郭賓 雷濛 朱奕輝

Discussion on the Construction Ideas of Industrial Internet Security Service Cloud

GUO Bin， LEI Meng， ZHU Yi-hui

【摘? 要】論文基于對(duì)工業(yè)互聯(lián)網(wǎng)安全的調(diào)研結(jié)果，梳理了工業(yè)互聯(lián)網(wǎng)安全的發(fā)展現(xiàn)狀及面臨的四個(gè)安全問(wèn)題，創(chuàng)造性地提出工業(yè)互聯(lián)網(wǎng)安全服務(wù)云的概念，旨在滿(mǎn)足企業(yè)端和監(jiān)管單位在工業(yè)互聯(lián)網(wǎng)建設(shè)中提出的安全新需求。同時(shí)，深入探討了安全服務(wù)云的五個(gè)發(fā)展方向，為工業(yè)互聯(lián)網(wǎng)安全發(fā)展提供一個(gè)新的思路。

【Abstract】Based on the research results of industrial internet security， this paper combs the development status of industrial internet security and the four security problems it faces， creatively proposes the concept of industrial internet security service cloud， aiming to meet the new security needs of enterprise and regulatory units in the construction of industrial internet. At the same time， the paper discusses the five development directions of security service cloud， which provides a new idea for the development of industrial internet security.

【關(guān)鍵詞】態(tài)勢(shì)感知;工業(yè)互聯(lián)網(wǎng)安全;云服務(wù)

【Keywords】situation awareness; industrial internet security; cloud service

【中圖分類(lèi)號(hào)】TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號(hào)】1673-1069（2020）05-0128-02

1 引言

工業(yè)互聯(lián)網(wǎng)是智能制造發(fā)展的基礎(chǔ)，可以提供共性的基礎(chǔ)設(shè)施和能力。我國(guó)已經(jīng)將工業(yè)互聯(lián)網(wǎng)作為重要基礎(chǔ)設(shè)施，為工業(yè)智能化提供支撐。然而近年來(lái)工業(yè)互聯(lián)網(wǎng)安全威脅和風(fēng)險(xiǎn)日益突出，各種網(wǎng)絡(luò)安全事件頻繁發(fā)生，高危系統(tǒng)安全漏洞威脅不斷。網(wǎng)絡(luò)安全已經(jīng)上升為國(guó)家安全的核心組成部分，并在經(jīng)濟(jì)和社會(huì)發(fā)展的關(guān)鍵環(huán)節(jié)和基礎(chǔ)保障方面發(fā)揮日益重要的作用。

2 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀

在工業(yè)互聯(lián)網(wǎng)總體框架下，安全既是一套獨(dú)立功能體系，又滲透融合在網(wǎng)絡(luò)和平臺(tái)建設(shè)使用的全過(guò)程，為網(wǎng)絡(luò)、平臺(tái)提供安全保障。工業(yè)互聯(lián)網(wǎng)實(shí)現(xiàn)了全系統(tǒng)、全產(chǎn)業(yè)鏈和全生命周期的互聯(lián)互通，但在打破傳統(tǒng)工業(yè)相對(duì)封閉可信的生產(chǎn)環(huán)境的同時(shí)，也導(dǎo)致被攻擊概率的提升。

目前，工業(yè)互聯(lián)網(wǎng)安全問(wèn)題主要體現(xiàn)在以下四個(gè)方面。

2.1 安全責(zé)任界定和安全監(jiān)管難度大

工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)和數(shù)據(jù)在工控系統(tǒng)層、業(yè)務(wù)監(jiān)管層、云平臺(tái)層、工業(yè)應(yīng)用層等多個(gè)層級(jí)間流轉(zhuǎn)，安全責(zé)任主體涉及工業(yè)企業(yè)、設(shè)備供應(yīng)商、工業(yè)互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)商、工業(yè)應(yīng)用提供商等。

2.2 平臺(tái)結(jié)構(gòu)復(fù)雜，問(wèn)題涉及面廣

海量設(shè)備和系統(tǒng)的接入、云及虛擬化平臺(tái)自身的安全脆弱性、API接口利用、云環(huán)境下安全風(fēng)險(xiǎn)跨域傳播的級(jí)聯(lián)效應(yīng)、集團(tuán)網(wǎng)絡(luò)安全頂層設(shè)計(jì)缺失都會(huì)帶來(lái)新的風(fēng)險(xiǎn)與挑戰(zhàn)。

