郭亮亮

（山西省信息產(chǎn)業(yè)技術(shù)研究院有限公司，山西 太原 030012）

0 引 言

為了加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全監(jiān)測(cè)能力，有必要通過主動(dòng)監(jiān)測(cè)、被動(dòng)誘捕、流量分析、企業(yè)側(cè)采集等技術(shù)手段構(gòu)建一體化工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)和安全監(jiān)管平臺(tái)，為我國工業(yè)轉(zhuǎn)型升級(jí)和工業(yè)互聯(lián)網(wǎng)發(fā)展提供數(shù)據(jù)支撐和安全保障[1-2]。

1 平臺(tái)建設(shè)目標(biāo)

（1）利用主動(dòng)探測(cè)技術(shù)對(duì)省內(nèi)工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備、系統(tǒng)和云平臺(tái)等資產(chǎn)進(jìn)行探測(cè)掃描，清算全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)，繪制工業(yè)互聯(lián)網(wǎng)資產(chǎn)地圖，關(guān)聯(lián)并排查工業(yè)互聯(lián)網(wǎng)資產(chǎn)漏洞。

（2）利用被動(dòng)誘捕技術(shù)，引誘針對(duì)工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊，并通過網(wǎng)絡(luò)流量安全分析、終端攻擊取證等技術(shù)對(duì)已知和未知的網(wǎng)絡(luò)攻擊威脅進(jìn)行檢測(cè)和分析，從而全面掌握工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊行為，形成威脅情報(bào)[3-4]。

（3）利用流量監(jiān)測(cè)技術(shù)采集關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)的流量數(shù)據(jù)，識(shí)別工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)資產(chǎn)，對(duì)聯(lián)網(wǎng)資產(chǎn)進(jìn)行漏洞關(guān)聯(lián)匹配，檢測(cè)針對(duì)工業(yè)互聯(lián)網(wǎng)云平臺(tái)和企業(yè)的網(wǎng)絡(luò)攻擊行為，對(duì)網(wǎng)絡(luò)攻擊威脅源進(jìn)行持續(xù)監(jiān)測(cè)。

（4）利用企業(yè)側(cè)采集技術(shù)采集企業(yè)互聯(lián)網(wǎng)出入口的流量數(shù)據(jù)，實(shí)現(xiàn)資產(chǎn)異常行為分析和網(wǎng)絡(luò)攻擊檢測(cè)。

（5）基于主動(dòng)探測(cè)、被動(dòng)誘捕、流量監(jiān)測(cè)、企業(yè)側(cè)采集等技術(shù)手段的分析結(jié)果，對(duì)全省工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展態(tài)勢(shì)和網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行綜合分析，構(gòu)建全省工業(yè)互聯(lián)網(wǎng)基礎(chǔ)資源資產(chǎn)庫，對(duì)聯(lián)網(wǎng)資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，檢測(cè)針對(duì)工業(yè)互聯(lián)網(wǎng)云平臺(tái)和企業(yè)的網(wǎng)絡(luò)攻擊行為，對(duì)網(wǎng)絡(luò)攻擊威脅源進(jìn)行持續(xù)監(jiān)測(cè)，并提供具有態(tài)勢(shì)展示、交互式分析、威脅告警、數(shù)據(jù)分析報(bào)表等功能的管理平臺(tái)，支撐全省工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)主管部門的監(jiān)管，滿足平臺(tái)企業(yè)、工業(yè)企業(yè)的安全防護(hù)需求[5]。

（6）擬建設(shè)的省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)提供接口與國家級(jí)安全態(tài)勢(shì)感知平臺(tái)進(jìn)行數(shù)據(jù)對(duì)接及交互，以安全數(shù)據(jù)共享和監(jiān)測(cè)業(yè)務(wù)協(xié)同為核心，構(gòu)建以工信部、省、企業(yè)為主體的三級(jí)架構(gòu)，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知、預(yù)警通報(bào)、處置溯源和信息共享，形成上下聯(lián)動(dòng)、政企協(xié)同的監(jiān)測(cè)體系。

