◆李紅波

（浙江中控技術(shù)股份有限公司 浙江 310000）

0 引言

了解工業(yè)網(wǎng)絡(luò)信息安全的含義，需要先了解工業(yè)網(wǎng)絡(luò)的相關(guān)概述，工業(yè)網(wǎng)絡(luò)即為企業(yè)網(wǎng)絡(luò)的一個(gè)重要分支，通過該網(wǎng)絡(luò)，同在一個(gè)工業(yè)范圍內(nèi)的企業(yè)便能夠?qū)⑺性O(shè)備或系統(tǒng)連接到一起，進(jìn)而實(shí)現(xiàn)企業(yè)間的資源共享、過程控制、信息管理及經(jīng)營決策，其主要架構(gòu)共有三層，第一層為設(shè)備層，第二層為控制層，第三層為管理層，此種架構(gòu)能夠通過開放式的通訊協(xié)議及物理接口，成功的實(shí)現(xiàn)網(wǎng)絡(luò)互聯(lián)，并且能夠保證數(shù)據(jù)傳輸?shù)姆€(wěn)定性[1]。但是，除了控制系統(tǒng)的穩(wěn)定性外，工控系統(tǒng)的可靠性與功能安全性的統(tǒng)一也是工業(yè)網(wǎng)絡(luò)信息安全強(qiáng)調(diào)的重點(diǎn)之一，因此，只有對(duì)工業(yè)網(wǎng)絡(luò)的可靠性、可用性、維修性、安全性進(jìn)行嚴(yán)格管理，才能夠進(jìn)行工業(yè)網(wǎng)絡(luò)的信息安全策略實(shí)施。

1 大數(shù)據(jù)背景下工業(yè)網(wǎng)絡(luò)信息安全影響因素

1.1 工業(yè)網(wǎng)絡(luò)逐漸開放

傳統(tǒng)網(wǎng)絡(luò)的設(shè)計(jì)首要考慮的因素即是開發(fā)性，由于網(wǎng)絡(luò)各終端的不確定性導(dǎo)致開放的網(wǎng)絡(luò)為不法分子提供了的犯罪機(jī)會(huì)，對(duì)工業(yè)網(wǎng)絡(luò)同樣如此，網(wǎng)絡(luò)犯罪的目的和目標(biāo)逐漸由有價(jià)值的信息竊取，逐漸向工業(yè)級(jí)的物理實(shí)體破壞延伸。另外，工業(yè)網(wǎng)絡(luò)無法脫離傳統(tǒng)互聯(lián)網(wǎng)技術(shù)，使得其通信基礎(chǔ)仍然基于傳統(tǒng)網(wǎng)絡(luò)協(xié)議和基礎(chǔ)設(shè)施協(xié)議，從而造成傳統(tǒng)網(wǎng)絡(luò)中的漏洞和攻擊同樣對(duì)工業(yè)網(wǎng)絡(luò)及其設(shè)備造成安全威脅，并不斷出現(xiàn)專門以工業(yè)設(shè)施為目標(biāo)的新的攻擊形式，而傳統(tǒng)信息安全防護(hù)手段無法對(duì)工業(yè)網(wǎng)絡(luò)信息起到有效的保護(hù)作用，因此工業(yè)網(wǎng)絡(luò)的開放需要安全措施的同步演進(jìn)。

1.2 工業(yè)設(shè)施操作不當(dāng)

隨著計(jì)算機(jī)的普及，越來越多的企業(yè)選擇建立工業(yè)網(wǎng)絡(luò)以實(shí)現(xiàn)彼此資源間的共享，但并不是每一位使用者都能夠正確地操作工業(yè)網(wǎng)絡(luò)系統(tǒng)，從這一層面上而言，工業(yè)網(wǎng)絡(luò)的使用者越多，其網(wǎng)絡(luò)信息所受到的安全威脅也就越多，這主要是因?yàn)槊课皇褂谜邔?duì)計(jì)算機(jī)的使用習(xí)慣都是不同的，在操作過程中也難免出現(xiàn)錯(cuò)誤。比如，使用者習(xí)慣在工業(yè)網(wǎng)絡(luò)上登錄個(gè)人賬號(hào)，并習(xí)慣選擇記住密碼，那么不僅個(gè)人信息會(huì)暴露，還會(huì)使工業(yè)網(wǎng)絡(luò)上的信息及數(shù)據(jù)面臨泄露的風(fēng)險(xiǎn)。

