赵一凡 尹肖栋 林逸风

(浙江省电子信息产品检验研究院，浙江杭州 310007)

0 引言

对作为国民经济命脉与基础的工业而言，以物联网和云计算为代表的技术的出现，推动自身朝着信息化、智能化的方向前进，在此背景下，数据互联、共享与融合，逐渐成为工业发展的主流趋势。随着产业链协同创新能力的提升，工业互联网的安全形势更加严峻，如何为工业互联网的安全性提供有力保障，已引起越来越多人的关注。

1 工业互联网安全发展现状

1.1 网络安全

对工业互联网而言，网络安全指的是以通信网络为载体，对数据进行传输时，可能出现的安全问题，例如，控制网络存在漏洞。如果以互联网的视角为切入点，对标准标识适用解析系统加以应用，通常存在全新攻击方式形成的可能；如果以工业企业的视角为切入点，要想增加自身效益，推动网络朝着一体化和扁平化方向前进是必然选择，由此而引发的问题，便是为网络安全提供全面防护的难度不断增大，僵、木、蠕也拥有了滋生的温床。

1.2 平台安全

对工业互联网适用平台进行建设所依托技术以边缘计算为主，该技术可使核心数据得到有效汇聚，例如，物联网、工业控制系统所提供数据，随着平台连接系统与设备数量的增加，对其进行安全防护的难度与日俱增[1]。除此之外，以虚拟化技术为代表的多项技术的出现，同样加剧了平台的脆弱性，由此而引发的问题，主要表现为虚拟机逃逸，围绕其展开讨论，现实意义不言而喻。

1.3 控制安全

工业控制系统的应用方向，主要是电力、市政和轨道交通，因此，该系统又被称为工业生产的大脑。信息时代的到来，加快了信息技术更新换代的速度，以太网技术开始为人们所熟知，与此同时，该系统所存在漏洞的数量也在不断增加，控制安全受到威胁的情况无法避免。

1.4 设备安全

这里的设备主要是指与工业互联网相连的终端设备，例如，摄像头、智能空调等。上文所提及设备均将嵌入式技术视为首选技术，虽然压缩了设备体积，却由于无法精确计算所需参数，而导致安全机制始终难以发挥出应有作用，这便是工业互联网被大批利用，甚至出现僵尸网络的主要原因[2]。

1.5 其他要素

除上文所提及要素外，数据安全也是不容忽视的部分。工业互联网所用数据，不仅有常见的生产数据和管理数据，还有测试数据与供应链数据。对处于传输或存储环节的数据而言，一旦出现被窃取或篡改的情况，不仅工业生产会受到影响，工人安全也会受到威胁。由此可见，对采集、分析和存储数据的流程加以规范，根据安全风险评估结果，确定能够最大程度避免数据外泄的方案，将是未来一段时间研究的重点。

2 安全态势感知设计思路

在优化网络现有安全防护能力方面，利用相关技术，对安全态势感知进行建设，具有重要意义。现阶段，智能制造成为社会前进的主要方向，这也使工业呈现出了更为瞩目的智能化、数字化与网络化水平，相关人员应将顶层设计视为工作重心，在现行规范及产业需求的指导下，对感知平台的架构与能力进行设计，通过对预警通报、安全监测等技术加以利用的方式，确保企业态势始终处于可感可知状态，为日后监管工作的开展提供便利。

对感知平台能否发挥应有功能起决定作用的主体为管理人员，详细来说，就是以感知平台得到高效建设为前提，通过全面监管的方式，确保异常情况、安全威胁可获得及时预警[3]。除此之外，还有两方面内容需要引起重视：(1)加大管理网络运营安全性的力度，以实际情况为依据，调整现有管理制度，酌情引入预警机制，确保安全决策科学、应急响应有效。(2)面向管理人员定期组织培训，使管理人员拥有良好的素质与能力，可快速处理安全事件，真正做到事中阻断威胁和事后追溯威胁产生源头，避免类似情况再次出现。