2 平臺(tái)技術(shù)路線

省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)總體技術(shù)路線如圖1所示。整體技術(shù)路線圍繞系統(tǒng)的建設(shè)目標(biāo)制定相應(yīng)的建設(shè)內(nèi)容，簡(jiǎn)潔清晰，目標(biāo)明確，主次突出。

3 平臺(tái)系統(tǒng)架構(gòu)

本項(xiàng)目依托省級(jí)互聯(lián)網(wǎng)省際出入口、省級(jí)移動(dòng)互聯(lián)網(wǎng)等覆蓋全省三大運(yùn)營商的網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)流量資源，接入工業(yè)企業(yè)和工業(yè)云平臺(tái)流量，綜合部署主動(dòng)探測(cè)、被動(dòng)誘捕、流量監(jiān)測(cè)和海量異構(gòu)數(shù)據(jù)挖掘分析等系統(tǒng)手段，建設(shè)形成省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)，實(shí)現(xiàn)對(duì)全省工業(yè)互聯(lián)網(wǎng)整體發(fā)展和安全態(tài)勢(shì)的綜合研判[6-7]。

本項(xiàng)目子系統(tǒng)的功能結(jié)構(gòu)如圖2所示。

（1）工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)。利用互聯(lián)網(wǎng)云平臺(tái)資源部署主動(dòng)探測(cè)節(jié)點(diǎn)，集成掃描探測(cè)腳本庫，通過端口探測(cè)、操作系統(tǒng)探測(cè)、漏洞探測(cè)等技術(shù)，對(duì)省內(nèi)的工業(yè)互聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備、系統(tǒng)和云平臺(tái)等資產(chǎn)進(jìn)行高速協(xié)同并行化探測(cè)掃描，并將掃描結(jié)果數(shù)據(jù)匯入數(shù)據(jù)綜合匯聚及態(tài)勢(shì)感知子系統(tǒng)。

（2）工業(yè)互聯(lián)網(wǎng)被動(dòng)誘捕子系統(tǒng)。在工業(yè)企業(yè)側(cè)和工業(yè)互聯(lián)網(wǎng)云平臺(tái)側(cè)部署工業(yè)互聯(lián)網(wǎng)高交互蜜罐，通過虛實(shí)結(jié)合方法生成高仿真協(xié)議、設(shè)備、系統(tǒng)、平臺(tái)和業(yè)務(wù)功能以引誘網(wǎng)絡(luò)攻擊；通過終端攻擊取證、網(wǎng)絡(luò)流量分析等技術(shù)對(duì)已知和未知網(wǎng)絡(luò)攻擊威脅進(jìn)行捕獲、檢測(cè)和發(fā)現(xiàn)，完整記錄攻擊細(xì)節(jié)，分解攻擊動(dòng)作，從而深度解析工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊行為，將情報(bào)匯入數(shù)據(jù)綜合匯聚及態(tài)勢(shì)感知子系統(tǒng)。

圖1 項(xiàng)目整體技術(shù)路線圖

圖2 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)子系統(tǒng)功能結(jié)構(gòu)圖

（3）網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)工業(yè)互聯(lián)網(wǎng)流量安全監(jiān)測(cè)子系統(tǒng)。采集全省互聯(lián)網(wǎng)省際出入口、全省移動(dòng)互聯(lián)網(wǎng)等覆蓋全省三大運(yùn)營商的網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)流量，通過協(xié)議五元組、報(bào)文內(nèi)容等特征準(zhǔn)確識(shí)別工業(yè)互聯(lián)網(wǎng)相關(guān)流量，對(duì)Modbus/TCP、EtherNet/IP等主流工業(yè)互聯(lián)網(wǎng)協(xié)議進(jìn)行解析還原，對(duì)Stuxnet、BlackEnergy、Mirai等工業(yè)互聯(lián)網(wǎng)相關(guān)惡意代碼進(jìn)行識(shí)別與檢測(cè)，對(duì)煤炭、冶金、化工等全省重點(diǎn)行業(yè)的“云管端”網(wǎng)絡(luò)安全攻擊事件進(jìn)行大規(guī)模集中發(fā)現(xiàn)，監(jiān)測(cè)結(jié)果和日志匯入數(shù)據(jù)綜合匯聚及態(tài)勢(shì)感知子系統(tǒng)[8-10]。

