工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知核心技術(shù)分析

楊佳寧 陳柯宇 曹凱 郭嫻

摘要：作為繼互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)之后的“第三張網(wǎng)”，工業(yè)互聯(lián)網(wǎng)開放、互聯(lián)、跨域的特點(diǎn)，打破了以往相對(duì)明晰的責(zé)任邊界，帶來了更加多元、復(fù)雜的信息安全挑戰(zhàn)。文章分析了工業(yè)互聯(lián)網(wǎng)在設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺(tái)安全、數(shù)據(jù)安全等方面的風(fēng)險(xiǎn)，闡述了態(tài)勢(shì)感知的概念，并從技術(shù)角度闡述了在線監(jiān)測、蜜罐仿真、網(wǎng)絡(luò)流量分析、企業(yè)側(cè)探針、平臺(tái)安全監(jiān)測五大工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知核心技術(shù)。

關(guān)鍵詞：工業(yè)互聯(lián)網(wǎng);態(tài)勢(shì)感知;安全監(jiān)測

中圖分類號(hào)：TP393????????? 文獻(xiàn)標(biāo)識(shí)碼：A

1 引言

工業(yè)是國民經(jīng)濟(jì)的基礎(chǔ)和命脈，隨著大數(shù)據(jù)、人工智能、云計(jì)算及物聯(lián)網(wǎng)等新技術(shù)的發(fā)展和應(yīng)用，工業(yè)信息化已經(jīng)到了工業(yè)互聯(lián)網(wǎng)新階段，工業(yè)互聯(lián)和融通共享成為發(fā)展新常態(tài)，在全產(chǎn)業(yè)鏈能力不斷提高的同時(shí)，工業(yè)互聯(lián)網(wǎng)也面臨日益嚴(yán)峻的安全威脅。2016年1月25日，以色列部分電力系統(tǒng)遭受到大規(guī)模的網(wǎng)絡(luò)安全攻擊，這迫使以色列關(guān)閉了大量正在運(yùn)行的核心計(jì)算機(jī)。2017年5月，Wannacry勒索病毒爆發(fā)，國內(nèi)部分工業(yè)企業(yè)和能源企業(yè)遭受了勒索病毒的入侵，部分生產(chǎn)系統(tǒng)的工控機(jī)無法正常采集現(xiàn)場數(shù)據(jù)，導(dǎo)致部分工業(yè)生產(chǎn)活動(dòng)中斷。2018年8月3日，全球最大的代工芯片制造商臺(tái)積電被Wannacry變種勒索病毒攻擊，損失高達(dá)約13億元。種種事件表明，加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全保障工作已經(jīng)迫在眉睫。

2? 工業(yè)互聯(lián)網(wǎng)面臨的安全風(fēng)險(xiǎn)

相較傳統(tǒng)網(wǎng)絡(luò)安全，工業(yè)互聯(lián)網(wǎng)安全呈現(xiàn)新的特點(diǎn)[2，3]：一是海量設(shè)備和系統(tǒng)的接入加大安全防護(hù)難度，設(shè)備之間互聯(lián)互通導(dǎo)致攻擊路徑增多，傳統(tǒng)的網(wǎng)絡(luò)安全問題延伸至工業(yè)互聯(lián)網(wǎng)領(lǐng)域;二是云環(huán)境下安全風(fēng)險(xiǎn)跨域傳播的級(jí)聯(lián)效應(yīng)愈發(fā)明顯，工業(yè)數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)與日俱增;三是由于工業(yè)互聯(lián)網(wǎng)作為新興技術(shù)領(lǐng)域，其安全產(chǎn)品種類有限、工業(yè)防護(hù)能力薄弱。工業(yè)互聯(lián)網(wǎng)主要面臨設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、平臺(tái)安全、數(shù)據(jù)安全等五類安全風(fēng)險(xiǎn)。

2.1 設(shè)備安全

設(shè)備安全是指接入工業(yè)互聯(lián)網(wǎng)終端設(shè)備的安全，包括智能空調(diào)、智能冰箱、智能網(wǎng)聯(lián)汽車、攝像頭等物聯(lián)網(wǎng)終端設(shè)備的安全。這些設(shè)備往往采用嵌入式技術(shù)，很多設(shè)備體積小、計(jì)算能力有限、缺乏安全機(jī)制，大量存在安全問題的設(shè)備連接到工業(yè)互聯(lián)網(wǎng)中，極易被大批量利用，引發(fā)DDoS攻擊、僵尸網(wǎng)絡(luò)等問題[7]。

2.2 控制安全

控制安全是指PLC、SCADA、DCS等工業(yè)控制系統(tǒng)的安全，工業(yè)控制系統(tǒng)廣泛應(yīng)用于市政、軌道、交通、電力等關(guān)鍵基礎(chǔ)設(shè)施行業(yè)，是工業(yè)生產(chǎn)的“核心大腦”。隨著信息技術(shù)的發(fā)展，基于TCP/IP的工業(yè)以太網(wǎng)技術(shù)正在越來越多地應(yīng)用于工業(yè)控制系統(tǒng)中，工業(yè)控制系統(tǒng)漏洞數(shù)量逐年增加，受攻擊面不斷擴(kuò)大[5]。

