工业互联网安全态势感知技术探究

唐龙胜，侯正炜，程胜林，张定宇，刘志飞，桂 华

（淮浙电力有限责任公司 凤台发电分公司，安徽 淮南 232131）

0 引言

工业互联网作为信息技术和制造业深度融合的产物，是推动未来工业革命的重要支撑。但同时，工业互联网安全事故频发，特别是工业控制系统经常受到各种威胁，造成了各类生产安全事故以及经济损失。 工业互联网不仅要保障工业控制系统全流程的安全， 也要能够根据行业特点和企业生产实际进行自适应保护，具备及时、安全、可靠和便利的特点。

我国工业互联网虽然起步较晚，但是国内各行业对工业互联网的布局很快，对网络安全也高度重视。在政策方面，我国相继出台了《加强工业互联网安全工作的指导意见》、《省级工业互联网安全态势感知平台建设指南》、《工业互联网企业网络安全分类分级管理试点》， 在不同的层面都对工业互联网安全提出了要求。 对各企业来说，也应结合国家相关法律法规和企业自身的现实需求，针对互联网技术发展和各类创新应用，形成较好的工业互联网安全态势感知及其保障机制，加强对工业行业的理解与工业互联网本质和内涵的把握，找到工业互联网安全发展的有效路径。

1 工业互联网安全现状及面临的挑战

1.1 工业互联网安全现状

工业互联网即工业的互联网，又可称为“工业+互联网”，本质是将网络技术同各行各业的设备、生产线、供应商、产品、客户紧密联系起来，实现工业经济的高效共享，合理化分配生产要素，通过智能化、自动化、网络化的新一代生产方式提高效率，降低成本，帮助各行各业合理规划产业链，促进工业产业创新转型。

自2015 年开始， 国家越来越重视互联网与制造业的融合，不断推进“互联网+”行动，提升制造业数字化、网络化、智能化水平，不断加强产业链协作，发展基于互联网的工业协同制造模式，并发布相关的网络安全等级保护制度2.0， 将工业控制系统纳入网络安全等级保护的范围。

工业互联网安全涉及工业控制、互联网、信息安全三个交叉领域，面临着OT（Operation Technology）、IT（Information Technology）系统的双重挑战。攻击者随时会针对工业系统中存在的漏洞和问题进行攻击，而目标一般是获取情报信息、流程和工业机密数据。 从攻击的手段和方法来看，攻击类型已经呈现出多样化的趋势， 从震网病毒、BlackEnergy 攻击、再到Shamoon2.0 攻击，攻击手段和攻击方式都在不断进化。 如在针对沙特阿拉伯的Shamoon2.0 攻击中，攻击者使用了一种简单粗暴的攻击方式， 把原有数据擦除并加入垃圾数据。 而Shamoon 最初的攻击是先窃取用户数据信息并上传到C&C 服务器上， 然后进行文件的删除或者覆盖，这样的攻击手段还可以通过阻断网络或者限制访问的IP 来进行攻击防御。 但是在升级之后的Shamoon2.0 中，攻击者设置了完全不可达的服务器地址，并且设置了定时器，这次攻击就变成了一颗“定时炸弹”。

对攻击方法和攻击手段没办法进行事前了解、分析和防御就无法阻断攻击行为。工业互联网平台在建设过程中存在很大的问题，无法起到实际的防御作用。 但随着工业互联网的不断发展，也使暴露在互联网当中的工业设备不断增加。 如2019 年相比2018 年增加了21.7%， 且有35%的设备都存在高危漏洞，对工业控制系统造成了极大威胁。 2020年工业控制系统的漏洞数量也比2019 年增加了180 个，增长比例高达40%，高危漏洞占比56.6%，中危漏洞占比35.8%， 中高危漏洞占比高达92.4%，工业互联网安全受到严峻的考验[7]。2020 年工业控制系统网络安全漏洞类型占比统计如图1所示。

图1 工业控制系统漏洞类型统计Figure 1 Statistics of Vulnerability in industrial control systems

