工业互联网安全态势感知平台建设的研究

 工业互联网安全态势感知平台建设的研究

曲升宇

山东省工业互联网发展研究中心  264003

摘要：工业互联网作为新一代信息技术与制造业深度融合的产物，是加快引领制造业数字化转型，助力国家新型工业化实现的重要手段。但与此同时，安全事故频发，尤其是工控系统经常受到威胁，导致各种制造业产线发生信息泄露和商业损失。保证工控安全、结合生产制造场景做出适时安全反应，成为当前工业互联网发展的重要方向之一，可靠、安全、稳定、便捷逐渐成为业内共识，工业互联网安全态势感知平台建设具有其必要性。

关键词： 工业；信息技术；安全态势；感知平台；建设；研究

1 安全态势感知技术概述

安全态势感知技术是在采集多维度、多层次数据的基础上，通过对安全信息分类、归并、建立数据模型、分析等手段进行融合、分析，得到网络的整体安全状况及其应对措施，并对网络安全状况的发展趋势进行预测，从而为工业控制系统网络安全提供可靠的数据参考和决策支持[1]。通过提取安全态势分析指标体系，建立基于复杂网络行为模型与模拟的工业互联网网络安全态势分析与预测体系，进而得出量化的或定性的网络安全态势评估结果并通过对历史态势的分析、建模，对未来的网络安全态势演化进行预测，以便安全管理人员对网络内的安全要素、安全设备、信息系统进行合理的调整、升级，应对网络安全态势的变化[2]。工业互联网安全态势感知系统一般具有以下特点：

1. 责任边界亟需划定

与传统网络安全相对明确的责任边界不同，工业互联网所需产品的生产、使用和维护属于连接管理范畴，系统边界被无限放大。无论是在范围、复杂性、风险水平还是威胁影响方面，它都要大得多。从工业企业停产到设备损坏和失控，甚至造成人员伤亡。在工业互联网体系中，“万物互联”使生产和使用环节紧密相连，促进了其定制化和智能化。然而，生产设备、控制设备、监控设备和生产产品与各种应用系统和软件广泛集成，也会受到黑客攻击，大大增加安全风险[3]。广泛的边界需要灵活的安全监测能力来补充应对措施。

1.2涉及领域广泛、多样

工业互联网安全态势感知涉及的监控角色包括识别解析节点、工业互联网平台、工业应用设备、工业控制系统、工业APP等。每个角色都需要考虑相应的数据采集、资产识别、安全监控、态势分析、预警处置等。其中需要分别处理其IP地址、网络协议和应用系统的不同属性。

1.3涉及业务背景，改造难度极大

当前，工业企业数据正在广泛向规模化、多维化、内外双向流动转变，在深度定制和智能制造方面取得重大进展。这形成了一种涉及买方、卖方、材料、监管机构和生产商等多方的网络连接。目前，工业设备制造商相对独立，工业系统和设备中使用的协议和加密技术也有所不同。工业互联网安全态势感知的构建需要逐一分析和调整。同时，由于工业互联网的核心目标是支持工业企业无处不在的连接、灵活的供应和高效的制造资源配置，以帮助企业升级转型，因此要求工业互联网安全态势感知的建议应侧重于确保生产的顺利进行，进一步提高了技术难度。

2 工业互联网安全态势感知平台主要内容

2.1数据采集和数据接口的建设

工业数据采集可以通过流镜像/光谱被动监测、工业和信息设备资产的信息采集以及程序主动扫描和检测相结合来实现。收集的数据类型包括资产数据、流量数据、安全事件、漏洞信息、蜜罐日志等[4]。涉及的内容包括行业分类、网站注册、IP注册、企业规模、行业应用、行业协议等。数据采集的目的是对工业设备、工业网络、工业系统、工业企业、工业行业、工业园区、工业互联网服务平台等工业互联网安全态势感知保护主体实现实时风险监测和威胁分析，并根据预设的特征、策略、模型和逻辑算法实时跟踪工业互联网活动，绘制多维度的生产活动、安全漏洞情况曲线。