3 安全态势感知架构与能力

3.1 技术架构

(1)采集数据。对工业数据进行采集的特征是利用现有通信手段，对不同系统、设备及产品进行接入，在确保采集数据满足深层次、大范围条件的前提下，根据异构数据独有边缘处理和协议转换，对感知平台所需数据基础进行构建。南京某公司研发采集探针，现已得到较大范围的推广和利用，该探针可对大部分工业协议进行识别，例如，S7、MMS等，在此基础上，通过深入剖析相关协议的方式，确保所采集数据能够被转换为有效格式，从而达到向平台进行输出的目的。(2)处理数据。原始数据无法做到来源统一，其格式、质量及内容均有明显差异存在，此外，在表达语义、存储形式等方面，同样有所不同，异常、重复及错误数据均占有一定比重，只有提前对原始数据进行处理，才能避免后续的挖掘与分析环节，受到不必要影响，结果自然更加准确。综上，对态势进行正式分析前，工作重心应当放在统一化、规格化处理数据上，这样做可使数据质量得到改进，日后所开展分析工作的质效及准确性，通常能够出现较大幅度的提高。现阶段，被用来对数据进行预处理的方法，主要是清理算法，该方法可将异构数据转变为结构数据，在降低处理难度的基础上，利用聚类分析法，确保报警记录能够得到科学压缩，冗余消除。随后，以重新审核数据为前提，通过科学筛选并排序的方式，获得可对数据关系进行准确反映的基础图谱。(3)存储数据。存储数据为索引提供便利，二者又为日后的监测和汇聚数据提供了便利。对工业互联网而言，可使安全态势得到感知的技术，其核心模块往往是知识库，而功能完备的知识库，通常由多个部分组成，例如，漏洞库与指纹库，其中，指纹库的记录对象，主要有工业设备、恶意组织及行为等[4]。(4)建模分析。建模的意义是对知识库和经过预处理的数据进行分析，提取可对安全信息加以反映的相关性数据，在建立数学模型的基础上，利用现有算法，深入分析工业互联网所涉及资产信息、标识信息与攻击信息，确保数据关联、威胁态势均可得到直观展示。另外，以获取表明威胁状态的数据为前提，先对不同条件及场景进行设定，再综合考虑网络历史、当前安装状态，确定分析模型，在网络威胁、资产脆弱性的辅助下，按部就班的展开态势预测工作，通常可以取得事半功倍的效果，网络发展趋势也能够得到直观反映。(5)展示数据。利用可视化技术对态势感知平台加以完善，以可视化图形为依托，向用户展示网络态势状况，充分利用人类对图像、图形加以处理的能力，能够确保攻击源、工控资产与攻击事件得到直观展示。与此同时，管理人员还可以利用可视化界面，对数据关联性进行查询，使后续工作拥有更加明确的目标及方向。

