基于流量場景的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測系統(tǒng)的設(shè)計與研究

欒鵬林

江蘇省通信管理局

0 引言

工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)是指工業(yè)生產(chǎn)經(jīng)營各環(huán)節(jié)和各流程產(chǎn)生或使用的聯(lián)網(wǎng)數(shù)據(jù)，工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)涉及的主體繁多，數(shù)據(jù)類型豐富，如工業(yè)企業(yè)的研發(fā)設(shè)計數(shù)據(jù)、生產(chǎn)制造數(shù)據(jù)、運營管理數(shù)據(jù)，工業(yè)互聯(lián)網(wǎng)平臺企業(yè)的平臺知識機理、數(shù)字化模型、工業(yè)APP信息，集成商和工控廠商的設(shè)備實時數(shù)據(jù)、設(shè)備運維數(shù)據(jù)、集成測試數(shù)據(jù)等等。2020年底，工業(yè)與信息化部發(fā)布《工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展行動計劃（2021-2023年）》，指出數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)中的關(guān)鍵資源，要進一步發(fā)揮數(shù)據(jù)在工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展中起到的重要作用。

然而，工業(yè)互聯(lián)網(wǎng)打破傳統(tǒng)工業(yè)系統(tǒng)與互聯(lián)網(wǎng)天然隔離的邊界，工業(yè)企業(yè)IT和OT（Operation Technology，操作技術(shù)）不斷融合，企業(yè)內(nèi)部工業(yè)網(wǎng)絡(luò)、管理網(wǎng)絡(luò)與互聯(lián)網(wǎng)逐步打通，導(dǎo)致傳統(tǒng)互聯(lián)網(wǎng)安全風(fēng)險滲透到制造業(yè)關(guān)鍵領(lǐng)域，數(shù)據(jù)安全與工業(yè)安全風(fēng)險交織，特別是隨著近些年云計算、大數(shù)據(jù)、人工智能、5G、數(shù)字孿生、虛擬現(xiàn)實等新技術(shù)新應(yīng)用的不斷發(fā)展，逐漸產(chǎn)生了更多的數(shù)據(jù)安全風(fēng)險隱患，直接影響工業(yè)生產(chǎn)安全、經(jīng)濟安全乃至國家總體安全。江蘇是工業(yè)制造業(yè)大省，工業(yè)互聯(lián)網(wǎng)設(shè)備、系統(tǒng)觸網(wǎng)數(shù)量龐大，漏洞風(fēng)險較高且分布廣泛，部分重點行業(yè)隱患突出，安全攻擊頻發(fā)，關(guān)鍵行業(yè)和設(shè)備系統(tǒng)風(fēng)險隱患集中，安全攻擊和事件無處不在。根據(jù)《2020年江蘇省互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》統(tǒng)計，2020年我省發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)上的工業(yè)互聯(lián)網(wǎng)資產(chǎn)達60萬個，發(fā)現(xiàn)已知漏洞的資產(chǎn)為3343個，針對已發(fā)現(xiàn)工控資產(chǎn)的攻擊行為達到8313萬次，工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)信息安全一時成為關(guān)注焦點。

2020年6月，江蘇省發(fā)布《關(guān)于加強工業(yè)互聯(lián)網(wǎng)安全工作的實施意見》，多部門協(xié)同，加快構(gòu)建省內(nèi)工業(yè)互聯(lián)網(wǎng)安全保障體系，開展數(shù)據(jù)安全試點建設(shè)。2021年9月，《中華人民共和國數(shù)據(jù)安全法》正式施行，一方面為企業(yè)的數(shù)據(jù)安全提供了法律保障依據(jù)，另一方面對政府監(jiān)管機構(gòu)提升數(shù)據(jù)安全保護和數(shù)據(jù)經(jīng)濟治理能力提出了更高的要求。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全是保障各型工業(yè)企業(yè)優(yōu)化生成和服務(wù)資源配置的前提，面向重要行業(yè)典型工業(yè)互聯(lián)網(wǎng)平臺運營場景的敏感數(shù)據(jù)監(jiān)測和防護系列化技術(shù)研究和論證十分必要。