通过对2020 年工业互联网安全新增漏洞涉及的行业分析发现，制造业存在的漏洞最多，攻击方式高达几十种，且攻击破坏力强，对制造业关键基础设施的安全造成了重大危协[7]。

1.2 工业互联网安全面临的挑战

1.2.1 产业发展缺少内生动力

大部分企业注重工业网络安全都是由于近几年国家相关政策和产业发展形势的外力所推动的，并不是企业意识到工业网络安全对于自身持续发展的重要价值而主动关注和重视的。 因此，一般工业企业都面临网络安全保护不全面等问题，安全投入均为分散式和单点式的，缺少体系化的安全规划和布局。

同时，大部分工业控制行业的从业人员没有意识到工业互联网安全的重要性，没有意识到工业互联网安全不仅仅关系到企业生产安全，更关系到社会经济运行和国家安全。 因此，大部分企业在面对国家各类实战化的网络攻防演习行动时，应对措施都是临时应变和突击建设防护，常态化的安全投入缺少，没有对应的主体责任人，工业互联网安全产业内生动力不足。

1.2.2 安全专业人才缺乏

工业互联网安全的竞争不仅在于健全基础防护设施，更在于对整体网络状况的把握和维护。工业控制系统本身具有多样性，数据有多个维度，为了保证整个生产过程的安全， 不但需要专门的系统及时发现和研判生产过程中发生的网络安全问题， 而且需要专门的安全专业人才对告警信息进行处理和响应。 贯彻落实“总体国家安全观”和维护工业控制系统的安全，必备要素为人才。 根据《2020 年网络安全人才发展白皮书》[7]统计来看，网络安全从业人员从事行业分布中： 通信和电子行业的网络安全人员较多，占比33.14%；其次是IT 和互联网行业，占比约为27.46%；而制造业的从业人员仅有22%，工业控制行业的网络安全人才严重缺乏。 具体如图2 所示。

图2 网络安全从业人员所在行业分布图Figure2 Industry distribution of network security practitioners

1.2.3 工业控制系统缺少一站式网络安全监控平台

随着对网络安全重视程度的不断提高，各类工业互联网安全平台纷纷出现，如工业互联网审计平台、工业控制漏扫平台等。 但这些防护平台之间不能互通，增加了网络安全管理的难度，导致管理人员不能快速地对外部的攻击威胁情报进行整合和分析处置，同时也不能实时动态地掌握所有设备的网络安全防护状态，并结合攻击威胁和安全状态合理决策和进行处置响应。

2 工业互联网平台建设存在的问题

对于工业互联网安全来说，工业互联网平台是重要的基础设施。 其连接的设备多种多样，且厂商采用不同的协议等，这些建设过程中存在的隐患也是导致工业互联网安全问题的重要原因。

随着企业数字化转型， 越来越多的工业企业“上云”、“入网”， 导致许多工业设备暴露在互联网中。虽然网络的融合让企业在管理与控制一体化层面的效率和效益有了提升，但随着自动化控制系统的深入推进， 管理层数据和控制层数据不断交换，没有严格把控好数据界限和进行区域隔离与边界防护工作， 会导致工业控制系统被外界攻击和攻破，严重影响企业生产运营。

同时，由于工业控制系统的底层设备一般有较长的使用年限，系统较为老旧，不会随时进行漏洞的修复和补丁更新，漏洞数量不断增加。 而漏洞修复难度较大， 修复过程中必须保证不能中断生产，同时在修复之后不能有兼容性问题，导致企业不愿意进行漏洞修复。这些都导致工业互联网平台面临较为严峻的网络安全形势挑战。

3 工业互联网安全态势感知技术

3.1 工业互联网安全态势感知综述

相比于传统的网络安全， 工业互联网安全需要综合考虑传统的网络攻击和针对工业设备的攻击。因此，在进行监管平台搭建时不仅要考虑IT 网络上的所有攻击行为，也要考虑对OT 设备的攻击行为。工业互联网安全态势感知平台一般都是根据现有工业控制系统的运行数据进行数据分析和数据可视化，动态展示网络环境中所有安全指标的变化。而构建一个全面、宏观、可靠和可视化的工业互联网安全态势感知平台， 有利于加强安全管理人员对工业互联网安全环境的理解和及时处置相关安全危协。

