工业互联网安全态势感知平台的搭建策略

　　1序言

　　为了解决工业互联网高速发展所带来的日益严峻的安全挑战，国家非常重视工业互联网安全态势感知工作。先后提出指导意见，预警、通报、处置机制、行动计划，以求提升安全态势感知和综合保障能力。

　　目前总体来看，工业互联网安全防护上存在三个能力缺失：一是监测预警能力，对于一些安全事件的威胁，没有做到及时监测、及时预警、及时发现；二是应急响应能力，由于网络与信息安全边界路径多，网络与信息安全技术人才匮乏，应急响应能力有待提升；三是应用安全能力，工业控制管理系统复杂，如果产品特征库、版本更新不及时，就会导致系统中网络安全漏洞百出、防护应对棘手，甚至是措手不及。

　　2 工业互联网安全风险与态势感知

　　总体来看，工业互联网安全与其他网络安全具有不同的特点:一是设备和系统的接入加大网络安全风险，设备之间通联导致攻击渠道增多，传统的网络安全问题延伸至工业互联网领域;二是云环境下安全风险跨域传播的级联效应愈发明显，工业数据面临的安全风险与日俱增;三是由于工业互联网作为新兴技术领域，其安全产品种类有限、工业防护能力薄弱。

　　安全大数据作为态势感知的基础，其信息采集、分析、处理过程主要可分为三个部分：分别是态势获取、态势理解和态势预判。态势获取通过多路径感知、获取环境中的重要信息源，包括安全事件、产业信息、技术进展、缺陷信息、风险信息等，为下一步的态势理解提供数据源。态势理解对基础材料进行进一步融合、挖掘，分析其相关性，态势预判则是基于分析的关联性信息，预测未来安全形势。

　　3 工业互联网安全态势感知平台搭建策略

　　3.1战略上要高度重视

　　随着国家战略的推进，越来越多智能化的工业物联网产品被广泛应用于一些关乎国家战略安全、人民生产财产安全的关键领域，工业物联网正逐渐从专有标准向通用的标准、通信协议以及智能化转化。

　　从近期一些国际案例可以看到，安全威胁已经通过网络空间蔓延至制造、交通、电力、制造业等关乎国家运转的命脉行业。这些工业行业一旦受到网络攻击，就会影响国家公共安全、经济安全和社会安全，严重损害广大人民群众的切身利益。

　　《生产安全事故应急管理条例》、《关于加强应急基础信息管理的通知》为企业的安全生产提出了更高的要求，但在现阶段的实际生产环境中，已有的安全防护方案却无法更好的满足实际的需求。

　　以安全视频监控为例，目前的安全监控方案，多为在生产相关区域广泛设置视频监控设备，其所有的视频画面由监控室人员进行值守观察。在这种环境下，仅7*24小时观察监控一项工作，就会消耗大量的人力与财力。同时由于监控场景复杂性、安全风险评估复杂性等原因，往往导致整套视频监控方案，仅能在事故发生后的调查、取证过程中发挥作用，无法发挥其应有的安全防护价值。

　　3.2战术上要讲究整合

　　随着工业网络智能化规模的迅速扩大，工业网络安全威胁不断增加，单一的网络安全防护技术已经不能满足行业需要，工业互联网态势感知平台聚焦工业互联网网络，全面汇集工控网络威胁事件、工控设备、以及工控安全漏洞等数据，从整体上反映工业互联网安全态势，并充分利用大数据、人工智能技术对工控网络风险趋势进行预测评估。

　　3.2.1做好平台顶层设计。尤其要设置智能白名单策略、可配置边缘计算，要加强终端和云端的协同计算，要构建工业协议库、工业漏洞库、工控设备指纹库等且不断积累和内部共享机制，技术上要精益求精。

　　3.2.2注重应用场景。平台的产品一定要适用工业用户的管理习惯和场景，具备故障导向、高性能无打扰、系统高可靠原则等。尤其是要建立性能全面的矩阵模组，达成为不同细分行业用户提供可靠、全面、适配、安全、易用的解决方案是场景规划的根本。

　　工业互联网安全管控与审计系统部署图

　　3.3关键性技术及产品部署

　　网络边界安全

　　部署工业安全网关，工业安全网关可识别工控网络中已知的安全威胁，根据相关工艺定义白名单安全策略，对工控网络中的网络通信行为进行细粒度的控制，防止外部网络向工控网络传输基于工控协议的各类攻击，保证通路可信、可靠。

　　主机安全防护

　　开启主机白名单安全防护，能使工控网络抵御各种木马程序、病毒入侵，达到防护信息系统中的主机安全。

　　网络流量审计

　　对工业控制网络全网数据流量进行协议级审计，采用网络流量检测技术，可有效检测、实时监控控制网络安全，一旦发现病毒入侵、木马程序，即可及时处理。

　　安全风险感知

　　部署安全巡检平台，定期对工控网络环境实现静态扫描，感知网络安全状况，为企业制定各种安全政策提供技术、管理依据。

　　统一安全管理

　　统一管控所有工控网络安全设备，对相关安全产品实现统一管理、统一策略下发等，最终实现系统的工控网络安全现状的实时、全面监控。

　　3.4“4+1”工控安全防护策略

　　本文所指的控制安全是指工业控制系统的安全，工控系统普遍应用于水务、供电、燃气、铁路等关键基础设施行业，是工业生产的“心脏”。随着IT技术的快速发展，基于TCP/IP的协议的计算机技术正在越来越多地应用于工控系统当中，与之同时，系统漏洞数量逐年增加，受攻击面也呈现不断扩大的趋势。针对如上难题，笔者提出“4+1”工控网络安全的防护策略：

　　第一是要树立全方位的安全意识，不仅要应急响应，更要持续监测响应；

　　第二是做好威胁溯源，攻击都是不达目的不罢休，所以必须要找到源头；

　　第三是要搭建态势感知平台，利用数据驱动，通过威胁监测及时把握、洞悉；

　　第四是要加强部门协同，供应链、云地、数据协同，缺一不可；

　　第五是建立网络运管中心，通过收集多方数据（网络、安全、生产数据等），继而进行数据分析，发现网络异常。

　　4结束语

　　当前已经进入全面安全时代，网络安全不再是电脑和互联网的安全，还涉及到国家、社会、民生安全，工业互联网作为最易受到犯罪分子攻击和利用的薄弱环节，更应该加强安全防护和预警。

　　我国工业企业由于经济结构调整、IT架构搭建等历史原因，对于工业互联网安全还没有完全做好技术准备。市场调研数据显示，我国超过90%以上的工业企业无法做到及时、主动的发现网络攻击源，往往是在受到攻击、造成明显损失后才被发现。

　　构建安全、自主可控的“工业互联网安全态势感知”平台，非常必要。利用平台可以实时监测网络流量、威胁情报数据、网络安全行为、高持续性威胁，从而进行审计、感知、预警、运维，最终全面掌控工业互联网的系统安全状况，并采取行之有效的产品与解决方案。

　　（文/门嘉平   原刊载于《网络安全技术与应用》杂志 ）