1 任務(wù)分析

工業(yè)互聯(lián)網(wǎng)因其承載著大量接入設(shè)備、業(yè)務(wù)系統(tǒng)，以及企業(yè)、個人信息和重要數(shù)據(jù)等，產(chǎn)生的數(shù)據(jù)商務(wù)價值較高、戰(zhàn)略意義重大，日益成為黑客的重點攻擊對象。如何增強工業(yè)互聯(lián)網(wǎng)安全技術(shù)保障手段及數(shù)據(jù)安全防護技術(shù)手段建設(shè)，提升安全態(tài)勢感知和綜合保障能力，是擺在行業(yè)監(jiān)管部門面前的重要課題。

省通信管理局依托行業(yè)監(jiān)管優(yōu)勢，圍繞工業(yè)互聯(lián)網(wǎng)平臺重要數(shù)據(jù)安全審計、異常流動監(jiān)測、數(shù)據(jù)泄漏發(fā)現(xiàn)等安全需求，運用多種技術(shù)手段，包括主動監(jiān)測、流量分析、多維數(shù)據(jù)關(guān)聯(lián)融合等技術(shù)，建設(shè)一個具備重要數(shù)據(jù)境內(nèi)異常流動監(jiān)測、風(fēng)險通報和追蹤核查能力的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測平臺。本文基于流量場景，從被動分析的角度設(shè)計工業(yè)互聯(lián)網(wǎng)中數(shù)據(jù)資產(chǎn)的探測、數(shù)據(jù)流動和泄露的監(jiān)測方法，為建設(shè)綜合工業(yè)互聯(lián)網(wǎng)安全保障體系做準(zhǔn)備。

2 關(guān)鍵技術(shù)

基于互聯(lián)網(wǎng)流量的采集及報文分析是通常采用的網(wǎng)絡(luò)安全分析手段，傳統(tǒng)的技術(shù)路線需結(jié)合對工業(yè)數(shù)據(jù)特征的深入理解，才能更好地發(fā)揮其在工業(yè)領(lǐng)域數(shù)據(jù)安全的作用。因此傳統(tǒng)的網(wǎng)絡(luò)安全企業(yè)深入到工業(yè)領(lǐng)域往往出現(xiàn)水土不服的現(xiàn)象。相反，專注于工業(yè)企業(yè)信息化領(lǐng)域的企業(yè)又缺少內(nèi)生安全基因。基于傳統(tǒng)的流量解析還原技術(shù)，強化對工業(yè)數(shù)據(jù)的理解是本方案的基礎(chǔ)支撐。

2.1 流量解析還原技術(shù)

依托行業(yè)監(jiān)管數(shù)據(jù)，充分運用互聯(lián)網(wǎng)流量解析還原技術(shù)，主要分為網(wǎng)絡(luò)層和應(yīng)用層流量分析。網(wǎng)絡(luò)層流量分析可對NetFlow、IPFIX、sFlow等流量日志進行分析，也可對防火墻的訪問控制日志進行分析，或者使用全流量的會話數(shù)據(jù)進行分析。用于分析IP、端口、流量大小、報文長度、報文數(shù)量、會話持續(xù)時間、會話標(biāo)志位、流量方向、地理位置等維度。應(yīng)用層流量分析可對web訪問記錄中的URL、User_Agent、Referrer、POST等特征進行分析，也可對DNS訪問日志中的Qname、Qtype、TTL等特征進行分析。

2.2 數(shù)據(jù)類型識別技術(shù)

數(shù)據(jù)類型識別技術(shù)涉及自然語言處理、機器學(xué)習(xí)、內(nèi)容搜索等多項領(lǐng)域。數(shù)據(jù)類型識別技術(shù)實現(xiàn)上具備自動編碼格式識別及轉(zhuǎn)換，如按關(guān)鍵字、字典、正則表達式及數(shù)據(jù)標(biāo)識符等多種匹配方式；需支持常見數(shù)據(jù)類型，如姓名、手機號、身份證號、銀行卡號等常用的數(shù)據(jù)類型的定義；需支持結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的提取，其中包含辦公文檔、工程圖紙、應(yīng)用數(shù)據(jù)等豐富文件格式。數(shù)據(jù)類型的識別對于后續(xù)提高敏感數(shù)據(jù)特征的識別準(zhǔn)確性具有關(guān)鍵作用。

