楊佳寧 陳柯宇 曹凱 郭嫻

摘要：作為繼互聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)之后的“第三張網(wǎng)”，工業(yè)互聯(lián)網(wǎng)開放、互聯(lián)、跨域的特點，打破了以往相對明晰的責(zé)任邊界，帶來了更加多元、復(fù)雜的信息安全挑戰(zhàn)。文章分析了工業(yè)互聯(lián)網(wǎng)在設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺安全、數(shù)據(jù)安全等方面的風(fēng)險，闡述了態(tài)勢感知的概念，并從技術(shù)角度闡述了在線監(jiān)測、蜜罐仿真、網(wǎng)絡(luò)流量分析、企業(yè)側(cè)探針、平臺安全監(jiān)測五大工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知核心技術(shù)。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng);態(tài)勢感知;安全監(jiān)測

中圖分類號：TP393????????? 文獻標識碼：A

1 引言

工業(yè)是國民經(jīng)濟的基礎(chǔ)和命脈，隨著大數(shù)據(jù)、人工智能、云計算及物聯(lián)網(wǎng)等新技術(shù)的發(fā)展和應(yīng)用，工業(yè)信息化已經(jīng)到了工業(yè)互聯(lián)網(wǎng)新階段，工業(yè)互聯(lián)和融通共享成為發(fā)展新常態(tài)，在全產(chǎn)業(yè)鏈能力不斷提高的同時，工業(yè)互聯(lián)網(wǎng)也面臨日益嚴峻的安全威脅。2016年1月25日，以色列部分電力系統(tǒng)遭受到大規(guī)模的網(wǎng)絡(luò)安全攻擊，這迫使以色列關(guān)閉了大量正在運行的核心計算機。2017年5月，Wannacry勒索病毒爆發(fā)，國內(nèi)部分工業(yè)企業(yè)和能源企業(yè)遭受了勒索病毒的入侵，部分生產(chǎn)系統(tǒng)的工控機無法正常采集現(xiàn)場數(shù)據(jù)，導(dǎo)致部分工業(yè)生產(chǎn)活動中斷。2018年8月3日，全球最大的代工芯片制造商臺積電被Wannacry變種勒索病毒攻擊，損失高達約13億元。種種事件表明，加強工業(yè)互聯(lián)網(wǎng)安全保障工作已經(jīng)迫在眉睫。

2? 工業(yè)互聯(lián)網(wǎng)面臨的安全風(fēng)險

相較傳統(tǒng)網(wǎng)絡(luò)安全，工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)新的特點[2，3]：一是海量設(shè)備和系統(tǒng)的接入加大安全防護難度，設(shè)備之間互聯(lián)互通導(dǎo)致攻擊路徑增多，傳統(tǒng)的網(wǎng)絡(luò)安全問題延伸至工業(yè)互聯(lián)網(wǎng)領(lǐng)域;二是云環(huán)境下安全風(fēng)險跨域傳播的級聯(lián)效應(yīng)愈發(fā)明顯，工業(yè)數(shù)據(jù)面臨的安全風(fēng)險與日俱增;三是由于工業(yè)互聯(lián)網(wǎng)作為新興技術(shù)領(lǐng)域，其安全產(chǎn)品種類有限、工業(yè)防護能力薄弱。工業(yè)互聯(lián)網(wǎng)主要面臨設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺安全、數(shù)據(jù)安全等五類安全風(fēng)險。

2.1 設(shè)備安全

設(shè)備安全是指接入工業(yè)互聯(lián)網(wǎng)終端設(shè)備的安全，包括智能空調(diào)、智能冰箱、智能網(wǎng)聯(lián)汽車、攝像頭等物聯(lián)網(wǎng)終端設(shè)備的安全。這些設(shè)備往往采用嵌入式技術(shù)，很多設(shè)備體積小、計算能力有限、缺乏安全機制，大量存在安全問題的設(shè)備連接到工業(yè)互聯(lián)網(wǎng)中，極易被大批量利用，引發(fā)DDoS攻擊、僵尸網(wǎng)絡(luò)等問題[7]。

2.2 控制安全

控制安全是指PLC、SCADA、DCS等工業(yè)控制系統(tǒng)的安全，工業(yè)控制系統(tǒng)廣泛應(yīng)用于市政、軌道、交通、電力等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，是工業(yè)生產(chǎn)的“核心大腦”。隨著信息技術(shù)的發(fā)展，基于TCP/IP的工業(yè)以太網(wǎng)技術(shù)正在越來越多地應(yīng)用于工業(yè)控制系統(tǒng)中，工業(yè)控制系統(tǒng)漏洞數(shù)量逐年增加，受攻擊面不斷擴大[5]。

