唐龍勝，侯正煒，程勝林，張定宇，劉志飛，桂 華

（淮浙電力有限責(zé)任公司 鳳臺發(fā)電分公司，安徽 淮南 232131）

0 引言

工業(yè)互聯(lián)網(wǎng)作為信息技術(shù)和制造業(yè)深度融合的產(chǎn)物，是推動未來工業(yè)革命的重要支撐。但同時，工業(yè)互聯(lián)網(wǎng)安全事故頻發(fā)，特別是工業(yè)控制系統(tǒng)經(jīng)常受到各種威脅，造成了各類生產(chǎn)安全事故以及經(jīng)濟(jì)損失。 工業(yè)互聯(lián)網(wǎng)不僅要保障工業(yè)控制系統(tǒng)全流程的安全， 也要能夠根據(jù)行業(yè)特點(diǎn)和企業(yè)生產(chǎn)實(shí)際進(jìn)行自適應(yīng)保護(hù)，具備及時、安全、可靠和便利的特點(diǎn)。

我國工業(yè)互聯(lián)網(wǎng)雖然起步較晚，但是國內(nèi)各行業(yè)對工業(yè)互聯(lián)網(wǎng)的布局很快，對網(wǎng)絡(luò)安全也高度重視。在政策方面，我國相繼出臺了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》、《省級工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺建設(shè)指南》、《工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類分級管理試點(diǎn)》， 在不同的層面都對工業(yè)互聯(lián)網(wǎng)安全提出了要求。 對各企業(yè)來說，也應(yīng)結(jié)合國家相關(guān)法律法規(guī)和企業(yè)自身的現(xiàn)實(shí)需求，針對互聯(lián)網(wǎng)技術(shù)發(fā)展和各類創(chuàng)新應(yīng)用，形成較好的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知及其保障機(jī)制，加強(qiáng)對工業(yè)行業(yè)的理解與工業(yè)互聯(lián)網(wǎng)本質(zhì)和內(nèi)涵的把握，找到工業(yè)互聯(lián)網(wǎng)安全發(fā)展的有效路徑。

1 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀及面臨的挑戰(zhàn)

1.1 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀

工業(yè)互聯(lián)網(wǎng)即工業(yè)的互聯(lián)網(wǎng)，又可稱為“工業(yè)+互聯(lián)網(wǎng)”，本質(zhì)是將網(wǎng)絡(luò)技術(shù)同各行各業(yè)的設(shè)備、生產(chǎn)線、供應(yīng)商、產(chǎn)品、客戶緊密聯(lián)系起來，實(shí)現(xiàn)工業(yè)經(jīng)濟(jì)的高效共享，合理化分配生產(chǎn)要素，通過智能化、自動化、網(wǎng)絡(luò)化的新一代生產(chǎn)方式提高效率，降低成本，幫助各行各業(yè)合理規(guī)劃產(chǎn)業(yè)鏈，促進(jìn)工業(yè)產(chǎn)業(yè)創(chuàng)新轉(zhuǎn)型。

自2015 年開始， 國家越來越重視互聯(lián)網(wǎng)與制造業(yè)的融合，不斷推進(jìn)“互聯(lián)網(wǎng)+”行動，提升制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化水平，不斷加強(qiáng)產(chǎn)業(yè)鏈協(xié)作，發(fā)展基于互聯(lián)網(wǎng)的工業(yè)協(xié)同制造模式，并發(fā)布相關(guān)的網(wǎng)絡(luò)安全等級保護(hù)制度2.0， 將工業(yè)控制系統(tǒng)納入網(wǎng)絡(luò)安全等級保護(hù)的范圍。