（4）企業(yè)側(cè)工業(yè)互聯(lián)網(wǎng)流量安全監(jiān)測(cè)子系統(tǒng)。在全省重點(diǎn)企業(yè)中部署采集探針，通過設(shè)備、總線、網(wǎng)絡(luò)和數(shù)據(jù)庫等采集功能，在企業(yè)互聯(lián)網(wǎng)出入口及重要系統(tǒng)內(nèi)部采集流量和安全日志等數(shù)據(jù)，對(duì)設(shè)備運(yùn)行參數(shù)、I/O信號(hào)、現(xiàn)場(chǎng)總線、工業(yè)協(xié)議通信、網(wǎng)絡(luò)流量等進(jìn)行匯總分析，有效發(fā)現(xiàn)針對(duì)工業(yè)企業(yè)的攻擊行為，并將監(jiān)測(cè)結(jié)果和日志匯入數(shù)據(jù)綜合匯聚及態(tài)勢(shì)感知子系統(tǒng)。

（5）工業(yè)互聯(lián)網(wǎng)安全數(shù)據(jù)綜合匯聚及態(tài)勢(shì)感知子系統(tǒng)。搭建大數(shù)據(jù)和智能學(xué)習(xí)分析平臺(tái)，匯聚上述結(jié)果，基于統(tǒng)計(jì)分析、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)等技術(shù)，綜合資產(chǎn)漏洞關(guān)聯(lián)、數(shù)據(jù)時(shí)空關(guān)聯(lián)、流量序列挖掘和行為模式分析等方法，對(duì)全省工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展態(tài)勢(shì)和網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行綜合分析，對(duì)全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)和攻擊源進(jìn)行持續(xù)監(jiān)測(cè)和畫像分析，形成層次化的縱深監(jiān)測(cè)防御能力，并通過界面支持交互式分析、安全態(tài)勢(shì)展示、威脅告警、報(bào)表分析生成等功能，對(duì)接國家級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)，支撐省工信廳和通管局等業(yè)務(wù)主管部門的監(jiān)管需要，滿足水利、煤炭等行業(yè)企業(yè)安全監(jiān)測(cè)需求。

省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)業(yè)務(wù)模型如圖3所示。

圖3 省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)業(yè)務(wù)模型圖

工業(yè)互聯(lián)網(wǎng)主動(dòng)探測(cè)子系統(tǒng)對(duì)工業(yè)互聯(lián)網(wǎng)資產(chǎn)和系統(tǒng)進(jìn)行主動(dòng)探測(cè)，繪制工業(yè)互聯(lián)網(wǎng)資產(chǎn)地圖，關(guān)聯(lián)排查聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)漏洞。工業(yè)互聯(lián)網(wǎng)被動(dòng)誘捕子系統(tǒng)部署在重點(diǎn)工業(yè)企業(yè)、工業(yè)云平臺(tái)側(cè)檢測(cè)針對(duì)防護(hù)目標(biāo)的已知和未知網(wǎng)絡(luò)攻擊行為；網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)工業(yè)互聯(lián)網(wǎng)流量安全監(jiān)測(cè)子系統(tǒng)采集全省省際口、移動(dòng)網(wǎng)等網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)全部流量數(shù)據(jù)，并對(duì)工業(yè)互聯(lián)網(wǎng)相關(guān)流量進(jìn)行資產(chǎn)識(shí)別、漏洞匹配、異常行為檢測(cè)、網(wǎng)絡(luò)攻擊檢測(cè)等；企業(yè)側(cè)工業(yè)互聯(lián)網(wǎng)流量安全監(jiān)測(cè)子系統(tǒng)通過在工業(yè)企業(yè)部署數(shù)據(jù)采集探針，對(duì)網(wǎng)絡(luò)流量中存在的異常行為和網(wǎng)絡(luò)攻擊事件進(jìn)行檢測(cè)分析。