2.3 帳號解析提取技術(shù)

基于流量進行分析有很多顯著優(yōu)勢，其中之一就是具備完整通信過程分析的可能。比如從頁面返回數(shù)據(jù)中匹配到“User：XX”，進而提取出XX作為帳號。下一步通過對應(yīng)用系統(tǒng)的更多行為進行分析，生成應(yīng)用系統(tǒng)的帳號知識庫，基于知識庫建立帳號與每個接口的關(guān)聯(lián)方式，描繪應(yīng)用操作人員畫像。

2.4 敏感數(shù)據(jù)特征識別技術(shù)

敏感數(shù)據(jù)的特征識別是技術(shù)核心。識別特征參照工信部2020年2月印發(fā)的《工業(yè)數(shù)據(jù)分類分級指南（試行）》相關(guān)標(biāo)準(zhǔn)的定義，在技術(shù)實現(xiàn)層面又將敏感文件進一步劃分為以下三類。

（1）基礎(chǔ)類。主要包含身份證號、電話號碼、位置信息等，這類數(shù)據(jù)的判別技術(shù)較為簡單，往往通過明確、單一的正則特征即可識別。

（2）復(fù)合類。主要包含通信錄、設(shè)備配置、運維材料等，這類數(shù)據(jù)的識別往往采用多種判別方式相結(jié)合的方式，如N條正則、M1條正則+M2項關(guān)鍵字、H1條正則+H2文件特征等。

（3）模式識別類。主要包含通信記錄、各類日志、網(wǎng)絡(luò)拓?fù)涞龋@類數(shù)據(jù)沒有固定特征、沒有指定關(guān)鍵字，需通過機器學(xué)習(xí)的方式，建模構(gòu)建隱藏的數(shù)據(jù)結(jié)構(gòu)，實現(xiàn)自動化識別與分類。

敏感數(shù)據(jù)的識別引擎需要在業(yè)務(wù)生產(chǎn)內(nèi)網(wǎng)中進行較長時間的訓(xùn)練，不斷克服網(wǎng)內(nèi)終端在操作系統(tǒng)版本、已安裝應(yīng)用程序、殺毒軟件、域控策略、防火墻策略等諸多方面的復(fù)雜性，以及不確定性因素的干擾，精準(zhǔn)識別敏感數(shù)據(jù)的相關(guān)泄露事件。

3 方案設(shè)計

省通信管理局依托行業(yè)監(jiān)管，對城域網(wǎng)流量、移動互聯(lián)網(wǎng)流量、IDC流量以及工業(yè)互聯(lián)網(wǎng)企業(yè)專線流量等開展監(jiān)測分析，搭建統(tǒng)一的大數(shù)據(jù)平臺，部署數(shù)據(jù)資產(chǎn)探測發(fā)現(xiàn)、數(shù)據(jù)流動監(jiān)測、數(shù)據(jù)泄露發(fā)現(xiàn)等監(jiān)測業(yè)務(wù)應(yīng)用，摸清省內(nèi)工業(yè)互聯(lián)網(wǎng)資產(chǎn)的底數(shù)，掌握工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全整體態(tài)勢，促進構(gòu)建工業(yè)互聯(lián)網(wǎng)安全綜合評估體系。系統(tǒng)架構(gòu)設(shè)計示意圖如圖1所示。