工業(yè)互聯(lián)網(wǎng)安全涉及工業(yè)控制、互聯(lián)網(wǎng)、信息安全三個交叉領(lǐng)域，面臨著OT（Operation Technology）、IT（Information Technology）系統(tǒng)的雙重挑戰(zhàn)。攻擊者隨時會針對工業(yè)系統(tǒng)中存在的漏洞和問題進(jìn)行攻擊，而目標(biāo)一般是獲取情報信息、流程和工業(yè)機(jī)密數(shù)據(jù)。 從攻擊的手段和方法來看，攻擊類型已經(jīng)呈現(xiàn)出多樣化的趨勢， 從震網(wǎng)病毒、BlackEnergy 攻擊、再到Shamoon2.0 攻擊，攻擊手段和攻擊方式都在不斷進(jìn)化。 如在針對沙特阿拉伯的Shamoon2.0 攻擊中，攻擊者使用了一種簡單粗暴的攻擊方式， 把原有數(shù)據(jù)擦除并加入垃圾數(shù)據(jù)。 而Shamoon 最初的攻擊是先竊取用戶數(shù)據(jù)信息并上傳到C&C 服務(wù)器上， 然后進(jìn)行文件的刪除或者覆蓋，這樣的攻擊手段還可以通過阻斷網(wǎng)絡(luò)或者限制訪問的IP 來進(jìn)行攻擊防御。 但是在升級之后的Shamoon2.0 中，攻擊者設(shè)置了完全不可達(dá)的服務(wù)器地址，并且設(shè)置了定時器，這次攻擊就變成了一顆“定時炸彈”。

對攻擊方法和攻擊手段沒辦法進(jìn)行事前了解、分析和防御就無法阻斷攻擊行為。工業(yè)互聯(lián)網(wǎng)平臺在建設(shè)過程中存在很大的問題，無法起到實(shí)際的防御作用。 但隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展，也使暴露在互聯(lián)網(wǎng)當(dāng)中的工業(yè)設(shè)備不斷增加。 如2019 年相比2018 年增加了21.7%， 且有35%的設(shè)備都存在高危漏洞，對工業(yè)控制系統(tǒng)造成了極大威脅。 2020年工業(yè)控制系統(tǒng)的漏洞數(shù)量也比2019 年增加了180 個，增長比例高達(dá)40%，高危漏洞占比56.6%，中危漏洞占比35.8%， 中高危漏洞占比高達(dá)92.4%，工業(yè)互聯(lián)網(wǎng)安全受到嚴(yán)峻的考驗(yàn)[7]。2020 年工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全漏洞類型占比統(tǒng)計如圖1所示。

圖1 工業(yè)控制系統(tǒng)漏洞類型統(tǒng)計Figure 1 Statistics of Vulnerability in industrial control systems

通過對2020 年工業(yè)互聯(lián)網(wǎng)安全新增漏洞涉及的行業(yè)分析發(fā)現(xiàn)，制造業(yè)存在的漏洞最多，攻擊方式高達(dá)幾十種，且攻擊破壞力強(qiáng)，對制造業(yè)關(guān)鍵基礎(chǔ)設(shè)施的安全造成了重大危協(xié)[7]。

1.2 工業(yè)互聯(lián)網(wǎng)安全面臨的挑戰(zhàn)

1.2.1 產(chǎn)業(yè)發(fā)展缺少內(nèi)生動力

大部分企業(yè)注重工業(yè)網(wǎng)絡(luò)安全都是由于近幾年國家相關(guān)政策和產(chǎn)業(yè)發(fā)展形勢的外力所推動的，并不是企業(yè)意識到工業(yè)網(wǎng)絡(luò)安全對于自身持續(xù)發(fā)展的重要價值而主動關(guān)注和重視的。 因此，一般工業(yè)企業(yè)都面臨網(wǎng)絡(luò)安全保護(hù)不全面等問題，安全投入均為分散式和單點(diǎn)式的，缺少體系化的安全規(guī)劃和布局。

同時，大部分工業(yè)控制行業(yè)的從業(yè)人員沒有意識到工業(yè)互聯(lián)網(wǎng)安全的重要性，沒有意識到工業(yè)互聯(lián)網(wǎng)安全不僅僅關(guān)系到企業(yè)生產(chǎn)安全，更關(guān)系到社會經(jīng)濟(jì)運(yùn)行和國家安全。 因此，大部分企業(yè)在面對國家各類實(shí)戰(zhàn)化的網(wǎng)絡(luò)攻防演習(xí)行動時，應(yīng)對措施都是臨時應(yīng)變和突擊建設(shè)防護(hù)，常態(tài)化的安全投入缺少，沒有對應(yīng)的主體責(zé)任人，工業(yè)互聯(lián)網(wǎng)安全產(chǎn)業(yè)內(nèi)生動力不足。

