工业信息安全监测预警平台自身防护能力认证体系研究

王新霞，陈意，胡谦，孔群，韩丽宁，吕小青

（山东省电子信息产品检验院［中国赛宝（山东）实验室］，山东 济南 250014）

0 引言

随着新一代信息技术广泛应用在工业领域，传统工业控制系统的封闭性被打破，导致各类工艺参数、过程控制信息等敏感数据存在被泄露、篡改、窃取的风险，一旦发生安全事件，会造成无法估量的损失。因此，监管部门、工业企业、安全厂商、第三方机构等单位加快建设工业信息安全监测预警平台（以下简称“监测预警平台”），监测预警平台不仅能抵抗风险，还可以实时监测与预防威胁攻击，以提升工业信息安全防护能力。当前我国监测预警平台建设仍处于起步阶段，平台安全建设水平参差不齐，为提升监测预警平台的安全防护能力，建立完善统一的工业信息安全监测预警平台自身防护能力认证体系迫在眉睫[1-4]。

1 监测预警平台风险分析

监测预警平台通过采集工业控制系统、工业互联网平台、安全设备的相关数据，进行数据的分析、处理后，实现安全监测、应急处置、态势感知等功能，提升工业信息安全防护能力。但是，现有监测预警平台存在关联业务复杂、连接设备种类多、数据格式多样、安全边界模糊、受攻击面大等问题，使其在技术与管理层面均存在安全风险[1-4]。

1.1 技术风险

（1）接入认证安全。监测预警平台结构复杂、接口众多，其连接的设备及平台存在类型多、数量大的特点，在接入认证方面容易存在安全风险。探针接入监测预警平台时，会对特定信息进行采集、分析，如果不能保证接入探针的真实性，监测预警平台会面临信息泄露、恶意追踪、非法使用等安全风险。工业控制设备、终端设备、安全设备、其他平台接入监测预警平台的风险主要包括非法接入、恶意代码植入等。

（2）数据安全。监测预警平台涉及大量用户数据、安全数据，一旦数据遭到泄露、篡改，将影响整个平台的正常运行。监测预警平台的数据采集阶段面临运维人员拖库、外部SQL注入等风险；数据传输阶段面临中间人攻击、会话控制和劫持等风险；存储阶段存在数据窃取、篡改、伪造等攻击的危险；数据处理和使用阶段存在弱密码攻击、拒绝服务攻击、中间人攻击、实时性攻击等风险。

（3）身份认证安全。对用户进行身份认证是保障监测预警平台安全最直接、最经济的手段，但身份认证过程中也存在一定的安全风险。用户登录监测预警平台时，存在身份冒用、IP欺骗等风险。运维人员进行监测预警平台维护时，存在端口扫描、数据包嗅探等风险。管理人员对监测预警平台进行管理时，存在非授权登录、非法操作、越权访问等风险。

1.2 管理风险

（1）平台规划阶段的风险。部分单位在监测预警平台的规划阶段，没有制定安全监测平台管理计划；没有制定完善的监测预警平台管理制度及流程；没有建立岗位责任制度、人员培训及考核制度，未形成有效的安全责任落实机制，缺少监测预警平台专职安全管理人员；没有制定监测预警平台的应急预案；针对监测预警平台的重要数据，没有制定分类分级安全防护策略。

（2）平台建设阶段的风险。在监测预警平台的建设阶段，没有严格按照实施及部署方案进行建设，安全防护措施不到位。监测预警平台的数据安全建设投入不足，导致平台用户信息、安全数据等敏感数据泄露；监测预警平台建设缺少阶段性验收及局部风险评估环节；监测预警平台投入运行前没有进行整体安全评估，或者评估不通过就正式运行，为后期平台正常运行埋下安全隐患。

