王 弢，崔君荣

(360企业安全集团，北京 100015)

0 引言

工业信息安全是实施制造强国和网络强国战略的重要保障[1]。近年来，在“两化融合”、生产网络与办公网互联互通的新形势下，随着“中国制造2025”全面推进，工业数字化、网络化、智能化加快发展，我国工控系统面临安全漏洞不断增多、安全威胁加速渗透、攻击手段复杂多样等新挑战[2]。

自2010年震网病毒攻击伊朗核基础设施，使8 000台离心机损坏之后，近几年安全事件频发，而且一些针对工控系统的恶意软件也被陆续曝光。2014年Havex利用供应商软件网站的“水坑攻击”，影响了欧美1 000多家能源企业(供应链安全)，2015年12月，乌克兰发生的一次有组织、有预谋的APT攻击，则造成了乌克兰境内大范围断电。2017年Triton攻击中东能源基础设施的功能安全保护系统，试图造成恶性事故。

这些安全事件都表明来自黑客的网络攻击威胁正在日益向工业网络渗透，工控系统所面临的安全风险态势将会更加严峻，加强工业信息安全保障能力建设已成为当务之急。

IT信息安全领域近年来也正在发生重大而深刻的变革，新的理念、新的方法、新的产品不断涌现。随着大数据、人工智能等新技术的广泛应用，积极防御、威胁情报、态势感知、安全可视化等创新理念和新产品的出现推动了传统信息安全产业的变革。在工业信息安全领域，传统的安全防御产品已逐渐乏力、无法有效应对越来越严重的安全威胁，构建层次清晰、定位明确、融合联动的工业信息安全产品体系将成为产业未来发展的重要趋势。

工业信息安全领域内的专家也已经深刻认识到，单独依靠一、两种产品无法有效应对越来越严重的信息安全威胁，需要构建层次清晰、定位明确、融合联动的工业信息安全产品体系才能对工业控制系统实施有效防御。

1 传统工业信息安全防护体系面临的挑战

传统工业信息安全防护体系主要包括工业防火墙、入侵检测、防病毒软件等产品，其安全解决方案不能有效应对越来越严重的信息安全威胁。传统工业信息安全防护体系现面临以下安全挑战。

1.1 APT攻击频频得手

APT攻击在网络对抗中主要采用精准打击的军事级数字武器，其特征表现为：目标锁定、攻击手段未知、几乎无法检测、持续时间长等。传统安全防御体系在这种攻击面前形同虚设，毫无效果。目前已经被公开披露的APT攻击事件，如：针对伊朗核设施的震网蠕虫病毒、针对卡巴斯基的Duqu2.0震网病毒等都是在攻击发生数年后才被发现。

1.2 传统安全边界正在消失

随着IT和OT技术的融合，网络边界不再等于安全边界。传统安全防护体系特别强调边界防御，但随着云计算、物联网等网络场景、应用场景的出现，网络访问与接入对移动性提出了更高的要求，这些技术的发展将网络的安全边界延伸到企业网络之外，工业厂商厂区不再是孤立的，打破了物理隔离。

1.3 攻击技术层出不穷

新型攻击技术一次次打破了传统安全防线。如：通过0 day漏洞躲过IDS/IPS的漏洞利用攻击，通过加密、加花、加壳等手段的各类病毒，通过编码转换、语法变形的各类注入技术等。这一次次的攻击表明传统安全防御体系已无法应对黑客、攻击者的恶意破坏。

2 以数据驱动的工业信息新型安全技术

工业信息安全行业的本质是攻防对抗，攻防之间是一种动态的平衡，是管理、人才、技术、基础设施等多方面的竞争。传统的工业信息安全技术大多基于IT信息安全行业传统的防护思想，虽然对解决目前迫切的工业安全防护需求有很大的帮助，但当面对有其它国家政府或大型组织背景，使用APT攻击或0 day漏洞攻击的威胁，常常不能提供充分、有效的防护。

IT信息安全领域近年来正在发生重大而深刻的变革，新的理念、新的方法、新的产品不断涌现。信息安全从业者尝试基于数据驱动安全的理念，使用大数据、人工智能等新技术解决信息安全问题，并取得了良好的效果。

2.1 基于威胁情报的工业威胁检测技术

威胁情报依托于云端的海量工业数据，经过数据收集、数据清洗、数据关联、数据验证、上下文、优先级、格式化、情报分发等过程生成。威胁情报通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化。基于威胁情报的工业威胁检测技术能够对工控系统攻击中出现的特点进行识别、背景信息关联和可视化展现。该技术不仅可以更早地发现威胁和进行响应处理，还可以实现从点到面的协同防护，极大地压缩攻击者进行攻击的时间并提升其成本。该技术可对受害目标及攻击源头进行精准定位，最终达到对入侵途径及攻击者背景的研判与溯源，帮助企业从源头上解决安全问题。