针对工业互联网来说，态势感知技术可以提供更多的安全基础服务， 从工业控制系统暴露情况、应用站点安全情况、内网系统的安全情况三个纬度进行可视化展示。 同时，工控态势感知系统中数据采集的程度影响到可视化的程度，因此应在数据采集的基础上结合历史数据、原始日志、威胁情报库、工控漏洞知识库等给出预判性告警，再结合工单管理功能快速将工控系统内的告警信息下发到对应的单位和人，实现告警信息闭环管理和实时追踪。

3.2 工业互联网安全态势感知平台建设思路

工业互联网安全态势感知平台是将工控设备的安全监测、全息档案、响应处置、分析研判和态势感知通过大数据分析技术整合在一起，在建设平台的时候要把握人、机、物和数据之间的关系。

如图3 所示为工业互联网安全态势感知平台的架构。 平台主要分为三层，最底层进行各种基础数据采集，利用网络攻击诱捕引擎、云端安全监测引擎、网络安全监测引擎、安全合规检查引擎等进行基础数据采集和流量采集，经过核心路由器镜像到审计平台，经过日志审计、流量审计送到数据中台和安全能力中台进行进一步识别、检测。 最后通过工业互联网安全态势感知平台进行业务能力呈现，从而形成整体监管、安全防护的能力。

图3 工业互联网安全态势感知平台架构图Figure3 Architecture of the industrial internet security situation awareness platform

3.2.1 安全引擎层建设

采用多元异构数据采集技术， 对终端流量、日志信息、网络流量进行收集，在CII 单位网络出口、城域网出口部署流量检测设备，在重点单位重要系统服务器或主机上安装软探针（Endpoint Detection and Response，EDR），进行布点监测，对重点保护单位的网络安全设备进行日志采集， 主要采集防火墙、 入侵检测、 入侵防御、WAF （Web Application Firewall）设备的日志。 因为可以进行日志采集的设备和软件系统都比较多，如果对所有数据都进行采集分析则会造成较大的资源浪费。 因此，可根据工业控制网络安全的特点，如设备上下线异常、修改密码、 主机和工作站的危险操作等形成安全规则，使用白名单和黑名单规则对数据进行筛选，提取出有价值的数据；同时将筛选之后的日志数据经过规则库匹配和聚类算法合并重复日志内容，去掉冗余事件，使得数据分析结果更加精准。

3.2.2 安全中台建设

安全中台建设包含安全数据中台和安全能力中台。

安全数据中台实现安全数据的统一接入和使用日志审计平台进行日志格式标准化，实现安全数据汇聚、管理和统一的数据服务。 针对安全引擎层采集的数据，经过数据处理、存储、挖掘后，形成包括木马病毒库、等保基础库、恶意域名库、关键信息基础设施信息库、恶意IP 库、事件库、案件库、漏洞库、网络资产库、黑客库、情报库等，提供给上层业务系统。 同时，安全数据中台提供安全大数据关联分析引擎，使用关联分析算法对接入数据进行实时分析或者离线分析。

安全能力中台包括安全能力中心和安全能力管理建设，通过将安全能力服务化，形成安全服务目录，实现安全资源的灵活调度和对基础安全能力进行统一管理，包括安全检测能力、智能安全分析能力以及态势感知能力。安全能力管理包括能力编排、能力调度、策略管理以及场景管理功能。

3.2.3 业务系统层建设

业务系统层主要进行数据可视化和统一管理可视化展示。 包括对工控设备安全监测结果、安全档案、响应处置、分析研判和态势感知的大屏展示。

在安全监测模块使用关联分析和全文检索技术， 通过倒排索引的结构达到快速全文检索的目的。 全文检索技术运用在安全监测子系统中，主要用于对监测数据的检索查询，能够实现对安全事件的细致分析，并将有效数据运用于模型建立当中。

4 结语

工业互联网事关国计民生，要围绕工业互联网进行网络安全需求分析，以问题为导向，结合态势感知技术形成具备工控特色的态势感知平台，有效保障工业控制系统的安全。