（3）平台运维的风险。监测预警平台运维过程中，不重视风险管理，运维工作缺乏运维制度依据或未依照制度执行，存在责任主体边界不清、事件溯源难等问题；专职运维人员较少，存在“重运行、轻维护”的现象；没有对运维人员开展专门的技术培训及考核；监测预警平台运维过程中，没有定期开展风险评估并根据评估结果进行整改。

2 监测预警平台认证体系框架

2.1 监测预警平台架构设计

基于安全业务需要，提出包含接口层、数据层、应用层的监测预警平台架构，监测预警平台架构如图1所示。接口层实现监测预警平台与工业控制设备、采集类探针、安全设备、终端设备、应用系统等的安全数据对接，通过安全传输通道进行数据传输；数据层实现对安全数据的管理，包括数据的采集、传输、分析、存储等；应用层根据数据分析处理结果，实现安全态势感知、监测预警、安全事件处置，提供可视化的展示及安全防护处置建议。

2.2 防护能力认证体系架构设计

为解决监测预警平台涉及行业广、设备多、协议杂、数据量大等问题，结合监测预警平台的三层架构，设计了监测预警平台自身防护能力认证体系架构：接口层、数据层、应用层和管理安全，以满足监测预警平台共性需求，监测预警平台自身防护能力认证体系架构如图2所示。

图2 工业信息安全监测预警平台自身防护能力认证体系架构图

（1）监测预警平台接口层安全防护。接口层应满足的安全防护要求主要有：①网络架构，应做好安全区域划分，避免相关的平台和设备直接接入监测预警平台。②边界防护，工业企业和工业互联网平台企业内网和外网边界应做好网络隔离，并对接入的非授权设备进行告警和阻断，应用密码技术对接入设备进行认证。③入侵防范，对接入网络的数据进行深度包检测，能够检测DDoS等网络攻击行为，并记录攻击行为等相关信息并告警。④安全审计，依据重要程度对用户行为、安全事件等进行审计，完善并保护审计记录，审计日志应符合相关要求[5-6]。

（2）监测预警平台数据层安全防护。数据层应保证数据的保密性、完整性、可用性，保障数据传输、使用的安全，具备数据备份和恢复的功能，其应满足的安全防护要求主要有：①数据保密性，在数据的传输和存储过程中，通过使用SM2、SM3、SM4等密码技术实现重要数据、敏感信息的保密性。②数据完整性，在数据的传输和存储过程中，在数据的传输和存储过程中，通过使用SM2、SM3等密码技术实现重要数据、敏感信息的完整性。③数据可用性，应做好重要数据及时备份和实时异地备份[5-6]。

（3）监测预警平台应用层安全防护。应用层应满足的安全防护要求主要有：①身份鉴别，通过身份鉴别机制保证鉴别信息的唯一性，在进行身份鉴别时，采用两种及以上的鉴别技术保证安全性。②访问控制，做好用户权限分配，遵循用户最小权限分配原则，设置访问控制策略和登录策略。③安全审计，设置合理审计范围，审计记录完整，并对其进行保护，审计日志应符合相关要求[1]。

（4）监测预警平台管理安全。①监测预警平台规划阶段，制定安全管理计划，形成完善的安全管理制度及流程，建立岗位责任制度、人员培训及考核制度，落实安全责任机制，制定应急预案及重要数据的分级安全防护策略。②监测预警平台建设阶段，严格按照实施及部署方案进行建设，加强数据安全投入，重视阶段性验收及局部风险评估，进行整体安全评估，评估通过后投入正式运行。③监测预警平台运维阶段，重视风险管理，严格按照运维制度执行工作，配备专职运维人员并对其进行专门的培训及考核，定期开展风险评估并根据评估结果进行整改。

3 结语

本文对监测预警平台的技术、管理风险进行分析，设计了监测预警平台架构，最后提出了防护能力认证体系架构，以实现各类监测预警平台及时有效地进行事前防范、事中监测以及事后追溯，助力工业企业持续保持平稳有序、健康发展的良好态势。