1.3 互聯(lián)網(wǎng)直接攻擊

來自互聯(lián)網(wǎng)的直接攻擊已經(jīng)成為暴露于互聯(lián)網(wǎng)之上的工業(yè)網(wǎng)絡(luò)和工控系統(tǒng)的最主要的威脅形式，一般情況下，黑客攻擊工業(yè)目標(biāo)可分為主動(dòng)性的惡意攻擊以及被動(dòng)性的攻擊兩種，其中，主動(dòng)性的惡意攻擊除了會(huì)影響工業(yè)網(wǎng)絡(luò)信息的完整性與有效性外，還會(huì)影響工業(yè)實(shí)體的實(shí)際操作，而被動(dòng)性的黑客攻擊只會(huì)對(duì)網(wǎng)絡(luò)信息的完整性及有效性造成影響，并不會(huì)影響到工業(yè)實(shí)體的實(shí)際運(yùn)作，因此，主動(dòng)性的惡意攻擊對(duì)工業(yè)網(wǎng)絡(luò)信息所造成的安全威脅要更嚴(yán)重一些，因此工業(yè)企業(yè)盡管在升級(jí)轉(zhuǎn)型的過程中需要以更為開放的態(tài)度去運(yùn)用新技術(shù)，但前提是在充分保障自身信息安全的基礎(chǔ)上進(jìn)行。

1.4 工業(yè)內(nèi)網(wǎng)病毒攻擊

工業(yè)內(nèi)網(wǎng)病毒源自互聯(lián)網(wǎng)，但由于其攻擊目標(biāo)的定向性，使得其在互聯(lián)網(wǎng)中傳播時(shí)并不具有攻擊特性，而當(dāng)其滲透到工業(yè)企業(yè)內(nèi)網(wǎng)中，并通過主動(dòng)探查的方式尋找到定向目標(biāo)后，便能夠發(fā)動(dòng)破壞工業(yè)實(shí)體的攻擊，此類專有病毒對(duì)于工業(yè)企業(yè)而言同樣無法通過傳統(tǒng)的基于特征、流過濾等安全防護(hù)方式進(jìn)行發(fā)現(xiàn)和查殺，必須根據(jù)其針對(duì)具體工業(yè)實(shí)體對(duì)象的操作行為特征以及對(duì)工業(yè)數(shù)據(jù)流和程序的篡改行為進(jìn)行相應(yīng)的模型化分析，對(duì)惡意行為進(jìn)行指令級(jí)的深度分析和阻斷，才能夠有效地防止此類專有病毒的運(yùn)行，達(dá)到對(duì)工業(yè)實(shí)體的保護(hù)作用。

2 基于大數(shù)據(jù)背景下工業(yè)網(wǎng)絡(luò)信息安全防護(hù)措施

2.1 建構(gòu)健全的大數(shù)據(jù)安全信息管理平臺(tái)

在大數(shù)據(jù)的背景下，要想建構(gòu)健全的大數(shù)據(jù)安全信息管理平臺(tái)，需要從以下三個(gè)方面入手：第一，保證數(shù)據(jù)類型的標(biāo)準(zhǔn)化。負(fù)責(zé)工業(yè)網(wǎng)絡(luò)信息安全管理的工作人員需要對(duì)所有的數(shù)據(jù)信息進(jìn)行收集及整理，而后對(duì)其進(jìn)行統(tǒng)一的標(biāo)準(zhǔn)化，并將標(biāo)準(zhǔn)化的數(shù)據(jù)存放到中央處理系統(tǒng)中，這樣不管何種類型的數(shù)據(jù)信息，都能夠通過自動(dòng)化分析引擎查詢出來，并且還能夠獲得較好的保存；第二，保證數(shù)據(jù)分類指標(biāo)的標(biāo)準(zhǔn)化。工作人員需要先建立一套適合共享的標(biāo)準(zhǔn)化分類指標(biāo)，而后再設(shè)置較為完善的查詢基礎(chǔ)設(shè)施，這樣既利于數(shù)據(jù)的批量處理，也能夠?yàn)閿?shù)據(jù)分類指標(biāo)的標(biāo)準(zhǔn)化提供更好的保證；第三，開發(fā)信息安全管理工具。工作人員應(yīng)對(duì)信息安全管理工具進(jìn)行開發(fā)，增加其功能，保證其高度集成性，為工業(yè)網(wǎng)絡(luò)信息安全提供更好的保護(hù)[2]。

2.2 不斷完善工業(yè)企業(yè)自身安全防御體系

面對(duì)日益增長的網(wǎng)絡(luò)信息安全危機(jī)，工業(yè)網(wǎng)絡(luò)需要不斷地完善其自身的防御體系，各企業(yè)可以選擇在工業(yè)網(wǎng)絡(luò)系統(tǒng)中安裝一個(gè)名為網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型，該模型供分為五大類別，能夠有效地強(qiáng)化工業(yè)網(wǎng)絡(luò)的防御姿態(tài)，具體如下：第一，架構(gòu)安全，其能夠在工業(yè)網(wǎng)絡(luò)系統(tǒng)的規(guī)劃、建立及維護(hù)的過程中對(duì)系統(tǒng)起到一定的防護(hù)作用；第二，被動(dòng)防御，其能夠在沒有工作人員操作的情況下，為工業(yè)網(wǎng)絡(luò)提供持續(xù)的維修防御；第三，積極防御，其能夠?qū)ぷ魅藛T面對(duì)安全威脅時(shí)的監(jiān)控、經(jīng)驗(yàn)以及理解過程進(jìn)行全面分析；第四，情報(bào)，其不僅能夠?qū)?shù)據(jù)轉(zhuǎn)化為信息，而且還能夠?qū)π畔⑦M(jìn)行加工，并以此彌補(bǔ)已知知識(shí)缺口；第五，進(jìn)攻，其能夠通過一定的法律手段對(duì)攻擊工業(yè)網(wǎng)絡(luò)的攻擊者進(jìn)行反擊[3]。

