王 弢，崔君榮

(360企業(yè)安全集團(tuán)，北京 100015)

0 引言

工業(yè)信息安全是實(shí)施制造強(qiáng)國(guó)和網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略的重要保障[1]。近年來(lái)，在“兩化融合”、生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)互通的新形勢(shì)下，隨著“中國(guó)制造2025”全面推進(jìn)，工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展，我國(guó)工控系統(tǒng)面臨安全漏洞不斷增多、安全威脅加速滲透、攻擊手段復(fù)雜多樣等新挑戰(zhàn)[2]。

自2010年震網(wǎng)病毒攻擊伊朗核基礎(chǔ)設(shè)施，使8 000臺(tái)離心機(jī)損壞之后，近幾年安全事件頻發(fā)，而且一些針對(duì)工控系統(tǒng)的惡意軟件也被陸續(xù)曝光。2014年Havex利用供應(yīng)商軟件網(wǎng)站的“水坑攻擊”，影響了歐美1 000多家能源企業(yè)(供應(yīng)鏈安全)，2015年12月，烏克蘭發(fā)生的一次有組織、有預(yù)謀的APT攻擊，則造成了烏克蘭境內(nèi)大范圍斷電。2017年Triton攻擊中東能源基礎(chǔ)設(shè)施的功能安全保護(hù)系統(tǒng)，試圖造成惡性事故。

這些安全事件都表明來(lái)自黑客的網(wǎng)絡(luò)攻擊威脅正在日益向工業(yè)網(wǎng)絡(luò)滲透，工控系統(tǒng)所面臨的安全風(fēng)險(xiǎn)態(tài)勢(shì)將會(huì)更加嚴(yán)峻，加強(qiáng)工業(yè)信息安全保障能力建設(shè)已成為當(dāng)務(wù)之急。

IT信息安全領(lǐng)域近年來(lái)也正在發(fā)生重大而深刻的變革，新的理念、新的方法、新的產(chǎn)品不斷涌現(xiàn)。隨著大數(shù)據(jù)、人工智能等新技術(shù)的廣泛應(yīng)用，積極防御、威脅情報(bào)、態(tài)勢(shì)感知、安全可視化等創(chuàng)新理念和新產(chǎn)品的出現(xiàn)推動(dòng)了傳統(tǒng)信息安全產(chǎn)業(yè)的變革。在工業(yè)信息安全領(lǐng)域，傳統(tǒng)的安全防御產(chǎn)品已逐漸乏力、無(wú)法有效應(yīng)對(duì)越來(lái)越嚴(yán)重的安全威脅，構(gòu)建層次清晰、定位明確、融合聯(lián)動(dòng)的工業(yè)信息安全產(chǎn)品體系將成為產(chǎn)業(yè)未來(lái)發(fā)展的重要趨勢(shì)。

工業(yè)信息安全領(lǐng)域內(nèi)的專(zhuān)家也已經(jīng)深刻認(rèn)識(shí)到，單獨(dú)依靠一、兩種產(chǎn)品無(wú)法有效應(yīng)對(duì)越來(lái)越嚴(yán)重的信息安全威脅，需要構(gòu)建層次清晰、定位明確、融合聯(lián)動(dòng)的工業(yè)信息安全產(chǎn)品體系才能對(duì)工業(yè)控制系統(tǒng)實(shí)施有效防御。

1 傳統(tǒng)工業(yè)信息安全防護(hù)體系面臨的挑戰(zhàn)

傳統(tǒng)工業(yè)信息安全防護(hù)體系主要包括工業(yè)防火墻、入侵檢測(cè)、防病毒軟件等產(chǎn)品，其安全解決方案不能有效應(yīng)對(duì)越來(lái)越嚴(yán)重的信息安全威脅。傳統(tǒng)工業(yè)信息安全防護(hù)體系現(xiàn)面臨以下安全挑戰(zhàn)。

1.1 APT攻擊頻頻得手

APT攻擊在網(wǎng)絡(luò)對(duì)抗中主要采用精準(zhǔn)打擊的軍事級(jí)數(shù)字武器，其特征表現(xiàn)為：目標(biāo)鎖定、攻擊手段未知、幾乎無(wú)法檢測(cè)、持續(xù)時(shí)間長(zhǎng)等。傳統(tǒng)安全防御體系在這種攻擊面前形同虛設(shè)，毫無(wú)效果。目前已經(jīng)被公開(kāi)披露的APT攻擊事件，如：針對(duì)伊朗核設(shè)施的震網(wǎng)蠕蟲(chóng)病毒、針對(duì)卡巴斯基的Duqu2.0震網(wǎng)病毒等都是在攻擊發(fā)生數(shù)年后才被發(fā)現(xiàn)。