2.3 終端安全形勢(shì)嚴(yán)峻

首先，傳統(tǒng)工業(yè)環(huán)境中海量工業(yè)軟硬件在生產(chǎn)設(shè)計(jì)時(shí)并未過(guò)多地考慮安全問(wèn)題，可能存在大量安全漏洞;其次，大部分核心設(shè)備以國(guó)外設(shè)備為主;最后，重要工業(yè)設(shè)備日常運(yùn)維和設(shè)備維修嚴(yán)重依賴(lài)國(guó)外廠商，存在遠(yuǎn)程操控的風(fēng)險(xiǎn)。

2.4 數(shù)據(jù)本質(zhì)安全得不到保障

通過(guò)對(duì)工業(yè)數(shù)據(jù)的分析和應(yīng)用，對(duì)生產(chǎn)進(jìn)行降本增效是目前的主流思路，但數(shù)據(jù)來(lái)源涉及各個(gè)網(wǎng)絡(luò)層級(jí)和業(yè)務(wù)環(huán)節(jié)，導(dǎo)致數(shù)據(jù)存在的范圍和邊界發(fā)生了根本變化，對(duì)數(shù)據(jù)安全帶來(lái)巨大挑戰(zhàn)。

3 安全服務(wù)云建設(shè)需求分析

基于上述現(xiàn)狀，本文提出互聯(lián)網(wǎng)安全服務(wù)云的概念，積極構(gòu)建一個(gè)面向關(guān)鍵信息基礎(chǔ)設(shè)施的立體化、實(shí)時(shí)化和智能化的網(wǎng)絡(luò)安全保障系統(tǒng)，持續(xù)加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全防御能力、感知能力、管控能力、處置能力和威懾能力，提高企業(yè)抵御網(wǎng)絡(luò)安全威脅風(fēng)險(xiǎn)的能力，設(shè)計(jì)需求主要來(lái)自企業(yè)和監(jiān)管部門(mén)兩方面，本文主要對(duì)企業(yè)端需求進(jìn)行分析。

①現(xiàn)階段，主流的安全產(chǎn)品以單兵作戰(zhàn)為主，只能對(duì)區(qū)域的流量信息進(jìn)行分析處理，對(duì)于未知威脅的處理能力則非常弱。需要有效利用云端威脅情報(bào)數(shù)據(jù)，從同類(lèi)企業(yè)數(shù)據(jù)中進(jìn)行發(fā)掘和分析攻擊線索，極大提升未知威脅和APT攻擊的檢出效率。

②傳統(tǒng)安全防御體系的重要思想是防御，處于攻擊最前沿的網(wǎng)端是安全建設(shè)的重點(diǎn)。但隨著APT攻擊的發(fā)展，這種防御思路已逐漸不能滿(mǎn)足要求，需要通過(guò)引入威脅情報(bào)和規(guī)則鏈技術(shù)，提升企業(yè)積極防御的能力。

③傳統(tǒng)安全防護(hù)設(shè)備進(jìn)行監(jiān)測(cè)時(shí)一般使用通用規(guī)則，這種規(guī)則庫(kù)對(duì)于與企業(yè)業(yè)務(wù)關(guān)聯(lián)性較強(qiáng)的個(gè)性化安全異常識(shí)別能力較弱。需要結(jié)合場(chǎng)景化威脅檢測(cè)技術(shù)，基于企業(yè)用戶(hù)的業(yè)務(wù)環(huán)境構(gòu)建威脅檢測(cè)和響應(yīng)模型，及時(shí)發(fā)現(xiàn)企業(yè)內(nèi)部的業(yè)務(wù)安全風(fēng)險(xiǎn)。第一，工業(yè)互聯(lián)網(wǎng)安全法規(guī)陸續(xù)發(fā)布，監(jiān)管部門(mén)存在網(wǎng)絡(luò)監(jiān)管的剛性要求，需要對(duì)所轄企業(yè)中的威脅事件、重要網(wǎng)絡(luò)資產(chǎn)和終端三個(gè)維度進(jìn)行結(jié)合，輸出各個(gè)層面的統(tǒng)計(jì)分析結(jié)果，實(shí)現(xiàn)全方位的網(wǎng)絡(luò)安全態(tài)勢(shì)感知，協(xié)助企業(yè)信息部門(mén)看清業(yè)務(wù)與網(wǎng)絡(luò)安全的關(guān)系。第二，利用數(shù)據(jù)采集、數(shù)據(jù)流檢測(cè)、威脅情報(bào)等技術(shù)手段，分析和發(fā)現(xiàn)攻擊行為、流量異常等安全威脅，可以綜合判斷安全態(tài)勢(shì)，彌補(bǔ)單一企業(yè)用戶(hù)在信息安全數(shù)據(jù)整合能力、威脅行為預(yù)判能力上存在的短板。第三，需要建立研究成果、威脅情報(bào)、漏洞發(fā)布等最新安全信息推送機(jī)制。監(jiān)管單位一般建有完善的安全知識(shí)庫(kù)，推送機(jī)制有助于知識(shí)庫(kù)發(fā)揮最大功效，幫助企業(yè)運(yùn)維人員培養(yǎng)安全意識(shí)和技能素養(yǎng)，增強(qiáng)企業(yè)對(duì)工業(yè)互聯(lián)網(wǎng)安全的防護(hù)。