圖1 系統(tǒng)架構(gòu)示意圖

系統(tǒng)整體分為三層架構(gòu)：數(shù)據(jù)采集層支撐著系統(tǒng)的數(shù)據(jù)來源，是前提保障；數(shù)據(jù)處理層對數(shù)據(jù)進行加工和預(yù)處理，構(gòu)建數(shù)據(jù)中臺，為業(yè)務(wù)提供數(shù)據(jù)總線等服務(wù)；業(yè)務(wù)應(yīng)用層由多個業(yè)務(wù)子模塊組成，對應(yīng)各種業(yè)務(wù)場景，為監(jiān)管決策提供綜合分析支撐。各層具體作用如下：

數(shù)據(jù)采集層：針對多種類型流量場景，構(gòu)建若干數(shù)據(jù)采集子系統(tǒng)，實現(xiàn)工業(yè)互聯(lián)網(wǎng)相關(guān)數(shù)據(jù)源的匯聚和采集。以被動流量分析為主，采用主被動結(jié)合的方式保證數(shù)據(jù)的全面、準(zhǔn)確、有效。

數(shù)據(jù)處理層：采用統(tǒng)一大數(shù)據(jù)平臺賦能，提供統(tǒng)一數(shù)據(jù)存儲、分析能力，同時為大數(shù)據(jù)平臺供給工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全資源庫、主體庫、業(yè)務(wù)庫和知識庫，豐富大數(shù)據(jù)平臺數(shù)據(jù)類型，為上層業(yè)務(wù)應(yīng)用提供數(shù)據(jù)服務(wù)支撐。

業(yè)務(wù)應(yīng)用層：基于統(tǒng)一的開發(fā)框架，新建工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)資產(chǎn)監(jiān)測、數(shù)據(jù)流動監(jiān)測和數(shù)據(jù)泄露監(jiān)測三種場景的應(yīng)用模塊，三個業(yè)務(wù)模塊相互關(guān)聯(lián)、不可分割，分別實現(xiàn)思路如下：

（1）數(shù)據(jù)資產(chǎn)監(jiān)測業(yè)務(wù)模塊通過機器學(xué)習(xí)自動分類、中文自然語言處理、常規(guī)內(nèi)容檢測技術(shù)和誤報漏洞對照分類高級識別檢測技術(shù)，對數(shù)據(jù)及其內(nèi)容進行有效認(rèn)知，從而完成對應(yīng)的識別和審計。在傳統(tǒng)關(guān)鍵字、指紋、正則、詞典等技術(shù)的基礎(chǔ)上，引入人工智能引擎的內(nèi)容識別技術(shù)，提升識別精準(zhǔn)度和性能，并可通過人工，對數(shù)據(jù)的類別和等級進行校準(zhǔn)研判，對數(shù)據(jù)資產(chǎn)進行打標(biāo)，使得識別模型準(zhǔn)確度不斷提升。

（2）數(shù)據(jù)流動監(jiān)測業(yè)務(wù)模塊實現(xiàn)數(shù)據(jù)通聯(lián)分析、異常流轉(zhuǎn)分析、跨境流轉(zhuǎn)分析等功能。具備實時流量統(tǒng)計、流量類型、流量方向、異常流量、共用流量等功能，實現(xiàn)對流量變化的綜合感知、精確管理。具備實時異常數(shù)據(jù)流感知、跨境不明數(shù)據(jù)識別、數(shù)據(jù)非法跨境流動溯源取證、違規(guī)數(shù)據(jù)提取等功能。

（3）數(shù)據(jù)泄露監(jiān)測模塊對數(shù)據(jù)內(nèi)容進行有效認(rèn)知，從而完成對應(yīng)的識別和審計。配合監(jiān)控、預(yù)警、審計等手段來實現(xiàn)對指定數(shù)據(jù)的泄露防護，同時基于策略和規(guī)則自動響應(yīng)。輔以高級檢測技術(shù)，例如指紋文檔比對等，以及多語言和語義的檢測支持，實現(xiàn)精確識別數(shù)據(jù)泄露，及時告警。