1.2 傳統(tǒng)安全邊界正在消失

隨著IT和OT技術(shù)的融合，網(wǎng)絡(luò)邊界不再等于安全邊界。傳統(tǒng)安全防護(hù)體系特別強(qiáng)調(diào)邊界防御，但隨著云計(jì)算、物聯(lián)網(wǎng)等網(wǎng)絡(luò)場(chǎng)景、應(yīng)用場(chǎng)景的出現(xiàn)，網(wǎng)絡(luò)訪問(wèn)與接入對(duì)移動(dòng)性提出了更高的要求，這些技術(shù)的發(fā)展將網(wǎng)絡(luò)的安全邊界延伸到企業(yè)網(wǎng)絡(luò)之外，工業(yè)廠商廠區(qū)不再是孤立的，打破了物理隔離。

1.3 攻擊技術(shù)層出不窮

新型攻擊技術(shù)一次次打破了傳統(tǒng)安全防線。如：通過(guò)0 day漏洞躲過(guò)IDS/IPS的漏洞利用攻擊，通過(guò)加密、加花、加殼等手段的各類(lèi)病毒，通過(guò)編碼轉(zhuǎn)換、語(yǔ)法變形的各類(lèi)注入技術(shù)等。這一次次的攻擊表明傳統(tǒng)安全防御體系已無(wú)法應(yīng)對(duì)黑客、攻擊者的惡意破壞。

2 以數(shù)據(jù)驅(qū)動(dòng)的工業(yè)信息新型安全技術(shù)

工業(yè)信息安全行業(yè)的本質(zhì)是攻防對(duì)抗，攻防之間是一種動(dòng)態(tài)的平衡，是管理、人才、技術(shù)、基礎(chǔ)設(shè)施等多方面的競(jìng)爭(zhēng)。傳統(tǒng)的工業(yè)信息安全技術(shù)大多基于IT信息安全行業(yè)傳統(tǒng)的防護(hù)思想，雖然對(duì)解決目前迫切的工業(yè)安全防護(hù)需求有很大的幫助，但當(dāng)面對(duì)有其它國(guó)家政府或大型組織背景，使用APT攻擊或0 day漏洞攻擊的威脅，常常不能提供充分、有效的防護(hù)。

IT信息安全領(lǐng)域近年來(lái)正在發(fā)生重大而深刻的變革，新的理念、新的方法、新的產(chǎn)品不斷涌現(xiàn)。信息安全從業(yè)者嘗試基于數(shù)據(jù)驅(qū)動(dòng)安全的理念，使用大數(shù)據(jù)、人工智能等新技術(shù)解決信息安全問(wèn)題，并取得了良好的效果。

2.1 基于威脅情報(bào)的工業(yè)威脅檢測(cè)技術(shù)

威脅情報(bào)依托于云端的海量工業(yè)數(shù)據(jù)，經(jīng)過(guò)數(shù)據(jù)收集、數(shù)據(jù)清洗、數(shù)據(jù)關(guān)聯(lián)、數(shù)據(jù)驗(yàn)證、上下文、優(yōu)先級(jí)、格式化、情報(bào)分發(fā)等過(guò)程生成。威脅情報(bào)通過(guò)統(tǒng)一的規(guī)范化格式將攻擊中出現(xiàn)的多種攻擊特征進(jìn)行標(biāo)準(zhǔn)化。基于威脅情報(bào)的工業(yè)威脅檢測(cè)技術(shù)能夠?qū)た叵到y(tǒng)攻擊中出現(xiàn)的特點(diǎn)進(jìn)行識(shí)別、背景信息關(guān)聯(lián)和可視化展現(xiàn)。該技術(shù)不僅可以更早地發(fā)現(xiàn)威脅和進(jìn)行響應(yīng)處理，還可以實(shí)現(xiàn)從點(diǎn)到面的協(xié)同防護(hù)，極大地壓縮攻擊者進(jìn)行攻擊的時(shí)間并提升其成本。該技術(shù)可對(duì)受害目標(biāo)及攻擊源頭進(jìn)行精準(zhǔn)定位，最終達(dá)到對(duì)入侵途徑及攻擊者背景的研判與溯源，幫助企業(yè)從源頭上解決安全問(wèn)題。

2.2 基于大數(shù)據(jù)處理的工業(yè)態(tài)勢(shì)感知技術(shù)