3.2 核心能力

(1)管理资产。工业互联网用来感知安全态势的平台，通常配有资产指纹库，只需要对比指纹，就能够准确识别网络涉及OT及IT信息，以互联网页面为载体，对企业网络拓扑进行实时呈现。将资产信息录入数据库所用技术，主要有自动发现IP、识别指纹及数据同步，事实证明，这样做可使管理范围扩大，资产流量、活跃情况、访问行为、协议与端口状态，均被涵盖在内，而具备识别条件的资产，也逐渐延伸至工业数据、互联网平台和相关软件等领域。(2)预测安全态势。众所周知，要想使网络主动对安全进行方位，预测安全态势是不可缺少的重要一环。本文所讨论平台，选择以大量报警数据为依据，对黑客入侵所遵循规律加以掌握，再结合入侵前奏，对尚未发生的入侵行为进行预测，而预测内容，主要集中在三个方面，分别是：入侵目的，可能发生的入侵行为，给设备带来的影响。实践经验表明，只有做到分析过去，才能使入侵行为得到准确预测，从而采取切实可行的措施，确保入侵行为被及时阻止，避免更严重后果的产生。(3)感知僵、木、蠕的态势。无论是对互联网，还是企业内部网络而言，僵尸网络、木马、还有蠕虫病毒、三者所带来危害均极为巨大。本文所讨论平台，结合僵、木、蠕所展现出传播特征，对处于传播状态的僵木蠕加以识别，通过追踪控制命令与传播路径的方式，确定服务器，在此基础上，以服务器为载体，对受控主机进行反查，真正做到了感知僵木蠕的态势，日后所开展打击行动，自然拥有更加良好的基础[5]。(4)分析事件态势及关联性。经过预处理的安全事件，通常要结合区域防护能力、网络攻击情况，完成关联分析环节，再以互联网为依托，使分析结果得到直观显示。一般来说，对事件关联进行分析所用技术，以贝叶斯网络与决策树为主。如果评估主体是网络安全态势，其重点往往是网络展现出的安全状态，详细来说，就是以安全属性记录为依据，确保用户可对网络状态进行准确评判，再根据网络安全未来一段时间的发展方向，为管理人员提供决策制定、准备防护方案所需目标。在条件允许的情况下，以模糊推理和神经网络为代表的技术，同样可被用来对态势进行评估，综合考虑多方因素，在科学推理规则的前提下，确保所获得判断结果真实而有效。(5)监测工业网络的入侵情况。从本质上来说，工业控制系统是生产运行系统之一，具备可用性、实用性突出的现场控制层，由此可见，针对动态信息对防护结构进行建立很有必要。本文所讨论平台创造性的增加了监测网络入侵的模块，通过全面分析入侵数据的方式，确保告警信息可及时传递给管理人员。另外，入侵反应以异常警报、攻击警报为依据，在对安全态势进行评估的基础上，拟定切实可行的安全策略，可使入侵攻击所带来影响得到缓解。一般来说，入侵反应分为决策制定与执行，前者将监测警报视为基础，综合考虑控制系统需要达成的目标和面对的约束，对安全策略进行持续优化。而后者的作用，主要是整合以功能安全、信息安全为主体的策略，确定可发挥出理想作用的实施方案。对上述工作加以落实时，对入侵攻击可能带来的危害进行评估很有必要，若系统用于入侵反应的成本高于信息攻击可能造成的经济损失，管理人员应考虑反应措施是否有采取的意义，避免过度反应出现。

4 安全态势感知技术发展方向

在信息社会，要想使现有技术得到快速发展，由大数据所衍生出感知安全态势的技术，通常发挥着十分重要的作用。由上述内容可知，信息安全面临着不同以往的挑战与威胁，这在无形中提高了安全防护的难度，迄今为止，大部分企业均不具备抵御大规模APT攻击的能力，只有全网联动，才能使安全防御发挥出应有作用。

若以大数据为基础，对安全态势进行感知，其关键是将监测节点部署在有监测需求的区域，在实时监控的基础上，针对潜在攻击行为做出预警，使规模化防护的设想成为现实。而未来一段时间内，围绕感知技术展开的研究，将以规模化防护为核心，其研究内容也将集中在以下几下方面：

(1)流量清洗，通过彻底清洗系统防护设备的方式，对风险进行监控与防御；(2)蜜罐监测，该技术强调以构建蜜罐为前提，在诱捕所存在攻击的基础上，采集全新样本，以此来达到降低风险的目的；(3)云防护网络，待云防护节点的部署工作告一段落，用户便可享受到安全预警、抗DDOS服务。

5 结语

通过对上文所叙述内容进行分析能够看出，在设计初期，工业控制系统便有安全漏洞存在，受多方因素制约，大部分使用者均不会主动选择改造或升级系统，这便是工控网络经常受到攻击的原因。上文所讨论平台，可使网络安全态势得到准确且直观的呈现，通过对恶意攻击进行监测的方式，凸显网络工具的条理性及主动性，事实证明，在预防与监测安全态势方面，该平台有十分突出的效能。