1.2.2 安全專業(yè)人才缺乏

工業(yè)互聯(lián)網(wǎng)安全的競爭不僅在于健全基礎(chǔ)防護(hù)設(shè)施，更在于對整體網(wǎng)絡(luò)狀況的把握和維護(hù)。工業(yè)控制系統(tǒng)本身具有多樣性，數(shù)據(jù)有多個維度，為了保證整個生產(chǎn)過程的安全， 不但需要專門的系統(tǒng)及時發(fā)現(xiàn)和研判生產(chǎn)過程中發(fā)生的網(wǎng)絡(luò)安全問題， 而且需要專門的安全專業(yè)人才對告警信息進(jìn)行處理和響應(yīng)。 貫徹落實(shí)“總體國家安全觀”和維護(hù)工業(yè)控制系統(tǒng)的安全，必備要素為人才。 根據(jù)《2020 年網(wǎng)絡(luò)安全人才發(fā)展白皮書》[7]統(tǒng)計來看，網(wǎng)絡(luò)安全從業(yè)人員從事行業(yè)分布中： 通信和電子行業(yè)的網(wǎng)絡(luò)安全人員較多，占比33.14%；其次是IT 和互聯(lián)網(wǎng)行業(yè)，占比約為27.46%；而制造業(yè)的從業(yè)人員僅有22%，工業(yè)控制行業(yè)的網(wǎng)絡(luò)安全人才嚴(yán)重缺乏。 具體如圖2 所示。

圖2 網(wǎng)絡(luò)安全從業(yè)人員所在行業(yè)分布圖Figure2 Industry distribution of network security practitioners

1.2.3 工業(yè)控制系統(tǒng)缺少一站式網(wǎng)絡(luò)安全監(jiān)控平臺

隨著對網(wǎng)絡(luò)安全重視程度的不斷提高，各類工業(yè)互聯(lián)網(wǎng)安全平臺紛紛出現(xiàn)，如工業(yè)互聯(lián)網(wǎng)審計平臺、工業(yè)控制漏掃平臺等。 但這些防護(hù)平臺之間不能互通，增加了網(wǎng)絡(luò)安全管理的難度，導(dǎo)致管理人員不能快速地對外部的攻擊威脅情報進(jìn)行整合和分析處置，同時也不能實(shí)時動態(tài)地掌握所有設(shè)備的網(wǎng)絡(luò)安全防護(hù)狀態(tài)，并結(jié)合攻擊威脅和安全狀態(tài)合理決策和進(jìn)行處置響應(yīng)。

2 工業(yè)互聯(lián)網(wǎng)平臺建設(shè)存在的問題

對于工業(yè)互聯(lián)網(wǎng)安全來說，工業(yè)互聯(lián)網(wǎng)平臺是重要的基礎(chǔ)設(shè)施。 其連接的設(shè)備多種多樣，且廠商采用不同的協(xié)議等，這些建設(shè)過程中存在的隱患也是導(dǎo)致工業(yè)互聯(lián)網(wǎng)安全問題的重要原因。

隨著企業(yè)數(shù)字化轉(zhuǎn)型， 越來越多的工業(yè)企業(yè)“上云”、“入網(wǎng)”， 導(dǎo)致許多工業(yè)設(shè)備暴露在互聯(lián)網(wǎng)中。雖然網(wǎng)絡(luò)的融合讓企業(yè)在管理與控制一體化層面的效率和效益有了提升，但隨著自動化控制系統(tǒng)的深入推進(jìn)， 管理層數(shù)據(jù)和控制層數(shù)據(jù)不斷交換，沒有嚴(yán)格把控好數(shù)據(jù)界限和進(jìn)行區(qū)域隔離與邊界防護(hù)工作， 會導(dǎo)致工業(yè)控制系統(tǒng)被外界攻擊和攻破，嚴(yán)重影響企業(yè)生產(chǎn)運(yùn)營。

同時，由于工業(yè)控制系統(tǒng)的底層設(shè)備一般有較長的使用年限，系統(tǒng)較為老舊，不會隨時進(jìn)行漏洞的修復(fù)和補(bǔ)丁更新，漏洞數(shù)量不斷增加。 而漏洞修復(fù)難度較大， 修復(fù)過程中必須保證不能中斷生產(chǎn)，同時在修復(fù)之后不能有兼容性問題，導(dǎo)致企業(yè)不愿意進(jìn)行漏洞修復(fù)。這些都導(dǎo)致工業(yè)互聯(lián)網(wǎng)平臺面臨較為嚴(yán)峻的網(wǎng)絡(luò)安全形勢挑戰(zhàn)。