4 安全服務(wù)云發(fā)展方向

4.1 強(qiáng)化核心信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全態(tài)勢(shì)監(jiān)測(cè)能力建設(shè)

對(duì)信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)措施進(jìn)行改造升級(jí)，采取技術(shù)手段健全對(duì)漏洞嗅探、攻擊侵入、病毒傳播等危害網(wǎng)絡(luò)安全行為的防范措施。實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)管理對(duì)象的全面納管和實(shí)時(shí)監(jiān)測(cè)，建立統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)行狀態(tài)監(jiān)測(cè)記錄、操作日志、應(yīng)用性能和流量數(shù)據(jù)采集機(jī)制。

4.2 強(qiáng)化網(wǎng)絡(luò)安全隱患分析預(yù)判能力建設(shè)

在實(shí)時(shí)采集網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)測(cè)記錄、全面收集網(wǎng)絡(luò)安全威脅情報(bào)基礎(chǔ)上，利用大數(shù)據(jù)分析技術(shù)構(gòu)建統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢(shì)實(shí)時(shí)分析和監(jiān)測(cè)預(yù)警平臺(tái)。通過(guò)分布式實(shí)時(shí)計(jì)算框架對(duì)全網(wǎng)全量安全基礎(chǔ)信息進(jìn)行關(guān)聯(lián)分析，及時(shí)發(fā)現(xiàn)已知安全威脅，確定安全事件的攻擊階段、攻擊路線與影響范圍，為應(yīng)急處置提供科學(xué)的決策依據(jù)。通過(guò)基于機(jī)器學(xué)習(xí)構(gòu)建的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估模型，預(yù)測(cè)網(wǎng)絡(luò)安全未知隱患發(fā)生的可能性、影響范圍和危害程度，有效強(qiáng)化技術(shù)威懾與主動(dòng)防御能力。

4.3 強(qiáng)化網(wǎng)絡(luò)安全攻擊應(yīng)急處置能力建設(shè)

首先，建立健全網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，按照事件發(fā)生后的危害程度、影響范圍等因素對(duì)網(wǎng)絡(luò)安全事件進(jìn)行分級(jí)，并規(guī)定相應(yīng)的應(yīng)急處置措施;其次，建立健全網(wǎng)絡(luò)安全攻擊事件應(yīng)急處置工作平臺(tái)和技術(shù)手段，發(fā)生網(wǎng)絡(luò)安全事件時(shí)，能夠立即啟動(dòng)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，快速組織應(yīng)急響應(yīng)專(zhuān)業(yè)技術(shù)人員，對(duì)網(wǎng)絡(luò)安全攻擊階段進(jìn)行精準(zhǔn)評(píng)估，對(duì)網(wǎng)絡(luò)安全來(lái)源進(jìn)行快速研判，采取技術(shù)措施和其他必要措施及時(shí)消除安全隱患，防止危害擴(kuò)大，并按照有關(guān)法律、行政法規(guī)的規(guī)定進(jìn)行上報(bào)。

4.4 強(qiáng)化網(wǎng)絡(luò)安全事件留存取證能力建設(shè)