2.2工业协议的梳理与打通

经过多年的发展，工业现场网络形成了现场总线、工业以太网和工业无线网络等多种类型。典型的现场总线协议有Modbus RTU、Profibus、HART等；工业以太网的代表性协议有Profinet、Ethernet/IP、Modbus TCP、EtherCAT、Powerlink、EPA等；WIA-PA、WirelessHART、ISA100.11a则是主流的三种工业无线网络标准。当前工业网络存在一些问题，其中一个显著特点是种类繁多，开放性差，大部分标准自成体系，围绕网络协议形成一个个封闭的软硬件系统。不同网络接口的设备互联互通困难在考虑数据采集部署时，我们需要要求设备具有多个工业协议的识别和解析能力，并能够支持新协议的额外解析能力。

2.3数据管理与工业设备接入梳理

工业互联网安全态势感知平台内置丰富的资产指纹库，通过指纹比对等方式可以自动识别网络中的IT与OT资产信息，并可将被监测的工业企业的网络拓扑在页面上动态呈现。支持IP自动发现、指纹自动识别和数据同步的方式在系统数据库中录入资产信息，实现对资产流量监视、端口状态统计、协议状态统计、资产活跃状态监视、资产访问行为监视等管理方式，并随时对资产可能出现的变更或退网方式及时响应。能够识别的资产种类包括但不限于工业互联网平台、联网设备及系统、工业APP、工业数据等。

3 平台搭建策略

3.1 提高重视程度

随着国家战略的推进，越来越多的智能工业物联网产品被广泛应用于一些关系国家战略安全、人民生命财产安全的关键领域。工业互联网正逐步从专有标准向通用标准、通信协议和智能化转型。从最近的国际案例可以看出，安全威胁已经通过网络空间蔓延到与国家运营相关的重要行业，如制造业、交通运输、电力和制造业。这些工业行业一旦遭到网络攻击，将影响国家公共安全、经济安全和社会安全，严重损害广大人民群众的切身利益。

3.2打通数据孤岛

破除“数据孤岛”，实施“互联网+”，大力推进信息共享，推动跨部门业务流、数据流的整合再造，进行跨领域信息交换应用实践，对促进科学决策、提升监管能力、优化管理水平等可以起到及其重要的作用[5]。全面收集工业控制网络威胁事件、工业控制设备、工业控制安全漏洞等数据，反映整个工业互联网的安全状况，并充分利用大数据人工智能技术对工业控制网络的风险趋势进行预测和评估。

3.2.1 做好平台顶层设计。从全局的角度，对某项任务或者某个项目的各方面、各层次、各要素统筹规划，以集中有效资源，高效快捷地实现目标。特别是需要加强终端与云的协同计算，构建工业协议库、工业漏洞库、工控设备指纹库，并不断积累和内部共享机制。

3.2.2 注意应用场景。平台的产品必须适合工业用户的管理习惯和场景，具有故障导向、高性能无干扰、高系统可靠性等原则。尤其是建立一个性能全面的综合矩阵模块，为不同细分行业的用户提供可靠、全面、适应性强、安全、易用的解决方案，是场景规划的基础。

结束语

网络入侵和攻击正在向规模化、复杂化的趋势发展。工业控制系统由于在设计之初就存在大量安全漏洞，且因可用性的要求，绝大多数使用者都不会对系统进行升级或改造，因此工控网络往往容易成为网络攻击的首选目标。工业互联网安全态势感知平台能够实时、准确地掌握网络安全态势状况，检测恶意攻击行为，让网络安全工作具有主动性和条理性，是监测和预防网络安全事件的有效途径。参考文献

[1] 解析工业互联网安全态势感知核心技术[J]. 赵一凡;尹肖栋;林逸风.数字技术与应用,2020(12)

[2] 工业互联网安全态势感知平台的搭建策略[J]. 门嘉平.网络安全技术与应用,2020(05)

[3] 工业互联网安全态势感知技术探究[J]. 唐龙胜;侯正炜;程胜林;张定宇;刘志飞;桂华.智能物联技术,2021(05)

[4] 省级工业互联网安全态势感知平台系统架构研究[J]. 郭亮亮.物联网技术,2020(12)

[5] 基于态势感知的移动互联网安全监测研究[J]. 陈婉莹;杨正军;翟世俊.信息安全与通信保密,2019(08)