4 解決關(guān)鍵問題

（1）解決無法有效掌握省內(nèi)工業(yè)互聯(lián)網(wǎng)資產(chǎn)發(fā)展態(tài)勢(shì)的難題。由于缺少相關(guān)工業(yè)互聯(lián)網(wǎng)監(jiān)測(cè)手段，省工信廳等行業(yè)主管部門難以全面掌握省內(nèi)工業(yè)互聯(lián)網(wǎng)的發(fā)展態(tài)勢(shì)，不能有針對(duì)性地制定相應(yīng)產(chǎn)業(yè)發(fā)展政策。平臺(tái)建成后，通過多種技術(shù)手段構(gòu)建全省工業(yè)互聯(lián)網(wǎng)基礎(chǔ)資源資產(chǎn)庫，可以對(duì)相關(guān)工業(yè)互聯(lián)網(wǎng)資產(chǎn)進(jìn)行核驗(yàn)，對(duì)重點(diǎn)行業(yè)和企業(yè)的工業(yè)互聯(lián)網(wǎng)發(fā)展態(tài)勢(shì)進(jìn)行直觀統(tǒng)計(jì)分析。

（2）針對(duì)全省工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊事件實(shí)現(xiàn)快速全面監(jiān)測(cè)。大量關(guān)鍵信息基礎(chǔ)設(shè)施中的工業(yè)互聯(lián)網(wǎng)設(shè)備和系統(tǒng)存在安全漏洞，并頻繁遭到網(wǎng)絡(luò)攻擊，但當(dāng)前難以全面監(jiān)測(cè)到對(duì)省內(nèi)工業(yè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊事件。平臺(tái)建成后，將綜合多種監(jiān)測(cè)手段進(jìn)行聯(lián)動(dòng)分析，對(duì)資產(chǎn)漏洞進(jìn)行分析、對(duì)異常行為和網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)、對(duì)威脅源進(jìn)行監(jiān)測(cè)，并通過管理平臺(tái)進(jìn)行態(tài)勢(shì)感知，查看和處置威脅告警，將監(jiān)測(cè)結(jié)果生成分析報(bào)告，為省工信廳和通信管理局等行業(yè)主管部門提供數(shù)據(jù)支持。

（3）提高工業(yè)互聯(lián)網(wǎng)企業(yè)抵御網(wǎng)絡(luò)攻擊的能力。當(dāng)前聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)設(shè)備和系統(tǒng)還處在單點(diǎn)防護(hù)、邊界防護(hù)的層次，難以抵御網(wǎng)絡(luò)攻擊。平臺(tái)建成后，將為企業(yè)提供威脅情報(bào)支撐服務(wù)，構(gòu)建“國家-省-企業(yè)”三級(jí)立體防護(hù)能力，并從威脅源頭防御，增強(qiáng)企業(yè)抵擋網(wǎng)絡(luò)攻擊的能力。

5 結(jié) 語

通過省級(jí)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知平臺(tái)的建設(shè)，構(gòu)建全省工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)安全的總體態(tài)勢(shì)感知體系，摸清全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)情況和網(wǎng)絡(luò)安全情況，有效發(fā)現(xiàn)針對(duì)全省工業(yè)互聯(lián)網(wǎng)資產(chǎn)的網(wǎng)絡(luò)攻擊事件，提高全省工業(yè)互聯(lián)網(wǎng)安全事件的監(jiān)測(cè)發(fā)現(xiàn)、威脅預(yù)警及應(yīng)急處置能力。形成具備全面安全監(jiān)測(cè)、威脅預(yù)警、信息通報(bào)、處置溯源、優(yōu)化閉環(huán)能力及創(chuàng)新能力的工業(yè)互聯(lián)網(wǎng)威脅監(jiān)測(cè)與態(tài)勢(shì)感知平臺(tái)，構(gòu)建上下聯(lián)動(dòng)、政企協(xié)同的安全監(jiān)測(cè)技術(shù)體系，為我國深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”戰(zhàn)略的順利推進(jìn)保駕護(hù)航。