大數(shù)據(jù)時(shí)代的到來(lái)為工控企業(yè)安全提供了新的技術(shù)手段，對(duì)工業(yè)領(lǐng)域傳統(tǒng)的數(shù)據(jù)資產(chǎn)、設(shè)備物聯(lián)數(shù)據(jù)、外部數(shù)據(jù)進(jìn)行統(tǒng)一管理，將工業(yè)大數(shù)據(jù)技術(shù)和工業(yè)云相結(jié)合，實(shí)現(xiàn)對(duì)云端數(shù)據(jù)、本地?cái)?shù)據(jù)的采集、分析并從功能維度進(jìn)行匯總、查看、統(tǒng)計(jì)及處置。在工業(yè)企業(yè)研發(fā)設(shè)計(jì)、生產(chǎn)過(guò)程、需求預(yù)測(cè)、供應(yīng)鏈優(yōu)化等環(huán)節(jié)利用大數(shù)據(jù)技術(shù)進(jìn)行持續(xù)監(jiān)控收集、實(shí)時(shí)探測(cè)，在云端判斷、取證、溯源、修復(fù)，從而建立可信任的設(shè)備、信息和軟件。基于大數(shù)據(jù)處理的工業(yè)態(tài)勢(shì)感知技術(shù)成為工業(yè)大數(shù)據(jù)采集、存儲(chǔ)、處理和呈現(xiàn)的有力武器，能夠?qū)?biāo)識(shí)態(tài)勢(shì)、攻擊源、攻擊事件和工控資產(chǎn)的態(tài)勢(shì)進(jìn)行可視化展示，并通過(guò)可視化界面進(jìn)行數(shù)據(jù)關(guān)聯(lián)查詢(xún)，及時(shí)對(duì)工業(yè)環(huán)境中未來(lái)風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè)、預(yù)防。

3 工業(yè)信息安全防護(hù)體系

根據(jù)功能層級(jí)和數(shù)據(jù)、威脅情報(bào)流向，可以把工業(yè)信息安全產(chǎn)品體系結(jié)構(gòu)從低到高分為三層：防護(hù)監(jiān)測(cè)層、安全運(yùn)營(yíng)層、態(tài)勢(shì)感知層。這三層分別實(shí)現(xiàn)不同的安全功能，進(jìn)行數(shù)據(jù)、指令、威脅情報(bào)的流動(dòng)，實(shí)現(xiàn)協(xié)同聯(lián)動(dòng)的整體防護(hù)效果。其中數(shù)據(jù)從低到高流動(dòng)，威脅情報(bào)從高到低賦能，工業(yè)信息安全防護(hù)體系如圖1所示。

圖1 工業(yè)信息安全防護(hù)體系

(1)防護(hù)監(jiān)測(cè)層

防護(hù)監(jiān)測(cè)層處于安全防護(hù)體系功能層級(jí)的最低層，主要包括工業(yè)安全網(wǎng)關(guān)(工控防火墻)、工業(yè)安全審計(jì)、工業(yè)主機(jī)防護(hù)軟件、工業(yè)安全網(wǎng)閘、工業(yè)安全檢查評(píng)估工具等防護(hù)措施。此類(lèi)產(chǎn)品進(jìn)行數(shù)據(jù)采集，在發(fā)現(xiàn)威脅或接到上層安全運(yùn)營(yíng)類(lèi)產(chǎn)品命令時(shí)實(shí)施處置，具備簡(jiǎn)單的分析功能。

(2)安全運(yùn)營(yíng)層

安全運(yùn)營(yíng)層處于安全防護(hù)體系功能層級(jí)的中層，主要部署在工業(yè)企業(yè)內(nèi)部，作為工業(yè)信息安全的威脅感知、集中管控和應(yīng)急響應(yīng)平臺(tái)在企業(yè)內(nèi)部發(fā)揮核心作用。此類(lèi)產(chǎn)品主要包括工業(yè)安全運(yùn)營(yíng)中心、工業(yè)云安全管理平臺(tái)等產(chǎn)品，其技術(shù)核心是威脅情報(bào)利用、安全可視化、大數(shù)據(jù)處理技術(shù)。

(3)態(tài)勢(shì)感知層

態(tài)勢(shì)感知層處于產(chǎn)品體系功能層級(jí)的最高層，其核心能力是情報(bào)搜集、威脅情報(bào)庫(kù)和數(shù)據(jù)高級(jí)分析。此類(lèi)產(chǎn)品包括工業(yè)態(tài)勢(shì)感知平臺(tái)、威脅情報(bào)庫(kù)等，主要部署在政府主管部門(mén)或大型企業(yè)集團(tuán)總部，負(fù)責(zé)對(duì)轄區(qū)和主管范圍內(nèi)的主要工業(yè)企業(yè)進(jìn)行態(tài)勢(shì)感知和安全監(jiān)管。

