淺談工業(yè)互聯(lián)網(wǎng)安全服務云建設思路

郭賓 雷濛 朱奕輝

Discussion on the Construction Ideas of Industrial Internet Security Service Cloud

GUO Bin， LEI Meng， ZHU Yi-hui

【摘? 要】論文基于對工業(yè)互聯(lián)網(wǎng)安全的調(diào)研結(jié)果，梳理了工業(yè)互聯(lián)網(wǎng)安全的發(fā)展現(xiàn)狀及面臨的四個安全問題，創(chuàng)造性地提出工業(yè)互聯(lián)網(wǎng)安全服務云的概念，旨在滿足企業(yè)端和監(jiān)管單位在工業(yè)互聯(lián)網(wǎng)建設中提出的安全新需求。同時，深入探討了安全服務云的五個發(fā)展方向，為工業(yè)互聯(lián)網(wǎng)安全發(fā)展提供一個新的思路。

【Abstract】Based on the research results of industrial internet security， this paper combs the development status of industrial internet security and the four security problems it faces， creatively proposes the concept of industrial internet security service cloud， aiming to meet the new security needs of enterprise and regulatory units in the construction of industrial internet. At the same time， the paper discusses the five development directions of security service cloud， which provides a new idea for the development of industrial internet security.

【關鍵詞】態(tài)勢感知;工業(yè)互聯(lián)網(wǎng)安全;云服務

【Keywords】situation awareness; industrial internet security; cloud service

【中圖分類號】TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號】1673-1069（2020）05-0128-02

1 引言

工業(yè)互聯(lián)網(wǎng)是智能制造發(fā)展的基礎，可以提供共性的基礎設施和能力。我國已經(jīng)將工業(yè)互聯(lián)網(wǎng)作為重要基礎設施，為工業(yè)智能化提供支撐。然而近年來工業(yè)互聯(lián)網(wǎng)安全威脅和風險日益突出，各種網(wǎng)絡安全事件頻繁發(fā)生，高危系統(tǒng)安全漏洞威脅不斷。網(wǎng)絡安全已經(jīng)上升為國家安全的核心組成部分，并在經(jīng)濟和社會發(fā)展的關鍵環(huán)節(jié)和基礎保障方面發(fā)揮日益重要的作用。

2 工業(yè)互聯(lián)網(wǎng)安全現(xiàn)狀

在工業(yè)互聯(lián)網(wǎng)總體框架下，安全既是一套獨立功能體系，又滲透融合在網(wǎng)絡和平臺建設使用的全過程，為網(wǎng)絡、平臺提供安全保障。工業(yè)互聯(lián)網(wǎng)實現(xiàn)了全系統(tǒng)、全產(chǎn)業(yè)鏈和全生命周期的互聯(lián)互通，但在打破傳統(tǒng)工業(yè)相對封閉可信的生產(chǎn)環(huán)境的同時，也導致被攻擊概率的提升。

目前，工業(yè)互聯(lián)網(wǎng)安全問題主要體現(xiàn)在以下四個方面。

2.1 安全責任界定和安全監(jiān)管難度大

工業(yè)互聯(lián)網(wǎng)業(yè)務和數(shù)據(jù)在工控系統(tǒng)層、業(yè)務監(jiān)管層、云平臺層、工業(yè)應用層等多個層級間流轉(zhuǎn)，安全責任主體涉及工業(yè)企業(yè)、設備供應商、工業(yè)互聯(lián)網(wǎng)平臺運營商、工業(yè)應用提供商等。

2.2 平臺結(jié)構復雜，問題涉及面廣

海量設備和系統(tǒng)的接入、云及虛擬化平臺自身的安全脆弱性、API接口利用、云環(huán)境下安全風險跨域傳播的級聯(lián)效應、集團網(wǎng)絡安全頂層設計缺失都會帶來新的風險與挑戰(zhàn)。

2.3 終端安全形勢嚴峻

首先，傳統(tǒng)工業(yè)環(huán)境中海量工業(yè)軟硬件在生產(chǎn)設計時并未過多地考慮安全問題，可能存在大量安全漏洞;其次，大部分核心設備以國外設備為主;最后，重要工業(yè)設備日常運維和設備維修嚴重依賴國外廠商，存在遠程操控的風險。

2.4 數(shù)據(jù)本質(zhì)安全得不到保障

通過對工業(yè)數(shù)據(jù)的分析和應用，對生產(chǎn)進行降本增效是目前的主流思路，但數(shù)據(jù)來源涉及各個網(wǎng)絡層級和業(yè)務環(huán)節(jié)，導致數(shù)據(jù)存在的范圍和邊界發(fā)生了根本變化，對數(shù)據(jù)安全帶來巨大挑戰(zhàn)。