2.3 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全主要是指工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)在通信網(wǎng)絡(luò)傳輸過程中所面臨的安全問題，包括公共互聯(lián)網(wǎng)的安全以及工廠管理網(wǎng)絡(luò)、控制網(wǎng)絡(luò)的安全。從公共互聯(lián)網(wǎng)角度出發(fā)，基于Handle等標(biāo)準(zhǔn)標(biāo)識(shí)解析系統(tǒng)的應(yīng)用，可能會(huì)導(dǎo)致新的攻擊方式出現(xiàn);從工廠的角度出發(fā)，為了追求更高的效率，工廠的網(wǎng)絡(luò)向扁平化、一體化的方面發(fā)展，導(dǎo)致工廠網(wǎng)絡(luò)安全防護(hù)難度加大，傳統(tǒng)的互聯(lián)網(wǎng)蠕蟲、木馬、勒索病毒正在向工廠內(nèi)部蔓延。

2.4 平臺(tái)安全

工業(yè)互聯(lián)網(wǎng)平臺(tái)依托于邊緣計(jì)算技術(shù)，匯聚了來自于工業(yè)控制系統(tǒng)、工業(yè)機(jī)器人、物聯(lián)網(wǎng)終端的核心數(shù)據(jù)，海量設(shè)備和系統(tǒng)的接入使得工廠內(nèi)部的安全風(fēng)險(xiǎn)向工業(yè)互聯(lián)網(wǎng)平臺(tái)擴(kuò)散，加大了平臺(tái)安全的防護(hù)難度[4]。同時(shí)，虛擬化技術(shù)的使用也使得平臺(tái)自身安全脆弱性日益凸顯，可能出現(xiàn)虛擬機(jī)逃逸、跨虛擬機(jī)側(cè)信道攻擊等問題。當(dāng)前，工業(yè)互聯(lián)網(wǎng)平臺(tái)PaaS層核心架構(gòu)均采用Cloud Foundry和Docker等開源技術(shù)，而這些開源技術(shù)本身存在著很多安全問題，甚至可能留有“后門”。

2.5 數(shù)據(jù)安全

數(shù)據(jù)安全主要指工業(yè)生產(chǎn)業(yè)務(wù)活動(dòng)中產(chǎn)生、采集、處理、存儲(chǔ)、傳輸和使用的數(shù)據(jù)的安全。數(shù)據(jù)類型包括仿真測試數(shù)據(jù)、現(xiàn)場生產(chǎn)數(shù)據(jù)、運(yùn)維管理數(shù)據(jù)、供應(yīng)鏈數(shù)據(jù)等。數(shù)據(jù)在傳輸、存儲(chǔ)的過程中，如果發(fā)生被竊取、篡改等事件，將直接影響到工業(yè)生產(chǎn)，甚至威脅到工人的人身安全。規(guī)范工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)采集、存儲(chǔ)、分析流程，評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)，防止重要工業(yè)數(shù)據(jù)外泄，是數(shù)據(jù)安全保障的重點(diǎn)內(nèi)容。

3 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知

態(tài)勢(shì)感知的概念于上世紀(jì)90年代開始應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域，安全大數(shù)據(jù)是態(tài)勢(shì)感知的基礎(chǔ)[1]。其信息采集、分析、處理過程主要可分為三個(gè)部分，分別為態(tài)勢(shì)獲取、態(tài)勢(shì)理解和態(tài)勢(shì)預(yù)測。態(tài)勢(shì)獲取通過多渠道感知、獲取環(huán)境中的重要線索和元素，包括漏洞信息、風(fēng)險(xiǎn)信息、安全事件、產(chǎn)業(yè)信息、技術(shù)進(jìn)展、專家信息等，為下一步的態(tài)勢(shì)理解提供數(shù)據(jù)支撐。態(tài)勢(shì)理解會(huì)對(duì)基礎(chǔ)材料進(jìn)行進(jìn)一步融合、挖掘，分析其關(guān)聯(lián)性。態(tài)勢(shì)預(yù)測則是基于分析的環(huán)境信息，預(yù)測未來安全形勢(shì)。

為了解決工業(yè)互聯(lián)網(wǎng)高速發(fā)展所帶來的日益嚴(yán)峻的安全挑戰(zhàn)，國務(wù)院、工信部高度重視工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知工作。2017年11月，國務(wù)院在《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》中提出，“細(xì)化工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全制度，制定工業(yè)互聯(lián)網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)保護(hù)相關(guān)規(guī)則，構(gòu)建工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)感知預(yù)警、網(wǎng)絡(luò)安全事件通報(bào)和應(yīng)急處置等機(jī)制”。2018年6月，工信部在《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃（2018-2020年）》中提出“顯著提升安全態(tài)勢(shì)感知和綜合保障能力”。

4? 工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知核心技術(shù)分析

在國家相關(guān)重大專項(xiàng)的支持下，國家一些科研機(jī)構(gòu)啟動(dòng)建設(shè)國家、省、企業(yè)三級(jí)聯(lián)動(dòng)的國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)感知體系。通過威脅匹配、大數(shù)據(jù)分析等技術(shù)，實(shí)現(xiàn)工業(yè)互聯(lián)網(wǎng)安全態(tài)勢(shì)的實(shí)時(shí)感知與可視化展示，在體系建設(shè)過程中，重點(diǎn)應(yīng)用到五個(gè)方面的核心技術(shù)。