4 核心功能

4.1 數(shù)據(jù)資產(chǎn)監(jiān)測

以被動流量分析為主，主動探測為輔，主被動相結(jié)合的方式，通過資產(chǎn)指紋、POC檢測等技術(shù)，檢索工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)中的資產(chǎn)指紋，包括端口、協(xié)議、IP等信息。結(jié)合相關(guān)備案數(shù)據(jù)、標(biāo)識解析等數(shù)據(jù)，識別聯(lián)網(wǎng)工控設(shè)備、工業(yè)APP、工業(yè)互聯(lián)網(wǎng)平臺、工業(yè)互聯(lián)網(wǎng)企業(yè)等相關(guān)信息及活躍度，建立工業(yè)互聯(lián)網(wǎng)基礎(chǔ)信息庫和資產(chǎn)化畫像庫。

4.2 數(shù)據(jù)流動監(jiān)測

針對網(wǎng)絡(luò)流動中的敏感數(shù)據(jù)進行監(jiān)控與報文還原。監(jiān)測內(nèi)部信息外泄，對網(wǎng)絡(luò)流量中的信息進行全量抓取，獲取相關(guān)的敏感數(shù)據(jù)資產(chǎn)信息及時告警，降低數(shù)據(jù)資產(chǎn)暴露風(fēng)險；監(jiān)測高危敏感數(shù)據(jù)操作，獲取敏感信息的操作行為，盡早發(fā)現(xiàn)數(shù)據(jù)盜取或者間諜行為；監(jiān)測高危用戶操作，排查風(fēng)險和權(quán)限問題。

4.3 數(shù)據(jù)泄露監(jiān)測

內(nèi)容檢測識別技術(shù)可以實現(xiàn)數(shù)據(jù)智能分級保護，快速定位、準(zhǔn)確識別企業(yè)核心數(shù)據(jù)，配合機器學(xué)習(xí)、大數(shù)據(jù)分析等高級檢測技術(shù)，實現(xiàn)核心數(shù)據(jù)事中檢測響應(yīng)的防護理念。作為行業(yè)監(jiān)管部門，數(shù)據(jù)泄露監(jiān)測發(fā)現(xiàn)應(yīng)立足于總體國家安全觀，保護企業(yè)即個人隱私數(shù)據(jù)。

5 方案可行性驗證

本文闡述了工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測手段建設(shè)的必要性，設(shè)計了基于流量場景下工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)測系統(tǒng)的實現(xiàn)方案，以及系統(tǒng)需實現(xiàn)的三個核心功能，即數(shù)據(jù)資產(chǎn)監(jiān)測、數(shù)據(jù)流動監(jiān)測和數(shù)據(jù)泄露監(jiān)測。通過貫徹數(shù)據(jù)分類和分級防護的理念，指導(dǎo)如何構(gòu)建工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全綜合防護體系。基于以上設(shè)計思路，對方案可行性進行了初步驗證，抽樣南京、揚州、蘇州等地的部分工業(yè)企業(yè)，均值流量約105Gbps的互聯(lián)網(wǎng)專線流量進行監(jiān)測分析，期間監(jiān)測發(fā)現(xiàn)工控設(shè)備資產(chǎn)約5.3萬個，按類型統(tǒng)計如圖2所示。月均監(jiān)測發(fā)現(xiàn)與工業(yè)生產(chǎn)制造、運行維護、平臺運營等相關(guān)工業(yè)類型數(shù)據(jù)363萬條，數(shù)據(jù)流動日志975萬條，這些數(shù)據(jù)以分析后的日志方式存儲于大數(shù)據(jù)平臺，包含IP、端口、協(xié)議報文以及關(guān)聯(lián)的資產(chǎn)標(biāo)簽、敏感特征等數(shù)據(jù)，為進一步實現(xiàn)數(shù)據(jù)泄露研判提供可能。

6 結(jié)束語

限于篇幅，本文未對工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全展開說明，但現(xiàn)實中數(shù)據(jù)安全與網(wǎng)絡(luò)安全往往是伴生關(guān)系，結(jié)合網(wǎng)絡(luò)安全事件的分析結(jié)果有助于我們更深刻、更全面地了解數(shù)據(jù)安全事件產(chǎn)生的原因，建立防范機制，以便更全面指導(dǎo)工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全監(jiān)管工作。