3 安全服務云建設需求分析

基于上述現(xiàn)狀，本文提出互聯(lián)網(wǎng)安全服務云的概念，積極構建一個面向關鍵信息基礎設施的立體化、實時化和智能化的網(wǎng)絡安全保障系統(tǒng)，持續(xù)加強工業(yè)互聯(lián)網(wǎng)安全防御能力、感知能力、管控能力、處置能力和威懾能力，提高企業(yè)抵御網(wǎng)絡安全威脅風險的能力，設計需求主要來自企業(yè)和監(jiān)管部門兩方面，本文主要對企業(yè)端需求進行分析。

①現(xiàn)階段，主流的安全產(chǎn)品以單兵作戰(zhàn)為主，只能對區(qū)域的流量信息進行分析處理，對于未知威脅的處理能力則非常弱。需要有效利用云端威脅情報數(shù)據(jù)，從同類企業(yè)數(shù)據(jù)中進行發(fā)掘和分析攻擊線索，極大提升未知威脅和APT攻擊的檢出效率。

②傳統(tǒng)安全防御體系的重要思想是防御，處于攻擊最前沿的網(wǎng)端是安全建設的重點。但隨著APT攻擊的發(fā)展，這種防御思路已逐漸不能滿足要求，需要通過引入威脅情報和規(guī)則鏈技術，提升企業(yè)積極防御的能力。

③傳統(tǒng)安全防護設備進行監(jiān)測時一般使用通用規(guī)則，這種規(guī)則庫對于與企業(yè)業(yè)務關聯(lián)性較強的個性化安全異常識別能力較弱。需要結(jié)合場景化威脅檢測技術，基于企業(yè)用戶的業(yè)務環(huán)境構建威脅檢測和響應模型，及時發(fā)現(xiàn)企業(yè)內(nèi)部的業(yè)務安全風險。第一，工業(yè)互聯(lián)網(wǎng)安全法規(guī)陸續(xù)發(fā)布，監(jiān)管部門存在網(wǎng)絡監(jiān)管的剛性要求，需要對所轄企業(yè)中的威脅事件、重要網(wǎng)絡資產(chǎn)和終端三個維度進行結(jié)合，輸出各個層面的統(tǒng)計分析結(jié)果，實現(xiàn)全方位的網(wǎng)絡安全態(tài)勢感知，協(xié)助企業(yè)信息部門看清業(yè)務與網(wǎng)絡安全的關系。第二，利用數(shù)據(jù)采集、數(shù)據(jù)流檢測、威脅情報等技術手段，分析和發(fā)現(xiàn)攻擊行為、流量異常等安全威脅，可以綜合判斷安全態(tài)勢，彌補單一企業(yè)用戶在信息安全數(shù)據(jù)整合能力、威脅行為預判能力上存在的短板。第三，需要建立研究成果、威脅情報、漏洞發(fā)布等最新安全信息推送機制。監(jiān)管單位一般建有完善的安全知識庫，推送機制有助于知識庫發(fā)揮最大功效，幫助企業(yè)運維人員培養(yǎng)安全意識和技能素養(yǎng)，增強企業(yè)對工業(yè)互聯(lián)網(wǎng)安全的防護。

4 安全服務云發(fā)展方向

4.1 強化核心信息基礎設施網(wǎng)絡安全態(tài)勢監(jiān)測能力建設

對信息基礎設施網(wǎng)絡安全防護措施進行改造升級，采取技術手段健全對漏洞嗅探、攻擊侵入、病毒傳播等危害網(wǎng)絡安全行為的防范措施。實現(xiàn)對網(wǎng)絡管理對象的全面納管和實時監(jiān)測，建立統(tǒng)一的網(wǎng)絡安全運行狀態(tài)監(jiān)測記錄、操作日志、應用性能和流量數(shù)據(jù)采集機制。

4.2 強化網(wǎng)絡安全隱患分析預判能力建設

在實時采集網(wǎng)絡運行狀態(tài)監(jiān)測記錄、全面收集網(wǎng)絡安全威脅情報基礎上，利用大數(shù)據(jù)分析技術構建統(tǒng)一的網(wǎng)絡安全態(tài)勢實時分析和監(jiān)測預警平臺。通過分布式實時計算框架對全網(wǎng)全量安全基礎信息進行關聯(lián)分析，及時發(fā)現(xiàn)已知安全威脅，確定安全事件的攻擊階段、攻擊路線與影響范圍，為應急處置提供科學的決策依據(jù)。通過基于機器學習構建的網(wǎng)絡安全風險評估模型，預測網(wǎng)絡安全未知隱患發(fā)生的可能性、影響范圍和危害程度，有效強化技術威懾與主動防御能力。

