蹤。

3.2 工業互聯網安全態勢感知平臺建設思路

工業互聯網安全態勢感知平臺是將工控設備的安全監測、全息檔案、響應處置、分析研判和態勢感知通過大數據分析技術整合在一起，在建設平臺的時候要把握人、機、物和數據之間的關系。

如圖3 所示為工業互聯網安全態勢感知平臺的架構。 平臺主要分為三層，最底層進行各種基礎數據采集，利用網絡攻擊誘捕引擎、云端安全監測引擎、網絡安全監測引擎、安全合規檢查引擎等進行基礎數據采集和流量采集，經過核心路由器鏡像到審計平臺，經過日志審計、流量審計送到數據中臺和安全能力中臺進行進一步識別、檢測。 最后通過工業互聯網安全態勢感知平臺進行業務能力呈現，從而形成整體監管、安全防護的能力。

圖3 工業互聯網安全態勢感知平臺架構圖Figure3 Architecture of the industrial internet security situation awareness platform

3.2.1 安全引擎層建設

采用多元異構數據采集技術， 對終端流量、日志信息、網絡流量進行收集，在CII 單位網絡出口、城域網出口部署流量檢測設備，在重點單位重要系統服務器或主機上安裝軟探針（Endpoint Detection and Response，EDR），進行布點監測，對重點保護單位的網絡安全設備進行日志采集， 主要采集防火墻、 入侵檢測、 入侵防御、WAF （Web Application Firewall）設備的日志。 因為可以進行日志采集的設備和軟件系統都比較多，如果對所有數據都進行采集分析則會造成較大的資源浪費。 因此，可根據工業控制網絡安全的特點，如設備上下線異常、修改密碼、 主機和工作站的危險操作等形成安全規則，使用白名單和黑名單規則對數據進行篩選，提取出有價值的數據；同時將篩選之后的日志數據經過規則庫匹配和聚類算法合并重復日志內容，去掉冗余事件，使得數據分析結果更加精準。

3.2.2 安全中臺建設

安全中臺建設包含安全數據中臺和安全能力中臺。

安全數據中臺實現安全數據的統一接入和使用日志審計平臺進行日志格式標準化，實現安全數據匯聚、管理和統一的數據服務。 針對安全引擎層采集的數據，經過數據處理、存儲、挖掘后，形成包括木馬病毒庫、等保基礎庫、惡意域名庫、關鍵信息基礎設施信息庫、惡意IP 庫、事件庫、案件庫、漏洞庫、網絡資產庫、黑客庫、情報庫等，提供給上層業務系統。 同時，安全數據中臺提供安全大數據關聯分析引擎，使用關聯分析算法對接入數據進行實時分析或者離線分析。

安全能力中臺包括安全能力中心和安全能力管理建設，通過將安全能力服務化，形成安全服務目錄，實現安全資源的靈活調度和對基礎安全能力進行統一管理，包括安全檢測能力、智能安全分析能力以及態勢感知能力。安全能力管理包括能力編排、能力調度、策略管理以及場景管理功能。

3.2.3 業務系統層建設

業務系統層主要進行數據可視化和統一管理可視化展示。 包括對工控設備安全監測結果、安全檔案、響應處置、分析研判和態勢感知的大屏展示。

在安全監測模塊使用關聯分析和全文檢索技術， 通過倒排索引的結構達到快速全文檢索的目的。 全文檢索技術運用在安全監測子系統中，主要用于對監測數據的檢索查詢，能夠實現對安全事件的細致分析，并將有效數據運用于模型建立當中。

4 結語

工業互聯網事關國計民生，要圍繞工業互聯網進行網絡安全需求分析，以問題為導向，結合態勢感知技術形成具備工控特色的態勢感知平臺，有效保障工業控制系統的安全。