2.3 基于威脅情報(bào)的工業(yè)網(wǎng)絡(luò)安全態(tài)勢感知

工業(yè)網(wǎng)絡(luò)的威脅情報(bào)并不容易生成，具體步驟如下：一是收集不同來源的數(shù)據(jù)情況，這是威脅情報(bào)生成的關(guān)鍵；二是對(duì)收集到的數(shù)據(jù)進(jìn)行整理，將不可信的數(shù)據(jù)進(jìn)行清理；三是對(duì)不同類型的數(shù)據(jù)之間的關(guān)系進(jìn)行梳理；四是利用機(jī)器學(xué)習(xí)法進(jìn)行情報(bào)準(zhǔn)確性的驗(yàn)證，并提供可信度指標(biāo)；五是情報(bào)應(yīng)包含報(bào)警相應(yīng)需要的內(nèi)容，如攻擊類型、攻擊團(tuán)隊(duì)、攻擊目的等；六是根據(jù)情報(bào)信息，對(duì)報(bào)警優(yōu)先等級(jí)信息進(jìn)行確定；七是以分發(fā)要求為主，對(duì)情報(bào)予以特定格式的輸出，如xml、STIX等，需要注意的是，非MRTI類型的情報(bào)輸出格式也可選擇Word、PDF；八是以情報(bào)類型的用途為主，為工業(yè)網(wǎng)絡(luò)推送安全產(chǎn)品、提供打包下載、發(fā)送郵件等功能。

2.4 實(shí)現(xiàn)工業(yè)內(nèi)網(wǎng)安全管理可視化

在大數(shù)據(jù)的背景下，實(shí)現(xiàn)安全管理可視化對(duì)防護(hù)工業(yè)網(wǎng)絡(luò)信息安全格外重要，其能夠?qū)?shù)據(jù)之間的關(guān)聯(lián)管理以及意義研究出來，不僅對(duì)能夠提升分析人員的技術(shù)分析水平，而且還能夠大幅提升情報(bào)分析的效率，具體應(yīng)從以下兩個(gè)方面入手：第一，實(shí)現(xiàn)數(shù)據(jù)結(jié)構(gòu)化。工作人員可以利用安全管理可視化技術(shù)，實(shí)現(xiàn)碎片化數(shù)據(jù)的結(jié)構(gòu)化，如威脅告警、異常行為告警等，以此形成維度較高的可視化方案，利于加深用戶的理解；第二，實(shí)現(xiàn)有機(jī)結(jié)合。工作人員還可以利用該技術(shù)，實(shí)現(xiàn)威脅事件與企業(yè)業(yè)務(wù)的有機(jī)結(jié)構(gòu)，這樣安全態(tài)勢的呈現(xiàn)將會(huì)變得更加直觀，所有的安全隱患及危害均能夠由不可見變?yōu)榭梢?，利于工業(yè)網(wǎng)絡(luò)信息安全的防護(hù)。

3 結(jié)束語

綜上所述，本文將基于大數(shù)據(jù)背景下工業(yè)網(wǎng)絡(luò)信息安全防護(hù)作為主要研究內(nèi)容，在闡述工業(yè)網(wǎng)絡(luò)信息安全概述的基礎(chǔ)上，對(duì)建構(gòu)健全的大數(shù)據(jù)安全信息管理平臺(tái)、不斷完善自身防御體系、基于威脅情報(bào)的態(tài)勢感知、實(shí)現(xiàn)安全管理可視化的具體防護(hù)措施做出系統(tǒng)研究，研究結(jié)果表明，在大數(shù)據(jù)背景下，許多因素都影響著工業(yè)網(wǎng)絡(luò)信息的安全，比如網(wǎng)絡(luò)信息的公開性、信息使用者操作不當(dāng)、受到黑客攻擊、受到病毒攻擊。在未來，還需進(jìn)一步加強(qiáng)對(duì)基于大數(shù)據(jù)背景下工業(yè)網(wǎng)絡(luò)信息安全防護(hù)的研究，進(jìn)而確保在大數(shù)據(jù)背景下，工業(yè)網(wǎng)絡(luò)信息的安全管理水平能夠得以提升。