2.2 基于大数据处理的工业态势感知技术

大数据时代的到来为工控企业安全提供了新的技术手段，对工业领域传统的数据资产、设备物联数据、外部数据进行统一管理，将工业大数据技术和工业云相结合，实现对云端数据、本地数据的采集、分析并从功能维度进行汇总、查看、统计及处置。在工业企业研发设计、生产过程、需求预测、供应链优化等环节利用大数据技术进行持续监控收集、实时探测，在云端判断、取证、溯源、修复，从而建立可信任的设备、信息和软件。基于大数据处理的工业态势感知技术成为工业大数据采集、存储、处理和呈现的有力武器，能够对标识态势、攻击源、攻击事件和工控资产的态势进行可视化展示，并通过可视化界面进行数据关联查询，及时对工业环境中未来风险进行预测、预防。

3 工业信息安全防护体系

根据功能层级和数据、威胁情报流向，可以把工业信息安全产品体系结构从低到高分为三层：防护监测层、安全运营层、态势感知层。这三层分别实现不同的安全功能，进行数据、指令、威胁情报的流动，实现协同联动的整体防护效果。其中数据从低到高流动，威胁情报从高到低赋能，工业信息安全防护体系如图1所示。

图1 工业信息安全防护体系

(1)防护监测层

防护监测层处于安全防护体系功能层级的最低层，主要包括工业安全网关(工控防火墙)、工业安全审计、工业主机防护软件、工业安全网闸、工业安全检查评估工具等防护措施。此类产品进行数据采集，在发现威胁或接到上层安全运营类产品命令时实施处置，具备简单的分析功能。

(2)安全运营层

安全运营层处于安全防护体系功能层级的中层，主要部署在工业企业内部，作为工业信息安全的威胁感知、集中管控和应急响应平台在企业内部发挥核心作用。此类产品主要包括工业安全运营中心、工业云安全管理平台等产品，其技术核心是威胁情报利用、安全可视化、大数据处理技术。

(3)态势感知层

态势感知层处于产品体系功能层级的最高层，其核心能力是情报搜集、威胁情报库和数据高级分析。此类产品包括工业态势感知平台、威胁情报库等，主要部署在政府主管部门或大型企业集团总部，负责对辖区和主管范围内的主要工业企业进行态势感知和安全监管。

基于工业信息安全防护体系，360企业安全集团成功为国内某知名新能源汽车制造企业应急处理“永恒之蓝”(WannaCry)蠕虫病毒。当该企业感染病毒后，整个生产园区内大部分安装微软XP操作系统的上位机产生蓝屏、重启现象。安全服务人员利用威胁情报快速识别威胁、进行研判与溯源，判定该企业感染“WannaCry”病毒并且定位感染主机。在进行紧急处理后部署工业主机防护软件，有效阻断未知程序、木马病毒、恶意软件、攻击脚本等运行，为工业主机创建干净安全的运行环境。

总之，传统的工业信息安全技术更局限于对攻击某一时刻的行为进行分析，无法对攻击的全貌有全面了解。新型安全体系可以弥补传统安全技术的缺陷，其本质上是围绕数据为核心的“数据驱动安全”技术思路，依靠大数据的大范围分析实现对威胁的感知、发现、分析和溯源。

将传统及新型工业信息安全技术协同联合，在一定程度上能够保障工业控制系统的安全，但在整个安全防护体系中仍然离不开以人为核心的安全运营。工控企业安全威胁是不可控的，也是不可防的，利用这些技术无法防范所有的安全隐患。在强调工业大数据态势感知和工业威胁情报技术的同时，不能忽视人在工业安全中的作用。搭建工业安全体系，需要基于人来建设安全技术体系和业务体系设计，通过人与技术的协同，建立以人为核心的安全体系和安全生态。在数据分析、安全监控、信息通报、事件处置、追踪溯源、产品运维采取运营机制、人机协同，将云端安全能力赋能给设备和人，建立云端、设备和人协同联动的新一代安全运营体系，更加贴近企业的实际情况，更有效地保障工业信息安全。

4 结束语

“数据驱动工业安全”的构成要素中，“数据”是基础，安全威胁往往隐藏在数据之中，海量、多维及持续的数据是后续进行安全分析和挖掘的基础；“安全”是目标，只有将大数据及处理技术应用于安全攻防领域，结合安全专家的知识与经验，才能真正帮助工业企业更好地安全运营。

[1] 王小山，杨安，石志强等.工业控制系统信息安全新趋势[J].信息网络安全.2015,(1):6-1

[2] LI J. Analyzing “Made in China 2025” Under the Background of “Industry 4.0”[C]//Proceedings of the 23rd International Conference on Industrial Engineering and Engineering Management 2016. Atlantis Press, Paris, 2017: 169-171.