基于工業(yè)信息安全防護(hù)體系，360企業(yè)安全集團(tuán)成功為國(guó)內(nèi)某知名新能源汽車(chē)制造企業(yè)應(yīng)急處理“永恒之藍(lán)”(WannaCry)蠕蟲(chóng)病毒。當(dāng)該企業(yè)感染病毒后，整個(gè)生產(chǎn)園區(qū)內(nèi)大部分安裝微軟XP操作系統(tǒng)的上位機(jī)產(chǎn)生藍(lán)屏、重啟現(xiàn)象。安全服務(wù)人員利用威脅情報(bào)快速識(shí)別威脅、進(jìn)行研判與溯源，判定該企業(yè)感染“WannaCry”病毒并且定位感染主機(jī)。在進(jìn)行緊急處理后部署工業(yè)主機(jī)防護(hù)軟件，有效阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運(yùn)行，為工業(yè)主機(jī)創(chuàng)建干凈安全的運(yùn)行環(huán)境。

總之，傳統(tǒng)的工業(yè)信息安全技術(shù)更局限于對(duì)攻擊某一時(shí)刻的行為進(jìn)行分析，無(wú)法對(duì)攻擊的全貌有全面了解。新型安全體系可以彌補(bǔ)傳統(tǒng)安全技術(shù)的缺陷，其本質(zhì)上是圍繞數(shù)據(jù)為核心的“數(shù)據(jù)驅(qū)動(dòng)安全”技術(shù)思路，依靠大數(shù)據(jù)的大范圍分析實(shí)現(xiàn)對(duì)威脅的感知、發(fā)現(xiàn)、分析和溯源。

將傳統(tǒng)及新型工業(yè)信息安全技術(shù)協(xié)同聯(lián)合，在一定程度上能夠保障工業(yè)控制系統(tǒng)的安全，但在整個(gè)安全防護(hù)體系中仍然離不開(kāi)以人為核心的安全運(yùn)營(yíng)。工控企業(yè)安全威脅是不可控的，也是不可防的，利用這些技術(shù)無(wú)法防范所有的安全隱患。在強(qiáng)調(diào)工業(yè)大數(shù)據(jù)態(tài)勢(shì)感知和工業(yè)威脅情報(bào)技術(shù)的同時(shí)，不能忽視人在工業(yè)安全中的作用。搭建工業(yè)安全體系，需要基于人來(lái)建設(shè)安全技術(shù)體系和業(yè)務(wù)體系設(shè)計(jì)，通過(guò)人與技術(shù)的協(xié)同，建立以人為核心的安全體系和安全生態(tài)。在數(shù)據(jù)分析、安全監(jiān)控、信息通報(bào)、事件處置、追蹤溯源、產(chǎn)品運(yùn)維采取運(yùn)營(yíng)機(jī)制、人機(jī)協(xié)同，將云端安全能力賦能給設(shè)備和人，建立云端、設(shè)備和人協(xié)同聯(lián)動(dòng)的新一代安全運(yùn)營(yíng)體系，更加貼近企業(yè)的實(shí)際情況，更有效地保障工業(yè)信息安全。

4 結(jié)束語(yǔ)

“數(shù)據(jù)驅(qū)動(dòng)工業(yè)安全”的構(gòu)成要素中，“數(shù)據(jù)”是基礎(chǔ)，安全威脅往往隱藏在數(shù)據(jù)之中，海量、多維及持續(xù)的數(shù)據(jù)是后續(xù)進(jìn)行安全分析和挖掘的基礎(chǔ)；“安全”是目標(biāo)，只有將大數(shù)據(jù)及處理技術(shù)應(yīng)用于安全攻防領(lǐng)域，結(jié)合安全專(zhuān)家的知識(shí)與經(jīng)驗(yàn)，才能真正幫助工業(yè)企業(yè)更好地安全運(yùn)營(yíng)。

[1] 王小山，楊安，石志強(qiáng)等.工業(yè)控制系統(tǒng)信息安全新趨勢(shì)[J].信息網(wǎng)絡(luò)安全.2015,(1):6-1

[2] LI J. Analyzing “Made in China 2025” Under the Background of “Industry 4.0”[C]//Proceedings of the 23rd International Conference on Industrial Engineering and Engineering Management 2016. Atlantis Press, Paris, 2017: 169-171.