3 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知技術(shù)

3.1 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知綜述

相比于傳統(tǒng)的網(wǎng)絡(luò)安全， 工業(yè)互聯(lián)網(wǎng)安全需要綜合考慮傳統(tǒng)的網(wǎng)絡(luò)攻擊和針對工業(yè)設(shè)備的攻擊。因此，在進(jìn)行監(jiān)管平臺搭建時不僅要考慮IT 網(wǎng)絡(luò)上的所有攻擊行為，也要考慮對OT 設(shè)備的攻擊行為。工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺一般都是根據(jù)現(xiàn)有工業(yè)控制系統(tǒng)的運(yùn)行數(shù)據(jù)進(jìn)行數(shù)據(jù)分析和數(shù)據(jù)可視化，動態(tài)展示網(wǎng)絡(luò)環(huán)境中所有安全指標(biāo)的變化。而構(gòu)建一個全面、宏觀、可靠和可視化的工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺， 有利于加強(qiáng)安全管理人員對工業(yè)互聯(lián)網(wǎng)安全環(huán)境的理解和及時處置相關(guān)安全危協(xié)。

針對工業(yè)互聯(lián)網(wǎng)來說，態(tài)勢感知技術(shù)可以提供更多的安全基礎(chǔ)服務(wù)， 從工業(yè)控制系統(tǒng)暴露情況、應(yīng)用站點(diǎn)安全情況、內(nèi)網(wǎng)系統(tǒng)的安全情況三個緯度進(jìn)行可視化展示。 同時，工控態(tài)勢感知系統(tǒng)中數(shù)據(jù)采集的程度影響到可視化的程度，因此應(yīng)在數(shù)據(jù)采集的基礎(chǔ)上結(jié)合歷史數(shù)據(jù)、原始日志、威脅情報庫、工控漏洞知識庫等給出預(yù)判性告警，再結(jié)合工單管理功能快速將工控系統(tǒng)內(nèi)的告警信息下發(fā)到對應(yīng)的單位和人，實(shí)現(xiàn)告警信息閉環(huán)管理和實(shí)時追蹤。

3.2 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺建設(shè)思路

工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺是將工控設(shè)備的安全監(jiān)測、全息檔案、響應(yīng)處置、分析研判和態(tài)勢感知通過大數(shù)據(jù)分析技術(shù)整合在一起，在建設(shè)平臺的時候要把握人、機(jī)、物和數(shù)據(jù)之間的關(guān)系。

如圖3 所示為工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺的架構(gòu)。 平臺主要分為三層，最底層進(jìn)行各種基礎(chǔ)數(shù)據(jù)采集，利用網(wǎng)絡(luò)攻擊誘捕引擎、云端安全監(jiān)測引擎、網(wǎng)絡(luò)安全監(jiān)測引擎、安全合規(guī)檢查引擎等進(jìn)行基礎(chǔ)數(shù)據(jù)采集和流量采集，經(jīng)過核心路由器鏡像到審計平臺，經(jīng)過日志審計、流量審計送到數(shù)據(jù)中臺和安全能力中臺進(jìn)行進(jìn)一步識別、檢測。 最后通過工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺進(jìn)行業(yè)務(wù)能力呈現(xiàn)，從而形成整體監(jiān)管、安全防護(hù)的能力。

圖3 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知平臺架構(gòu)圖Figure3 Architecture of the industrial internet security situation awareness platform

3.2.1 安全引擎層建設(shè)