4.3 強化網(wǎng)絡安全攻擊應急處置能力建設

首先，建立健全網(wǎng)絡安全事件應急預案，按照事件發(fā)生后的危害程度、影響范圍等因素對網(wǎng)絡安全事件進行分級，并規(guī)定相應的應急處置措施;其次，建立健全網(wǎng)絡安全攻擊事件應急處置工作平臺和技術手段，發(fā)生網(wǎng)絡安全事件時，能夠立即啟動網(wǎng)絡安全事件應急預案，快速組織應急響應專業(yè)技術人員，對網(wǎng)絡安全攻擊階段進行精準評估，對網(wǎng)絡安全來源進行快速研判，采取技術措施和其他必要措施及時消除安全隱患，防止危害擴大，并按照有關法律、行政法規(guī)的規(guī)定進行上報。

4.4 強化網(wǎng)絡安全事件留存取證能力建設

在落實《網(wǎng)絡安全法》相關規(guī)定基礎上，對系統(tǒng)采集的關鍵信息中基礎設施、網(wǎng)絡和業(yè)務應用安全運行狀態(tài)監(jiān)測記錄、操作日志和流量數(shù)據(jù)進行全量留存，建立網(wǎng)絡安全數(shù)據(jù)檢索和關聯(lián)查詢平臺。首先，支持在發(fā)生涉及違法違規(guī)網(wǎng)絡安全事件時配合相關部門進行調(diào)查取證;其次，對重要應用系統(tǒng)和數(shù)據(jù)庫進行定期容災備份和統(tǒng)一歸檔存儲;最后，支持在發(fā)生重大網(wǎng)絡安全事件時能夠快速進行系統(tǒng)恢復，降低可能的數(shù)據(jù)丟失風險和損失。

4.5 強化網(wǎng)絡安全服務能力建設

圍繞企業(yè)安全能力提升各環(huán)節(jié)將面臨的需求，提供全方位的安全服務。第一，通過以安全咨詢切入，幫助企業(yè)了解安全相關的政策要求;第二，通過風險評估幫助企業(yè)梳理清晰安全現(xiàn)狀，并進行有針對性地安全建設對現(xiàn)有問題進行整改;第三，通過滲透測試對建設后的安全防護能力進行準確評估;第四，通過提供安全運維和漏洞掃描服務，協(xié)助企業(yè)開展日常網(wǎng)絡安全工作;第五，通過應急演練提高企業(yè)人員安全技能;第六，通過安全培訓提高企業(yè)人員整體安全意識和技能水平。

5 結(jié)語

本文提出的工業(yè)互聯(lián)網(wǎng)安全服務云概念，可以整合區(qū)域內(nèi)工業(yè)企業(yè)共性需求，改變傳統(tǒng)一個單位建立一套態(tài)勢感知平臺的模式，充分發(fā)揮工業(yè)互聯(lián)網(wǎng)的共享特性，將區(qū)域內(nèi)的企業(yè)看作一個整體，每個企業(yè)作為一個節(jié)點，通過部署多維探針設備，監(jiān)測并匯總數(shù)據(jù)后由監(jiān)管單位進行統(tǒng)一態(tài)勢感知分析，提升整個區(qū)域內(nèi)的安全態(tài)勢感知水平。通過與國家監(jiān)測預警網(wǎng)絡、應急資源庫、信息共享平臺和信息通報平臺進行技術對接，協(xié)同企業(yè)開展工業(yè)信息安全治理工作，實現(xiàn)信息的安全、可靠、及時共享，形成快速高效、各方聯(lián)動的信息通報預警體系。

【參考文獻】

【1】工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟（AII）.工業(yè)互聯(lián)網(wǎng)體系架構[R].北京：工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟，2016.

【2】工信部信軟〔2015〕440號.關于印發(fā)貫徹落實《國務院關于積極推進“互聯(lián)網(wǎng)+”行動的指導意見》行動計劃（2015-2018年）的通知[Z].

【3】高春梅.基于工業(yè)控制網(wǎng)絡流量的異常檢測[D].北京：北京工業(yè)大學，2014.

【4】吳超，張堯?qū)W，周悅芝，等.信息中心網(wǎng)絡發(fā)展研究綜述[J].計算機學報，2015，38（3）：455-471.