2.3 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要是指工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)在通信網(wǎng)絡(luò)傳輸過程中所面臨的安全問題，包括公共互聯(lián)網(wǎng)的安全以及工廠管理網(wǎng)絡(luò)、控制網(wǎng)絡(luò)的安全。從公共互聯(lián)網(wǎng)角度出發(fā)，基于Handle等標準標識解析系統(tǒng)的應(yīng)用，可能會導(dǎo)致新的攻擊方式出現(xiàn);從工廠的角度出發(fā)，為了追求更高的效率，工廠的網(wǎng)絡(luò)向扁平化、一體化的方面發(fā)展，導(dǎo)致工廠網(wǎng)絡(luò)安全防護難度加大，傳統(tǒng)的互聯(lián)網(wǎng)蠕蟲、木馬、勒索病毒正在向工廠內(nèi)部蔓延。

2.4 平臺安全

工業(yè)互聯(lián)網(wǎng)平臺依托于邊緣計算技術(shù)，匯聚了來自于工業(yè)控制系統(tǒng)、工業(yè)機器人、物聯(lián)網(wǎng)終端的核心數(shù)據(jù)，海量設(shè)備和系統(tǒng)的接入使得工廠內(nèi)部的安全風(fēng)險向工業(yè)互聯(lián)網(wǎng)平臺擴散，加大了平臺安全的防護難度[4]。同時，虛擬化技術(shù)的使用也使得平臺自身安全脆弱性日益凸顯，可能出現(xiàn)虛擬機逃逸、跨虛擬機側(cè)信道攻擊等問題。當(dāng)前，工業(yè)互聯(lián)網(wǎng)平臺PaaS層核心架構(gòu)均采用Cloud Foundry和Docker等開源技術(shù)，而這些開源技術(shù)本身存在著很多安全問題，甚至可能留有“后門”。

2.5 數(shù)據(jù)安全

數(shù)據(jù)安全主要指工業(yè)生產(chǎn)業(yè)務(wù)活動中產(chǎn)生、采集、處理、存儲、傳輸和使用的數(shù)據(jù)的安全。數(shù)據(jù)類型包括仿真測試數(shù)據(jù)、現(xiàn)場生產(chǎn)數(shù)據(jù)、運維管理數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)等。數(shù)據(jù)在傳輸、存儲的過程中，如果發(fā)生被竊取、篡改等事件，將直接影響到工業(yè)生產(chǎn)，甚至威脅到工人的人身安全。規(guī)范工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)采集、存儲、分析流程，評估數(shù)據(jù)安全風(fēng)險，防止重要工業(yè)數(shù)據(jù)外泄，是數(shù)據(jù)安全保障的重點內(nèi)容。

3 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知

態(tài)勢感知的概念于上世紀90年代開始應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，安全大數(shù)據(jù)是態(tài)勢感知的基礎(chǔ)[1]。其信息采集、分析、處理過程主要可分為三個部分，分別為態(tài)勢獲取、態(tài)勢理解和態(tài)勢預(yù)測。態(tài)勢獲取通過多渠道感知、獲取環(huán)境中的重要線索和元素，包括漏洞信息、風(fēng)險信息、安全事件、產(chǎn)業(yè)信息、技術(shù)進展、專家信息等，為下一步的態(tài)勢理解提供數(shù)據(jù)支撐。態(tài)勢理解會對基礎(chǔ)材料進行進一步融合、挖掘，分析其關(guān)聯(lián)性。態(tài)勢預(yù)測則是基于分析的環(huán)境信息，預(yù)測未來安全形勢。

為了解決工業(yè)互聯(lián)網(wǎng)高速發(fā)展所帶來的日益嚴峻的安全挑戰(zhàn)，國務(wù)院、工信部高度重視工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知工作。2017年11月，國務(wù)院在《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》中提出，“細化工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全制度，制定工業(yè)互聯(lián)網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)保護相關(guān)規(guī)則，構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢感知預(yù)警、網(wǎng)絡(luò)安全事件通報和應(yīng)急處置等機制”。2018年6月，工信部在《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃（2018-2020年）》中提出“顯著提升安全態(tài)勢感知和綜合保障能力”。

4? 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知核心技術(shù)分析

在國家相關(guān)重大專項的支持下，國家一些科研機構(gòu)啟動建設(shè)國家、省、企業(yè)三級聯(lián)動的國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知體系。通過威脅匹配、大數(shù)據(jù)分析等技術(shù)，實現(xiàn)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢的實時感知與可視化展示，在體系建設(shè)過程中，重點應(yīng)用到五個方面的核心技術(shù)。