在落實(shí)《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定基礎(chǔ)上，對(duì)系統(tǒng)采集的關(guān)鍵信息中基礎(chǔ)設(shè)施、網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用安全運(yùn)行狀態(tài)監(jiān)測(cè)記錄、操作日志和流量數(shù)據(jù)進(jìn)行全量留存，建立網(wǎng)絡(luò)安全數(shù)據(jù)檢索和關(guān)聯(lián)查詢(xún)平臺(tái)。首先，支持在發(fā)生涉及違法違規(guī)網(wǎng)絡(luò)安全事件時(shí)配合相關(guān)部門(mén)進(jìn)行調(diào)查取證;其次，對(duì)重要應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行定期容災(zāi)備份和統(tǒng)一歸檔存儲(chǔ);最后，支持在發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)能夠快速進(jìn)行系統(tǒng)恢復(fù)，降低可能的數(shù)據(jù)丟失風(fēng)險(xiǎn)和損失。

4.5 強(qiáng)化網(wǎng)絡(luò)安全服務(wù)能力建設(shè)

圍繞企業(yè)安全能力提升各環(huán)節(jié)將面臨的需求，提供全方位的安全服務(wù)。第一，通過(guò)以安全咨詢(xún)切入，幫助企業(yè)了解安全相關(guān)的政策要求;第二，通過(guò)風(fēng)險(xiǎn)評(píng)估幫助企業(yè)梳理清晰安全現(xiàn)狀，并進(jìn)行有針對(duì)性地安全建設(shè)對(duì)現(xiàn)有問(wèn)題進(jìn)行整改;第三，通過(guò)滲透測(cè)試對(duì)建設(shè)后的安全防護(hù)能力進(jìn)行準(zhǔn)確評(píng)估;第四，通過(guò)提供安全運(yùn)維和漏洞掃描服務(wù)，協(xié)助企業(yè)開(kāi)展日常網(wǎng)絡(luò)安全工作;第五，通過(guò)應(yīng)急演練提高企業(yè)人員安全技能;第六，通過(guò)安全培訓(xùn)提高企業(yè)人員整體安全意識(shí)和技能水平。

5 結(jié)語(yǔ)

本文提出的工業(yè)互聯(lián)網(wǎng)安全服務(wù)云概念，可以整合區(qū)域內(nèi)工業(yè)企業(yè)共性需求，改變傳統(tǒng)一個(gè)單位建立一套態(tài)勢(shì)感知平臺(tái)的模式，充分發(fā)揮工業(yè)互聯(lián)網(wǎng)的共享特性，將區(qū)域內(nèi)的企業(yè)看作一個(gè)整體，每個(gè)企業(yè)作為一個(gè)節(jié)點(diǎn)，通過(guò)部署多維探針設(shè)備，監(jiān)測(cè)并匯總數(shù)據(jù)后由監(jiān)管單位進(jìn)行統(tǒng)一態(tài)勢(shì)感知分析，提升整個(gè)區(qū)域內(nèi)的安全態(tài)勢(shì)感知水平。通過(guò)與國(guó)家監(jiān)測(cè)預(yù)警網(wǎng)絡(luò)、應(yīng)急資源庫(kù)、信息共享平臺(tái)和信息通報(bào)平臺(tái)進(jìn)行技術(shù)對(duì)接，協(xié)同企業(yè)開(kāi)展工業(yè)信息安全治理工作，實(shí)現(xiàn)信息的安全、可靠、及時(shí)共享，形成快速高效、各方聯(lián)動(dòng)的信息通報(bào)預(yù)警體系。

【參考文獻(xiàn)】

【1】工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）.工業(yè)互聯(lián)網(wǎng)體系架構(gòu)[R].北京：工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，2016.

【2】工信部信軟〔2015〕440號(hào).關(guān)于印發(fā)貫徹落實(shí)《國(guó)務(wù)院關(guān)于積極推進(jìn)“互聯(lián)網(wǎng)+”行動(dòng)的指導(dǎo)意見(jiàn)》行動(dòng)計(jì)劃（2015-2018年）的通知[Z].

【3】高春梅.基于工業(yè)控制網(wǎng)絡(luò)流量的異常檢測(cè)[D].北京：北京工業(yè)大學(xué)，2014.

【4】吳超，張堯?qū)W，周悅芝，等.信息中心網(wǎng)絡(luò)發(fā)展研究綜述[J].計(jì)算機(jī)學(xué)報(bào)，2015，38（3）：455-471.