采用多元異構(gòu)數(shù)據(jù)采集技術(shù)， 對終端流量、日志信息、網(wǎng)絡(luò)流量進(jìn)行收集，在CII 單位網(wǎng)絡(luò)出口、城域網(wǎng)出口部署流量檢測設(shè)備，在重點(diǎn)單位重要系統(tǒng)服務(wù)器或主機(jī)上安裝軟探針（Endpoint Detection and Response，EDR），進(jìn)行布點(diǎn)監(jiān)測，對重點(diǎn)保護(hù)單位的網(wǎng)絡(luò)安全設(shè)備進(jìn)行日志采集， 主要采集防火墻、 入侵檢測、 入侵防御、WAF （Web Application Firewall）設(shè)備的日志。 因?yàn)榭梢赃M(jìn)行日志采集的設(shè)備和軟件系統(tǒng)都比較多，如果對所有數(shù)據(jù)都進(jìn)行采集分析則會造成較大的資源浪費(fèi)。 因此，可根據(jù)工業(yè)控制網(wǎng)絡(luò)安全的特點(diǎn)，如設(shè)備上下線異常、修改密碼、 主機(jī)和工作站的危險操作等形成安全規(guī)則，使用白名單和黑名單規(guī)則對數(shù)據(jù)進(jìn)行篩選，提取出有價值的數(shù)據(jù)；同時將篩選之后的日志數(shù)據(jù)經(jīng)過規(guī)則庫匹配和聚類算法合并重復(fù)日志內(nèi)容，去掉冗余事件，使得數(shù)據(jù)分析結(jié)果更加精準(zhǔn)。

3.2.2 安全中臺建設(shè)

安全中臺建設(shè)包含安全數(shù)據(jù)中臺和安全能力中臺。

安全數(shù)據(jù)中臺實(shí)現(xiàn)安全數(shù)據(jù)的統(tǒng)一接入和使用日志審計平臺進(jìn)行日志格式標(biāo)準(zhǔn)化，實(shí)現(xiàn)安全數(shù)據(jù)匯聚、管理和統(tǒng)一的數(shù)據(jù)服務(wù)。 針對安全引擎層采集的數(shù)據(jù)，經(jīng)過數(shù)據(jù)處理、存儲、挖掘后，形成包括木馬病毒庫、等?；A(chǔ)庫、惡意域名庫、關(guān)鍵信息基礎(chǔ)設(shè)施信息庫、惡意IP 庫、事件庫、案件庫、漏洞庫、網(wǎng)絡(luò)資產(chǎn)庫、黑客庫、情報庫等，提供給上層業(yè)務(wù)系統(tǒng)。 同時，安全數(shù)據(jù)中臺提供安全大數(shù)據(jù)關(guān)聯(lián)分析引擎，使用關(guān)聯(lián)分析算法對接入數(shù)據(jù)進(jìn)行實(shí)時分析或者離線分析。

安全能力中臺包括安全能力中心和安全能力管理建設(shè)，通過將安全能力服務(wù)化，形成安全服務(wù)目錄，實(shí)現(xiàn)安全資源的靈活調(diào)度和對基礎(chǔ)安全能力進(jìn)行統(tǒng)一管理，包括安全檢測能力、智能安全分析能力以及態(tài)勢感知能力。安全能力管理包括能力編排、能力調(diào)度、策略管理以及場景管理功能。

3.2.3 業(yè)務(wù)系統(tǒng)層建設(shè)

業(yè)務(wù)系統(tǒng)層主要進(jìn)行數(shù)據(jù)可視化和統(tǒng)一管理可視化展示。 包括對工控設(shè)備安全監(jiān)測結(jié)果、安全檔案、響應(yīng)處置、分析研判和態(tài)勢感知的大屏展示。

在安全監(jiān)測模塊使用關(guān)聯(lián)分析和全文檢索技術(shù)， 通過倒排索引的結(jié)構(gòu)達(dá)到快速全文檢索的目的。 全文檢索技術(shù)運(yùn)用在安全監(jiān)測子系統(tǒng)中，主要用于對監(jiān)測數(shù)據(jù)的檢索查詢，能夠?qū)崿F(xiàn)對安全事件的細(xì)致分析，并將有效數(shù)據(jù)運(yùn)用于模型建立當(dāng)中。

4 結(jié)語

工業(yè)互聯(lián)網(wǎng)事關(guān)國計民生，要圍繞工業(yè)互聯(lián)網(wǎng)進(jìn)行網(wǎng)絡(luò)安全需求分析，以問題為導(dǎo)向，結(jié)合態(tài)勢感知技術(shù)形成具備工控特色的態(tài)勢感知平臺，有效保障工業(yè)控制系統(tǒng)的安全。